陳明，林志剛，林傳捷

福建醫(yī)科大學(xué)附屬第一醫(yī)院信息中心，福建福州 350005

隨著國家信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)(“等保2.0”)的頒布，國家對(duì)醫(yī)院的安全管理提出了新的要求，如應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析， 并保證審計(jì)日志記錄符合法律法規(guī)要求；應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析等[1]。 另一方面，隨著網(wǎng)絡(luò)技術(shù)的日趨成熟，黑客們也將注意力逐步轉(zhuǎn)向APT 攻擊。 根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（national internet emergency center，CNCERT） 發(fā) 布 的《2020 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》，境外“白象”“海蓮花” 等APT 攻擊組織以各類社會(huì)熱點(diǎn)為誘餌對(duì)中國衛(wèi)生機(jī)構(gòu)發(fā)起攻擊；同時(shí)勒索病毒持續(xù)活躍，技術(shù)手段不斷升級(jí)，入侵移動(dòng)過程的自動(dòng)化、集成化、模塊化、組織化特點(diǎn)愈發(fā)明顯，并表現(xiàn)出更強(qiáng)的針對(duì)性，攻擊目標(biāo)主要是包含醫(yī)療機(jī)構(gòu)在內(nèi)的大型高價(jià)值機(jī)構(gòu)[2]。因此，在網(wǎng)絡(luò)安全保障壓力與日俱增的情況下，醫(yī)院如何建立與時(shí)俱進(jìn)、持續(xù)有效的安全運(yùn)營(yíng)體系將成為一個(gè)重要的研究課題[3]。 該研究以某省屬三級(jí)甲等醫(yī)院的網(wǎng)絡(luò)安全現(xiàn)狀為例，提出基于態(tài)勢(shì)感知的醫(yī)院安全運(yùn)營(yíng)方案，于2021年9—12 月開展持續(xù)有效的安全運(yùn)營(yíng)實(shí)踐活動(dòng)，現(xiàn)報(bào)道如下。

1 基本現(xiàn)狀與主要問題

該省屬三級(jí)甲等醫(yī)院經(jīng)過多年的安全建設(shè)，建立院內(nèi)院外網(wǎng)絡(luò)通信渠道；建設(shè)各種外聯(lián)線路防火墻、入侵防護(hù)系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、運(yùn)維與審計(jì)系統(tǒng)、 數(shù)據(jù)庫審計(jì)系統(tǒng)與網(wǎng)閘等安全防護(hù)設(shè)備和管理工具，完成了基礎(chǔ)的信息安全體系建設(shè)[4]。但該醫(yī)院的網(wǎng)絡(luò)安全防護(hù)體系仍存在以下問題： 醫(yī)院存在安全數(shù)據(jù)孤島，分散的告警信息導(dǎo)致溯源能力不足，對(duì)高級(jí)威脅的檢測(cè)、處置存在滯后；醫(yī)院安全管理人員身兼多職，未專人專崗位，工作存在業(yè)務(wù)邊界不清晰；醫(yī)院安全運(yùn)營(yíng)流程不完整，安全告警無法及時(shí)有效處理。 這些問題不僅使網(wǎng)內(nèi)的安全設(shè)備和管理工具無法充分發(fā)揮其安全防護(hù)能力，也無法保證院內(nèi)高效的安全運(yùn)營(yíng)閉環(huán)管理[5]。

2 安全目標(biāo)與框架

2.1 安全目標(biāo)

在醫(yī)院原有安全防護(hù)的基礎(chǔ)上，通過部署態(tài)勢(shì)感知系統(tǒng)提升醫(yī)院安全數(shù)據(jù)的采集、認(rèn)知、溯源分析能力及應(yīng)急響應(yīng)能力。 組建醫(yī)院網(wǎng)絡(luò)安全團(tuán)隊(duì)，優(yōu)化安全運(yùn)營(yíng)流程，準(zhǔn)確定位風(fēng)險(xiǎn)，及時(shí)處置告警，逐步構(gòu)建主動(dòng)、協(xié)同、閉環(huán)、高效的安全運(yùn)營(yíng)體系，實(shí)現(xiàn)醫(yī)院安全管理由被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變、 靜態(tài)防御向動(dòng)態(tài)防御的轉(zhuǎn)變、分散防御向協(xié)同防御轉(zhuǎn)變。

2.2 安全框架

為了實(shí)現(xiàn)可持續(xù)的安全運(yùn)營(yíng)目標(biāo)， 依據(jù)等級(jí)保護(hù)2.0 的基本要求及技術(shù)要求、 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求、MMI 軟件成熟度模型及ISO27000 的合規(guī)要求，建立醫(yī)院安全運(yùn)營(yíng)框架[6]，見圖1。 安全運(yùn)營(yíng)框架以人員、技術(shù)、流程為支撐，圍繞資產(chǎn)、漏洞、威脅、事件4 個(gè)要素持續(xù)有效地開展網(wǎng)絡(luò)安全運(yùn)營(yíng)工作，其中技術(shù)是安全運(yùn)營(yíng)的核心，流程提供安全運(yùn)營(yíng)的機(jī)制保障，而人員可充分發(fā)揮技術(shù)及流程的安全管理價(jià)值。

圖1 醫(yī)院安全運(yùn)營(yíng)架構(gòu)

2.3 建立組織架構(gòu)

醫(yī)院建立網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)， 包括網(wǎng)絡(luò)安全決策、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全執(zhí)行3 個(gè)組成部分。 信息中心主任作為安全運(yùn)營(yíng)主管， 組織安全運(yùn)營(yíng)標(biāo)準(zhǔn)規(guī)范的制訂，組織開展安全運(yùn)營(yíng)規(guī)范、安全培訓(xùn)，負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)和安全考核； 安全管理員負(fù)責(zé)溝通安全需求、制訂安全方案計(jì)劃、把控工作進(jìn)度與質(zhì)量，對(duì)接日常安全業(yè)務(wù)運(yùn)維工作；網(wǎng)絡(luò)系統(tǒng)管理員、主機(jī)管理員、終端管理員、應(yīng)用管理員作為執(zhí)行組織的成員，共同配合完成安全相關(guān)資產(chǎn)管理，安全監(jiān)測(cè)、威脅分析、安全事件處理，文檔管理等工作[7-8]。

2.4 部署態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)融合云計(jì)算、大數(shù)據(jù)、人工智能等先進(jìn)技術(shù)，可顯著提高網(wǎng)絡(luò)安全態(tài)勢(shì)狀態(tài)和把控能力。 醫(yī)院建立本單位的信息網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)，全面采集醫(yī)院信息安全危險(xiǎn)數(shù)據(jù)，充分挖掘分析可能存在的高級(jí)威脅事件， 以掌握醫(yī)院網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)信息，提升內(nèi)部應(yīng)急響應(yīng)能力[9]。

態(tài)勢(shì)感知系統(tǒng)部署在醫(yī)院互聯(lián)網(wǎng)訪問接入?yún)^(qū)，用于威脅情報(bào)更新。 其部署方式見圖2。 流量探針分別接入醫(yī)院訪問接入?yún)^(qū)、運(yùn)維管理區(qū)、業(yè)務(wù)受理區(qū)、業(yè)務(wù)處理區(qū)、政務(wù)外網(wǎng)、數(shù)據(jù)中心等區(qū)域，其日志采集器采集各區(qū)域安全設(shè)備、網(wǎng)絡(luò)設(shè)備以及各服務(wù)器的系統(tǒng)日志，流量探針采集到的數(shù)據(jù)匯入態(tài)勢(shì)感知平臺(tái)進(jìn)行分析。在檢查流量數(shù)據(jù)接入無誤后，對(duì)接入的采集設(shè)備、數(shù)據(jù)的解析規(guī)則和策略提供統(tǒng)一的管理， 包括日志采集與處理、流量采集與處理等。同時(shí)采用高性能的分布式集群數(shù)據(jù)存儲(chǔ)與檢索系統(tǒng)，幫助安全運(yùn)營(yíng)人員追根溯源；配置與其他安全產(chǎn)品進(jìn)行聯(lián)動(dòng)，將告警、漏洞、弱口令等通過工單任務(wù)統(tǒng)一跟蹤，實(shí)現(xiàn)安全威脅及時(shí)有效的處置[10-11]。

圖2 態(tài)勢(shì)感知系統(tǒng)部署拓?fù)鋱D

2.5 優(yōu)化運(yùn)營(yíng)流程

安全運(yùn)營(yíng)工作流程圍繞資產(chǎn)管理、漏洞管理、威脅管理、事件管理閉環(huán)處置過程進(jìn)行展開，并確保每個(gè)環(huán)節(jié)工作都能高效率執(zhí)行[12]。

2.5.1 資產(chǎn)管理 資產(chǎn)管理員首先協(xié)調(diào)主機(jī)管理員與應(yīng)用管理員對(duì)已有的資產(chǎn)進(jìn)行確認(rèn)，確認(rèn)的內(nèi)容涵蓋系統(tǒng)IP、系統(tǒng)名稱、責(zé)任人及開發(fā)商等基本信息，然后對(duì)全網(wǎng)進(jìn)行資產(chǎn)掃描，完善原有的資產(chǎn)清單，在確認(rèn)無誤后錄入安全態(tài)勢(shì)感知的資產(chǎn)庫中。 在安全運(yùn)營(yíng)過程中心，資產(chǎn)管理員根據(jù)實(shí)際情況，結(jié)合安全態(tài)勢(shì)感知的變更探測(cè)和存活性監(jiān)測(cè)等資產(chǎn)識(shí)別功能，持續(xù)發(fā)現(xiàn)新增和變更的資產(chǎn)信息，在資產(chǎn)發(fā)生變更時(shí)及時(shí)更新資產(chǎn)信息，避免資產(chǎn)信息與實(shí)際不符。

2.5.2 脆弱性管理 根據(jù)掃描的深度、 時(shí)間周期制訂漏掃策略，執(zhí)行漏洞掃描的同時(shí)對(duì)發(fā)現(xiàn)的漏洞進(jìn)行分析和驗(yàn)證；在確認(rèn)漏洞重要等級(jí)后，制訂漏洞處置方案：安全管理員將漏洞整改通知報(bào)告及時(shí)轉(zhuǎn)發(fā)主機(jī)管理員與各應(yīng)用負(fù)責(zé)人，各應(yīng)用負(fù)責(zé)人督促相關(guān)系統(tǒng)開發(fā)商限期完成系統(tǒng)應(yīng)用邏輯漏洞、中間件、應(yīng)用開發(fā)框架漏洞的修復(fù)， 并協(xié)助主機(jī)管理員在限期內(nèi)完成操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞的修復(fù)。安全管理員在收到漏洞修復(fù)確認(rèn)報(bào)告后對(duì)修復(fù)的漏洞進(jìn)行復(fù)測(cè)。漏洞未完全修復(fù)繼續(xù)通知相關(guān)人員，若人員未反饋任何信息，上報(bào)安全運(yùn)營(yíng)主管繼續(xù)推進(jìn)直至漏洞修復(fù)[13]。

2.5.3 威脅管理 首先對(duì)態(tài)勢(shì)感知發(fā)現(xiàn)的威脅進(jìn)行判斷，若接受風(fēng)險(xiǎn)就進(jìn)行備注說明，因業(yè)務(wù)原因暫不處理進(jìn)行持續(xù)跟蹤。對(duì)需要馬上進(jìn)行處置的安全事件采用與安全設(shè)備聯(lián)動(dòng)的方式進(jìn)行處置，威脅處置完成后將與安全事件相關(guān)聯(lián)的告警信息、日志信息、情報(bào)信息、資產(chǎn)信息等進(jìn)行歸納整理，對(duì)事件處置的結(jié)果采用觀察、分析、主動(dòng)驗(yàn)證等方式對(duì)威脅的處理結(jié)果進(jìn)行確認(rèn)，確認(rèn)風(fēng)險(xiǎn)威脅消除，確認(rèn)采用的措施對(duì)于風(fēng)險(xiǎn)控制有效[14]。

2.5.4 事件管理 定期審閱醫(yī)院應(yīng)急響應(yīng)預(yù)案， 定期組織應(yīng)急演練，并更新應(yīng)急響應(yīng)流程。在安全事件發(fā)生時(shí)，盡快識(shí)別并采取應(yīng)對(duì)措施來控制安全事件的影響，根除造成安全事件的原因，并盡快采取恢復(fù)措施，使業(yè)務(wù)恢復(fù)正常運(yùn)轉(zhuǎn)。 一旦事件成功解決，需要撰寫網(wǎng)絡(luò)信息安全事件報(bào)告，并根據(jù)該次安全事件更新應(yīng)急響應(yīng)預(yù)案[15]。

3 應(yīng)用效果

該省屬三級(jí)甲等醫(yī)院依據(jù)以上安全運(yùn)營(yíng)方案，于2021 年9 月，通過安全態(tài)勢(shì)感知平臺(tái)，從資產(chǎn)、漏洞、威脅、事件4 個(gè)維度開始進(jìn)行持續(xù)有效的安全運(yùn)營(yíng)，其一個(gè)季度的安全運(yùn)營(yíng)情況如下。

運(yùn)營(yíng)團(tuán)隊(duì)將重要資產(chǎn)全部錄入態(tài)勢(shì)感知平臺(tái)，對(duì)各類高危告警進(jìn)行分析研判， 告警類型涉及跨站腳本攻擊、信息泄露、目錄遍歷、SQL 注入、暴力猜解、遠(yuǎn)控木馬、代碼執(zhí)行、蠕蟲事件、HTTP 爆破、Apache strurt 漏洞及SSH 爆破等， 告警分發(fā)給各責(zé)任人進(jìn)行處置的同時(shí)持續(xù)跟蹤監(jiān)督。 統(tǒng)計(jì)顯示，在安全運(yùn)營(yíng)中資產(chǎn)安全防護(hù)率達(dá)到100%；處置攻擊威脅事件11 起，威脅情報(bào)命中資產(chǎn)15 個(gè)，排查防火墻等安全策略隱患20 個(gè)；發(fā)現(xiàn)并處置緊急漏洞15 個(gè)，弱口令29 個(gè)，安全事件38 起，事件平均響應(yīng)時(shí)間為5 min，響應(yīng)及時(shí)率100%。 此外，醫(yī)院第一季度全網(wǎng)外部攻擊總次數(shù)達(dá)16.78 萬次，平均每周捕獲網(wǎng)絡(luò)攻擊1.19 萬，每周外部攻擊數(shù)持續(xù)降低，見圖3，這意味著醫(yī)院資產(chǎn)安全風(fēng)險(xiǎn)下降、信息安全事件發(fā)生的概率降低，說明基于態(tài)勢(shì)感知的醫(yī)院安全運(yùn)營(yíng)管理效果初見成效[16]。

圖3 醫(yī)院2021 年第4 季度外部攻擊趨勢(shì)圖

4 結(jié)語

基于態(tài)勢(shì)感知的醫(yī)院安全運(yùn)營(yíng)自開始以來，圍繞業(yè)務(wù)的“資產(chǎn)、漏洞、威脅、事件”4 個(gè)核心要素，充分發(fā)揮安全運(yùn)營(yíng)人員的能動(dòng)性與安全設(shè)備的價(jià)值，主動(dòng)發(fā)現(xiàn)醫(yī)院安全風(fēng)險(xiǎn)并進(jìn)行閉環(huán)處置，在幫助醫(yī)院順利通過國家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 測(cè)評(píng)的同時(shí)，也實(shí)現(xiàn)醫(yī)院信息安全風(fēng)險(xiǎn)可知、風(fēng)險(xiǎn)可控、風(fēng)險(xiǎn)可管，切實(shí)提升醫(yī)院安全運(yùn)營(yíng)效率與質(zhì)量，避免醫(yī)院因信息安全事導(dǎo)致醫(yī)患糾紛等不良后果。 此外，它對(duì)我國其他醫(yī)療機(jī)構(gòu)的安全運(yùn)營(yíng)管理，也具有一定的參考價(jià)值和推廣意義。