网御神州医疗行业信息安全审计解决方案

杜绝医院“泄密门”

防止信息内部流失 网御神州构建医疗行业信息安全堡垒

如果把医院的内部网络比喻成一间屋子，存有各类信息的数据库就像屋子中一个带锁的书柜，但由于业务的需要，在这个屋子里的人（医务人员）需要在书柜里存存取取一些资料，因此他们会持有书柜的钥匙，所以即便多加两把锁或把书柜换成保险柜他们都能随意存取信息。那么怎么才能加强书柜的安全性呢？

如上所述，目前由于传统的安全技术手段只能阻挡部分从外部到内部的攻击，但对来自内部的信息窃取完全无能为力，导致了医院“泄密门”事件一次次发生，引发重要数据的丢失、破坏，在严重影响到医院网络的正常运行，也直接威胁到患者的隐私和生命安全。相对于内部管理和控制严出严入，全面防护方面来说，如何保护核心系统的安全无疑是最重要的环节。

回到网络中，国内信息安全厂商网御神州认为，针对此种情况我们可以在书柜高处加一个“摄像头”，如实地记录下谁在什么时候，在书柜前做了什么。如果更高级一点，这个“摄像头”还应具备“图像自动识别”，发现不法操作，自动“报警”的功能。

网御神州所说的“摄像头”就相当于一个审计系统，在医疗行业中，该“摄像头”必须具备两个基本的特征：一、系统保护的对象是信息及数据的载体；二、系统本身要具备隐蔽性，宜用性。同时，为了更好的保护医疗信息系统的安全，该审计系统还必须具备以下的功能：

首先，可自定义及识别风险较高的行为操作，并可对此类操作进行告警，采用电子邮件、SNMP Trap等方式通知网络安全管理人员。

其次，对已定义的不合规操作，可通过与网络设备或安全设备共同协作来关闭通信，以阻止正在进行的操作。

最后，系统需具备报表系统，可以按组管理，可以对报表生成进行日程规划，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。

网御神州SecFox-NBA（业务审计型）能够针对客户业务网络中的各种数据库、Windows和Unix主机、WEB应用系统进行全方位的安全审计。SecFox-NBA（业务审计型）产品的核心目标就是保障客户业务网络中数据安全和操作合规，主要有数据访问审计、数据变更审计、用户操作审计、违规访问行为审计、恶意攻击审计等5大功能。

同时，与传统的审计系统比较，网神SecFox-NBA（业务审计型）产品的特点也明显：

首先，SecFox-NBA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用层协议分析和审计，就像真实世界的摄像机。利用网御神州先进的业务协议检测技术（Business Protocol Inspect Technology），SecFox-NBA（业务审计型）能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计引擎的智能分析，发现网络入侵和操作违规行为。

其次，SecFox-NBA（业务审计型）对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。传统的数据库或者网络审计系统都采用基于指令的行为分析（Command-based Behavior Analysis）技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。

再次，SecFox-NBA（业务审计型）在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。在发生告警后，SecFox-NBA（业务审计型）可以通过电子邮件、SNMP Trap等方式对外发出通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。

最后，SecFox-NBA（业务审计型）内置大量报表报告，包括数据库报表、FTP报表、TELNET报表、主机报表、网络流量报表、综合报表，等等。SecFox-NBA（业务审计型）生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程规划，提供打印、导出以及邮件送达等服务。

应用网神SecFox-NBA（业务审计型）不仅可以同时审计多个不同的网段；多个系统可以级联，实现分布式部署，实现对大规模业务网络的审计，而且借助网御神州独有的基于会话的行为分析（Session-based Behavior Analysis）技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-NBA（业务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计。

此外，SecFox-NBA（业务审计型）可直接实时阻断可疑的网络通讯，也能够通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。SecFox-NBA（业务审计型）可以与众多第三方网络设备、安全设备进行联动。

目前，面对医疗行业的信息安全审计需求，网御神州科技（北京）有限公司开发的网神SecFox安全管理系统，包含SecFox-NAB（业务审计型）、SecFox-NAB（上网审计型）、SecFox-LAS日志审计系统、SecFox-EPS终端安全管理系统等多个功能模块，完全可以满足用户的相关需求。