探秘網(wǎng)絡(luò)安全運營的“江干模式”

張文

走路十幾分鐘，到附近醫(yī)院頭疼腦熱就能治好;小病不用去大醫(yī)，免去舟車勞頓之苦。近年來，基層醫(yī)療衛(wèi)生改革深入開展，數(shù)字化水平大幅提升，給患者和醫(yī)生都帶來了極大便利。但隨著醫(yī)療數(shù)據(jù)的開放共享，信息安全也面臨新的挑戰(zhàn)。

基層醫(yī)療機構(gòu)數(shù)量眾多，規(guī)模較小，地理位置分散，導致信息化和網(wǎng)絡(luò)安全建設(shè)參差不齊，總體水平相對落后。不僅自身廣泛存在著后門程序、僵尸網(wǎng)絡(luò)、木馬蠕蟲、勒索病毒等安全問題，同時由于需要接入衛(wèi)生專網(wǎng)，更給衛(wèi)生專網(wǎng)和數(shù)據(jù)中心帶來巨大安全隱患。

如何保障醫(yī)療數(shù)據(jù)信息安全，保護患者隱私，滿足信息安全等級保護要求，確保醫(yī)療服務(wù)穩(wěn)定開展？如何將網(wǎng)絡(luò)安全防御框架“下沉”到醫(yī)療衛(wèi)生體系末端，讓基層醫(yī)療機構(gòu)也具備事前防控的“積極防御”體系？面對這些問題，2020年1月開始，浙江省杭州市江干區(qū)衛(wèi)生健康局攜手奇安信，以態(tài)勢感知與安全運營平臺為核心，建成全國首個覆蓋社區(qū)衛(wèi)生服務(wù)中心的網(wǎng)絡(luò)安全運營樣板，打造了讓各地醫(yī)療衛(wèi)生機構(gòu)廣泛借鑒的“江干模式”。

基層網(wǎng)絡(luò)安全“三板斧”

“在部署NGSOC之前，街道社區(qū)衛(wèi)生服務(wù)中心的網(wǎng)絡(luò)安全停留在安裝殺毒軟件這樣的被動防御層面。基本是各自為戰(zhàn)、事后補救，非常被動。”江干區(qū)衛(wèi)生健康局信息安全負責人魯主任表示，“對于衛(wèi)生系統(tǒng)專網(wǎng)的監(jiān)管者和運營者來說，由于缺少指導和開展相關(guān)網(wǎng)絡(luò)安全工作的工具和數(shù)據(jù)，無法對網(wǎng)絡(luò)安全做到高效運營和深度管控，很容易讓專網(wǎng)的重要業(yè)務(wù)和敏感數(shù)據(jù)，暴露于攻擊者面前。”

江干區(qū)衛(wèi)生健康局始終對網(wǎng)絡(luò)安全高度重視，2018年，當基層區(qū)域衛(wèi)生信息化建設(shè)完成之后，幾乎同期，整個系統(tǒng)就全線部署了奇安信天擎等安全產(chǎn)品。

2019年開始，為了強化安全分析、威脅發(fā)現(xiàn)和管理能力，構(gòu)建積極防御體系，態(tài)勢感知和安全運營的建設(shè)部署被列上日程。

“幾家廠商競爭非常激烈，經(jīng)過幾輪篩選，奇安信走到了最后。”提起選擇過程，魯主任談到，參與的幾家廠商各有千秋，都有很強的實力。考慮到衛(wèi)生健康局現(xiàn)狀，主要考量參與廠商的兩方面能力：首先是安全分析能力，其次是安全服務(wù)能力。

談到這次項目實施，魯主任回憶了當時的一個小插曲。

從2019年底招標確定下奇安信作為合作伙伴，到2020年初NGSOC等主要設(shè)備基本到位，和奇安信的合作非常順利。即便中間受到春節(jié)和疫情因素影響，奇安信仍然在復(fù)產(chǎn)復(fù)工之后，第一時間進行上門部署。不過，當時卻遇到過一次意外。

“三臺服務(wù)器幾次調(diào)試，同步總是不成功，延遲比較厲害。”奇安信項目工程師向衛(wèi)生健康局信息中心反饋了部署中遇到的問題。

“所有業(yè)務(wù)都是正常的，應(yīng)該不是網(wǎng)絡(luò)的問題。”衛(wèi)生健康局信息中心當時也感到很困惑，但第一反應(yīng)并沒有想到網(wǎng)絡(luò)設(shè)備的因素。

3月初的杭州乍暖還寒，那幾個晚上，奇安信工作人員經(jīng)常干到深夜，一次次的調(diào)試，排查故障，尋找原因，甚至凌晨一兩點才離開機房。

到3月10日，魯主任感覺有些奇怪，于是帶上網(wǎng)絡(luò)技術(shù)人員，去現(xiàn)場反復(fù)排查網(wǎng)絡(luò)設(shè)備，終于有了重大發(fā)現(xiàn)，找出了故障原因。

“原來，當時我們用的是某網(wǎng)絡(luò)設(shè)備廠家型號較老的交換機，為了2臺做堆疊，后來增加了兩塊萬兆光板卡和兩塊電口板卡進行數(shù)據(jù)交換，當時從業(yè)務(wù)正常運行的層面，沒發(fā)現(xiàn)異常。但在測試中發(fā)現(xiàn)，2塊新的板卡，在數(shù)據(jù)同步的時候，未能達到千兆。所以當流量很大的時候就會出現(xiàn)延遲。” 魯主任表示。

當晚，信息中心就對網(wǎng)絡(luò)設(shè)備進行了系統(tǒng)升級，之前數(shù)據(jù)同步延遲的問題徹底得到了解決。“之前我們都以為是NGSOC安裝調(diào)試的問題，沒往網(wǎng)絡(luò)設(shè)備上想。”不僅如此，奇安信的專業(yè)服務(wù)和快速響應(yīng)能力讓魯主任記憶深刻。“網(wǎng)絡(luò)安全的核心是人，再強大的產(chǎn)品，再聰明的機器，都需要人來運營，人來使用。奇安信提供了日常巡檢服務(wù)、應(yīng)急響應(yīng)服務(wù)、重要時期安全保障服務(wù)，尤其是每月都有專業(yè)的NGSOC分析報告，對月度告警情況、僵木蠕毒活動事件、安全處置建議等詳盡分析。”

提前洞悉威脅?將安全風險化于無形

“我們?yōu)榭蛻籼峁┑牟皇菃我划a(chǎn)品，而是一套在防御、檢測、響應(yīng)、預(yù)測、持續(xù)監(jiān)控分析周期內(nèi)提供威脅發(fā)現(xiàn)和響應(yīng)綜合性一體化平臺。”負責江干項目的奇安信浙江分區(qū)醫(yī)療銷售總監(jiān)蔣寶堯表示。

在威脅發(fā)現(xiàn)和感知方面，通過部署NGSOC，可提前洞悉各種安全威脅，同時聯(lián)動本地防火墻、終端安全管控系統(tǒng)以及云端的威脅情報數(shù)據(jù)，能夠?qū)ξ粗{的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn)，并可對受害目標及攻擊源頭進行精準定位，最終達到對入侵途徑及攻擊者背景的研判與溯源，并為后期安全加固提供有效依據(jù)。

對于客戶最關(guān)心的性能和安全分析能力，一方面，奇安信NGSOC具備千億級數(shù)據(jù)處理能力，可以大大提升安全分析和響應(yīng)的速度和效率;另一方面，NGSOC基于國內(nèi)首款分布式關(guān)聯(lián)分析引擎Sabre，通過場景化檢測規(guī)則、機器學習和關(guān)聯(lián)分析進行多維度威脅研判，大幅降低了威脅檢測的誤報率和漏報率，其DGA域名檢測準確率高達99.94%。

在邊界防護方面，通過部署防火墻對整個網(wǎng)絡(luò)形成分區(qū)分域，一方面對內(nèi)外網(wǎng)出口及重要邊界進行安全防護，另一方面可以更好的進行訪問控制。在聯(lián)動方面，該項目形成“云管端”聯(lián)合解決方案，將終端安全管控、控制中心、新一代防火墻“病毒云查殺”、云端反饋和NGSOC等實現(xiàn)無縫聯(lián)動，提升告警和阻斷效率。

而在服務(wù)方面，奇安信推出了專業(yè)運營服務(wù)，將人、數(shù)據(jù)、工具和流程，四個維度進行了有機的結(jié)合，徹底幫助衛(wèi)健委下屬部分機構(gòu)客戶解決產(chǎn)品不能用、不會用的問題，讓態(tài)勢感知實現(xiàn)了真正落地。

對于該項目，奇安信負責人歸納了四方面的效果。首先是威脅告警事件數(shù)量明顯降低。其次是發(fā)現(xiàn)反復(fù)感染風險并及時處理。通過NGSOC發(fā)現(xiàn)了部分衛(wèi)生服務(wù)中心存在反復(fù)感染跡象，由安服人員進行了協(xié)助排查并及時處理，提高了區(qū)衛(wèi)生健康局的網(wǎng)絡(luò)安全監(jiān)管處置能力。再次是解決了社區(qū)衛(wèi)生網(wǎng)絡(luò)安全的人力和財務(wù)問題。最后是形成安全能力下沉的典型經(jīng)驗。該項目針對醫(yī)療衛(wèi)生體系大數(shù)據(jù)時代的安全需求，基于大數(shù)據(jù)思維下沉安全業(yè)務(wù)流程和企業(yè)體系架構(gòu)，以數(shù)據(jù)為核心，形成醫(yī)療衛(wèi)生體系末端安全能力下沉典型經(jīng)驗，打造出體系化、合規(guī)化、可視化、持續(xù)化、可復(fù)制的江干模式，已吸引省內(nèi)多個市區(qū)縣衛(wèi)生健康局前來考察調(diào)研和學習。

杭州江干區(qū)衛(wèi)生健康局的“江干模式”運行成功之后，在全國醫(yī)療衛(wèi)生行業(yè)被廣泛借鑒。僅僅一年的時間，就有數(shù)十家單位，紛紛借鑒江干模式，將安全管理前移到規(guī)劃建設(shè)早期階段，并將態(tài)勢感知融入系統(tǒng)運行維護過程之中，實現(xiàn)常態(tài)化的威脅發(fā)現(xiàn)與響應(yīng)處置工作，變被動防御為主動防御，構(gòu)建起“關(guān)口前移，防患于未然”的網(wǎng)絡(luò)安全管理體系，進而顯著提升醫(yī)療衛(wèi)生行業(yè)的信息安全保護和智慧治理水平。