浙江醫(yī)院信息中心 韓 晨

本文主要闡述了醫(yī)院信息化安全的背景、現(xiàn)狀，分享5個常見網(wǎng)絡(luò)安全運維的重點工作內(nèi)容的技術(shù)方案，展望未來的一些發(fā)展方向及趨勢。

從計算機(jī)系統(tǒng)安全、信息安全、互聯(lián)網(wǎng)安全（Internet Security）到網(wǎng)絡(luò)空間安全（Cyberspace Security簡稱Cyber Security），網(wǎng)絡(luò)安全的范圍越來越大，向云端、網(wǎng)絡(luò)、終端等各個環(huán)節(jié)不斷延伸，甚至覆蓋到陸、海、空、天四大領(lǐng)域。隨著《網(wǎng)絡(luò)安全法》、《密碼法》、《網(wǎng)絡(luò)安全等級保護(hù)制度》、《商用密碼應(yīng)用安全性評估》、《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》、《網(wǎng)絡(luò)安全審查辦法》等法規(guī)和規(guī)定的出臺，等保1.0進(jìn)入等保2.0時代。

醫(yī)院信息系統(tǒng)以his、pacs、lis、emr為主，其他系統(tǒng)為輔。隨著最多跑一次的深化改革，醫(yī)共體、醫(yī)聯(lián)體、互聯(lián)互通能力成熟建設(shè)、智慧醫(yī)院打造、DRGs的開展、“醫(yī)療健康中國”示范省的建設(shè)，醫(yī)院信息化系統(tǒng)不斷升級，大數(shù)據(jù)、人工智能、5G、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、星聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)，網(wǎng)絡(luò)結(jié)構(gòu)不斷調(diào)整，我們在進(jìn)入醫(yī)療數(shù)字智能時代的同時，安全問題變得更為復(fù)雜。在等保2.0、等級醫(yī)院、護(hù)網(wǎng)行動、公安檢查等各種檢查中可以看出，醫(yī)院網(wǎng)絡(luò)安全的要求越來越高。所以，如何做到在保證原有業(yè)務(wù)流暢性和拓展性的前提下，盡可能的提高網(wǎng)絡(luò)安全是我們醫(yī)院信息人不斷努力的方向。

現(xiàn)行醫(yī)院信息主流的網(wǎng)絡(luò)規(guī)劃模式有兩種：第一種是內(nèi)外網(wǎng)隔離，第二種兩網(wǎng)融合。在這樣的網(wǎng)絡(luò)環(huán)境下，從業(yè)務(wù)角度出發(fā)，醫(yī)院數(shù)據(jù)中心的架構(gòu)大致為大三層網(wǎng)絡(luò)+Vmware計算虛擬化+傳統(tǒng)存儲+物理主機(jī)。隨著信息化的發(fā)展，互聯(lián)互通業(yè)務(wù)的需求，結(jié)合等保2.0的各項要求，傳統(tǒng)的醫(yī)院網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)中心的架構(gòu)主要存在以下問題：邊界梳理不夠清晰、入侵防御中的防病毒落實不到位、最小權(quán)限原則沒有劃分明確、身份驗證和密碼應(yīng)用太少、容災(zāi)備份不到位、硬件瓶頸且拓展性較差、需要大量運維人員做技術(shù)支撐、終端資源眾多管理困難等。

根據(jù)行業(yè)背景和存在的問題，以下針對五個常見網(wǎng)絡(luò)安全運維重點工作展開描述并提供建議。

1 信息資產(chǎn)梳理與風(fēng)險管理

信息資產(chǎn)是網(wǎng)絡(luò)安全建設(shè)的根本，只有理清網(wǎng)絡(luò)環(huán)境中有哪些信息資產(chǎn)，它們的屬性和安全狀態(tài)如何，及時監(jiān)控、預(yù)測和處置資產(chǎn)的安全風(fēng)險，才能真正實現(xiàn)有效的管理網(wǎng)絡(luò)安全。資產(chǎn)管理類的技術(shù)產(chǎn)品和平臺應(yīng)包括以下主要能力：資產(chǎn)信息自動發(fā)現(xiàn)識別、安全檢測、漏洞與威脅情報管理。

資產(chǎn)發(fā)現(xiàn)包括主動發(fā)現(xiàn)和被動發(fā)現(xiàn)兩種方式：

（1）主動發(fā)現(xiàn)：利用SNMP掃描、NMAP掃描、漏洞探測和其它資產(chǎn)探測工具，收集資產(chǎn)的IT屬性和安全屬性，建立資產(chǎn)庫。其主要包括：交換機(jī)SNMP查詢、交換機(jī)流量采集比對、NMAP等（備注：以不影響業(yè)務(wù)正常運行為前提）。

（2）被動發(fā)現(xiàn)：采取網(wǎng)絡(luò)設(shè)備鏡像流量分析方式，自動查找和識別網(wǎng)絡(luò)中的資產(chǎn)，動態(tài)的管理入網(wǎng)的IT資產(chǎn)，結(jié)合主動發(fā)現(xiàn)工具，補(bǔ)充資產(chǎn)庫。

安全檢測包括使用掃描工具，檢測IT資產(chǎn)的安全屬性信息（包括安全漏洞、安全基線符合性），其主要的技術(shù)產(chǎn)品和功能要求有：主機(jī)漏洞檢測、安全基線符合性檢測等。

要建立資產(chǎn)安全風(fēng)險態(tài)勢感知，充分利用大數(shù)據(jù)技術(shù)搭建技術(shù)平臺，結(jié)合資產(chǎn)自動發(fā)現(xiàn)、安全檢測的建設(shè)成果，各醫(yī)院應(yīng)建立資產(chǎn)安全風(fēng)險的態(tài)勢感知平臺系統(tǒng)，實現(xiàn)信息資產(chǎn)庫的形成、方便管理安全漏洞和基線符合性狀態(tài)，利于綜合集成多類威脅情報來源并建立事件處理流程。

其中，ρ為介質(zhì)密度，ut為水平位移速度，wt為垂直位移速度， τxx，τzz為正應(yīng)力，τxz為剪應(yīng)力，λ，μ為介質(zhì)的拉梅系數(shù)；c11=c33=λ+2μ，c13=λ，c44=μ。

2 軟件開發(fā)安全

醫(yī)院行業(yè)本身需要多變且業(yè)務(wù)發(fā)展快，在用的軟件大部分是外部采購，外包或自己做開發(fā)，而軟件都是人寫的，必存在安全問題。發(fā)生安全問題的根本原因有兩個：一個是軟件自身存在安全問題，另一個是軟件在應(yīng)用中存在安全威脅（即軟件面臨嚴(yán)重的外部威脅）。

結(jié)合國際主流的軟件開發(fā)安全生命周期理論，各醫(yī)院應(yīng)將信息系統(tǒng)建設(shè)和開發(fā)的過程分為以下階段，并在每個階段采取必要的保護(hù)措施和相關(guān)技術(shù)產(chǎn)品。所以，軟件安全開發(fā)生命周期以及相關(guān)的安全技術(shù)方案的主要對應(yīng)關(guān)系如下：需求階段—安全需求分析、設(shè)計階段—威脅建模、開發(fā)階段—代碼審計、測試階段—安全測試（包含應(yīng)用層和系統(tǒng)層的漏洞掃描及滲透測試）、部署階段—安全加固、運營階段—事件響應(yīng)、下線階段—資源回收。

3 護(hù)網(wǎng)

護(hù)網(wǎng)總體的工作思路是建立護(hù)網(wǎng)專項工作組，分階段實施護(hù)網(wǎng)前、中后期的各項安全措施，明確護(hù)網(wǎng)各階段工作重點，進(jìn)行安全風(fēng)險排查自查、安全加固與自我整改，建立安全事件監(jiān)控與響應(yīng)機(jī)制，最后就是要總結(jié)經(jīng)驗教訓(xùn)。

4 醫(yī)療儀器設(shè)備安全保護(hù)

在互聯(lián)網(wǎng)等技術(shù)不斷發(fā)展的時代，領(lǐng)先的醫(yī)療保健企業(yè)正不斷轉(zhuǎn)向以聯(lián)網(wǎng)技術(shù)為根基的解決方案。當(dāng)前，大部分醫(yī)院都采用東芝、西門子、GE、飛利浦等國外醫(yī)療儀器，并沒有相關(guān)防護(hù)措施進(jìn)行統(tǒng)一管理運行狀態(tài)、排班管理、4G/5G外聯(lián)、運維日志等措施，會面臨數(shù)據(jù)出境、病毒進(jìn)入等風(fēng)險。加之，國外設(shè)備因為不允許部署其它廠家的軟件在其設(shè)備，因為怕產(chǎn)生不兼容而出現(xiàn)醫(yī)療事故，讓信息部門既恨又怕。為此，我們推薦采用醫(yī)療儀器設(shè)備管理解決方案，無客戶端方式能實現(xiàn)非法外聯(lián)，并能監(jiān)控數(shù)據(jù)發(fā)到哪個IP，也能實時統(tǒng)一監(jiān)控其設(shè)備運行狀態(tài)，解決設(shè)備科室對設(shè)備的主動管理權(quán)等。針對醫(yī)院的重要醫(yī)療設(shè)備采取必要的安全保護(hù)措施。醫(yī)療設(shè)備的管控方案主要包括實時發(fā)現(xiàn)和管理設(shè)備、離線醫(yī)療設(shè)備管控、智能安全分析、外部情報聯(lián)動、管理設(shè)備使用能效檢測、基于策略的自動響應(yīng)、與院內(nèi)其它關(guān)鍵平臺集成，把工作人員從跟蹤設(shè)備的手動過程中解放出來，讓他們更加專注于患者護(hù)理這些主要功能。

5 醫(yī)院網(wǎng)絡(luò)安全運營和合規(guī)績效考核

設(shè)計網(wǎng)絡(luò)安全管理績效評價的域和評價指標(biāo)，結(jié)合“安全管理中心平臺”（對標(biāo)SOC平臺）的安全分析結(jié)果，形成網(wǎng)絡(luò)安全管理績效評價體系，并可基于部門、業(yè)務(wù)等多個維度對績效評價結(jié)果進(jìn)行圖形化展示。

未來3至5年，醫(yī)療行業(yè)數(shù)據(jù)中心發(fā)展的趨勢會以超融合架構(gòu)為主，因為超融合在成本、性能、拓展性、擴(kuò)容上相較于傳統(tǒng)方案都更具有性價比。超融合平臺也可統(tǒng)一納管其他云平臺進(jìn)行容災(zāi)備份。

對于黑客而言，進(jìn)入醫(yī)院網(wǎng)絡(luò)后一定有所圖，有所動作。黑客控制一臺終端后，會去收集信息，掃描同段的資產(chǎn)，尋找薄弱點，進(jìn)行橫向移動，再去提權(quán)。尤其在醫(yī)院環(huán)境下二層的共享、遠(yuǎn)程端口難以管控。所以，流量檢測分析的設(shè)備和基于用戶行為分析的設(shè)備未來會成為主流。在黑客進(jìn)行掃描、傳播漏洞腳本、橫向移動等行為的時候，流量檢測分析的設(shè)備將會捕捉到它。黑客進(jìn)行暴力破解、訪問應(yīng)用系統(tǒng)二級目錄、上傳webshell后門等行為時，將會被行為分析系統(tǒng)（幻陣）捕捉到。未來流量分析和用戶行為分析的設(shè)備將會越來越被重視。

零信任的概念是最近提的比較火的概念，傳統(tǒng)的邊界設(shè)備（如：下一代墻、WAF、IPS等）都是基于規(guī)則去限制外部的流量。對于利用0day、1day的黑客攻擊是無法被阻斷甚至是審計到的。在這種場景下，要解決這個問題，一種是上文提到的結(jié)合流量檢測和用戶行為分析的設(shè)備，一種是全院采取零信任架構(gòu)。傳統(tǒng)的邊界設(shè)備是出口的硬件設(shè)備，我們通過軟件來定義邊界，就是以終端為單位。每個人都擁有不同權(quán)限的賬戶和身份，每個人能訪問的資源也不同。在用戶正常訪問業(yè)務(wù)的時候也會基于用戶的行為進(jìn)行動態(tài)驗證。只要用戶無法進(jìn)行驗證或做出異常行為將立即被阻斷，失去一切的權(quán)限和訪問的資源（最小化用戶權(quán)限）。

全院零信任架構(gòu)落地還需時日，不過就目前廠商的發(fā)展來看已經(jīng)初具雛形。EDR+態(tài)勢感知平臺將是未來零信任架構(gòu)不可或缺的一環(huán)，所有終端的訪問控制將通過EDR來實現(xiàn)，目前通過態(tài)勢的流量分析能發(fā)現(xiàn)醫(yī)院網(wǎng)絡(luò)訪問的關(guān)系以及異常流量。發(fā)現(xiàn)后可聯(lián)動EDR平臺進(jìn)行微隔離處置，即端到端、端到服務(wù)的控制。

假以時日，傳統(tǒng)的邊界防御設(shè)備和資產(chǎn)發(fā)現(xiàn)設(shè)備將為院區(qū)網(wǎng)絡(luò)安全兜底，收窄安全暴露面。流量分析和用戶行為分析系統(tǒng)將發(fā)現(xiàn)和審計這些“漏網(wǎng)之魚”并及時進(jìn)行處置。零信任架構(gòu)+態(tài)勢感知+流量分析和用戶行為分析系統(tǒng)+傳統(tǒng)邊界防御將形成安全閉環(huán)。通過信息安全的建設(shè)，可以使醫(yī)院信息系統(tǒng)達(dá)到國家及醫(yī)療行業(yè)內(nèi)部關(guān)于信息安全等級保護(hù)的基本要求，大大提高合規(guī)性水平，保障數(shù)字醫(yī)院的信息化快速發(fā)展，確保醫(yī)院業(yè)務(wù)安全可靠的運行。