2007-8-7 每一個產業中對於資料以及網路架構完整性保護的要求多多少少都有一些差異,所有的組織根據對於本身的了解制定對於組織中重要電子資訊的保護方式以防止入侵及損害。
Tripwire協助醫療機構達到HIPPA的標準,並加強資料及網路資訊的異動管理
每一個產業中對於資料以及網路架構完整性保護的要求多多少少都有一些差異,所有的組織根據對於本身的了解制定對於組織中重要電子資訊的保護方式以防止入侵及損害。醫學機構所面對是一個特別困難的挑戰,因為他們所負責保護的是牽涉自然界中各種生命的敏感資料。在他們的環境中,一個受損的資料有可能最後造成死亡的結果,在醫療機構中對於私密性和安全性特別的需要根據一套規範以確定所有的資料都保護在合理的狀態之下。根據這些考量的結果,特別制定了一套規範來定義如何保護所有健康資訊相關的電子資料,HIPAA是1996年美國前總統克林頓簽署的健康保險攜帶和責任法案(Health Insurance Portability and Accountability Act)的縮寫。該法案對多種醫療健康產業都具有規範作用,包括交易規則、醫療服務機構的識別、從業人員的識別、醫療資訊安全、醫療隱私、健康計畫識別、第一傷病報告、病人識別等,在規範中皆明確規定各級醫療機構對於資料和網路管理的工作需求說明。在美國所有涉及醫療保健的機構中,包括醫院、健康計畫部門、保健服務商、相關票據交換所、醫療資訊系統提供商、醫科大學、甚至只有一個內科醫生的辦公室等,對任何形式的個人健康保健資訊的存儲、維護和傳輸都必須遵循HIPAA的安全條例規定。對於違反HIPAA安全條例的行為,可以處以最高為25萬美元的罰款和最長為10年的監禁。在技術方面,HIPAA安全條例是中立的、可升級的。系統安全可在系統的建立、實現、監控、測試和管理過程中不斷提高,並且每個環節都可採用多種工具。該條例是一種開放的安全標準,每個醫療機構可以選擇適合自身的技術和解決方案。醫療機構必須保存HIPAA安全標準要求的相關文檔,並接受對這些資料和相關過程的定期復查。 幸運的是在現今已經有許多個工具和軟體可以提供對於這些敏感資料的保護,並且能夠提供協助幫助這些醫療機構來達到規範的要求。最基本提供的幫助就是能夠協助管理人員確認資料的完整性,確認資料未受到未授權的變更竄改或者在資料與系統變動時能夠提醒管理人員所有變動的狀況。在許多醫院中,病患的資料是儲存在伺服器、資料庫中,IT人員最基本的工作就是維護這些資料的私密和完整,這表示任何一個不能夠被接受的變動必須能夠很快提供提醒讓管理人員確實知道確實發生異動的是哪些資料哪些檔案以及是哪時候由誰造成的。除此之外,管理人員還必須監看重要的保護醫療系統的資訊安全工具像是防火牆或是入侵偵測系統,確保這些防禦設備也沒有遭到竄改破壞。醫療機構最需要的工具就是具備這種在根本上去協助追蹤並且確實紀錄所有來自外部或者內部變動的能力,能夠幫助使用者在根本上去幫助醫療機構建立安全的基礎。也是因為如此,大多數醫療機構的資訊管理人員選擇利用Tripwire能夠確實提供變動狀況提醒的功能來協助單位達到HIPAA對於私密和安全稽核的要求。 接下來將根據三個應用領域來討論HIPAA稽核要求上所需要提供的協助: 1. 入侵偵測 在這個領域中所需要應用的工具或軟體在根本上必須能擔任一個確實偵測入侵狀態的角色,這個因素主要在於確認沒有任何來自於外部或者內部的人可以私自變動重要系統的檔案或者設定。在HIPAA的四大主要規範中皆定義出需對於伺服器和工作站作入侵偵測。為了穩固組織機構的命脈,保護組織成資訊架構的伺服器、網路設備以及工作站,必須利用工具掃描每一部電腦或者設備,在最佳狀態時建立基準值,建立一個數位壓縮的快照。一旦建立了這個基準值管理員便可以在任何的時間點上去掃描檢查這個系統檔案的完整性,透過適當的工具針對目前系統的狀態與先前所建立之基準值作雜湊演算比較,如此在這個系統上所有的新增、異動與刪除皆可被偵測出且一目了然。如果這些變動是被允許的,管理人員可以更新最佳狀態基準值為未來比對之標準,如果這些變動是未經過合理授權的或者是惡意的攻擊,管理人員能夠透過這些提示迅速判定到底是哪些網路中的節點發生了狀況。透過這種從所有節點基礎上去檢查所有的變動是所有組織對於資訊安全方面最基本的要求。有許多的工具強調針對已知或者未知的入侵手法去偵測,但是這些工具往往只注重那些來自於外部穿過防火牆的攻擊,卻忽略了來自於原本系統中的一些問題。只有透過異動管理去了解所有系統中任何異常的狀況才是一個建立資訊安全環境最根本的基礎。針對系統變動作偵測才能夠符合HIPAA的稽核要求,能夠讓管理者確定系統和資料仍在預期的最佳狀態並未受到竄改。唯有透過具有彈性應變的入侵偵測工具以便了解所有系統資料的新增、異動和刪除,才能更有效率維護醫療機構的營運原則。 2. 損害評估與回復 就像許多系統管理員從痛苦的經驗中所發現的一樣,去偵測一個入侵的發生只是一個很初階的工作,當一個駭客已經突破叢叢包圍攻擊進來後,最麻煩的問題是:哪一個系統已經被影響到了?哪一個檔案已經被變動了?我們必須利用工具來幫助管理者去找到並且知道這些問題的答案。如果能夠迅速的去定義出哪些已經遭到了竄改,那麼管理者便可以很快根據這些異動的部分個別去復原,而不需要去重建整個系統。又或者利用Tripwire這種能夠與備份復存軟體整合的工具便能夠在系統當機或者遭到竄改之後能夠迅速的幫助醫療單位迅速將系統回復正常狀態。在此時不論是哪些地方發生了變動,Tripwire都可以提供快速的定義出有問題的地方、修復這些異常的狀況。這種災難應變以及重建便是HIPAA中相當重要的一個議題。另外一個在被入侵之後很重要的工作就是清除所有駭客所建立的後門,這些包括一些小小的執行檔、網路監看程式或者是惡意的程式碼,能夠讓有心人士能夠隨時進入單位中的網路得到他們所想要獲得的資訊。這些不正確的部分是絕對要能夠被發現並且移除的,但是駭客們總是能夠隱藏這些不正當的工具在一些很難被管理到的檔案系統中,因此如果能夠透過加密雜湊演算方式來掃描這些系統中的檔案內容,就算是駭客想要利用變更檔名或者存取時間來掩飾這些不正當的工具,管理者還是能夠準確的偵測出檔案是否已經遭到破壞,並且迅速的將狀態復原至完好的環境之下。對於所有致力於讓醫療機構能夠符合HIPAA規範的系統管理者而言,能夠很快的將系統從資訊安全意外事件之下回復至最佳狀態絕對是一項很基本的任務。利用能夠幫助管理的強大工具才能夠使得這些努力並且在乎的管理者有效率且順利的達到HIPAA的規範邀求。 3. 確實的執行 當一個組織在安裝新的系統、應用程式或者新的管理原則時,他們都需要一套工具來幫助確認工作是否確實執行以及管理目前工作的進度。HIPAA中定義出多項明確的規範要求對於所有的工作進度做確實的稽核紀錄。透過一個能夠確實提示目前已經變動狀況異動管理的工具,便能夠協助管理者在多個不同的作業系統以及網路設備中明確的看到目前已經執行的工作狀態或者仍等待執行的節點有哪些。像是醫療機構這種大型且保存許多重要敏感資料的資訊環境必須提出中央控管且具標準化的管理程序來了解並且偵測在各個層集中所有工作造成的變動以了解工作是否確實按照程序被執行。醫療機構中所有部門的管理者和技術人員在管理多種的系統和網路設備如能遵守HIPAA所定義出的工作程序稽核規範來確實執行工作任務便能大大提昇管理效率。利用工具來檢測哪些系統、應用程式或者新的原則是否已經被成功的執行,利用雜測檢測方式檢查工作中失敗的原因,利用集中管理標準程序在醫療機構大型環境之下透過遠端監控的方式提昇工作確實執行的效率。 結論 在要求醫療機構達到HIPAA規範要求的同時,國會議會也了解事實上目前的管理方式以及所使用的工具是不容易使得這些單位達到HIPAA的稽核要求,相對的對於目前的系統和資料並沒有做到非常嚴格的保護和管理。為了建立高品質的醫療健康管理保護機構,為了大眾的健康以及所有的健康管理資料,所有的醫療機構皆必須遵守HIPAA的安全以及私密管理規範。而達到此目的則需借助專業的團隊及有效的工具來協助所有醫療機構的管理人員提供更確實更有效率的幫助。
亞利安科技:
http://www.ciphertech.com.tw/
沒有留言:
張貼留言