张雷：医疗机构安全运营的新思考

　　在数字化转型的大背景下，医疗机构面临着越来越多的网络安全威胁，需应对安全运营的挑战，如何构建一个高效、智能的安全运营体系成为了亟待解决的问题。

　　一 背景

　　2021年4月6日，国家医疗保障局发布的《关于印发加强网络安全和数据保护工作指导意见》指出，至2022 年，基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全保护工作机制。

　　目前，依据《网络安全法》《网络安全等级保护条例》等法规要求，医疗机构加强网络安全建设，推动安全管理、安全技术建设，并开展等保测评，有一些医疗机构正着手安全运营中心的建设工作。

　　在业务上，国家卫生健康委相继发布了互联网医院、智慧服务的政策文件和建设标准，旨在利用信息技术持续优化医疗服务流程、改善就医体验，众多医疗机构实现了互联网便民服务部署，如预约挂号、患者查询、网上问诊、互联网医院平台等业务，将院内业务延伸到了线上。

　　伴随着业务系统在互联网的暴露面扩大，信息系统也面临着越来越严重的网络安全威胁：恶意扫描、网络攻击、数据盗窃、勒索病毒等现象越发严重，自动化、智能化、拟人化的自动化威胁已经非常普遍，使医疗机构需要一个更加主动、高效、融合、智能的安全运营思路。

　　二 安全管理痛点

　　医疗机构信息安全人员日常工作中，安全痛点总结为以下几点：

　　1.基础性保障能力缺位无法应对多层面风险

　　风险的防御考量综合性和立体性。目前医疗机构的众多业务都要对外开放，而业务开放也意味着引入了更多的风险暴露面。攻击者可通过网站挂马、垃圾邮件传播、软件捆绑、U盘传播、不必要开放的后台服务等多种方式从边界、内网全面侵入到医疗机构的网络。而目前市场上的各种安全产品大多各自为政，不能形成统一的网络安全保护，无法适应当前多层面风险现状。

　　2.有限资源投入下安全运营能力的普遍缺失

　　安全工作本质上是一个需要技术高度协同，并不断整合人员，优化流程的持续运营的工作。过去在安全预算有限的情况下，医疗机构往往缺乏专业人员来管理安全，一人多岗现象较为普遍，在安全建设过程中缺乏风险识别和风险处置的能力。

　　3.无法有效应对外部不断衍生的未知性风险

　　长期以来，医疗机构认为的安全能力是设备或者方案提供的原生安全能力，威胁依赖于厂商提供的集成化程度非常高的安全模块，而安全的日常运营大部分依赖于厂商自身技术的实现机制，以及通过规则更新的方式去防护威胁，无法有效应对未知的威胁。

　　4.边界逐步模糊导致安全域机制被打破

　　传统模式下，安全防护一个很重要的原则就是基于边界的安全隔离和访问控制，并且强调针对不同安全区域设置有差异化的安全防护策略，很大程度上依赖各区域之间明显清晰的区域边界。通常组织可以根据应用的特性和安全等级进行安全域划分，将网络划分成不同安全级别，而云技术的逐渐普及，导致业务边界愈发模糊，安全域的机制将逐步被打破。

　　5.数据井喷式增长带来数据安全风险

　　技术的演进推进数据出现井喷式增长，数字经济已然来临，挖掘和保护数据的价值成为组织自身发展的必修课。数据本身对医疗机构而言具有重大价值，但数据在产生、传输、存储、处理以及使用等环节，尤其是在开发测试环境或第三方数据共享环节，存在很大泄露的风险。

　　6.安全漏洞风险

　　随着已公开漏洞的数量逐年增加，以及医疗机构的软硬件资产体量增大，少则几百多则几千，这直接导致安全运营团队经常被源源不断的漏洞警报所淹没，这些漏洞警报必须得到妥善处理。然而，安全运营团队不可能在第一时间修复所有问题。

　　而传统的漏扫报告中，只有漏洞的等级而没有结合资产价值、位置、影响范围等因素给出修复的优先级，就让本来就缺乏安全经验的信息科更加无从下手。

　　7.员工缺乏网络安全意识缺乏

　　员工缺乏网络安全意识是一个普遍存在的问题，这给医疗机构的网络安全带来了一定的风险和挑战。许多员工没有接受过系统的网络安全培训和教育，对网络安全的重要性和风险不够了解。员工对社交、钓鱼攻击等常见的网络攻击手段缺乏警觉性，容易受骗并泄露敏感信息。一些员工可能存在使用弱密码、随意点击链接、打开未知附件等不良习惯和疏忽大意的行为，增加了安全风险。

　　三 安全运营架构

　　坚持“以人员为核心、以数据为基础、以运营为手段”的基本安全理念，结合实际情况，构建安全运营体系，形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程，打造四位一体的安全运营机制。

　　安全运营体系是安全工作的“抓手”，其主要工作需要对系统进行安全检测，对发现的安全问题由各自责任方进行整改，再利用各类技术手段对系统进行全天候的安全监测，安全运营人员对其状态进行全面监控，对发现的问题及安全事件快速分析，选择相应的处置方法快速解决问题，通过安全运营做到问题早发现、快响应、早根除，可以有效的保障信息系统的安全稳定运行，避免上级监管机构进行通报。

　　依托于安全运营中心的平台能力、专家团队，通过本地化安全运营组件，结合高效的安全运营流程机制，围绕“资产+漏洞+威胁与事件”相关风险要素，及时发现问题、高效解决问题，7*24小时持续开展有效的安全运营服务，帮助用户构建常态化、实战化、体系化的安全运营保障体系。

　　四 安全运营思路

　　根据当前的医疗信息安全现状，我们认为安全运营“预防胜于治疗”。单纯依靠“头痛医头，脚痛医脚”的思路，无法真正解决安全运营难题。

　　通过结合攻防实战的安全营运思路，围绕【资产-脆弱性-威胁】，集攻击面管理、资产探测与管理、脆弱性风险发现、威胁诱捕、主机安全、流量监测等能力于一体，精准发现问题、快速解决问题，有效控制风险，提升保障能力，即根据最关键的脆弱点对组织造成的风险来确定优先级并加以解决。

　　1.资产暴露面探测与梳理

　　外部攻击面的弱点有多种来源：可能是受感染的网站或Web应用程序、基础设施配置错误、低强度的访问控制或API中的身份验证机制不足等等。所有这些脆弱性都为潜在攻击者窃取敏感数据、未经授权访问基础设施提供了机会。同时面对多个问题时，关键是要找对问题的切入点。这里最佳的切入点就是清楚地掌握组织机构的外部攻击面都有哪些资产。

　　通过外部攻击面管理工具可以帮助发现和验证已知和未知的面向互联网的资产，例如IP地址、域名、子域、端口和SSL证书。你以为自己已经知道其中的大多数，但彻底的扫描通常可以发现相当多以前没有出现在资产台账中的信息。

　　2.漏洞管理

　　为了有效应对漏洞处置中面临的问题，漏洞优先级技术(Vulnerability Prioritization Technology ，简称VPT)应运而生。

　　漏洞管理工作包括开发侧和运维侧，在开发侧，开发团队需要及时感知所开发系统中存在的漏洞情况，并且将其有效的管理起来，才能避免产品交付后发生安全事故;在运维侧，安全团队更加要实时掌握外部安全威胁，并对内部资产进行联动，以在安全漏洞爆发的第一时间检查内部资产的安全状况，通过漏洞管理工作，将海量漏洞智能评定优先级，聚焦高风险漏洞，并优先解决高风险漏洞问题。

　　3.修复和缓解漏洞

　　结合互联网的暴露面位置、资产价值、漏洞的评级、影响范围等因素，确定了脆弱点的优先级后，就可以对其进行修复或缓解。修复时优先考虑直接定位、修复漏洞以消除相关风险。要确认是否成功，可在应用后验证修复。

　　有时无法立即修复。例如，需要重新启动整个系统来实施更新，显然，这不可能每天都能实现。在这种情况下，缓解策略将有助于减少漏洞利用的潜在影响，直到可以应用永久修复。

　　4.威胁源评级

　　日常运营中，运营人员需要登录态势感知、防火墙、WAF等设备读取设备日志，分析研判安全事件。在海量报警信息中区分哪些是有效攻击、是哪台设备并及时处理，这要求相关人员具备一定的知识储备和运维经验，当前医疗机构信息部门具备这方面能力的人比较少。

　　通过结合入侵检测、Web检测、威胁情报等，结合攻击范围、规则命中次数、规则等级、告警次数、IP情报计算等因素综合分析，自动对威胁源进行风险评级，形成少量的、精准的、可落地处置的告警。

　　引入AI技术，基于威胁源自动评级算法呈现攻击源风险，进一步指导运营人员处置落地，消除影响。

　　5.威胁诱捕技术的应用

　　基于特征库的监测手段，必然会产生漏报和误报，通过引入欺骗防御技术，诱骗攻击者入侵仿真业务的蜜罐主机，不仅可精准定位攻击源、回溯攻击行为，而且可在真实攻防对抗中，消耗攻击资源、溯源攻击者、反制攻击者，解决攻易守难的困境，化被动防御为主动防御。

　　6.基于行为的攻击链回溯

　　基于MITRE ATT&CK理念，从“网络层、应用层、主机层”对攻击行为全量溯源，提取攻击入侵证据：“攻击特征取证、行为取证、日志取证、病毒取证”。全面还原攻击者入侵过程：探测扫描、渗透攻击、攻陷蜜罐、后门远控、跳板攻击。

　　7.常态化应急演练

　　在技术上，通过模拟真实事件及应急处置过程，参与者可以深刻认识到突发事件的影响，从而提高对突发事件风险源的警惕性。这有助于增强全体的应急意识，促使他们在没有发生突发事件时主动学习应急知识，掌握处置技能，增强突发事件的应急反应能力，规避“临时抱佛脚”。

　　在管理上，检验应急预案的可操作性。应急演练可以发现应急预案中存在的问题，在突发事件发生前暴露预案的缺点。这样，可以验证预案在应对可能出现的各种意外情况方面的适应性，找出需要完善和修正的地方。同时，演练还可以检验预案的可行性以及应急反应的准备情况，确保应急预案或其关键部分能够有效实施。

　　五 安全运营服务

　　六 安全运营成效

　　安全运营体系是安全工作的“抓手”，其主要目的是周期性及时发现现有系统的安全问题，针对发现的安全问题下发至各自责任方进行整改，再利用主动扫描、流量监测、端点安全、威胁诱捕等技术手段对系统进行全天候的安全监测。

　　结合AI模型分析，对告警信息进行过滤后的全面监控，安全运营人员对发现的问题及安全事件快速分析，选择相应的处置方法快速解决问题，通过安全运营做到问题早发现、快响应、早根除，可以有效的保障信息系统的安全稳定运行，避免上级监管机构进行通报。

　　1.精细化的IT资产管理

　　通过互联网资产稽查，发现暴露在互联网的资产及其开放的业务端口情况，与实际需要的资产基线进行对比，发现未经许可的资产或资产业务，通过运营做进一步追踪，定位资产责任人及资产实际用途。

　　通过主动扫描+主机Agent+历史台账的方式确定资产范围，进行主动精准探测，深度发现暴露在外的IT设备、端口及应用服务，发现未知资产及“僵尸”资产，由安全专家对每项业务进行梳理分析，结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳，最终形成区域资产清单，周期自动更新。

　　2.安全管理

　　(1)安全漏洞管理：对网站、应用程序、服务等进行周期性的漏洞扫描和检测，及时修复已知的漏洞并复查效果，避免黑客利用漏洞入侵系统。相比过往的报告式交付的传统安全服务，结合漏洞优先级技术，降低修复疲劳，提高修复效率。

　　对于无法修复的老旧业务系统，采用漏洞攻击屏蔽技术，阻断威胁扫描行为。

　　(2)安全事件响应：建立安全事件响应机制，对发生的安全事件进行快速响应和处置，降低损失。

　　(3)事件定位及处置：医疗机构终端中毒主机多为下载恶意软件、感染普通病毒、感染僵尸家族、感染Mine Pool家族挖矿等。安全运营人员监测分析中毒主机外联告警事件，并及时处置所有中毒主机，针对所有终端采取安装EDR、防火墙、上网行为管理等安全设备以及进行定期杀毒等措施，实现了对病毒的有效防控。

　　(4)员工安全意识培训：加强员工的安全意识培训，辅以钓鱼邮件、勒索攻击等实景演练，提高员工的安全意识和防范能力，减少人为因素对信息安全的影响。

　　3.重要保障时期安全运营

　　重保前期，扎实开展暴露面梳理、风险扫描、策略优化、规则升级、服务收敛、渗透测试等工作，做到“明资产、控风险、严防护、全监控”。

　　重保期间，提供7*24小时威胁监测，一级专家现场值守保障，二级专家远程提供技术支撑，结合企业微信、飞书、钉钉、邮件等多种实时预警方式，发生网络安全事件，可利用微隔离技术迅速将受影响设备做断网隔离，结合情报迅速找到安全事件源头，防止安全事件扩散。

　　通过5个维度分析出黑客画像，包括：设备指纹、位置信息、社交指纹、反向探测-漏洞信息、攻击者标签，再通过与漏洞探测的结合，分析内网攻击主机的失陷原因，查看是否由于存在相关可入侵漏洞导致，有助于失陷主机处置。

　　总之，医疗机构需要构建一个全面、高效、智能的安全运营体系，以应对日益严重的网络安全威胁。通过整合人员、技术、流程等多方面的资源，形成闭环的安全工作流程，不断提升医疗机构的信息安全水平。

　　作者简介

　　张雷，CHIMA常委，河北医科大学第一医院西南院区院长。