基于等保2.0的醫(yī)院態(tài)勢感知系統(tǒng)應用

畢鵬

摘 要：本文基于等級保護制度2.0（以下簡稱：等保2.0）的要求，對公共服務類的關鍵信息基礎設施，在網(wǎng)絡安全等級保護上做出了明確要求。醫(yī)療行業(yè)屬于公共服務領域，很多信息系統(tǒng)被定義為保護第三級系統(tǒng)，如何做好這些業(yè)務系統(tǒng)和基礎設施的等級保護，對衛(wèi)生行業(yè)來說，提出了新的要求和新的挑戰(zhàn)。網(wǎng)絡安全態(tài)勢感知的研究應運而生，它融合各種網(wǎng)絡安全要素，站在更高的角度去評估網(wǎng)絡安全的實時狀況，在一定的條件下，可以預測網(wǎng)絡安全態(tài)勢的發(fā)展趨勢，加強關鍵信息基礎設施的保護，使得業(yè)務系統(tǒng)可以滿足等保2.0的新要求的道路。

關鍵詞：等級保護2.0 態(tài)勢感知系統(tǒng) 基礎設施保護

中圖分類號：TP393文獻標識碼：A文章編號：1003-9082（2020）05-00-01

引言

隨著各信息化技術的快速發(fā)展，以及云計算、移動化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術的出現(xiàn)和發(fā)展，醫(yī)療業(yè)務與互聯(lián)網(wǎng)對接已是不可避免的趨勢。醫(yī)療行業(yè)在利用互聯(lián)網(wǎng)、移動化技術實現(xiàn)醫(yī)生隨訪、移動護理、自助交費、院外康復和家庭病床等業(yè)務也利用新技術實現(xiàn)了高速的發(fā)展。

那么在這“互聯(lián)網(wǎng)+醫(yī)療”的大趨勢下，在將新的技術應用到信息系統(tǒng)的過程中，我們發(fā)現(xiàn)新的信息安全問題逐漸浮出水面。一方面新的信息安全威脅層出不窮，非法獲取病人信息已經(jīng)形成產(chǎn)業(yè)化的趨勢，利用特種木馬、0day漏洞、水坑攻擊、釣魚攻擊甚至威脅更大的APT攻擊，已是傳統(tǒng)防火墻、IPS、殺毒軟件等安全防護設備無法發(fā)現(xiàn)和阻止。另一方面隨著單位內各個業(yè)務部門信息系統(tǒng)的快速建設，信息系統(tǒng)產(chǎn)生的數(shù)據(jù)無法被有效收集、整理并加以利用，導致信息安全管理員無法通過數(shù)據(jù)分析發(fā)現(xiàn)隱藏在其中的安全威脅。

網(wǎng)絡安全，有幾個主要特點。一是網(wǎng)絡安全是整體的而不是割裂的。二是網(wǎng)絡安全是動態(tài)的而不是靜態(tài)的。信息技術變化越來越快，過去分散獨立的網(wǎng)絡變得高度關聯(lián)、相互依賴，網(wǎng)絡安全的威脅來源和攻擊手段不斷變化，依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態(tài)、綜合的防護理念。三是網(wǎng)絡安全是開放的而不是封閉的。四是網(wǎng)絡安全是相對的而不是絕對的。五是網(wǎng)絡安全是共同的而不是孤立的。

要全方位感知網(wǎng)絡安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆。沒有意識到風險是最大的風險。網(wǎng)絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發(fā)現(xiàn)不了，結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。維護網(wǎng)絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險，正所謂“聰者聽于無聲，明者見于未形”。感知網(wǎng)絡安全態(tài)勢是最基本最基礎的工作。

隨著《中國人民共和網(wǎng)絡安全法》在2017年6月1日的正式實施，對信息系統(tǒng)安全、個人隱私保護以及處罰標準都做出了明確規(guī)范，在滿足行業(yè)主管部門的要求和法律規(guī)定之上，針對如何解決新形勢下的信息安全威脅則是信息安全保障下一步建設的關鍵所在。

一、態(tài)勢感知安全建設目標

用大數(shù)據(jù)技術，建設針對全院的網(wǎng)絡安全態(tài)勢感知系統(tǒng)，利用可視化技術以圖形化的方式展示院內各業(yè)務系統(tǒng)的安全狀況，并結合互聯(lián)網(wǎng)安全狀態(tài)，整體展示全院的安全態(tài)勢，并能實現(xiàn)對全院核心業(yè)務網(wǎng)絡流量的長期存儲與分析，及時發(fā)現(xiàn)潛在的異常行為和高級威脅。通過本項目建設，將實現(xiàn)醫(yī)院具備如下安全建設目標：

1.建設基于互聯(lián)網(wǎng)威脅情報的高級威脅發(fā)現(xiàn)系統(tǒng);

2.建設全流量采集與日志采集、存儲、分析處理的大數(shù)據(jù)安全分析及態(tài)勢感知系統(tǒng);

3.建設自動化的關聯(lián)分析發(fā)現(xiàn)本地異常行為;

4.建設可視化平臺展現(xiàn)全院整體的威脅與異常及其處置情況;

5.具備高級威脅與內部人員惡意行為發(fā)現(xiàn)能力;

二、態(tài)勢感知系統(tǒng)安全防護建設

信息安全首重發(fā)現(xiàn)的能力，Gartner 研究的最新安全模型，通過預測風險情況和攻擊手段，并對響應的信息和行為進行防護與阻止，并全方位的觀測監(jiān)察防護與組織手段的有效性，對相關內容進行調查與相應，通過持續(xù)性的監(jiān)控與分析，拓展發(fā)現(xiàn)和預測可能出現(xiàn)的攻擊手段和風險資產(chǎn)，從而實現(xiàn)安全保障的閉環(huán)運行。

醫(yī)院業(yè)務的內部網(wǎng)絡來說，本身的安全建設非常重要，而現(xiàn)在已經(jīng)得到一種公認，就是傳統(tǒng)的邊界防御體系有著自身的缺陷，必須采用一種縱深防御體系來代理邊界防御體系。邊界防御思想已經(jīng)成為過去時，而縱深防御體系已經(jīng)成為趨勢。

解決新的安全威脅需要利用多種先進技術，才可能實現(xiàn)對用戶的安全數(shù)據(jù)進行快速、自動化的關聯(lián)分析，及時發(fā)現(xiàn)本地的威脅和異常，同時通過圖形化、可視化的技術將這些威脅和異常的總體安全態(tài)勢進行展現(xiàn)。

1.設計方案

1.1使用互聯(lián)網(wǎng)威脅情報發(fā)現(xiàn)高級威脅

傳統(tǒng)網(wǎng)絡由于APT攻擊的復雜性和背景的特殊性，僅依賴于單一單位的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。

從互聯(lián)網(wǎng)數(shù)據(jù)進行發(fā)掘和分析，由于任何攻擊線索都會有相關聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準溯源。

1.2利用威脅情報檢測高級威脅

用威脅情報的形式對各種APT攻擊中常出現(xiàn)的特點和背景信息進行記錄和傳輸，而威脅情報將通過統(tǒng)一的規(guī)范化格式將APT攻擊中出現(xiàn)的多種攻擊特征進行標準化，可滿足未來擴展APT攻擊特征以及后續(xù)擴展聯(lián)動設備的需要。

1.3使用搜索技術進行數(shù)據(jù)分析處理

用搜索引擎技術作為本地數(shù)據(jù)存儲和檢索核心技術，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，同時相比傳統(tǒng)架構也能夠降低大量接口上的開發(fā)量。可為單位本地的大規(guī)模數(shù)據(jù)保存、攻擊證據(jù)留存和查詢、實時關聯(lián)分析提供堅實的技術保障。

1.4可視化技術使得威脅和異常清晰可見

通過可視化技術的利用，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等數(shù)據(jù)結構化，形成高維度的可視化方案，以便于用戶理解。大數(shù)據(jù)的存儲與實時運算能力保證能夠實現(xiàn)數(shù)據(jù)的實時推送，配以可以實時交互的3D可視化界面，與其美觀的3D展示效果相得益彰?？梢暬夹g的利用使得用戶可以更直觀地感受到網(wǎng)內的安全態(tài)勢，使得安全由不可見變?yōu)榭梢?，不但帶來了更好的用戶體驗，同時還有效地提高了安全監(jiān)控的效率。

結論

本文是基于等保2.0標準下三級系統(tǒng)的要求，對重要基礎公共設施安全下醫(yī)療行業(yè)中態(tài)勢感知系統(tǒng)建設進行說明。從互聯(lián)網(wǎng)數(shù)據(jù)進行發(fā)掘和分析，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等可視化，提升網(wǎng)絡安全數(shù)據(jù)存儲與溯源的能力等方面建設。滿足了等保2.0標準對醫(yī)院系統(tǒng)的要求。

參考文獻

[1]《中國人民共和國網(wǎng)絡安全法》.

[2]《網(wǎng)絡安全等級保護基本要求》.