安信华医疗行业互联网信息化安全解决方案

发布时间:2012-03-29 15:43 作者:佚名来源:中国IT实验室点击:加载中...次

　　一、医疗互联网信息化发展及面临的问题

　　互联网发展到今天取得了巨大成功。各级医院利用这种优势逐步建设了网上挂号、网站医疗信息等应用系统，给人们的生活带来了方便，与此同时，Web应用也越来越容易遭到黑客、病毒等攻击，数据被篡改和窃取、文件被破坏，人们在享受互联网带来便利的同时也面临着各种各样的Web安全威胁。以下是一些医疗系统中的Web攻击事件：

　　·2009年4月7日“世界卫生日”当天共有300万人次的网民遭到木马攻击。网民关注健康、医院网站，导致黑客对此类网站集中挂马;

　　·甲流疫苗引发大批医院网站遭挂马攻击;

　　·某市中医院网站服务器受到恶意代码攻击;

　　·一些门户网站的健康频道由于外包给了其它公司，安全措施防护不够，也导致被黑客植入木马;

　　·某市的孕妇信息库泄露事件，导致孕妇信息被兜售给孕婴用品类商家

　　医院信息化建设是比较复杂的，核心是病人信息的共享，包括医院各个科室之间、医院之间、医院与社区、医疗保险、卫生行政部门等的信息共享。卫生部曾强调“国内三甲以上的医院都需要实行信息化管理”，为此各省卫生厅在2011、2012年分别发布了关于加强互联网医疗保健信息服务管理的各类通知，明确指出要确保医疗卫生机构网站安全，进一步加强医疗卫生机构网站建设，规范医疗卫生机构开展互联网医疗保健信息服务。要遵从相关信息系统安全管理要求和条例的规定，加强网站系统的安全管理，防止网站系统被篡改、挂码，保障网站安全稳定运行。对于医疗卫生机构网站开展预约挂号、健康咨询等医疗卫生服务过程收集的个人信息，不得将信息泄露给第三方，要做好个人信息保护措施。

　　目前，各级医院大都已建立自己的网站系统，但由于各类原因，常会出现以下几种主要威胁：

　　·网页挂马：将网页中植入恶意代码或链接，以便在用户打开网页时向用户的电脑安装木马软件;

　　·网站网页中存在恶意脚本，容易被跨站脚本(XSS)攻击;

　　·SQL注入攻击：未经授权状况下操作数据库中的数据、恶意篡改网页内容、私自添加系统帐号或者是数据库使用者帐号、网页挂木马;

　　·篡改Web系统数据

　　·Cookie监听、Cookie投毒

　　二、安信华Web应用防火墙解决方案

　　安信华Web应用防火墙保护系统是针对解决上述Web应用安全问题设计的网络设备。安信华WAF产品通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动实时监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范，从而做到对Web服务器的多重保护，确保Web应用安全的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止口令被突破，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间谍软件等，防止Cookie监听、防止Cookie投毒，防SQL注入，防跨站脚本(XSS)攻击等。常用部署方式如下图所示：