網絡新技術在醫院信息安全運維中的應用

浙江醫院信息中心 韓 晨

本文主要闡述了醫院信息化安全的背景、現狀，分享5個常見網絡安全運維的重點工作內容的技術方案，展望未來的一些發展方向及趨勢。

從計算機系統安全、信息安全、互聯網安全（Internet Security）到網絡空間安全（Cyberspace Security簡稱Cyber Security），網絡安全的范圍越來越大，向云端、網絡、終端等各個環節不斷延伸，甚至覆蓋到陸、海、空、天四大領域。隨著《網絡安全法》、《密碼法》、《網絡安全等級保護制度》、《商用密碼應用安全性評估》、《關鍵信息基礎設施網絡安全保護基本要求》、《網絡安全審查辦法》等法規和規定的出臺，等保1.0進入等保2.0時代。

醫院信息系統以his、pacs、lis、emr為主，其他系統為輔。隨著最多跑一次的深化改革，醫共體、醫聯體、互聯互通能力成熟建設、智慧醫院打造、DRGs的開展、“醫療健康中國”示范省的建設，醫院信息化系統不斷升級，大數據、人工智能、5G、移動互聯網、物聯網、星聯網等新技術的出現，網絡結構不斷調整，我們在進入醫療數字智能時代的同時，安全問題變得更為復雜。在等保2.0、等級醫院、護網行動、公安檢查等各種檢查中可以看出，醫院網絡安全的要求越來越高。所以，如何做到在保證原有業務流暢性和拓展性的前提下，盡可能的提高網絡安全是我們醫院信息人不斷努力的方向。

現行醫院信息主流的網絡規劃模式有兩種：第一種是內外網隔離，第二種兩網融合。在這樣的網絡環境下，從業務角度出發，醫院數據中心的架構大致為大三層網絡+Vmware計算虛擬化+傳統存儲+物理主機。隨著信息化的發展，互聯互通業務的需求，結合等保2.0的各項要求，傳統的醫院網絡架構及數據中心的架構主要存在以下問題：邊界梳理不夠清晰、入侵防御中的防病毒落實不到位、最小權限原則沒有劃分明確、身份驗證和密碼應用太少、容災備份不到位、硬件瓶頸且拓展性較差、需要大量運維人員做技術支撐、終端資源眾多管理困難等。

根據行業背景和存在的問題，以下針對五個常見網絡安全運維重點工作展開描述并提供建議。

1 信息資產梳理與風險管理

信息資產是網絡安全建設的根本，只有理清網絡環境中有哪些信息資產，它們的屬性和安全狀態如何，及時監控、預測和處置資產的安全風險，才能真正實現有效的管理網絡安全。資產管理類的技術產品和平臺應包括以下主要能力：資產信息自動發現識別、安全檢測、漏洞與威脅情報管理。

資產發現包括主動發現和被動發現兩種方式：

（1）主動發現：利用SNMP掃描、NMAP掃描、漏洞探測和其它資產探測工具，收集資產的IT屬性和安全屬性，建立資產庫。其主要包括：交換機SNMP查詢、交換機流量采集比對、NMAP等（備注：以不影響業務正常運行為前提）。

（2）被動發現：采取網絡設備鏡像流量分析方式，自動查找和識別網絡中的資產，動態的管理入網的IT資產，結合主動發現工具，補充資產庫。

安全檢測包括使用掃描工具，檢測IT資產的安全屬性信息（包括安全漏洞、安全基線符合性），其主要的技術產品和功能要求有：主機漏洞檢測、安全基線符合性檢測等。

要建立資產安全風險態勢感知，充分利用大數據技術搭建技術平臺，結合資產自動發現、安全檢測的建設成果，各醫院應建立資產安全風險的態勢感知平臺系統，實現信息資產庫的形成、方便管理安全漏洞和基線符合性狀態，利于綜合集成多類威脅情報來源并建立事件處理流程。

其中，ρ為介質密度，ut為水平位移速度，wt為垂直位移速度， τxx，τzz為正應力，τxz為剪應力，λ，μ為介質的拉梅系數；c11=c33=λ+2μ，c13=λ，c44=μ。

2 軟件開發安全

醫院行業本身需要多變且業務發展快，在用的軟件大部分是外部采購，外包或自己做開發，而軟件都是人寫的，必存在安全問題。發生安全問題的根本原因有兩個：一個是軟件自身存在安全問題，另一個是軟件在應用中存在安全威脅（即軟件面臨嚴重的外部威脅）。

結合國際主流的軟件開發安全生命周期理論，各醫院應將信息系統建設和開發的過程分為以下階段，并在每個階段采取必要的保護措施和相關技術產品。所以，軟件安全開發生命周期以及相關的安全技術方案的主要對應關系如下：需求階段—安全需求分析、設計階段—威脅建模、開發階段—代碼審計、測試階段—安全測試（包含應用層和系統層的漏洞掃描及滲透測試）、部署階段—安全加固、運營階段—事件響應、下線階段—資源回收。

3 護網

護網總體的工作思路是建立護網專項工作組，分階段實施護網前、中后期的各項安全措施，明確護網各階段工作重點，進行安全風險排查自查、安全加固與自我整改，建立安全事件監控與響應機制，最后就是要總結經驗教訓。

4 醫療儀器設備安全保護

在互聯網等技術不斷發展的時代，領先的醫療保健企業正不斷轉向以聯網技術為根基的解決方案。當前，大部分醫院都采用東芝、西門子、GE、飛利浦等國外醫療儀器，并沒有相關防護措施進行統一管理運行狀態、排班管理、4G/5G外聯、運維日志等措施，會面臨數據出境、病毒進入等風險。加之，國外設備因為不允許部署其它廠家的軟件在其設備，因為怕產生不兼容而出現醫療事故，讓信息部門既恨又怕。為此，我們推薦采用醫療儀器設備管理解決方案，無客戶端方式能實現非法外聯，并能監控數據發到哪個IP，也能實時統一監控其設備運行狀態，解決設備科室對設備的主動管理權等。針對醫院的重要醫療設備采取必要的安全保護措施。醫療設備的管控方案主要包括實時發現和管理設備、離線醫療設備管控、智能安全分析、外部情報聯動、管理設備使用能效檢測、基于策略的自動響應、與院內其它關鍵平臺集成，把工作人員從跟蹤設備的手動過程中解放出來，讓他們更加專注于患者護理這些主要功能。

5 醫院網絡安全運營和合規績效考核

設計網絡安全管理績效評價的域和評價指標，結合“安全管理中心平臺”（對標SOC平臺）的安全分析結果，形成網絡安全管理績效評價體系，并可基于部門、業務等多個維度對績效評價結果進行圖形化展示。

未來3至5年，醫療行業數據中心發展的趨勢會以超融合架構為主，因為超融合在成本、性能、拓展性、擴容上相較于傳統方案都更具有性價比。超融合平臺也可統一納管其他云平臺進行容災備份。

對于黑客而言，進入醫院網絡后一定有所圖，有所動作。黑客控制一臺終端后，會去收集信息，掃描同段的資產，尋找薄弱點，進行橫向移動，再去提權。尤其在醫院環境下二層的共享、遠程端口難以管控。所以，流量檢測分析的設備和基于用戶行為分析的設備未來會成為主流。在黑客進行掃描、傳播漏洞腳本、橫向移動等行為的時候，流量檢測分析的設備將會捕捉到它。黑客進行暴力破解、訪問應用系統二級目錄、上傳webshell后門等行為時，將會被行為分析系統（幻陣）捕捉到。未來流量分析和用戶行為分析的設備將會越來越被重視。

零信任的概念是最近提的比較火的概念，傳統的邊界設備（如：下一代墻、WAF、IPS等）都是基于規則去限制外部的流量。對于利用0day、1day的黑客攻擊是無法被阻斷甚至是審計到的。在這種場景下，要解決這個問題，一種是上文提到的結合流量檢測和用戶行為分析的設備，一種是全院采取零信任架構。傳統的邊界設備是出口的硬件設備，我們通過軟件來定義邊界，就是以終端為單位。每個人都擁有不同權限的賬戶和身份，每個人能訪問的資源也不同。在用戶正常訪問業務的時候也會基于用戶的行為進行動態驗證。只要用戶無法進行驗證或做出異常行為將立即被阻斷，失去一切的權限和訪問的資源（最小化用戶權限）。

全院零信任架構落地還需時日，不過就目前廠商的發展來看已經初具雛形。EDR+態勢感知平臺將是未來零信任架構不可或缺的一環，所有終端的訪問控制將通過EDR來實現，目前通過態勢的流量分析能發現醫院網絡訪問的關系以及異常流量。發現后可聯動EDR平臺進行微隔離處置，即端到端、端到服務的控制。

假以時日，傳統的邊界防御設備和資產發現設備將為院區網絡安全兜底，收窄安全暴露面。流量分析和用戶行為分析系統將發現和審計這些“漏網之魚”并及時進行處置。零信任架構+態勢感知+流量分析和用戶行為分析系統+傳統邊界防御將形成安全閉環。通過信息安全的建設，可以使醫院信息系統達到國家及醫療行業內部關于信息安全等級保護的基本要求，大大提高合規性水平，保障數字醫院的信息化快速發展，確保醫院業務安全可靠的運行。