首 頁張雷:三甲醫(yī)院安全運(yùn)營實(shí)踐
一背景概述
2021年4月6日,國家醫(yī)療保障局發(fā)布的《關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見》指出,至2022 年,基本建成基礎(chǔ)強(qiáng)、技術(shù)優(yōu)、制度全、責(zé)任明、管理嚴(yán)的醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)工作機(jī)制。目前,依據(jù)《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等法規(guī)要求,醫(yī)院加強(qiáng)網(wǎng)絡(luò)安全建設(shè),在安全管理、安全技術(shù)建設(shè),并開展等保測(cè)評(píng),現(xiàn)階段正著手安全運(yùn)營中心建設(shè)工作。隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法規(guī)的陸續(xù)頒布,對(duì)醫(yī)療行業(yè)信息安全合規(guī)工作也提出了更高的要求。下一步醫(yī)院主要信息建設(shè)工作,將重點(diǎn)圍繞安全運(yùn)營能力、數(shù)據(jù)安全建設(shè)等方面,結(jié)合醫(yī)院實(shí)際情況,對(duì)未來三至五年做好相應(yīng)規(guī)劃。具體為以下三方面:
一是網(wǎng)絡(luò)安全水平顯著提升。主體責(zé)任明晰,監(jiān)督管理機(jī)制完善,基礎(chǔ)設(shè)施完備,網(wǎng)絡(luò)安全技術(shù)能力、態(tài)勢(shì)感知、預(yù)警能力、突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力顯著提升,網(wǎng)絡(luò)安全有效保障。
二是數(shù)據(jù)安全管理有效實(shí)施。數(shù)據(jù)安全審批制度全面建立,分級(jí)分類管理及重要數(shù)據(jù)保護(hù)目錄全面落實(shí),數(shù)據(jù)實(shí)現(xiàn)全生命周期安全管理,數(shù)據(jù)安全評(píng)估機(jī)制日益完善。
三是數(shù)據(jù)共享使用安全有序。數(shù)據(jù)共享使用流程明晰、機(jī)制健全,醫(yī)療保障數(shù)字化、智能化水平顯著提升。
二建設(shè)目標(biāo)
通過對(duì)醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀精細(xì)化調(diào)研,結(jié)合醫(yī)院整體網(wǎng)絡(luò)安全發(fā)展規(guī)劃以及信息化建設(shè)目標(biāo),制定項(xiàng)目整體規(guī)劃方案。重點(diǎn)圍繞業(yè)務(wù)系統(tǒng)應(yīng)用水平建設(shè)、信息標(biāo)準(zhǔn)化建設(shè),以電子病歷系統(tǒng)應(yīng)用水平達(dá)到7級(jí),醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度達(dá)到五級(jí)乙等為主要目標(biāo),建設(shè)自動(dòng)化的安全運(yùn)營體系和數(shù)據(jù)安全監(jiān)管合規(guī)體系。
三安全運(yùn)營
1.安全運(yùn)營體系
醫(yī)院堅(jiān)持“以人員為核心、以數(shù)據(jù)為基礎(chǔ)、以運(yùn)營為手段”的基本安全理念,結(jié)合實(shí)際情況,構(gòu)建智慧醫(yī)院的安全運(yùn)營體系,形成威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置的閉環(huán)安全工作流程,打造四位一體的安全運(yùn)營機(jī)制。
安全運(yùn)營體系是安全工作的“抓手”,其主要目的是檢測(cè)發(fā)現(xiàn)現(xiàn)有系統(tǒng)的安全問題,針對(duì)發(fā)現(xiàn)的安全問題下發(fā)至各自責(zé)任方進(jìn)行整改,再利用各類技術(shù)手段對(duì)系統(tǒng)進(jìn)行全天候的安全監(jiān)測(cè),安全運(yùn)營人員對(duì)告警信息進(jìn)行全面監(jiān)控,對(duì)發(fā)現(xiàn)的問題及安全事件快速分析,選擇相應(yīng)的處置方法快速解決問題,通過安全運(yùn)營做到問題早發(fā)現(xiàn)、快響應(yīng)、早根除,可以有效的保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行,避免上級(jí)監(jiān)管機(jī)構(gòu)進(jìn)行通報(bào)。
安全運(yùn)營體系借鑒國內(nèi)外成熟安全架構(gòu)為模型,貫徹“安全運(yùn)營閉環(huán)管理并基于數(shù)據(jù)分析為核心”的安全運(yùn)營理念,結(jié)合醫(yī)院具體情況和實(shí)際需求進(jìn)行設(shè)計(jì),以資產(chǎn)為基礎(chǔ),以持續(xù)監(jiān)控分析為核心,整體安全運(yùn)營流程可分為威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置四個(gè)維度,形成統(tǒng)一的閉環(huán)安全運(yùn)營體系,如下圖所示:
圖1 安全運(yùn)營體系框圖
2.安全運(yùn)營架構(gòu)
建設(shè)完善合理的安全運(yùn)營架構(gòu),是實(shí)現(xiàn)信息安全運(yùn)營體系的基礎(chǔ)保障。基于此架構(gòu),以人員技術(shù)能力為核心,各類數(shù)據(jù)為基礎(chǔ),通過建設(shè)安全標(biāo)準(zhǔn)運(yùn)營機(jī)制,開展安全態(tài)勢(shì)感知分析工作,發(fā)現(xiàn)問題及時(shí)處置,不斷完善優(yōu)化運(yùn)營流程,提升安全運(yùn)營指標(biāo),最終全面展示醫(yī)院的安全態(tài)勢(shì)。安全運(yùn)營整體架構(gòu)建設(shè)分為三個(gè)階段,第一階段目標(biāo)為完善安全設(shè)備、平臺(tái)等技術(shù)防護(hù)設(shè)備部署,梳理日常安全管理流程,形成初步文檔記錄,并依據(jù)流程規(guī)范結(jié)合組織建設(shè)情況運(yùn)營實(shí)施;第二階段目標(biāo)為完善安全運(yùn)營團(tuán)隊(duì)建設(shè),優(yōu)化安全設(shè)備策略,做到安全設(shè)備精準(zhǔn)化使用,并建立安全運(yùn)營臺(tái)賬。主要目的為依托安全設(shè)備采集數(shù)據(jù),開展安全態(tài)勢(shì)分析工作,明晰安全防護(hù)側(cè)重點(diǎn)、日常運(yùn)營薄弱點(diǎn),發(fā)揮安全設(shè)備的防護(hù)作用價(jià)值;第三階段目標(biāo)為依據(jù)已有安全運(yùn)營流程建立標(biāo)準(zhǔn)機(jī)制,提升安全運(yùn)營指標(biāo)。安全運(yùn)營建設(shè)階段如下圖所示:
圖2 安全運(yùn)營建設(shè)階段示意圖
3.安全運(yùn)營建設(shè)
(1)建設(shè)原則
第一,堅(jiān)持統(tǒng)籌謀劃、整體推進(jìn)。統(tǒng)籌醫(yī)院業(yè)務(wù)區(qū)、管理區(qū)安全監(jiān)控重點(diǎn),統(tǒng)籌資源配置和關(guān)鍵技術(shù)管理,構(gòu)建全面網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力,推進(jìn)各項(xiàng)任務(wù)的有序開展。
第二,堅(jiān)持協(xié)同性,強(qiáng)調(diào)分級(jí)管控。整合醫(yī)院內(nèi)部資源,堅(jiān)持全網(wǎng)網(wǎng)絡(luò)安全一體化,組建運(yùn)行監(jiān)控隊(duì)伍,明確工作目標(biāo),形成分級(jí)協(xié)同的安全運(yùn)行監(jiān)控體系。
第三,堅(jiān)持實(shí)戰(zhàn)性,強(qiáng)調(diào)安全運(yùn)營。重點(diǎn)突出網(wǎng)絡(luò)安全運(yùn)行監(jiān)控體系的實(shí)戰(zhàn)能力與保障能力,以安全事件發(fā)現(xiàn)、分析研判、通告預(yù)警、響應(yīng)處置、追蹤調(diào)查為核心,構(gòu)建面向?qū)崙?zhàn)的安全運(yùn)營體系,將技術(shù)、管理、流程進(jìn)行有機(jī)整合,支撐業(yè)務(wù)實(shí)戰(zhàn),形成能保障業(yè)務(wù)、促進(jìn)業(yè)務(wù)的閉環(huán)安全運(yùn)營。
第四,堅(jiān)持及時(shí)性,強(qiáng)調(diào)降低安全事件影響范圍。建立網(wǎng)絡(luò)安全運(yùn)行監(jiān)測(cè)值班機(jī)制,確保及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件,形成網(wǎng)絡(luò)安全與系統(tǒng)運(yùn)行協(xié)同的一體化監(jiān)控、應(yīng)急防護(hù)體系,統(tǒng)籌協(xié)調(diào)事件處置,全力降低安全事件影響范圍。
(2)安全運(yùn)營監(jiān)測(cè)能力建設(shè)
立足醫(yī)院實(shí)際情況,堅(jiān)持理論和標(biāo)準(zhǔn)先行,在網(wǎng)絡(luò)安全監(jiān)控工作中科學(xué)完善預(yù)警機(jī)制,做到安全事件發(fā)生前監(jiān)控,事件發(fā)生后有條不紊實(shí)施處理,最大程度降低安全突發(fā)事件損失。為進(jìn)一步提升醫(yī)院一體化安全運(yùn)營監(jiān)控分析、威脅檢測(cè)效果,目前安全監(jiān)測(cè)的建設(shè)重點(diǎn)為,結(jié)合運(yùn)營中心提供的基礎(chǔ)服務(wù)、模型,依據(jù)業(yè)務(wù)場(chǎng)景進(jìn)行安全策略優(yōu)化,以加強(qiáng)安全監(jiān)測(cè)策略檢測(cè)效果,每月定期開展策略梳理工作。
安全運(yùn)營監(jiān)控工作離不開平臺(tái)及技術(shù)手段的支持,目前已經(jīng)部署了防火墻、WAF等相關(guān)網(wǎng)絡(luò)安全設(shè)備及平臺(tái),但平臺(tái)之間數(shù)據(jù)獨(dú)立存在,無法實(shí)現(xiàn)對(duì)所有安全設(shè)備有效聯(lián)動(dòng)及采集分析,因此如何加強(qiáng)完善一體化安全運(yùn)營管理平臺(tái)構(gòu)建,是后續(xù)落實(shí)網(wǎng)絡(luò)安全運(yùn)營監(jiān)控工作的關(guān)鍵。可結(jié)合各種成熟網(wǎng)絡(luò)安全防護(hù)手段,貫穿物理環(huán)境、網(wǎng)絡(luò)通信、設(shè)備計(jì)算以及應(yīng)用數(shù)據(jù)四個(gè)層面的安全防護(hù),多維度、成體系地建設(shè)“四橫五縱”的安全基礎(chǔ)防御體系。
圖3 安全基礎(chǔ)防御體系建設(shè)框圖
(3)安全運(yùn)營服務(wù)規(guī)劃建設(shè)
安全服務(wù)是網(wǎng)絡(luò)安全運(yùn)營監(jiān)控工作比較關(guān)鍵的環(huán)節(jié),安全運(yùn)營服務(wù)是引入安全專家的視角。從整體安全運(yùn)營體系來說,如何能把安全管理平臺(tái)用好,實(shí)現(xiàn)良好的安全運(yùn)維框架、安全驗(yàn)證框架及安全度量框架,都離不開安全專家提供的專業(yè)安全服務(wù)。
第一,威脅檢測(cè)服務(wù)
威脅檢測(cè)服務(wù)是從屬于安全運(yùn)維框架的安全服務(wù)。威脅檢測(cè)服務(wù)是在安全威脅檢測(cè)設(shè)備、網(wǎng)絡(luò)安全運(yùn)營監(jiān)控態(tài)勢(shì)分析平臺(tái)基礎(chǔ)上提供的一站式安全運(yùn)營支撐服務(wù)。
威脅檢測(cè)服務(wù)重點(diǎn)在于安全事件發(fā)生中和發(fā)生后兩個(gè)階段的監(jiān)測(cè)與響應(yīng)。
安全止損:威脅檢測(cè)服務(wù)通過事件監(jiān)測(cè)或?qū)徲?jì)的方式幫助醫(yī)院及時(shí)發(fā)現(xiàn)安全災(zāi)害事件,并在第一時(shí)間提供消除災(zāi)害影響的操作建議,大幅度降低安全災(zāi)害事故帶來的損失和影響。
降低安全風(fēng)險(xiǎn):威脅檢測(cè)服務(wù)通過威脅監(jiān)測(cè)或?qū)徲?jì)方式協(xié)助醫(yī)院發(fā)現(xiàn)具有持續(xù)性攻擊或針對(duì)性攻擊的高危訪問源,并提供封禁操作建議。
第二,應(yīng)急響應(yīng)服務(wù)
應(yīng)急響應(yīng)是安全運(yùn)維框架的一個(gè)重要組成部分。應(yīng)急響應(yīng),是指安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行動(dòng)。應(yīng)急響應(yīng)的目標(biāo)包括采取緊急措施和行動(dòng),恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài);調(diào)查安全事件發(fā)生的原因,避免同類安全事件再次發(fā)生。醫(yī)院借助安全廠商多年的安全研究技術(shù),以安全服務(wù)的形式加強(qiáng)醫(yī)院對(duì)安全事件的應(yīng)急響應(yīng)處置能力。應(yīng)急響應(yīng)服務(wù)支持事件類型包括:應(yīng)用服務(wù)器癱瘓、網(wǎng)絡(luò)阻塞、服務(wù)器劫持、系統(tǒng)異常宕機(jī)、惡意黑客入侵等。
第三,滲透測(cè)試服務(wù)
滲透測(cè)試服務(wù)是安全驗(yàn)證框架的組成部分。通過專業(yè)的滲透測(cè)試,驗(yàn)證醫(yī)院業(yè)務(wù)系統(tǒng)安全措施的有效性,是威脅脆弱性評(píng)估的補(bǔ)充手段。滲透測(cè)試的攻擊手段不同于安全產(chǎn)品掃描,能暴露出被忽視的威脅路徑。滲透測(cè)試服務(wù)流程包括準(zhǔn)備階段、測(cè)試實(shí)施階段、復(fù)測(cè)實(shí)施以及成果匯報(bào)。醫(yī)院滲透測(cè)試主要以技術(shù)人員人工信息收集、服務(wù)判斷、漏洞測(cè)試為主,結(jié)合自動(dòng)化測(cè)試和人工測(cè)試兩種方式,最終形成滲透測(cè)試結(jié)果,下發(fā)到相應(yīng)人員進(jìn)行整改。在經(jīng)過滲透測(cè)試發(fā)現(xiàn)問題和整改加固后,由測(cè)試人員進(jìn)行回歸測(cè)試,即二次復(fù)測(cè),進(jìn)行修復(fù)情況確認(rèn)。
第四,安全風(fēng)險(xiǎn)評(píng)估服務(wù)
安全風(fēng)險(xiǎn)評(píng)估服務(wù)是安全度量框架的組成部分。通過網(wǎng)絡(luò)安全運(yùn)營監(jiān)控態(tài)勢(shì)分析平臺(tái)對(duì)威脅數(shù)據(jù)、脆弱性數(shù)據(jù)等客觀數(shù)據(jù)進(jìn)行計(jì)算得到技術(shù)平臺(tái)的風(fēng)險(xiǎn)評(píng)估值和相關(guān)度量值。風(fēng)險(xiǎn)評(píng)估服務(wù)包含如下內(nèi)容:
確定評(píng)估區(qū)域:系統(tǒng)承載業(yè)務(wù)分析,識(shí)別關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)流程,確定評(píng)估對(duì)象;
脆弱性識(shí)別:分析評(píng)估對(duì)象所承載的業(yè)務(wù)和信息資產(chǎn)遭到破壞后所造成的影響;通過技術(shù)手段、調(diào)研訪談等形式識(shí)別系統(tǒng)所在的各種技術(shù)、管理以及架構(gòu)上的脆弱性,從而識(shí)別可能的各種威脅源、可以用的弱點(diǎn);
威脅風(fēng)險(xiǎn)分析:在脆弱識(shí)別和分析的基礎(chǔ)上,對(duì)可能面臨的威脅進(jìn)行可能性分析。通過對(duì)影響和可能性的分析,鑒別單位系統(tǒng)存在的風(fēng)險(xiǎn),從而識(shí)別單位信息系統(tǒng)存在的不可接受風(fēng)險(xiǎn),提出不可接受風(fēng)險(xiǎn)的安全控制措施,為醫(yī)院網(wǎng)絡(luò)安全運(yùn)營層面的決策提供依據(jù)。
為加強(qiáng)醫(yī)院安全合規(guī)工作建設(shè),結(jié)合等級(jí)保護(hù)標(biāo)準(zhǔn)和《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》標(biāo)準(zhǔn)定期進(jìn)行評(píng)估,評(píng)估內(nèi)容包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度等方面。
第五,安全咨詢服務(wù)
通過安全咨詢服務(wù)為醫(yī)院安全運(yùn)營監(jiān)控工作建設(shè)提供專業(yè)的咨詢建議,加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營的建設(shè)保障能力,提高網(wǎng)絡(luò)安全的防護(hù)水平,及時(shí)對(duì)網(wǎng)絡(luò)、信息系統(tǒng)中存在的風(fēng)險(xiǎn)漏洞和不合理規(guī)則配置進(jìn)行整改加固,確保用戶在日常網(wǎng)絡(luò)和應(yīng)用建設(shè)規(guī)劃過程中,應(yīng)急響應(yīng)處理及行業(yè)技術(shù)動(dòng)態(tài)等方面,能夠得到專業(yè)的安全建議,主要包括:網(wǎng)絡(luò)安全運(yùn)營技術(shù)標(biāo)準(zhǔn)、安全檢查工作指導(dǎo)、網(wǎng)絡(luò)安全運(yùn)營機(jī)制提升等方面。
(4)安全運(yùn)營管理規(guī)劃建設(shè)
醫(yī)院通過安全管理架構(gòu)的研究,建設(shè)一套適用于目標(biāo)環(huán)境各個(gè)層面的安全流程、制度、運(yùn)行維護(hù)作業(yè)計(jì)劃和檢查標(biāo)準(zhǔn),使網(wǎng)絡(luò)環(huán)境安全運(yùn)營工作規(guī)范化、流程化,長期穩(wěn)定的保障各業(yè)務(wù)系統(tǒng)安全運(yùn)行。安全管理架構(gòu)圖如下:
圖4 安全管理架構(gòu)圖
為保障醫(yī)院業(yè)務(wù)長期穩(wěn)定運(yùn)行以及業(yè)務(wù)數(shù)據(jù)的安全性,提高系統(tǒng)運(yùn)維及人員的保障機(jī)制,制定網(wǎng)絡(luò)安全運(yùn)營工作的總體安全方針和策略,明確安全管理工作的總體目標(biāo)、范圍和原則。根據(jù)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度,并由管理人員或操作人員執(zhí)行日常操作規(guī)程,形成安全策略、管理制度、操作規(guī)程等全面的網(wǎng)絡(luò)安全運(yùn)營監(jiān)控管理制度體系。通過制定嚴(yán)格的制度規(guī)定與發(fā)布流程,定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂。具體安全管理制度列表如下:
4.安全建設(shè)及運(yùn)營成效
(1)資產(chǎn)梳理
基于網(wǎng)絡(luò)掃描、搜索引擎、互聯(lián)網(wǎng)基礎(chǔ)數(shù)據(jù)引擎主動(dòng)探測(cè)區(qū)域業(yè)務(wù)應(yīng)用系統(tǒng)在互聯(lián)網(wǎng)上暴露的資產(chǎn),可以形成明確的資產(chǎn)清單,并發(fā)現(xiàn)區(qū)域各業(yè)務(wù)應(yīng)用系統(tǒng)的未知資產(chǎn)。通過大數(shù)據(jù)挖掘和調(diào)研的方式確定資產(chǎn)范圍,進(jìn)行主動(dòng)精準(zhǔn)探測(cè),深度發(fā)現(xiàn)暴露在外的IT設(shè)備、端口及應(yīng)用服務(wù),發(fā)現(xiàn)活躍資產(chǎn)及“僵尸”資產(chǎn),由安全專家對(duì)每項(xiàng)業(yè)務(wù)進(jìn)行梳理分析,結(jié)合用戶反饋的業(yè)務(wù)特點(diǎn)對(duì)資產(chǎn)重要程度、業(yè)務(wù)安全需求進(jìn)行歸納,最終形成區(qū)域資產(chǎn)清單。
(2)滲透測(cè)試
為進(jìn)一步查漏補(bǔ)缺,減少安全風(fēng)險(xiǎn),在日常運(yùn)營中定期對(duì)外網(wǎng)服務(wù)資產(chǎn)、線上應(yīng)用業(yè)務(wù)系統(tǒng)進(jìn)行滲透測(cè)試,通過模擬黑客攻擊的形式,發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)泄露、資產(chǎn)受損等各類安全風(fēng)險(xiǎn)。針對(duì)醫(yī)院應(yīng)用業(yè)務(wù)邏輯安全以及WEB框架安全進(jìn)行深度漏洞挖掘。針對(duì)醫(yī)院線上業(yè)務(wù)系統(tǒng)共開展進(jìn)行三輪滲透測(cè)試,發(fā)現(xiàn)并修復(fù)了SQL注入、文件上傳、命令執(zhí)行等問題。
(3)病毒查殺
自安全運(yùn)營以來發(fā)現(xiàn)中毒主機(jī)超過百臺(tái),其中多為下載惡意軟件、感染普通病毒、感染僵尸家族、感染Mine Pool家族挖礦等。各中毒事件導(dǎo)致員工電腦中毒,造成主機(jī)卡頓,且存在信息泄露風(fēng)險(xiǎn),外聯(lián)惡意地址觸發(fā)木馬病毒,甚至可能對(duì)終端和業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。期間運(yùn)維人員監(jiān)測(cè)分析中毒主機(jī)告警事件,并及時(shí)處置所有中毒主機(jī),針對(duì)所有終端采取安裝EDR、防火墻、上網(wǎng)行為管理等安全設(shè)備以及進(jìn)行定期殺毒等措施,實(shí)現(xiàn)了對(duì)病毒的有效防控。
圖5 上網(wǎng)行為管理
圖6 EDR
病毒查殺作為網(wǎng)絡(luò)安全運(yùn)營的重要一環(huán),醫(yī)院將該工作作為長期的運(yùn)營目標(biāo)并協(xié)商出一套處置方案:
制定處置方案,強(qiáng)調(diào)處置流程,突出重要性,協(xié)商確定《中毒情況說明書》,醫(yī)院運(yùn)維人員發(fā)現(xiàn)問題后下發(fā)情況說明通知書,確定處置問題的主機(jī)科室與人員,該人員需詳細(xì)說明中毒事件段上網(wǎng)操作,情節(jié)嚴(yán)重者通報(bào)批評(píng)。
強(qiáng)調(diào)員工健康上網(wǎng),嚴(yán)格規(guī)范個(gè)人網(wǎng)上行為,加強(qiáng)員工安全意識(shí)培訓(xùn),不瀏覽不良網(wǎng)站、不點(diǎn)開未知鏈接,防止僵木蠕病毒的傳播。
運(yùn)維人員實(shí)時(shí)監(jiān)控處置中心,重點(diǎn)關(guān)注中毒主機(jī)與木馬行為,及時(shí)進(jìn)行處置措施。
(4)日常網(wǎng)絡(luò)安全運(yùn)營
安全設(shè)備管理:對(duì)防火墻、入侵檢測(cè)系統(tǒng)、反病毒軟件等安全設(shè)備進(jìn)行管理,保證其正常運(yùn)轉(zhuǎn),并及時(shí)更新相關(guān)規(guī)則和軟件版本,以確保設(shè)備的最新性和有效性。
網(wǎng)絡(luò)流量監(jiān)控:建立網(wǎng)絡(luò)流量監(jiān)控系統(tǒng),定期檢查網(wǎng)絡(luò)流量狀況,發(fā)現(xiàn)異常流量和攻擊行為,及時(shí)采取應(yīng)對(duì)措施。
使用態(tài)勢(shì)感知監(jiān)控流量:
圖7 態(tài)勢(shì)感知流量監(jiān)控
使用WAF針對(duì)WEB應(yīng)用進(jìn)行監(jiān)控?cái)r截:
圖8 WAF監(jiān)控?cái)r截
安全漏洞管理:對(duì)網(wǎng)站、應(yīng)用程序、服務(wù)等進(jìn)行漏洞掃描和檢測(cè),及時(shí)修復(fù)已知的漏洞,避免黑客利用漏洞入侵系統(tǒng)。
安全事件響應(yīng):建立安全事件響應(yīng)機(jī)制,對(duì)發(fā)生的安全事件進(jìn)行快速響應(yīng)和處置,降低損失。
員工安全意識(shí)培訓(xùn):加強(qiáng)員工的安全意識(shí)培訓(xùn),提高員工的安全意識(shí)和防范能力,減少人為因素對(duì)信息安全的影響。
(5)重要保障時(shí)期安全運(yùn)營
重保前期,扎實(shí)開展資產(chǎn)梳理、漏洞掃描、產(chǎn)品巡檢、規(guī)則升級(jí)、賬號(hào)收斂等工作,做到“明資產(chǎn)、控風(fēng)險(xiǎn)、嚴(yán)防護(hù)、全監(jiān)控”。重保前期需要完成安全產(chǎn)品漏洞庫、規(guī)則庫、情報(bào)的升級(jí),確保為最新版本。
重保期間,實(shí)行現(xiàn)場(chǎng)值班和24小時(shí)遠(yuǎn)程電話待機(jī),協(xié)調(diào)產(chǎn)品原廠人員針對(duì)安全產(chǎn)品進(jìn)行巡檢,確認(rèn)安全產(chǎn)品處于正常運(yùn)行狀態(tài)。
重保時(shí)期的工作部署和三大處置原則:
第一,“優(yōu)先恢復(fù)”原則:應(yīng)急響應(yīng)以第一時(shí)間恢復(fù)業(yè)務(wù)為首要原則,查找故障原因、消除隱患等其他工作不得以延遲業(yè)務(wù)恢復(fù)為代價(jià)。
第二,“先抑后除”原則:發(fā)生網(wǎng)絡(luò)安全事件,應(yīng)迅速將受影響設(shè)備做斷網(wǎng)隔離處置或其他適當(dāng)?shù)母綦x處理,迅速找到安全事件設(shè)備源頭,防止安全事件擴(kuò)散。然后再對(duì)問題設(shè)備進(jìn)行問題根除,系統(tǒng)恢復(fù)、審計(jì)溯源或其他事故調(diào)查、整改工作。
第三,“邊處置邊上報(bào)”原則:發(fā)生網(wǎng)絡(luò)安全事件,在應(yīng)急處置的同時(shí),應(yīng)按相應(yīng)的流程進(jìn)行上報(bào)。
四總結(jié)
目前醫(yī)院已初步完成安全運(yùn)營技術(shù)防護(hù)體系建設(shè),完成12種安全產(chǎn)品部署,包含態(tài)勢(shì)感知、WAF、防火墻等系統(tǒng)的上線以及應(yīng)用。后續(xù)網(wǎng)關(guān)、AC也部署到內(nèi)網(wǎng)正常運(yùn)行,并啟用漏洞設(shè)備,進(jìn)行常規(guī)化漏洞掃描工作。針對(duì)醫(yī)療API上線API應(yīng)用防護(hù)系統(tǒng),以此解決大多數(shù)系統(tǒng)調(diào)用API接口的安全問題。后續(xù)也繼續(xù)開展了12套安全產(chǎn)品的策略優(yōu)化,組織產(chǎn)品推廣使用培訓(xùn)。上線至今安全體系整體正常平穩(wěn)運(yùn)行。現(xiàn)階段待配合項(xiàng)目組開展平臺(tái)遷移工作,遷移工作完成后進(jìn)行設(shè)備的重新部署和優(yōu)化,安全服務(wù)內(nèi)容進(jìn)行深層次優(yōu)化調(diào)整。
安全運(yùn)營管理信息化不僅僅是一個(gè)IT項(xiàng)目,更是一項(xiàng)系統(tǒng)化的管理工程,需要領(lǐng)導(dǎo)重視、全員充分信息化參與、協(xié)同配合;管理無止境,是一個(gè)逐步優(yōu)化、完善的過程,運(yùn)營管理需要圍繞精益運(yùn)營的目標(biāo),統(tǒng)一規(guī)劃、分步實(shí)施,持續(xù)創(chuàng)新。精細(xì)化運(yùn)營管理體現(xiàn)于數(shù)據(jù)的顆粒度和完整度,醫(yī)院還需進(jìn)一步統(tǒng)一管理口徑、統(tǒng)一IT規(guī)劃、統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)、統(tǒng)一流程規(guī)范,避免信息孤島,完善相關(guān)數(shù)據(jù)生態(tài)系統(tǒng),確保數(shù)據(jù)準(zhǔn)確、完整、可采集、可使用。后續(xù)將進(jìn)一步強(qiáng)化數(shù)據(jù)分析、使用、優(yōu)化機(jī)制,持續(xù)優(yōu)化數(shù)據(jù)模型,提高數(shù)據(jù)價(jià)值。
作者簡介
張雷,CHIMA常委,河北醫(yī)科大學(xué)第一醫(yī)院西南院區(qū)院長。
