2017年4月,国务院办公厅印发《关于推进医疗联合体建设和发展的指导意见》,全面启动多种形式的医疗联合体建设试点,从此开始,全国各省掀起了一场医联体建设的浪潮。
“通过医联体建设,深圳市二院的医疗能力已经完成了向区级医院的下沉,但接下来的任务是推动安全能力的下沉,否则一旦区级医院被突破,整个集团内网的重要系统和数据,也会暴露在攻击者面前,后果不堪设想。”深圳市第二人民医院(简称深圳二院)信息科科长熊文举表示。
图:深圳市第二人民医院(深圳大学第一附属医院)
深圳二院,是深圳市综合实力排名前三的大型医院。2017年6月,深圳二院牵头组建深圳市大鹏新区医疗健康集团(简称:大鹏新区医疗集团),对大鹏新区3家区级医院及所辖21家社区健康服务机构进行一体化管理,推进“以人为本”的市、区一体化医疗卫生服务体系建设。2020年,深圳二院通过部署奇安信天眼(新一代安全感知系统),为大鹏医疗集团以及旗下的3家区级医院,实现了医联体信息化安全威胁检测、主动防御和全局安全态势可视一体化,树立了深圳集团化、医联体改革的样板工程。
医疗能力加速下沉 安全风险随之而来
2017年9月1日,国家卫生计生委、国务院医改办在广东省深圳市召开全国医联体建设现场推进会,深圳的改革经验被充分肯定。
“病有良医”,是民生幸福的基础。近年来,深圳以改革创新为动力,着力推进以基层医疗集团为主要形式的紧密型医联体建设,引导医疗卫生工作重心下移、资源下沉。2017年,作为深圳市首个市区合作的紧密医联体,大鹏新区医疗集团正式成立。目前,集团建立了“社康机构-区级医院-市级医院”上下通畅的三级诊疗服务体系引导优质医疗资源下沉基层,让大鹏辖区居民足不出户即可享受市区三甲医院同质的医疗服务,并创下了全科诊疗服务公众满意度位居全市第一的口碑。
在医疗能力下沉的同时,大鹏新区医疗集团的网络安全问题也凸显出来。熊科长回忆在项目实施前,安全挑战主要在几个方面。
首先是地理分散,距离较远,统一管理防护的难度高。“深圳二院位于福田区,而其他3家区级医院都在数十公里之外。要进行统一安全管理和维护,都是很大的挑战。”
其次是分支机构的网络安全建设基础非常薄弱。“当时有一些区级医院仅安装了简单的防火墙等边界设备,属于被动防御的措施,而且缺乏专业的人员进行配置和维护,在新型攻击面前很容易被穿透。”
同时,从市二院到各个区级医院,过去部署的网络设备和系统,基本都是各自独立的,形成了一个个安全孤岛。对于一些复杂的攻击行为,依靠单一的安全设备往往不是难以发现问题,就是产生过多误报。
第三是缺乏对未知及高级威胁攻击的主动发现与防御能力。未知威胁及高级持续性威胁(APT攻击)是近年来非常猖獗的攻击行为,根据奇安信威胁情报中心《2020年全球高级持续威胁(APT)年度报告》显示,2020年,医疗卫生行业首次超过政府、金融、国防、能源、电信等领域,成为全球APT活动关注的首要目标,全球23.7%的APT活动事件与医疗卫生行业相关。
熊科长认为,APT的目的性非常强,攻击目标明确,持续时间长,不达目的不罢休,对医院威胁很大。目前,主流的安全技术手段大多是利用已知攻击的特征对行为数据进行简单的模式匹配,只关注单次行为的识别和判断,并没有对长期的攻击行为链进行有效分析。
最后是不具备全局的安全态势监控和威胁追踪溯源能力。在上线天眼之前,从整个医疗集团到各机构部署的各类安全设备,会产生海量的日志,消耗大量存储和性能资源。但攻击发生之后,是谁攻进来过?做过哪些破坏?什么数据被拿走了?由于证据链不够全面,缺乏网络日志端回溯手段,无法跟踪溯源,能发现问题但无法定位问题。
遵循“合规、全面、有效”三项原则
基于深圳二院医疗信息化系统的现状,以及大鹏新区医疗集团下辖其他医院的整体情况,集团在网络安全规划方面,遵循合规性、全面性、有效性三管齐下的原则。
“合规是基础要求,也是我们首要考虑的。”深圳二院信息科副科长潘军杰谈到。在合规性方面,深圳二院安全运营监管平台既是网络信息安全运营监管平台的基础,同时也是国家网络空间安全的组成部分,需严格符合国家关于网络与关键信息基础设施、云计算、大数据、等保2.0相关的安全政策标准、法令法规和指导文件的要求,在合规的基础上考虑整体安全保障方案设计,尤其符合国家《网络安全法》的要求。
图 :实战化防御指挥平台指挥作战大屏
在全面性方面,深圳二院兼顾集团的分支医院,将安全作为一个整体全面解决问题,继而构建完整的网络威胁态势感知系统。这与以往遇到安全问题后“头疼医头、脚疼医脚”的“创可贴”式,面向单一风险点、零散的、碎片化的安全产品叠加式的安全建设有本质不同。安全体系建设更强调规划思路,建设方案应坚持以面向问题、整体设计、支撑运营为原则,系统性解决各类安全威胁与安全问题,实现安全体系的可持续发展与迭代创新。
在有效性方面,深圳二院强调了安全运营监管的重要性。潘科长认为,安全运营监管是深圳二院实现一体化安全保障,有效解决安全问题的重要基础,在方案设计过程中需重点突出实战能力与保障能力,以动态安全保障中的感知发现、分析研判、响应处置、追踪调查、追踪溯源为核心,构建完整有效的一体化安全保障能力体系。
潘科长举了一个例子,“传统的安全防御体系就如同一个硬壳软糖,将安全性全部寄托于硬壳之上,一旦硬壳被砸碎,那么内部毫无二次抵御攻击的能力,而事实证明,天下不存在无坚不摧的管道硬壳。”因此,网络安全需要变被动为主动,只有快速追踪溯源,清晰掌握攻击过程全貌,才能迅速采取动作,遏制攻击扩散,实现积极防御。
构建1+N的威胁感知系统 为集团实现“一体化”防护
2020年,深圳二院立足规划的全局性和前瞻性,启动威胁感知系统的建设。奇安信提供的产品及解决方案更符合医院和集团的需求,双方达成了合作。
图 :深圳二院天眼系统整体建设方案
在具体实施方面,深圳二院按照循序渐进的原则推进整体方案建设。第一步,深圳二院基于分布式大数据架构,将天眼的流量传感器作为数据采集的原点,收集出深圳二院(内科楼、外科楼)、大鹏妇幼保健院、南澳人民医院、葵涌人民医院、大鹏医疗集团全网所有的流量数据,并利用数据标准架构来进行清洗、存储和计算分析,实现一体化的流量数据采集。
图:天眼威胁感知系统
第二步,深圳二院将整个集团的数据归总在统一的展示层面,构建出“网络威胁感知系统”,即安全运营监管中心(威胁分析平台),从而对深圳二院的外、内科楼,以及大鹏医院集团内外网,下属区级医院等的医疗信息化系统,实现一体化运营和监管,实现安全的态势感知、安全分析、安全评估、安全运营等大数据安全监管能力。
最后,整个大鹏新区医疗集团利用云端的安全大数据决策体系,提供威胁情报、失陷主机检测等各类 SaaS 安全服务,为本地的安全体系赋能,实现真正意义上的“云地协同、数据协同”的一体化效果。
图:天眼“仪表板”界面
“在运行过程中,天眼在高级威胁检测、回溯分析、威胁情报等方面的能力,让我们印象深刻。”潘科长表示。同时,天眼还具备强大的协同联动能力,通过终端EDR联动、防火墙NDR联动与自动化编排处置,帮助用户快速定位感染主机和恶意软件,并及时的阻断威胁,提升网络攻击的响应和处置能力。
图:天眼的威胁感知家族体系
“以往网络安全和业务运营经常相互独立、缺乏协同,但基于天眼构建的网络威胁感知系统,最重要的就是将网络安全和业务运营紧密地融合到了一起。” 潘科长总结道。
网络安全建设成果屡获肯定 安全运营是未来重点
从实践效果来看,大鹏新区医疗集团的信息化和网络安全建设成果,获得了各大主管机构的肯定。“去年集团过了电子病历六级测评,今年正在通过互联互通评测,目前这些指标在全国一千多家三甲医院中名列前茅。而在信息化水平占据相当比重的国家卫健委三级公立医院绩效考核中,深圳第二医院连续两年全国前列、深圳市排名第一。”
在谈及医院未来的网络安全建设规划时,潘科长着重强调了安全运营的重要性,“部署网络安全设备只是打好基础,安全运营才是网络安全工作最为关键的一步。”据悉,未来医院及集团分支医院还将纳入天眼大家族中更多的产品成员,并将数据、技术、人员和流程等有效结合起来,形成面向实战的安全运营体系,为集团数字化转型保驾护航。