2024年醫院新興技術創新應用典型案例征集活動經行業專家背靠背盲審以及終審，共選出20篇典型案例，將陸續刊登出來，以饗讀者。

1項目簡介

　　(1)基本情況

　　福建省人民醫院(暨福建中醫藥大學附屬人民醫院)坐落于歷史文化名城、海峽西岸經濟區中心城市福州，毗鄰上下杭歷史文化街區，創辦于1954年12月，是福建省人民政府創辦的首家公立醫院，也是福建省首家三甲中醫院。

　　福建省人民醫院從2018年開始進行安全運營中心的建設，現已基本建成可持續的安全運營體系，實現對全網設備流量、日志的接入，一體化的安全運營效果初現。隨著院內信息化的不斷深入，安全運營中分析出的告警量也在不斷增加，而這些告警受限于人力資源及專業能力，需要大量的安全專家來分析，也使得在響應安全事件的時間耗費較大，同時院內安全管理人員每日疲于執行重復性任務，整體效益不高。

　　由此，福建省人民醫院于2023年提出安全運營中心的編排自動化與響應的方案，可以有效的擺脫這一困局，充分協調不同的安全工具和技術，打破先前半自動化的閉環流程，自動分析事件，確定是否采取措施，并執行相應的操作，實現自動化高效的事件響應和管理，降低大量的人力資源和專業技能的依賴。

　　(2)存在的問題

　　通過梳理院內的日常安全運營流程，發現以下幾個問題：

　　第一，告警量過多、誤報嚴重、告警重復。基于歷年的安全建設，院內的各種設備：如終端、主機、網絡設備、安全設備等各種數據接入，必然會因路徑節點位置不同、檢測機制各異，從而導致一次攻擊會被各節點捕獲為不同表現的同類型告警。

　　第二，安全設備孤島化，難以形成合力。目前院內每天新增的告警數量無法和現有的安全監測處置人員所能處置的數量成正比，每當一條新的網絡安全告警產生，就需要對告警的各個屬性進行全面分析，如攻擊IP的信譽度、反向連接域名的組織歸屬、目標IP的脆弱性及當前的安全狀況等，需要借助多個安全能力協同研判，整體流程人工成本投入較大。

　　第三，人工操作耗時過長，無法應對自動化的快速攻擊。異構設備的操作界面不一，安全防護邏輯各異，人工操作時多設備切換，難以降低MTTR(平均響應時間)。

　　第四，傳統的人工方式，難以實現全天候的安全運營。低門檻、重復性的人工操作，極易帶來精神疲勞，容易造成告警的疏漏。員工沒有成就感，且難以保障7*24小時的值守。

2建設與開發

　　(1)自動化安全運營中心建設

　　第一，接入多數據源告警

　　通過采集多種來源(如安全運營中心的告警信息;其它第三方系統/設備通過syslog發出的告警信息;Kafka消息系統接收第三方的告警信息;人工錄入或者導入告警信息)的告警信息，并對這些告警進行智能化分診、調查與響應，幫助安全管理人員識別需要處理的告警，排定處置優先級，并自動響應。接入多數據源詳見圖1。

圖1 接入多數據源

　　第二，告警關聯分析

　　針對原始告警的過濾、范式化、歸并、索引等功能，以告警范式化的形式或者應用的形式對告警信息進行增強。對不同來源的海量告警信息進行交叉比對，協助安全管理人員自動從海量告警信息中識別真正需要關注的告警信息。

　　第三，對接現有網絡安全設備

　　采用開放的可編程架構設計，內置工作流引擎和應用開發包，通過API的方式，將異構設備的接口，封裝成APP應用包，導入到系統即可無縫融入到現有的安全運營場景的編排中。開放化設備集成詳見圖2。

圖2 開放化設備集成

　　(2)自動化安全運營中心的開發

　　第一，告警同步至編排自動化與響應系統

　　編排自動化與響應系統平臺接收到來自安全運營中心發送的告警信息及其他詳細信息。威脅檢測結果同步發送至編排自動化與響應系統詳見圖3。

圖3 威脅檢測結果同步發送至編排自動化與響應系統

　　第二，選定場景進行任務編排

　　通過對院內常見的核心威脅進行梳理，與安全廠商的專家共同敲定本次以Scarab勒索軟件活動事件IOC自動封禁為例進行任務的編排。選定任務場景詳見圖4。

圖4 選定任務場景

　　第三，研判與決策設計

　　針對上方場景，在不影響院內正常業務的同時，對威脅進行應急預案的編寫，以下方流程圖為例，通過創建白名單的機制對院內的所有業務IP進行梳理編輯生成白名單庫。威脅分解詳見圖5。

圖5 威脅分解

　　第四，研判與決策鏈落地

　　針對上方威脅分解流程圖進行編排自動化與響應系統的任務編排，通過接入多數據源以及安全運營中心分析的威脅告警信息、白名單IP庫、調用第三方防火墻的API接口進行任務編排，達到自動化處置此類威脅的效果。威脅分解流程圖轉化詳見圖6。

圖6 威脅分解流程圖轉化

　　第五，檢測到告警

　　安全運營中心檢測到Scarab勒索軟件活動事件，以及對應的IP和IOC域名，受害者等信息。安全運營中心檢測威脅詳見圖7。

圖7 安全運營中心檢測威脅

　　第六，觸發已編排好的劇本

　　編排自動化與響應系統自動啟動預置的告警處置流程，對IOC字段進行解析，聯動第三方防火墻進行IOC的封禁，同時對整個流程的運行狀態進行記錄。編排自動化與響應系統啟動預案編排流程詳見圖8。

圖8 編排自動化與響應系統啟動預案編排流程

　　第七，威脅處置閉環

　　進入安全運營中心查看上述威脅的處置狀態，可以看到處置記錄中將處置結果的待處置修改為已處置。安全運營中心威脅閉環詳見圖9。

圖9 安全運營中心威脅閉環

　　第八，第三方防火墻驗證

　　為保證威脅處置的有效性，進入第三方防火墻的永久封禁白名單中可以看到，對于之前檢測到的IOC已實現完整封禁，至此，整體威脅自動化處置順利閉環。第三方防火墻驗證詳見圖10。

圖10 第三方防火墻驗證

　　基于Scarab勒索軟件活動事件IOC自動封禁場景成功落地，為后續院內繼續探索打下了堅實的基礎。

　　第九，后續我們計劃在運維層面也通過編排自動化與響應的工具，替代運維人員頻繁進行設備巡檢等基礎的事務性運維工作，把更多的精力投入到高階的威脅檢測，響應與處置，后續探索設計場景如下：

　　● 院內設備自動巡檢：通過系統可用性檢查(應用層、業務層)，驗證相應的設備能否正常登錄;CPU、內存、磁盤是否正常;設備本身是否存在異常告警等，并對接工單系統生成代辦事項。

　　● 臨時策略管控：通過網絡訪問控制策略臨時白名單，開通臨時訪問策略白名單，到期自動關閉訪問策略，避免因臨時的突發事件導致的應急處理后，端口沒有及時回收，成為僵尸端口，為日后攻擊者的快速滲透提供條件。

　　● 弱口令修復事件升級：通過院內現有的安全運營平臺監測到的包括，不限于終端、服務器、業務系統等弱口令資產信息，并定位到資產負責人，聯動相關的院內即時通訊軟件進行整改通知的發送，完成弱口令的修復，并進行驗收，降低因弱口令導致的業務連續性中斷等事件。

3 關鍵技術或產品描述

　　(1)技術架構設計

　　整個平臺架構分為四層(如圖11所示)，自底向上依次是：采集層、告警存儲層、支撐層和業務層。

圖11 平臺架構圖

　　采集層能夠接收其他第三方系統/設備通過syslog或Kafka接收第三方的告警信息。也允許通過該API接口接受第三方的告警信息;支持人工錄入告警信息。

　　告警存儲層基于對告警的過濾、合并、降噪，實現精準告警采集，并基于預處理實現標準化處置，通過統計匯總形成告警庫和總覽展示，基于響應規則實現自動化響應。

　　支撐層是基于多引擎和開發框架，支撐對上層業務應用的擴展支持，并實現核心組件的加載和驅動。

　　業務層是包含作戰室、案例、編排與自動化三大部分，以核心劇本編排、腳本編寫、應用集成為依托，構建業務流程劇本，展開典型事件跟蹤管理形成案例維護，對處置流程和過程做有效記錄。基于作戰室的實時溝通加強協作，并同步到案例數據中。

　　(2)功能架構設計

　　編排自動化與響應系統的功能架構(如圖12所示)：

圖12 編排自動化與響應系統的功能架構

　　系統功能總體上分為6個部分，分別是：安全編排與自動化、告警響應管理、案例管理、作戰室、運營績效管理、工單任務管理。

　　● 安全編排與自動化：系統的核心功能，實現了安全能力的集成、安全流程的編排與自動化執行，包括劇本管理、編排器和應用管理功能。其中，工作流引擎驅動的編排器是安全編排與自動化的中樞，實現了基于劇本的安全運營流程編排調度和活動執行;自動化應用執行引擎實現了已集成安全能力的自動化調用。

　　● 告警響應管理：幫助用戶進一步對各類告警信息進行智能化分析和編排化調查，核實告警、降低誤報，提升后續安全響應的準確度與有效性，包括告警分診、告警調查、告警響應和告警庫四個功能。其中最核心的是告警分診和告警調查，這也是區別于傳統SIEM/SOC平臺的告警管理功能的關鍵之處。

　　● 案例管理：幫助用戶對一組相關的告警進行流程化、持續化、協同化的調查分析與響應處置，包括案例概覽、案例處置、案例協同、案例報告、痕跡管理等功能。

　　● 作戰室：提供一套面向安全運營人員的協同化響應處置工具，整合應用、劇本和應對措施，針對重要案例，以聊天運營的方式進行實時溝通與響應處置，促進團隊協作、貼近實戰，并能生成作戰報告，便于復盤和總結提升。

　　● 運營績效管理：以儀表板和大屏的形式展示一段時間內系統處理的案例情況、任務執行情況、劇本情況、應用和動作情況等信息，幫助運營管理者掌握系統運行的整體情況，了解告警和案例的響應處置效率，促進安全運營持續改進。

　　● 工單任務管理：涵蓋用于突發性告警響應的一次性工單和日常反復自動執行的周期性工單，包括工單處置、工單流轉等功能。匯總劇本執行過程中創建和指派的人工任務和審批任務。完成任務處置和審批后，將處置狀態自動更新到劇本處理流程，并繼續后續流程的執行。實現任務來源追溯和處置記錄。

　　(3)應用場景設計

　　圖13展示了系統的用戶視圖：

圖13 系統用戶視圖

　　從用戶視角來看，系統包括了5種使用者，分別是：流程設計人員、應用開發人員、運維人員、協作團隊、安全領導。

　　● 流程設計人員：負責將傳統的安全運營流程和規程，轉換為編排自動化與響應系統平臺。他們對醫院的安全流程十分了解，并清楚一個落地化的安全流程需要集成/調用那些現有的安全能力。

　　● 應用開發人員：負責將醫院現有的安全設施和系統通過應用程序接口(API)進行應用化封裝，轉換成一系列安全能力(服務化功能)。他們對安全基礎設施和各類流程工具的API調用十分熟悉，具備基于解釋性編程語言的使用與開發能力。

　　● 運維人員：負責醫院日常安全運營的運維人員，包括一線運維、二線分析師。他們使用編排自動化與響應系統提升安全運營工作的自動化水平和運營效能，節約運維時間與人員成本。

　　● 協作團隊：指與醫院安全運營團隊在安全運營過程中的利益共擔方，譬如其他專門的應急響應團隊、威脅獵捕團隊。

　　● 安全領導：是指醫院負責安全運營的領導，用編排自動化與響應系統來對安全運營的過程和效果進行度量，對自動化與編排的效果進行度量，了解安全運營的數字化程度，并對安全運營過程做出優化與改進決策。

4 應用效果

　　(1)自編排自動化與響應系統上線啟用以來，結合安全運營中心采集到的日志61億余次，產生告警27871條威脅告警，涉及12種攻擊4754個攻擊源，涉及81個受影響資產，自動化處置200余次。通過自動化處置，將威脅更快地處置，平均處置時間控制在10秒以內，信息安全管理工作由手動變為自動。

　　(2)梳理核心場景5個、覆蓋379項服務器關鍵資產，摸清核心業務風險，針對核心場景進行預案編寫，形成自動化執行腳本，威脅處置后，可追溯并形成屬于本院的攻防知識體系，健全威脅處置制度，提高安全管理人員專業水平，7*24小時保障業務連續性和數據安全。

　　(3)可持續的編排自動化與響應體系，在緩解院內安全管理人員的壓力同時，還能更加及時地響應威脅，提升院內安全團隊整體能力。在第四屆全國醫院高質量創新發展論壇的安全運營體系能力展示中贏得廣泛的認可與稱贊，為后續院內網絡信息化的建設奠定了良好的基礎。

5 總結

　　通過本次網絡安全編排自動化與響應系統的建設與開發，我們深刻認識到醫療信息化場景中網絡安全的重要性。該系統不僅提升了醫療機構的安全防護能力，也促進了醫療信息化建設的進一步發展。

　　首先，在醫療信息化場景中，網絡安全是保障醫療機構正常運行和業務連續性的關鍵。通過自動化編排與響應系統的應用，醫療機構能夠實現對安全事件的快速發現、分析和處置，有效降低了安全風險。

　　其次，該系統的成功建設也體現了技術與業務緊密結合的重要性。我們深入分析了醫療機構的業務需求和安全需求，將網絡安全技術與醫療信息化場景相結合，實現了技術的落地應用和業務價值的提升。

　　此外，本次項目的成功也得益于團隊的專業素養和緊密合作。團隊成員在網絡安全領域具有豐富的經驗和技能，能夠高效地完成系統的設計和開發工作。同時，團隊成員之間的緊密合作和溝通也保證了項目的順利進行和高質量完成。

　　未來，隨著醫療信息化建設的不斷深入和網絡安全威脅的不斷變化，我們將繼續優化和完善該系統，為醫療機構提供更加全面、高效、智能的網絡安全保障。同時，我們也希望與更多的合作伙伴共同推動醫療信息化的發展，為提升醫療服務質量和效率做出更大的貢獻。

　　申報單位

　　福建省人民醫院(暨福建中醫藥大學附屬人民醫院)

　　案例賽道

　　網絡安全創新

　　業務領域

　　醫院管理