基于“安全大腦”的醫院網絡安全運營體系框架探討

一、 引言

隨著信息技術在醫療領域的深入應用，網絡信息系統已經成為醫院提高決策水平、管理效率和運營能力的倍增器。“十三五”期間，我國醫療信息化發展日新月異，新技術演進成為醫院提升服務質量效率的重要驅動，新醫改對信息化建設提出了新的需求。根據中國醫院協會信息專業委員會2019年發布的《中國醫院信息化狀況調查（2018-2019年度）》數據，在全國各級各類醫院調查樣本中，100%的醫院擁有與信息化相關的機房，70%以上的醫院擁有獨立、專用和隔離的計算機網絡，85%的醫院建立了網站，說明我國醫院信息化基礎設施已經基本普及。與此同時，醫院信息系統（HIS）、電子病歷（EMR）、影像歸檔和通信系統（PACS）、實驗室信息管理系統（LIS）等，對醫院人財物等資源進行高效調配管理，一旦遭受網絡攻擊導致系統癱瘓、數據丟失與泄露，將會在財產、聲譽甚至生命安全等方面給醫院帶來無法估量的損失。

隨著醫院的資金鏈、信息鏈、診斷鏈全方位從線下遷移到線上，未來醫院網絡安全風險管理和攻防對抗，以及保障民生和維護醫院利益，必然會成為工作的重點。本研究從醫院網絡安全發展現狀出發，分析醫院網絡安全運維方面可能存在的問題和不足，遵從等級保護2.0的相關要求，以數據安全和應用安全為導向，搭建網絡安全運營體系框架，建立統一網絡安全運營模式，推進智慧醫院網絡安全能力落地，滿足醫院網絡安全需求，為醫院網絡安全的發展提供決策參考。

二、 國內外研究現狀

西方國家對醫院網絡安全的認識起步較早，各國高度重視醫院信息化工作，以降低成本、提高效率。但隨著信息化程度不斷加深，國外醫院網絡安全事件頻發，隱私數據泄露、醫療器械被攻擊等給醫院造成了重大損失。近年來，國外醫療主管機構提高網絡安全認識，專門成立網絡安全管理主責部門，并制定一系列法規、制度和標準等，加大網絡安全監管力度。如美國相繼發布了《醫療設備安全移動計劃：保護病患與推動大眾健康》與《醫療行業網絡安全實踐：管控威脅，保護患者》等指導文件，不斷加大對網絡安全違規行為的處罰力度，提高各醫療機構對網絡安全的重視程度，規避違規處罰風險，建成分級分類醫院網絡安全防護體系，系統化促進醫院整體網絡安全。

我國受國情影響，醫院網絡安全建設起步較晚，但是發展迅速，當前部分醫院主業務系統HIS、LIS、PACS、EMR等已基本完成了等級保護定級和整改建設，網絡安全等級保護工作穩步推進。多數信息化建設較為突出的醫院，基礎網絡安全建設已經相對成熟，已具備內外物理隔離的多個網絡，確保網絡架構安全；在網絡關鍵位置建設網絡防火墻和入侵防御設備實現邏輯隔離；建設網閘系統實現數據隔離擺渡；建設防病毒和主機安全管理系統實現終端安全等，醫院自上而下逐步加強對數據安全的重視程度，并在此基礎上初步探索了云計算安全有關措施。

三、 醫院網絡安全存在的主要問題

醫院網絡安全是一系列規則、技術和應用的集合。在政策背景和切實需求的推動下，當前醫院網絡安全的發展勢頭總體良好，但也存在一些不足。

（一）網絡安全管理運營支撐不足

醫院雖已初步建立了網絡安全管理組織架構，成立了網絡安全領導小組，但缺乏頂層設計，未形成統一的安全運維體系，安全人員配備不足、人員安全意識不夠、安全制度制定不足落實不力，針對網絡安全事件主要采取“救火”式的安全管理模式，缺乏統一高效的安全運營支撐，無法感知全網安全狀態，導致發生網絡安全事件不能及時進行響應，整體安全運維效率低下。

（二）個人敏感信息的保護任重道遠

個人信息保護事關每個人的切身利益，而醫療信息尤為敏感，已經頒布實施的個人信息保護法也對個人敏感信息的保護提出了更高的要求。當前能接觸醫療數據的不僅是醫院內部人員，還包括外部研究人員等，信息系統中還包含各類網絡應用以及移動設備應用，風險更加多元。

（三）數據交互引發安全風險

醫院數據的互聯互通使得原有醫院內外網物理隔離的架構面臨顛覆性的改變，結構化與非結構化數據的安全防護，均存在一定程度的隱患，如技術漏洞、物理故障、惡意攻擊等。醫保、醫院官網、微信公眾號和 App等都存在內外網絡和數據交互，任何人都可能通過網站對醫院互聯網服務器發起網絡攻擊，進而危害醫院網絡安全。

同時，系統間通過集成平臺或單體業務系統開放接口的方式實現數據互通，這些接口往往存在數據被盜用的隱患。

（四）新技術引入加劇新安全風險

當前，醫院引進了互聯網醫療、遠程診療、人工智能和大數據等技術應用，促使更多的內部業務系統需要面向互聯網側提供服務，也使得醫院面臨被黑客攻擊的安全威脅。同時，基于云計算、大數據的應用平臺匯聚了大量的病例信息和數據，涉及諸多敏感信息，數據泄露、漏洞利用竊取、虛擬機逃逸和APT攻擊等事件時有發生。

四、解決方案探討

本研究基于醫院網絡安全的實際運營狀況，以及上級管理部門對醫院網絡安全的要求，依據等級保護測評規范，提出一種適合醫院的網絡安全運營體系框架。在威脅預測、威脅防護、持續檢測、響應處置各個環節，充分融合安全專家、技術、大數據的能力，構建符合新常態的網絡安全運營體系。

（一）建立網絡安全運營管理制度

1.安全制度策略建設

建立網絡安全領導小組，由網絡安全領導小組統一負責并組織相關人員制定信息安全管理制度。不斷完善網絡安全工作總體方針、安全策略，制定安全工作的總體目標、范圍、方針、原則、責任等；完善各種安全管理活動中的流程和管理制度；建立和完善日常管理操作規程、手冊等，以指導安全操作；定期對安全管理制度體系進行評審，以發現不適宜內容并加以修訂。

2.安全管理流程建設

基于信息系統全生命周期管理來制定網絡安全管理流程，從系統規劃建設、上線運行、系統下線等維度與安全運營工作緊密結合，通過安全管理流程對制度管理、風險管理、安全規劃、控制執行、績效評價、日常工作等進行統一管理，不斷迭代優化。對醫院信息化安全建設進行全流程安全管理，包括系統定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評等。

3.安全運營管理

對醫院網絡安全建設進行運營管理，包括環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等。結合醫院的實際情況，在不改變或少改變現有安全管理流程的情況下，對安全管理體系的規劃職責、規劃任務、落地任務、規劃分工、規劃交付等方面進行詳細描述。

（二）建立網絡安全運營大腦

安全運營大腦總體架構是通過網絡神經元和其他安全設備的數據收集，結合云端安全賦能，可發現精準的事件告警，安全運營人員能夠通過已有的和新增的安全基礎設施對事件進行響應處置。本地安全大腦利用現有的安全系統及設備，逐步演變為“安全數據集中存儲、安全威脅分析與預警場景不斷擴充、分析能力與數據對外開放”的安全信息存儲及分析平臺。主要包括：指揮運營中心、檢測分析中心、大數據中心和神經元建設。云端安全大腦對本地安全大腦提供安全賦能，傳統安全設備提供為本地安全大腦提供安全數據，并協助安全處置響應。

1.指揮運營中心

指揮運營中心包含與安全運營工作相關的各類管理模塊，從安全態勢分析、安全事件分析、溯源分析、響應處置、評估改進等方面進行安全一站式工作。

2.檢測分析中心

檢測分析中心是本地安全大腦的核心模塊，向上對接安全大腦的安全大腦云，將云端能力賦能到本地，向下通過大數據中心對神經元記錄的打點數據、樣本數據進行檢測分析。檢測分析中心通過各種檢測分析技術對海量多異構數據的進行分析，確保了各類威脅全面可視。

3.大數據中心

大數據中心主要包含數據的采集、解析、標準化、豐富化、存儲、檢索與計算等功能，為上層模塊提供數據檢測與處理的基礎。大數據中心擁有多類強大的數據分析引擎，可進行多源數據關聯分析，實現數據的實時和歷史分析，并基于預置規則關聯情報資產分析生成相關安全告警。

4.神經元

神經元包括部署在用戶環境中的一系列檢測響應產品，負責收集各類數據，傳送給后端，為后續的檢測分析提供原始數據。安全大腦神經元系統包括終端神經元、網絡神經元、資產/脆弱性神經元等。安全大腦同時支持各類第三方傳統安全設備與系統的接入，增強安全數據的多樣化和對威脅的覆蓋度。

5.安全大腦云端能力

安全大腦在云端提供查殺、沙箱、分析、知識庫、漏洞眾包、威脅情報、認證專家、實戰靶場、安全培訓等多類服務，實現本地到云端服務的交互。

查殺云：實質是基于安全大數據和智能分析能力，通過云端提供多維度的檢測、查殺服務，實現對病毒等威脅實時、高效地識別和發現。

沙箱云：使用自動化或人機協同的沙箱將行為分析和傳統的特征匹配結合起來，發現未知威脅。

知識云：是安全大腦不斷進化的核心，為認知和衡量網絡攻擊提供素材和策略。

漏洞云：是安全服務的第一抓手，通過漏洞響應平臺網聚廣大優秀的白帽子力量，提供公共的漏洞招領、醫院專屬的SRC、定向的漏洞眾測和基于漏洞感知的威脅情報等漏洞安全服務。

情報云：擁有強大的漏洞挖掘、APT攻擊捕獲、惡意軟件分析等威脅情報處理能力，通過情報集成、深度分析、API提供威脅情報查詢、訂閱服務，支撐安全自動化編排和其他高級工作流程，實現“本地檢測+云端分析+本地響應”的閉環。

實戰云：擁有網絡實戰能力和豐富的護網經驗，提供用于檢驗、測試、提升網絡安全能力的標尺型安全服務。

專家云：專家云對安全運營中各種問題提供專業的遠程支持服務，基于安全大腦專家云上資源遠程快捷解決各類問題。

（三）建立網絡安全運營中心

依據國家級保護要求和相關標準規范，按照“集約化、服務化、一體化、專業化”的建設思路，以安全能力建設為核心、以態勢感知建設為載體、以機制流程建設為抓手、以標準規范建設為紐帶，建立與醫療數據中心相配套的安全運營中心，集中面向各業務系統提供統一安全服務和監管，同步指導建設符合保護等級要求的縱深防御設施，形成強后臺、精前臺的網絡安全運營模式。

網絡安全運營中心依托安全大腦將安全運營工作整合在統一平臺上。利用人工智能和自動化技術賦能安全運營，通過安全事件自動智能整合威脅攻擊的各階段多維度信息，結合威脅情報、資產風險人機交互展示、日志告警下鉆查詢手段、事件處置建議、自動化的預案執行，幫助安全分析人員節約安全溯源分析、威脅處置的時間，整體提升運營效率。

1.安全態勢

以可視化方式展示安全整體狀況，包括威脅攻擊態勢、大數據中心態勢、檢測分析中心態勢、指揮運營中心態勢等，方便快速掌控全局安全情況。

2.安全事件管理

安全事件管理模塊持續自動分析和關聯整合與攻擊相關的上下文安全數據信息，包括各攻擊階段的告警、攻擊行為的日志、相關的威脅情報和資產信息，按攻擊時序生成安全事件、可視化的攻擊鏈路圖以及處置建議，方便安全分析人員進行威脅分析和處置。

3.攻擊熱力圖

通過MITREATT&CK和ATT&CK框架展現攻擊熱力圖。該攻擊熱力圖能以圖譜展現醫院當前遭受到的威脅攻擊，包括攻擊戰術和技術，為安全人員服務提供便利。

4.威脅溯源

威脅溯源是安全人員對攻擊進行分析和處置的重要手段，包括各類交互式檢索分析以及自動化威脅溯源結果展示。

五、實現結果

醫院基于“安全大腦”的核心思想，從網絡安全運營大腦建設、網絡安全運營中心建設、網絡安全運營管理制度建設等幾方面探討醫院網絡安全運營框架體系設計和建設。其中，網絡安全運營大腦是安全運營的基礎，網絡安全運營中心是安全運營的核心，運營管理制度是安全運營的支撐，通過三者的有機結合，依據國家級保護要求和相關標準規范，建立網絡安全技術服務體系，實現統一網絡安全運營模式，持續提升安全運營能力，保障醫院網絡安全。

根據南京鼓樓醫院的實踐，安全運營體系建成一年以來，安全大腦攻擊分析和處理各類安全攻擊事件5萬余次。以醫院一例僵尸網絡安全事件為例，通過前端安全大腦神經元采集到該安全事件，將事件記錄上傳至安全大腦大數據中心，檢測中心對該條數據進行檢測和分析，必要時對接云端大腦，分析結果在指揮運營中心平臺統一展現，由指揮運營中心提供安全態勢、安全事件分析、溯源分析、響應處置、評估改進等，最終實現安全事件的閉環管理。

六、討論

本研究以醫院網絡安全需求為主導，遵循網絡安全法、網絡安全等級保護要求和相關標準規范，構建以“安全大腦”為核心的網絡安全運營體系，在威脅預測、威脅防護、持續檢測、響應處置等各個環節，充分融合安全專家、技術、大數據的能力，構建符合新常態的安全運營體系。該網絡安全運營體系框架融合了技術工具、制度流程和安全人員，可實現對業務系統的安全運營閉環，持續開展網絡安全運營管理工作。在該網絡安全運營體系框架指導下，安全運營人員基于安全大腦和工具開展工作，通過人機結合提高安全運營效率。醫院在該體系框架下實施網絡安全運營管理，連續兩年保障醫院無重大網絡安全事件發生，在保障醫療業務安全、穩定運行的同時，也為醫療聯合體提供全方位網絡安全服務，運營狀況良好，值得進一步推廣。

作者單位：南京鼓樓醫院信息管理處

基金項目：2021年度醫院管理創新研究課題JSYGY-3-2021-198 ，南京大學中國醫院改革發展研究所課題項目，南京鼓樓醫院醫學發展醫療救助基金會資助項目（NDYG2021041）