基于態勢感知的醫院安全運營實踐

陳明，林志剛，林傳捷

福建醫科大學附屬第一醫院信息中心，福建福州 350005

隨著國家信息安全技術網絡安全等級保護(“等保2.0”)的頒布，國家對醫院的安全管理提出了新的要求，如應對分散在各個設備上的審計數據進行收集匯總和集中分析， 并保證審計日志記錄符合法律法規要求；應能對網絡中發生的各類安全事件進行識別、報警和分析等[1]。 另一方面，隨著網絡技術的日趨成熟，黑客們也將注意力逐步轉向APT 攻擊。 根據國家互聯網應急中心（national internet emergency center，CNCERT） 發 布 的《2020 年我國互聯網網絡安全態勢》，境外“白象”“海蓮花” 等APT 攻擊組織以各類社會熱點為誘餌對中國衛生機構發起攻擊；同時勒索病毒持續活躍，技術手段不斷升級，入侵移動過程的自動化、集成化、模塊化、組織化特點愈發明顯，并表現出更強的針對性，攻擊目標主要是包含醫療機構在內的大型高價值機構[2]。因此，在網絡安全保障壓力與日俱增的情況下，醫院如何建立與時俱進、持續有效的安全運營體系將成為一個重要的研究課題[3]。 該研究以某省屬三級甲等醫院的網絡安全現狀為例，提出基于態勢感知的醫院安全運營方案，于2021年9—12 月開展持續有效的安全運營實踐活動，現報道如下。

1 基本現狀與主要問題

該省屬三級甲等醫院經過多年的安全建設，建立院內院外網絡通信渠道；建設各種外聯線路防火墻、入侵防護系統、網絡準入系統、網絡管理系統、運維與審計系統、 數據庫審計系統與網閘等安全防護設備和管理工具，完成了基礎的信息安全體系建設[4]。但該醫院的網絡安全防護體系仍存在以下問題： 醫院存在安全數據孤島，分散的告警信息導致溯源能力不足，對高級威脅的檢測、處置存在滯后；醫院安全管理人員身兼多職，未專人專崗位，工作存在業務邊界不清晰；醫院安全運營流程不完整，安全告警無法及時有效處理。 這些問題不僅使網內的安全設備和管理工具無法充分發揮其安全防護能力，也無法保證院內高效的安全運營閉環管理[5]。

2 安全目標與框架

2.1 安全目標

在醫院原有安全防護的基礎上，通過部署態勢感知系統提升醫院安全數據的采集、認知、溯源分析能力及應急響應能力。 組建醫院網絡安全團隊，優化安全運營流程，準確定位風險，及時處置告警，逐步構建主動、協同、閉環、高效的安全運營體系，實現醫院安全管理由被動防御向主動防御轉變、 靜態防御向動態防御的轉變、分散防御向協同防御轉變。

2.2 安全框架

為了實現可持續的安全運營目標， 依據等級保護2.0 的基本要求及技術要求、 網絡安全態勢感知通用技術要求、MMI 軟件成熟度模型及ISO27000 的合規要求，建立醫院安全運營框架[6]，見圖1。 安全運營框架以人員、技術、流程為支撐，圍繞資產、漏洞、威脅、事件4 個要素持續有效地開展網絡安全運營工作，其中技術是安全運營的核心，流程提供安全運營的機制保障，而人員可充分發揮技術及流程的安全管理價值。

圖1 醫院安全運營架構

2.3 建立組織架構

醫院建立網絡安全運營團隊， 包括網絡安全決策、網絡安全管理、網絡安全執行3 個組成部分。 信息中心主任作為安全運營主管， 組織安全運營標準規范的制訂，組織開展安全運營規范、安全培訓，負責網絡安全運營體系建設和安全考核； 安全管理員負責溝通安全需求、制訂安全方案計劃、把控工作進度與質量，對接日常安全業務運維工作；網絡系統管理員、主機管理員、終端管理員、應用管理員作為執行組織的成員，共同配合完成安全相關資產管理，安全監測、威脅分析、安全事件處理，文檔管理等工作[7-8]。

2.4 部署態勢感知

網絡安全態勢感知建設融合云計算、大數據、人工智能等先進技術，可顯著提高網絡安全態勢狀態和把控能力。 醫院建立本單位的信息網絡態勢感知系統，全面采集醫院信息安全危險數據，充分挖掘分析可能存在的高級威脅事件， 以掌握醫院網絡信息安全風險信息，提升內部應急響應能力[9]。

態勢感知系統部署在醫院互聯網訪問接入區，用于威脅情報更新。 其部署方式見圖2。 流量探針分別接入醫院訪問接入區、運維管理區、業務受理區、業務處理區、政務外網、數據中心等區域，其日志采集器采集各區域安全設備、網絡設備以及各服務器的系統日志，流量探針采集到的數據匯入態勢感知平臺進行分析。在檢查流量數據接入無誤后，對接入的采集設備、數據的解析規則和策略提供統一的管理， 包括日志采集與處理、流量采集與處理等。同時采用高性能的分布式集群數據存儲與檢索系統，幫助安全運營人員追根溯源；配置與其他安全產品進行聯動，將告警、漏洞、弱口令等通過工單任務統一跟蹤，實現安全威脅及時有效的處置[10-11]。

圖2 態勢感知系統部署拓撲圖

2.5 優化運營流程

安全運營工作流程圍繞資產管理、漏洞管理、威脅管理、事件管理閉環處置過程進行展開，并確保每個環節工作都能高效率執行[12]。

2.5.1 資產管理 資產管理員首先協調主機管理員與應用管理員對已有的資產進行確認，確認的內容涵蓋系統IP、系統名稱、責任人及開發商等基本信息，然后對全網進行資產掃描，完善原有的資產清單，在確認無誤后錄入安全態勢感知的資產庫中。 在安全運營過程中心，資產管理員根據實際情況，結合安全態勢感知的變更探測和存活性監測等資產識別功能，持續發現新增和變更的資產信息，在資產發生變更時及時更新資產信息，避免資產信息與實際不符。

2.5.2 脆弱性管理 根據掃描的深度、 時間周期制訂漏掃策略，執行漏洞掃描的同時對發現的漏洞進行分析和驗證；在確認漏洞重要等級后，制訂漏洞處置方案：安全管理員將漏洞整改通知報告及時轉發主機管理員與各應用負責人，各應用負責人督促相關系統開發商限期完成系統應用邏輯漏洞、中間件、應用開發框架漏洞的修復， 并協助主機管理員在限期內完成操作系統漏洞、數據庫系統漏洞的修復。安全管理員在收到漏洞修復確認報告后對修復的漏洞進行復測。漏洞未完全修復繼續通知相關人員，若人員未反饋任何信息，上報安全運營主管繼續推進直至漏洞修復[13]。

2.5.3 威脅管理 首先對態勢感知發現的威脅進行判斷，若接受風險就進行備注說明，因業務原因暫不處理進行持續跟蹤。對需要馬上進行處置的安全事件采用與安全設備聯動的方式進行處置，威脅處置完成后將與安全事件相關聯的告警信息、日志信息、情報信息、資產信息等進行歸納整理，對事件處置的結果采用觀察、分析、主動驗證等方式對威脅的處理結果進行確認，確認風險威脅消除，確認采用的措施對于風險控制有效[14]。

2.5.4 事件管理 定期審閱醫院應急響應預案， 定期組織應急演練，并更新應急響應流程。在安全事件發生時，盡快識別并采取應對措施來控制安全事件的影響，根除造成安全事件的原因，并盡快采取恢復措施，使業務恢復正常運轉。 一旦事件成功解決，需要撰寫網絡信息安全事件報告，并根據該次安全事件更新應急響應預案[15]。

3 應用效果

該省屬三級甲等醫院依據以上安全運營方案，于2021 年9 月，通過安全態勢感知平臺，從資產、漏洞、威脅、事件4 個維度開始進行持續有效的安全運營，其一個季度的安全運營情況如下。

運營團隊將重要資產全部錄入態勢感知平臺，對各類高危告警進行分析研判， 告警類型涉及跨站腳本攻擊、信息泄露、目錄遍歷、SQL 注入、暴力猜解、遠控木馬、代碼執行、蠕蟲事件、HTTP 爆破、Apache strurt 漏洞及SSH 爆破等， 告警分發給各責任人進行處置的同時持續跟蹤監督。 統計顯示，在安全運營中資產安全防護率達到100%；處置攻擊威脅事件11 起，威脅情報命中資產15 個，排查防火墻等安全策略隱患20 個；發現并處置緊急漏洞15 個，弱口令29 個，安全事件38 起，事件平均響應時間為5 min，響應及時率100%。 此外，醫院第一季度全網外部攻擊總次數達16.78 萬次，平均每周捕獲網絡攻擊1.19 萬，每周外部攻擊數持續降低，見圖3，這意味著醫院資產安全風險下降、信息安全事件發生的概率降低，說明基于態勢感知的醫院安全運營管理效果初見成效[16]。

圖3 醫院2021 年第4 季度外部攻擊趨勢圖

4 結語

基于態勢感知的醫院安全運營自開始以來，圍繞業務的“資產、漏洞、威脅、事件”4 個核心要素，充分發揮安全運營人員的能動性與安全設備的價值，主動發現醫院安全風險并進行閉環處置，在幫助醫院順利通過國家網絡安全等級保護2.0 測評的同時，也實現醫院信息安全風險可知、風險可控、風險可管，切實提升醫院安全運營效率與質量，避免醫院因信息安全事導致醫患糾紛等不良后果。 此外，它對我國其他醫療機構的安全運營管理，也具有一定的參考價值和推廣意義。