在數(shù)字化轉(zhuǎn)型的大背景下，醫(yī)療機(jī)構(gòu)面臨著越來越多的網(wǎng)絡(luò)安全威脅，需應(yīng)對(duì)安全運(yùn)營(yíng)的挑戰(zhàn)，如何構(gòu)建一個(gè)高效、智能的安全運(yùn)營(yíng)體系成為了亟待解決的問題。

　　一 背景

　　2021年4月6日，國(guó)家醫(yī)療保障局發(fā)布的《關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見》指出，至2022 年，基本建成基礎(chǔ)強(qiáng)、技術(shù)優(yōu)、制度全、責(zé)任明、管理嚴(yán)的醫(yī)療保障網(wǎng)絡(luò)安全保護(hù)工作機(jī)制。

　　目前，依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等法規(guī)要求，醫(yī)療機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，推動(dòng)安全管理、安全技術(shù)建設(shè)，并開展等保測(cè)評(píng)，有一些醫(yī)療機(jī)構(gòu)正著手安全運(yùn)營(yíng)中心的建設(shè)工作。

　　在業(yè)務(wù)上，國(guó)家衛(wèi)生健康委相繼發(fā)布了互聯(lián)網(wǎng)醫(yī)院、智慧服務(wù)的政策文件和建設(shè)標(biāo)準(zhǔn)，旨在利用信息技術(shù)持續(xù)優(yōu)化醫(yī)療服務(wù)流程、改善就醫(yī)體驗(yàn)，眾多醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)了互聯(lián)網(wǎng)便民服務(wù)部署，如預(yù)約掛號(hào)、患者查詢、網(wǎng)上問診、互聯(lián)網(wǎng)醫(yī)院平臺(tái)等業(yè)務(wù)，將院內(nèi)業(yè)務(wù)延伸到了線上。

　　伴隨著業(yè)務(wù)系統(tǒng)在互聯(lián)網(wǎng)的暴露面擴(kuò)大，信息系統(tǒng)也面臨著越來越嚴(yán)重的網(wǎng)絡(luò)安全威脅：惡意掃描、網(wǎng)絡(luò)攻擊、數(shù)據(jù)盜竊、勒索病毒等現(xiàn)象越發(fā)嚴(yán)重，自動(dòng)化、智能化、擬人化的自動(dòng)化威脅已經(jīng)非常普遍，使醫(yī)療機(jī)構(gòu)需要一個(gè)更加主動(dòng)、高效、融合、智能的安全運(yùn)營(yíng)思路。

　　二 安全管理痛點(diǎn)

　　醫(yī)療機(jī)構(gòu)信息安全人員日常工作中，安全痛點(diǎn)總結(jié)為以下幾點(diǎn)：

　　1.基礎(chǔ)性保障能力缺位無法應(yīng)對(duì)多層面風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)的防御考量綜合性和立體性。目前醫(yī)療機(jī)構(gòu)的眾多業(yè)務(wù)都要對(duì)外開放，而業(yè)務(wù)開放也意味著引入了更多的風(fēng)險(xiǎn)暴露面。攻擊者可通過網(wǎng)站掛馬、垃圾郵件傳播、軟件捆綁、U盤傳播、不必要開放的后臺(tái)服務(wù)等多種方式從邊界、內(nèi)網(wǎng)全面侵入到醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)。而目前市場(chǎng)上的各種安全產(chǎn)品大多各自為政，不能形成統(tǒng)一的網(wǎng)絡(luò)安全保護(hù)，無法適應(yīng)當(dāng)前多層面風(fēng)險(xiǎn)現(xiàn)狀。

　　2.有限資源投入下安全運(yùn)營(yíng)能力的普遍缺失

　　安全工作本質(zhì)上是一個(gè)需要技術(shù)高度協(xié)同，并不斷整合人員，優(yōu)化流程的持續(xù)運(yùn)營(yíng)的工作。過去在安全預(yù)算有限的情況下，醫(yī)療機(jī)構(gòu)往往缺乏專業(yè)人員來管理安全，一人多崗現(xiàn)象較為普遍，在安全建設(shè)過程中缺乏風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)處置的能力。

　　3.無法有效應(yīng)對(duì)外部不斷衍生的未知性風(fēng)險(xiǎn)

　　長(zhǎng)期以來，醫(yī)療機(jī)構(gòu)認(rèn)為的安全能力是設(shè)備或者方案提供的原生安全能力，威脅依賴于廠商提供的集成化程度非常高的安全模塊，而安全的日常運(yùn)營(yíng)大部分依賴于廠商自身技術(shù)的實(shí)現(xiàn)機(jī)制，以及通過規(guī)則更新的方式去防護(hù)威脅，無法有效應(yīng)對(duì)未知的威脅。

　　4.邊界逐步模糊導(dǎo)致安全域機(jī)制被打破

　　傳統(tǒng)模式下，安全防護(hù)一個(gè)很重要的原則就是基于邊界的安全隔離和訪問控制，并且強(qiáng)調(diào)針對(duì)不同安全區(qū)域設(shè)置有差異化的安全防護(hù)策略，很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界。通常組織可以根據(jù)應(yīng)用的特性和安全等級(jí)進(jìn)行安全域劃分，將網(wǎng)絡(luò)劃分成不同安全級(jí)別，而云技術(shù)的逐漸普及，導(dǎo)致業(yè)務(wù)邊界愈發(fā)模糊，安全域的機(jī)制將逐步被打破。

　　5.數(shù)據(jù)井噴式增長(zhǎng)帶來數(shù)據(jù)安全風(fēng)險(xiǎn)

　　技術(shù)的演進(jìn)推進(jìn)數(shù)據(jù)出現(xiàn)井噴式增長(zhǎng)，數(shù)字經(jīng)濟(jì)已然來臨，挖掘和保護(hù)數(shù)據(jù)的價(jià)值成為組織自身發(fā)展的必修課。數(shù)據(jù)本身對(duì)醫(yī)療機(jī)構(gòu)而言具有重大價(jià)值，但數(shù)據(jù)在產(chǎn)生、傳輸、存儲(chǔ)、處理以及使用等環(huán)節(jié)，尤其是在開發(fā)測(cè)試環(huán)境或第三方數(shù)據(jù)共享環(huán)節(jié)，存在很大泄露的風(fēng)險(xiǎn)。

　　6.安全漏洞風(fēng)險(xiǎn)

　　隨著已公開漏洞的數(shù)量逐年增加，以及醫(yī)療機(jī)構(gòu)的軟硬件資產(chǎn)體量增大，少則幾百多則幾千，這直接導(dǎo)致安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)常被源源不斷的漏洞警報(bào)所淹沒，這些漏洞警報(bào)必須得到妥善處理。然而，安全運(yùn)營(yíng)團(tuán)隊(duì)不可能在第一時(shí)間修復(fù)所有問題。

　　而傳統(tǒng)的漏掃報(bào)告中，只有漏洞的等級(jí)而沒有結(jié)合資產(chǎn)價(jià)值、位置、影響范圍等因素給出修復(fù)的優(yōu)先級(jí)，就讓本來就缺乏安全經(jīng)驗(yàn)的信息科更加無從下手。

　　7.員工缺乏網(wǎng)絡(luò)安全意識(shí)缺乏

　　員工缺乏網(wǎng)絡(luò)安全意識(shí)是一個(gè)普遍存在的問題，這給醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全帶來了一定的風(fēng)險(xiǎn)和挑戰(zhàn)。許多員工沒有接受過系統(tǒng)的網(wǎng)絡(luò)安全培訓(xùn)和教育，對(duì)網(wǎng)絡(luò)安全的重要性和風(fēng)險(xiǎn)不夠了解。員工對(duì)社交、釣魚攻擊等常見的網(wǎng)絡(luò)攻擊手段缺乏警覺性，容易受騙并泄露敏感信息。一些員工可能存在使用弱密碼、隨意點(diǎn)擊鏈接、打開未知附件等不良習(xí)慣和疏忽大意的行為，增加了安全風(fēng)險(xiǎn)。

　　三 安全運(yùn)營(yíng)架構(gòu)

　　堅(jiān)持“以人員為核心、以數(shù)據(jù)為基礎(chǔ)、以運(yùn)營(yíng)為手段”的基本安全理念，結(jié)合實(shí)際情況，構(gòu)建安全運(yùn)營(yíng)體系，形成威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置的閉環(huán)安全工作流程，打造四位一體的安全運(yùn)營(yíng)機(jī)制。

　　安全運(yùn)營(yíng)體系是安全工作的“抓手”，其主要工作需要對(duì)系統(tǒng)進(jìn)行安全檢測(cè)，對(duì)發(fā)現(xiàn)的安全問題由各自責(zé)任方進(jìn)行整改，再利用各類技術(shù)手段對(duì)系統(tǒng)進(jìn)行全天候的安全監(jiān)測(cè)，安全運(yùn)營(yíng)人員對(duì)其狀態(tài)進(jìn)行全面監(jiān)控，對(duì)發(fā)現(xiàn)的問題及安全事件快速分析，選擇相應(yīng)的處置方法快速解決問題，通過安全運(yùn)營(yíng)做到問題早發(fā)現(xiàn)、快響應(yīng)、早根除，可以有效的保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，避免上級(jí)監(jiān)管機(jī)構(gòu)進(jìn)行通報(bào)。

　　依托于安全運(yùn)營(yíng)中心的平臺(tái)能力、專家團(tuán)隊(duì)，通過本地化安全運(yùn)營(yíng)組件，結(jié)合高效的安全運(yùn)營(yíng)流程機(jī)制，圍繞“資產(chǎn)+漏洞+威脅與事件”相關(guān)風(fēng)險(xiǎn)要素，及時(shí)發(fā)現(xiàn)問題、高效解決問題，7*24小時(shí)持續(xù)開展有效的安全運(yùn)營(yíng)服務(wù)，幫助用戶構(gòu)建常態(tài)化、實(shí)戰(zhàn)化、體系化的安全運(yùn)營(yíng)保障體系。

　　四 安全運(yùn)營(yíng)思路

　　根據(jù)當(dāng)前的醫(yī)療信息安全現(xiàn)狀，我們認(rèn)為安全運(yùn)營(yíng)“預(yù)防勝于治療”。單純依靠“頭痛醫(yī)頭，腳痛醫(yī)腳”的思路，無法真正解決安全運(yùn)營(yíng)難題。

　　通過結(jié)合攻防實(shí)戰(zhàn)的安全營(yíng)運(yùn)思路，圍繞【資產(chǎn)-脆弱性-威脅】，集攻擊面管理、資產(chǎn)探測(cè)與管理、脆弱性風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅誘捕、主機(jī)安全、流量監(jiān)測(cè)等能力于一體，精準(zhǔn)發(fā)現(xiàn)問題、快速解決問題，有效控制風(fēng)險(xiǎn)，提升保障能力，即根據(jù)最關(guān)鍵的脆弱點(diǎn)對(duì)組織造成的風(fēng)險(xiǎn)來確定優(yōu)先級(jí)并加以解決。

　　1.資產(chǎn)暴露面探測(cè)與梳理

　　外部攻擊面的弱點(diǎn)有多種來源：可能是受感染的網(wǎng)站或Web應(yīng)用程序、基礎(chǔ)設(shè)施配置錯(cuò)誤、低強(qiáng)度的訪問控制或API中的身份驗(yàn)證機(jī)制不足等等。所有這些脆弱性都為潛在攻擊者竊取敏感數(shù)據(jù)、未經(jīng)授權(quán)訪問基礎(chǔ)設(shè)施提供了機(jī)會(huì)。同時(shí)面對(duì)多個(gè)問題時(shí)，關(guān)鍵是要找對(duì)問題的切入點(diǎn)。這里最佳的切入點(diǎn)就是清楚地掌握組織機(jī)構(gòu)的外部攻擊面都有哪些資產(chǎn)。

　　通過外部攻擊面管理工具可以幫助發(fā)現(xiàn)和驗(yàn)證已知和未知的面向互聯(lián)網(wǎng)的資產(chǎn)，例如IP地址、域名、子域、端口和SSL證書。你以為自己已經(jīng)知道其中的大多數(shù)，但徹底的掃描通常可以發(fā)現(xiàn)相當(dāng)多以前沒有出現(xiàn)在資產(chǎn)臺(tái)賬中的信息。

　　2.漏洞管理

　　為了有效應(yīng)對(duì)漏洞處置中面臨的問題，漏洞優(yōu)先級(jí)技術(shù)(Vulnerability Prioritization Technology ，簡(jiǎn)稱VPT)應(yīng)運(yùn)而生。

　　漏洞管理工作包括開發(fā)側(cè)和運(yùn)維側(cè)，在開發(fā)側(cè)，開發(fā)團(tuán)隊(duì)需要及時(shí)感知所開發(fā)系統(tǒng)中存在的漏洞情況，并且將其有效的管理起來，才能避免產(chǎn)品交付后發(fā)生安全事故;在運(yùn)維側(cè)，安全團(tuán)隊(duì)更加要實(shí)時(shí)掌握外部安全威脅，并對(duì)內(nèi)部資產(chǎn)進(jìn)行聯(lián)動(dòng)，以在安全漏洞爆發(fā)的第一時(shí)間檢查內(nèi)部資產(chǎn)的安全狀況，通過漏洞管理工作，將海量漏洞智能評(píng)定優(yōu)先級(jí)，聚焦高風(fēng)險(xiǎn)漏洞，并優(yōu)先解決高風(fēng)險(xiǎn)漏洞問題。

　　3.修復(fù)和緩解漏洞

　　結(jié)合互聯(lián)網(wǎng)的暴露面位置、資產(chǎn)價(jià)值、漏洞的評(píng)級(jí)、影響范圍等因素，確定了脆弱點(diǎn)的優(yōu)先級(jí)后，就可以對(duì)其進(jìn)行修復(fù)或緩解。修復(fù)時(shí)優(yōu)先考慮直接定位、修復(fù)漏洞以消除相關(guān)風(fēng)險(xiǎn)。要確認(rèn)是否成功，可在應(yīng)用后驗(yàn)證修復(fù)。

　　有時(shí)無法立即修復(fù)。例如，需要重新啟動(dòng)整個(gè)系統(tǒng)來實(shí)施更新，顯然，這不可能每天都能實(shí)現(xiàn)。在這種情況下，緩解策略將有助于減少漏洞利用的潛在影響，直到可以應(yīng)用永久修復(fù)。

　　4.威脅源評(píng)級(jí)

　　日常運(yùn)營(yíng)中，運(yùn)營(yíng)人員需要登錄態(tài)勢(shì)感知、防火墻、WAF等設(shè)備讀取設(shè)備日志，分析研判安全事件。在海量報(bào)警信息中區(qū)分哪些是有效攻擊、是哪臺(tái)設(shè)備并及時(shí)處理，這要求相關(guān)人員具備一定的知識(shí)儲(chǔ)備和運(yùn)維經(jīng)驗(yàn)，當(dāng)前醫(yī)療機(jī)構(gòu)信息部門具備這方面能力的人比較少。

　　通過結(jié)合入侵檢測(cè)、Web檢測(cè)、威脅情報(bào)等，結(jié)合攻擊范圍、規(guī)則命中次數(shù)、規(guī)則等級(jí)、告警次數(shù)、IP情報(bào)計(jì)算等因素綜合分析，自動(dòng)對(duì)威脅源進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，形成少量的、精準(zhǔn)的、可落地處置的告警。

　　引入AI技術(shù)，基于威脅源自動(dòng)評(píng)級(jí)算法呈現(xiàn)攻擊源風(fēng)險(xiǎn)，進(jìn)一步指導(dǎo)運(yùn)營(yíng)人員處置落地，消除影響。

　　5.威脅誘捕技術(shù)的應(yīng)用

　　基于特征庫(kù)的監(jiān)測(cè)手段，必然會(huì)產(chǎn)生漏報(bào)和誤報(bào)，通過引入欺騙防御技術(shù)，誘騙攻擊者入侵仿真業(yè)務(wù)的蜜罐主機(jī)，不僅可精準(zhǔn)定位攻擊源、回溯攻擊行為，而且可在真實(shí)攻防對(duì)抗中，消耗攻擊資源、溯源攻擊者、反制攻擊者，解決攻易守難的困境，化被動(dòng)防御為主動(dòng)防御。

　　6.基于行為的攻擊鏈回溯

　　基于MITRE ATT&CK理念，從“網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層”對(duì)攻擊行為全量溯源，提取攻擊入侵證據(jù)：“攻擊特征取證、行為取證、日志取證、病毒取證”。全面還原攻擊者入侵過程：探測(cè)掃描、滲透攻擊、攻陷蜜罐、后門遠(yuǎn)控、跳板攻擊。

　　7.常態(tài)化應(yīng)急演練

　　在技術(shù)上，通過模擬真實(shí)事件及應(yīng)急處置過程，參與者可以深刻認(rèn)識(shí)到突發(fā)事件的影響，從而提高對(duì)突發(fā)事件風(fēng)險(xiǎn)源的警惕性。這有助于增強(qiáng)全體的應(yīng)急意識(shí)，促使他們?cè)跊]有發(fā)生突發(fā)事件時(shí)主動(dòng)學(xué)習(xí)應(yīng)急知識(shí)，掌握處置技能，增強(qiáng)突發(fā)事件的應(yīng)急反應(yīng)能力，規(guī)避“臨時(shí)抱佛腳”。

　　在管理上，檢驗(yàn)應(yīng)急預(yù)案的可操作性。應(yīng)急演練可以發(fā)現(xiàn)應(yīng)急預(yù)案中存在的問題，在突發(fā)事件發(fā)生前暴露預(yù)案的缺點(diǎn)。這樣，可以驗(yàn)證預(yù)案在應(yīng)對(duì)可能出現(xiàn)的各種意外情況方面的適應(yīng)性，找出需要完善和修正的地方。同時(shí)，演練還可以檢驗(yàn)預(yù)案的可行性以及應(yīng)急反應(yīng)的準(zhǔn)備情況，確保應(yīng)急預(yù)案或其關(guān)鍵部分能夠有效實(shí)施。

　　五 安全運(yùn)營(yíng)服務(wù)

　　六 安全運(yùn)營(yíng)成效

　　安全運(yùn)營(yíng)體系是安全工作的“抓手”，其主要目的是周期性及時(shí)發(fā)現(xiàn)現(xiàn)有系統(tǒng)的安全問題，針對(duì)發(fā)現(xiàn)的安全問題下發(fā)至各自責(zé)任方進(jìn)行整改，再利用主動(dòng)掃描、流量監(jiān)測(cè)、端點(diǎn)安全、威脅誘捕等技術(shù)手段對(duì)系統(tǒng)進(jìn)行全天候的安全監(jiān)測(cè)。

　　結(jié)合AI模型分析，對(duì)告警信息進(jìn)行過濾后的全面監(jiān)控，安全運(yùn)營(yíng)人員對(duì)發(fā)現(xiàn)的問題及安全事件快速分析，選擇相應(yīng)的處置方法快速解決問題，通過安全運(yùn)營(yíng)做到問題早發(fā)現(xiàn)、快響應(yīng)、早根除，可以有效的保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，避免上級(jí)監(jiān)管機(jī)構(gòu)進(jìn)行通報(bào)。

　　1.精細(xì)化的IT資產(chǎn)管理

　　通過互聯(lián)網(wǎng)資產(chǎn)稽查，發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)的資產(chǎn)及其開放的業(yè)務(wù)端口情況，與實(shí)際需要的資產(chǎn)基線進(jìn)行對(duì)比，發(fā)現(xiàn)未經(jīng)許可的資產(chǎn)或資產(chǎn)業(yè)務(wù)，通過運(yùn)營(yíng)做進(jìn)一步追蹤，定位資產(chǎn)責(zé)任人及資產(chǎn)實(shí)際用途。

　　通過主動(dòng)掃描+主機(jī)Agent+歷史臺(tái)賬的方式確定資產(chǎn)范圍，進(jìn)行主動(dòng)精準(zhǔn)探測(cè)，深度發(fā)現(xiàn)暴露在外的IT設(shè)備、端口及應(yīng)用服務(wù)，發(fā)現(xiàn)未知資產(chǎn)及“僵尸”資產(chǎn)，由安全專家對(duì)每項(xiàng)業(yè)務(wù)進(jìn)行梳理分析，結(jié)合用戶反饋的業(yè)務(wù)特點(diǎn)對(duì)資產(chǎn)重要程度、業(yè)務(wù)安全需求進(jìn)行歸納，最終形成區(qū)域資產(chǎn)清單，周期自動(dòng)更新。

　　2.安全管理

　　(1)安全漏洞管理：對(duì)網(wǎng)站、應(yīng)用程序、服務(wù)等進(jìn)行周期性的漏洞掃描和檢測(cè)，及時(shí)修復(fù)已知的漏洞并復(fù)查效果，避免黑客利用漏洞入侵系統(tǒng)。相比過往的報(bào)告式交付的傳統(tǒng)安全服務(wù)，結(jié)合漏洞優(yōu)先級(jí)技術(shù)，降低修復(fù)疲勞，提高修復(fù)效率。

　　對(duì)于無法修復(fù)的老舊業(yè)務(wù)系統(tǒng)，采用漏洞攻擊屏蔽技術(shù)，阻斷威脅掃描行為。

　　(2)安全事件響應(yīng)：建立安全事件響應(yīng)機(jī)制，對(duì)發(fā)生的安全事件進(jìn)行快速響應(yīng)和處置，降低損失。

　　(3)事件定位及處置：醫(yī)療機(jī)構(gòu)終端中毒主機(jī)多為下載惡意軟件、感染普通病毒、感染僵尸家族、感染Mine Pool家族挖礦等。安全運(yùn)營(yíng)人員監(jiān)測(cè)分析中毒主機(jī)外聯(lián)告警事件，并及時(shí)處置所有中毒主機(jī)，針對(duì)所有終端采取安裝EDR、防火墻、上網(wǎng)行為管理等安全設(shè)備以及進(jìn)行定期殺毒等措施，實(shí)現(xiàn)了對(duì)病毒的有效防控。

　　(4)員工安全意識(shí)培訓(xùn)：加強(qiáng)員工的安全意識(shí)培訓(xùn)，輔以釣魚郵件、勒索攻擊等實(shí)景演練，提高員工的安全意識(shí)和防范能力，減少人為因素對(duì)信息安全的影響。

　　3.重要保障時(shí)期安全運(yùn)營(yíng)

　　重保前期，扎實(shí)開展暴露面梳理、風(fēng)險(xiǎn)掃描、策略優(yōu)化、規(guī)則升級(jí)、服務(wù)收斂、滲透測(cè)試等工作，做到“明資產(chǎn)、控風(fēng)險(xiǎn)、嚴(yán)防護(hù)、全監(jiān)控”。

　　重保期間，提供7*24小時(shí)威脅監(jiān)測(cè)，一級(jí)專家現(xiàn)場(chǎng)值守保障，二級(jí)專家遠(yuǎn)程提供技術(shù)支撐，結(jié)合企業(yè)微信、飛書、釘釘、郵件等多種實(shí)時(shí)預(yù)警方式，發(fā)生網(wǎng)絡(luò)安全事件，可利用微隔離技術(shù)迅速將受影響設(shè)備做斷網(wǎng)隔離，結(jié)合情報(bào)迅速找到安全事件源頭，防止安全事件擴(kuò)散。

　　通過5個(gè)維度分析出黑客畫像，包括：設(shè)備指紋、位置信息、社交指紋、反向探測(cè)-漏洞信息、攻擊者標(biāo)簽，再通過與漏洞探測(cè)的結(jié)合，分析內(nèi)網(wǎng)攻擊主機(jī)的失陷原因，查看是否由于存在相關(guān)可入侵漏洞導(dǎo)致，有助于失陷主機(jī)處置。

　　總之，醫(yī)療機(jī)構(gòu)需要構(gòu)建一個(gè)全面、高效、智能的安全運(yùn)營(yíng)體系，以應(yīng)對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全威脅。通過整合人員、技術(shù)、流程等多方面的資源，形成閉環(huán)的安全工作流程，不斷提升醫(yī)療機(jī)構(gòu)的信息安全水平。

　　作者簡(jiǎn)介

　　張雷，CHIMA常委，河北醫(yī)科大學(xué)第一醫(yī)院西南院區(qū)院長(zhǎng)。