张雷:三甲医院安全运营实践
一背景概述
2021年4月6日,国家医疗保障局发布的《关于印发加强网络安全和数据保护工作指导意见》指出,至2022 年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作机制。目前,依据《网络安全法》、《网络安全等级保护条例》等法规要求,医院加强网络安全建设,在安全管理、安全技术建设,并开展等保测评,现阶段正着手安全运营中心建设工作。随着《数据安全法》、《个人信息保护法》等法规的陆续颁布,对医疗行业信息安全合规工作也提出了更高的要求。下一步医院主要信息建设工作,将重点围绕安全运营能力、数据安全建设等方面,结合医院实际情况,对未来三至五年做好相应规划。具体为以下三方面:
一是网络安全水平显著提升。主体责任明晰,监督管理机制完善,基础设施完备,网络安全技术能力、态势感知、预警能力、突发网络安全事件应急响应能力显著提升,网络安全有效保障。
二是数据安全管理有效实施。数据安全审批制度全面建立,分级分类管理及重要数据保护目录全面落实,数据实现全生命周期安全管理,数据安全评估机制日益完善。
三是数据共享使用安全有序。数据共享使用流程明晰、机制健全,医疗保障数字化、智能化水平显著提升。
二建设目标
通过对医院网络安全现状精细化调研,结合医院整体网络安全发展规划以及信息化建设目标,制定项目整体规划方案。重点围绕业务系统应用水平建设、信息标准化建设,以电子病历系统应用水平达到7级,医院信息互联互通标准化成熟度达到五级乙等为主要目标,建设自动化的安全运营体系和数据安全监管合规体系。
三安全运营
1.安全运营体系
医院坚持“以人员为核心、以数据为基础、以运营为手段”的基本安全理念,结合实际情况,构建智慧医院的安全运营体系,形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程,打造四位一体的安全运营机制。
安全运营体系是安全工作的“抓手”,其主要目的是检测发现现有系统的安全问题,针对发现的安全问题下发至各自责任方进行整改,再利用各类技术手段对系统进行全天候的安全监测,安全运营人员对告警信息进行全面监控,对发现的问题及安全事件快速分析,选择相应的处置方法快速解决问题,通过安全运营做到问题早发现、快响应、早根除,可以有效的保障信息系统的安全稳定运行,避免上级监管机构进行通报。
安全运营体系借鉴国内外成熟安全架构为模型,贯彻“安全运营闭环管理并基于数据分析为核心”的安全运营理念,结合医院具体情况和实际需求进行设计,以资产为基础,以持续监控分析为核心,整体安全运营流程可分为威胁预测、威胁防护、持续检测、响应处置四个维度,形成统一的闭环安全运营体系,如下图所示:
图1 安全运营体系框图
2.安全运营架构
建设完善合理的安全运营架构,是实现信息安全运营体系的基础保障。基于此架构,以人员技术能力为核心,各类数据为基础,通过建设安全标准运营机制,开展安全态势感知分析工作,发现问题及时处置,不断完善优化运营流程,提升安全运营指标,最终全面展示医院的安全态势。安全运营整体架构建设分为三个阶段,第一阶段目标为完善安全设备、平台等技术防护设备部署,梳理日常安全管理流程,形成初步文档记录,并依据流程规范结合组织建设情况运营实施;第二阶段目标为完善安全运营团队建设,优化安全设备策略,做到安全设备精准化使用,并建立安全运营台账。主要目的为依托安全设备采集数据,开展安全态势分析工作,明晰安全防护侧重点、日常运营薄弱点,发挥安全设备的防护作用价值;第三阶段目标为依据已有安全运营流程建立标准机制,提升安全运营指标。安全运营建设阶段如下图所示:
图2 安全运营建设阶段示意图
3.安全运营建设
(1)建设原则
第一,坚持统筹谋划、整体推进。统筹医院业务区、管理区安全监控重点,统筹资源配置和关键技术管理,构建全面网络安全监测预警能力,推进各项任务的有序开展。
第二,坚持协同性,强调分级管控。整合医院内部资源,坚持全网网络安全一体化,组建运行监控队伍,明确工作目标,形成分级协同的安全运行监控体系。
第三,坚持实战性,强调安全运营。重点突出网络安全运行监控体系的实战能力与保障能力,以安全事件发现、分析研判、通告预警、响应处置、追踪调查为核心,构建面向实战的安全运营体系,将技术、管理、流程进行有机整合,支撑业务实战,形成能保障业务、促进业务的闭环安全运营。
第四,坚持及时性,强调降低安全事件影响范围。建立网络安全运行监测值班机制,确保及时发现网络安全事件,形成网络安全与系统运行协同的一体化监控、应急防护体系,统筹协调事件处置,全力降低安全事件影响范围。
(2)安全运营监测能力建设
立足医院实际情况,坚持理论和标准先行,在网络安全监控工作中科学完善预警机制,做到安全事件发生前监控,事件发生后有条不紊实施处理,最大程度降低安全突发事件损失。为进一步提升医院一体化安全运营监控分析、威胁检测效果,目前安全监测的建设重点为,结合运营中心提供的基础服务、模型,依据业务场景进行安全策略优化,以加强安全监测策略检测效果,每月定期开展策略梳理工作。
安全运营监控工作离不开平台及技术手段的支持,目前已经部署了防火墙、WAF等相关网络安全设备及平台,但平台之间数据独立存在,无法实现对所有安全设备有效联动及采集分析,因此如何加强完善一体化安全运营管理平台构建,是后续落实网络安全运营监控工作的关键。可结合各种成熟网络安全防护手段,贯穿物理环境、网络通信、设备计算以及应用数据四个层面的安全防护,多维度、成体系地建设“四横五纵”的安全基础防御体系。
图3 安全基础防御体系建设框图
(3)安全运营服务规划建设
安全服务是网络安全运营监控工作比较关键的环节,安全运营服务是引入安全专家的视角。从整体安全运营体系来说,如何能把安全管理平台用好,实现良好的安全运维框架、安全验证框架及安全度量框架,都离不开安全专家提供的专业安全服务。
第一,威胁检测服务
威胁检测服务是从属于安全运维框架的安全服务。威胁检测服务是在安全威胁检测设备、网络安全运营监控态势分析平台基础上提供的一站式安全运营支撑服务。
威胁检测服务重点在于安全事件发生中和发生后两个阶段的监测与响应。
安全止损:威胁检测服务通过事件监测或审计的方式帮助医院及时发现安全灾害事件,并在第一时间提供消除灾害影响的操作建议,大幅度降低安全灾害事故带来的损失和影响。
降低安全风险:威胁检测服务通过威胁监测或审计方式协助医院发现具有持续性攻击或针对性攻击的高危访问源,并提供封禁操作建议。
第二,应急响应服务
应急响应是安全运维框架的一个重要组成部分。应急响应,是指安全技术人员在遇到突发事件后所采取的措施和行动。应急响应的目标包括采取紧急措施和行动,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生。医院借助安全厂商多年的安全研究技术,以安全服务的形式加强医院对安全事件的应急响应处置能力。应急响应服务支持事件类型包括:应用服务器瘫痪、网络阻塞、服务器劫持、系统异常宕机、恶意黑客入侵等。
第三,渗透测试服务
渗透测试服务是安全验证框架的组成部分。通过专业的渗透测试,验证医院业务系统安全措施的有效性,是威胁脆弱性评估的补充手段。渗透测试的攻击手段不同于安全产品扫描,能暴露出被忽视的威胁路径。渗透测试服务流程包括准备阶段、测试实施阶段、复测实施以及成果汇报。医院渗透测试主要以技术人员人工信息收集、服务判断、漏洞测试为主,结合自动化测试和人工测试两种方式,最终形成渗透测试结果,下发到相应人员进行整改。在经过渗透测试发现问题和整改加固后,由测试人员进行回归测试,即二次复测,进行修复情况确认。
第四,安全风险评估服务
安全风险评估服务是安全度量框架的组成部分。通过网络安全运营监控态势分析平台对威胁数据、脆弱性数据等客观数据进行计算得到技术平台的风险评估值和相关度量值。风险评估服务包含如下内容:
确定评估区域:系统承载业务分析,识别关键业务、关键业务流程,确定评估对象;
脆弱性识别:分析评估对象所承载的业务和信息资产遭到破坏后所造成的影响;通过技术手段、调研访谈等形式识别系统所在的各种技术、管理以及架构上的脆弱性,从而识别可能的各种威胁源、可以用的弱点;
威胁风险分析:在脆弱识别和分析的基础上,对可能面临的威胁进行可能性分析。通过对影响和可能性的分析,鉴别单位系统存在的风险,从而识别单位信息系统存在的不可接受风险,提出不可接受风险的安全控制措施,为医院网络安全运营层面的决策提供依据。
为加强医院安全合规工作建设,结合等级保护标准和《信息安全风险评估规范》标准定期进行评估,评估内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面。
第五,安全咨询服务
通过安全咨询服务为医院安全运营监控工作建设提供专业的咨询建议,加强网络安全运营的建设保障能力,提高网络安全的防护水平,及时对网络、信息系统中存在的风险漏洞和不合理规则配置进行整改加固,确保用户在日常网络和应用建设规划过程中,应急响应处理及行业技术动态等方面,能够得到专业的安全建议,主要包括:网络安全运营技术标准、安全检查工作指导、网络安全运营机制提升等方面。
(4)安全运营管理规划建设
医院通过安全管理架构的研究,建设一套适用于目标环境各个层面的安全流程、制度、运行维护作业计划和检查标准,使网络环境安全运营工作规范化、流程化,长期稳定的保障各业务系统安全运行。安全管理架构图如下:
图4 安全管理架构图
为保障医院业务长期稳定运行以及业务数据的安全性,提高系统运维及人员的保障机制,制定网络安全运营工作的总体安全方针和策略,明确安全管理工作的总体目标、范围和原则。根据安全管理活动中的各类管理内容建立安全管理制度,并由管理人员或操作人员执行日常操作规程,形成安全策略、管理制度、操作规程等全面的网络安全运营监控管理制度体系。通过制定严格的制度规定与发布流程,定期对安全管理制度进行评审和修订。具体安全管理制度列表如下:
4.安全建设及运营成效
(1)资产梳理
基于网络扫描、搜索引擎、互联网基础数据引擎主动探测区域业务应用系统在互联网上暴露的资产,可以形成明确的资产清单,并发现区域各业务应用系统的未知资产。通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测,深度发现暴露在外的IT设备、端口及应用服务,发现活跃资产及“僵尸”资产,由安全专家对每项业务进行梳理分析,结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳,最终形成区域资产清单。
(2)渗透测试
为进一步查漏补缺,减少安全风险,在日常运营中定期对外网服务资产、线上应用业务系统进行渗透测试,通过模拟黑客攻击的形式,发现业务数据泄露、资产受损等各类安全风险。针对医院应用业务逻辑安全以及WEB框架安全进行深度漏洞挖掘。针对医院线上业务系统共开展进行三轮渗透测试,发现并修复了SQL注入、文件上传、命令执行等问题。
(3)病毒查杀
自安全运营以来发现中毒主机超过百台,其中多为下载恶意软件、感染普通病毒、感染僵尸家族、感染Mine Pool家族挖矿等。各中毒事件导致员工电脑中毒,造成主机卡顿,且存在信息泄露风险,外联恶意地址触发木马病毒,甚至可能对终端和业务系统造成严重影响。期间运维人员监测分析中毒主机告警事件,并及时处置所有中毒主机,针对所有终端采取安装EDR、防火墙、上网行为管理等安全设备以及进行定期杀毒等措施,实现了对病毒的有效防控。
图5 上网行为管理
图6 EDR
病毒查杀作为网络安全运营的重要一环,医院将该工作作为长期的运营目标并协商出一套处置方案:
制定处置方案,强调处置流程,突出重要性,协商确定《中毒情况说明书》,医院运维人员发现问题后下发情况说明通知书,确定处置问题的主机科室与人员,该人员需详细说明中毒事件段上网操作,情节严重者通报批评。
强调员工健康上网,严格规范个人网上行为,加强员工安全意识培训,不浏览不良网站、不点开未知链接,防止僵木蠕病毒的传播。
运维人员实时监控处置中心,重点关注中毒主机与木马行为,及时进行处置措施。
(4)日常网络安全运营
安全设备管理:对防火墙、入侵检测系统、反病毒软件等安全设备进行管理,保证其正常运转,并及时更新相关规则和软件版本,以确保设备的最新性和有效性。
网络流量监控:建立网络流量监控系统,定期检查网络流量状况,发现异常流量和攻击行为,及时采取应对措施。
使用态势感知监控流量:
图7 态势感知流量监控
使用WAF针对WEB应用进行监控拦截:
图8 WAF监控拦截
安全漏洞管理:对网站、应用程序、服务等进行漏洞扫描和检测,及时修复已知的漏洞,避免黑客利用漏洞入侵系统。
安全事件响应:建立安全事件响应机制,对发生的安全事件进行快速响应和处置,降低损失。
员工安全意识培训:加强员工的安全意识培训,提高员工的安全意识和防范能力,减少人为因素对信息安全的影响。
(5)重要保障时期安全运营
重保前期,扎实开展资产梳理、漏洞扫描、产品巡检、规则升级、账号收敛等工作,做到“明资产、控风险、严防护、全监控”。重保前期需要完成安全产品漏洞库、规则库、情报的升级,确保为最新版本。
重保期间,实行现场值班和24小时远程电话待机,协调产品原厂人员针对安全产品进行巡检,确认安全产品处于正常运行状态。
重保时期的工作部署和三大处置原则:
第一,“优先恢复”原则:应急响应以第一时间恢复业务为首要原则,查找故障原因、消除隐患等其他工作不得以延迟业务恢复为代价。
第二,“先抑后除”原则:发生网络安全事件,应迅速将受影响设备做断网隔离处置或其他适当的隔离处理,迅速找到安全事件设备源头,防止安全事件扩散。然后再对问题设备进行问题根除,系统恢复、审计溯源或其他事故调查、整改工作。
第三,“边处置边上报”原则:发生网络安全事件,在应急处置的同时,应按相应的流程进行上报。
四总结
目前医院已初步完成安全运营技术防护体系建设,完成12种安全产品部署,包含态势感知、WAF、防火墙等系统的上线以及应用。后续网关、AC也部署到内网正常运行,并启用漏洞设备,进行常规化漏洞扫描工作。针对医疗API上线API应用防护系统,以此解决大多数系统调用API接口的安全问题。后续也继续开展了12套安全产品的策略优化,组织产品推广使用培训。上线至今安全体系整体正常平稳运行。现阶段待配合项目组开展平台迁移工作,迁移工作完成后进行设备的重新部署和优化,安全服务内容进行深层次优化调整。
安全运营管理信息化不仅仅是一个IT项目,更是一项系统化的管理工程,需要领导重视、全员充分信息化参与、协同配合;管理无止境,是一个逐步优化、完善的过程,运营管理需要围绕精益运营的目标,统一规划、分步实施,持续创新。精细化运营管理体现于数据的颗粒度和完整度,医院还需进一步统一管理口径、统一IT规划、统一数据标准、统一流程规范,避免信息孤岛,完善相关数据生态系统,确保数据准确、完整、可采集、可使用。后续将进一步强化数据分析、使用、优化机制,持续优化数据模型,提高数据价值。
作者简介
张雷,CHIMA常委,河北医科大学第一医院西南院区院长。