2017年4月，國務院辦公廳印發(fā)《關(guān)于推進醫(yī)療聯(lián)合體建設(shè)和發(fā)展的指導意見》，全面啟動多種形式的醫(yī)療聯(lián)合體建設(shè)試點，從此開始，全國各省掀起了一場醫(yī)聯(lián)體建設(shè)的浪潮。

“通過醫(yī)聯(lián)體建設(shè)，深圳市二院的醫(yī)療能力已經(jīng)完成了向區(qū)級醫(yī)院的下沉，但接下來的任務是推動安全能力的下沉，否則一旦區(qū)級醫(yī)院被突破，整個集團內(nèi)網(wǎng)的重要系統(tǒng)和數(shù)據(jù)，也會暴露在攻擊者面前，后果不堪設(shè)想。”深圳市第二人民醫(yī)院（簡稱深圳二院）信息科科長熊文舉表示。

圖：深圳市第二人民醫(yī)院（深圳大學第一附屬醫(yī)院）

深圳二院，是深圳市綜合實力排名前三的大型醫(yī)院。2017年6月，深圳二院牽頭組建深圳市大鵬新區(qū)醫(yī)療健康集團（簡稱：大鵬新區(qū)醫(yī)療集團），對大鵬新區(qū)3家區(qū)級醫(yī)院及所轄21家社區(qū)健康服務機構(gòu)進行一體化管理，推進“以人為本”的市、區(qū)一體化醫(yī)療衛(wèi)生服務體系建設(shè)。2020年，深圳二院通過部署奇安信天眼（新一代安全感知系統(tǒng)），為大鵬醫(yī)療集團以及旗下的3家區(qū)級醫(yī)院，實現(xiàn)了醫(yī)聯(lián)體信息化安全威脅檢測、主動防御和全局安全態(tài)勢可視一體化，樹立了深圳集團化、醫(yī)聯(lián)體改革的樣板工程。

醫(yī)療能力加速下沉 安全風險隨之而來

2017年9月1日，國家衛(wèi)生計生委、國務院醫(yī)改辦在廣東省深圳市召開全國醫(yī)聯(lián)體建設(shè)現(xiàn)場推進會，深圳的改革經(jīng)驗被充分肯定。

“病有良醫(yī)”，是民生幸福的基礎(chǔ)。近年來，深圳以改革創(chuàng)新為動力，著力推進以基層醫(yī)療集團為主要形式的緊密型醫(yī)聯(lián)體建設(shè)，引導醫(yī)療衛(wèi)生工作重心下移、資源下沉。2017年，作為深圳市首個市區(qū)合作的緊密醫(yī)聯(lián)體，大鵬新區(qū)醫(yī)療集團正式成立。目前，集團建立了“社康機構(gòu)-區(qū)級醫(yī)院-市級醫(yī)院”上下通暢的三級診療服務體系引導優(yōu)質(zhì)醫(yī)療資源下沉基層，讓大鵬轄區(qū)居民足不出戶即可享受市區(qū)三甲醫(yī)院同質(zhì)的醫(yī)療服務，并創(chuàng)下了全科診療服務公眾滿意度位居全市第一的口碑。

在醫(yī)療能力下沉的同時，大鵬新區(qū)醫(yī)療集團的網(wǎng)絡安全問題也凸顯出來。熊科長回憶在項目實施前，安全挑戰(zhàn)主要在幾個方面。

首先是地理分散，距離較遠，統(tǒng)一管理防護的難度高。“深圳二院位于福田區(qū)，而其他3家區(qū)級醫(yī)院都在數(shù)十公里之外。要進行統(tǒng)一安全管理和維護，都是很大的挑戰(zhàn)?！?/p>

其次是分支機構(gòu)的網(wǎng)絡安全建設(shè)基礎(chǔ)非常薄弱。“當時有一些區(qū)級醫(yī)院僅安裝了簡單的防火墻等邊界設(shè)備，屬于被動防御的措施，而且缺乏專業(yè)的人員進行配置和維護，在新型攻擊面前很容易被穿透。”

同時，從市二院到各個區(qū)級醫(yī)院，過去部署的網(wǎng)絡設(shè)備和系統(tǒng)，基本都是各自獨立的，形成了一個個安全孤島。對于一些復雜的攻擊行為，依靠單一的安全設(shè)備往往不是難以發(fā)現(xiàn)問題，就是產(chǎn)生過多誤報。

第三是缺乏對未知及高級威脅攻擊的主動發(fā)現(xiàn)與防御能力。未知威脅及高級持續(xù)性威脅（APT攻擊）是近年來非常猖獗的攻擊行為，根據(jù)奇安信威脅情報中心《2020年全球高級持續(xù)威脅(APT)年度報告》顯示，2020年，醫(yī)療衛(wèi)生行業(yè)首次超過政府、金融、國防、能源、電信等領(lǐng)域，成為全球APT活動關(guān)注的首要目標，全球23.7%的APT活動事件與醫(yī)療衛(wèi)生行業(yè)相關(guān)。

熊科長認為，APT的目的性非常強，攻擊目標明確，持續(xù)時間長，不達目的不罷休，對醫(yī)院威脅很大。目前，主流的安全技術(shù)手段大多是利用已知攻擊的特征對行為數(shù)據(jù)進行簡單的模式匹配，只關(guān)注單次行為的識別和判斷，并沒有對長期的攻擊行為鏈進行有效分析。

最后是不具備全局的安全態(tài)勢監(jiān)控和威脅追蹤溯源能力。在上線天眼之前，從整個醫(yī)療集團到各機構(gòu)部署的各類安全設(shè)備，會產(chǎn)生海量的日志，消耗大量存儲和性能資源。但攻擊發(fā)生之后，是誰攻進來過？做過哪些破壞？什么數(shù)據(jù)被拿走了？由于證據(jù)鏈不夠全面，缺乏網(wǎng)絡日志端回溯手段，無法跟蹤溯源，能發(fā)現(xiàn)問題但無法定位問題。

遵循“合規(guī)、全面、有效”三項原則

基于深圳二院醫(yī)療信息化系統(tǒng)的現(xiàn)狀，以及大鵬新區(qū)醫(yī)療集團下轄其他醫(yī)院的整體情況，集團在網(wǎng)絡安全規(guī)劃方面，遵循合規(guī)性、全面性、有效性三管齊下的原則。

“合規(guī)是基礎(chǔ)要求，也是我們首要考慮的。”深圳二院信息科副科長潘軍杰談到。在合規(guī)性方面，深圳二院安全運營監(jiān)管平臺既是網(wǎng)絡信息安全運營監(jiān)管平臺的基礎(chǔ)，同時也是國家網(wǎng)絡空間安全的組成部分，需嚴格符合國家關(guān)于網(wǎng)絡與關(guān)鍵信息基礎(chǔ)設(shè)施、云計算、大數(shù)據(jù)、等保2.0相關(guān)的安全政策標準、法令法規(guī)和指導文件的要求，在合規(guī)的基礎(chǔ)上考慮整體安全保障方案設(shè)計，尤其符合國家《網(wǎng)絡安全法》的要求。

圖 ：實戰(zhàn)化防御指揮平臺指揮作戰(zhàn)大屏

在全面性方面，深圳二院兼顧集團的分支醫(yī)院，將安全作為一個整體全面解決問題，繼而構(gòu)建完整的網(wǎng)絡威脅態(tài)勢感知系統(tǒng)。這與以往遇到安全問題后“頭疼醫(yī)頭、腳疼醫(yī)腳”的“創(chuàng)可貼”式，面向單一風險點、零散的、碎片化的安全產(chǎn)品疊加式的安全建設(shè)有本質(zhì)不同。安全體系建設(shè)更強調(diào)規(guī)劃思路，建設(shè)方案應堅持以面向問題、整體設(shè)計、支撐運營為原則，系統(tǒng)性解決各類安全威脅與安全問題，實現(xiàn)安全體系的可持續(xù)發(fā)展與迭代創(chuàng)新。

在有效性方面，深圳二院強調(diào)了安全運營監(jiān)管的重要性。潘科長認為，安全運營監(jiān)管是深圳二院實現(xiàn)一體化安全保障，有效解決安全問題的重要基礎(chǔ)，在方案設(shè)計過程中需重點突出實戰(zhàn)能力與保障能力，以動態(tài)安全保障中的感知發(fā)現(xiàn)、分析研判、響應處置、追蹤調(diào)查、追蹤溯源為核心，構(gòu)建完整有效的一體化安全保障能力體系。

潘科長舉了一個例子，“傳統(tǒng)的安全防御體系就如同一個硬殼軟糖，將安全性全部寄托于硬殼之上，一旦硬殼被砸碎，那么內(nèi)部毫無二次抵御攻擊的能力，而事實證明，天下不存在無堅不摧的管道硬殼?！币虼?，網(wǎng)絡安全需要變被動為主動，只有快速追蹤溯源，清晰掌握攻擊過程全貌，才能迅速采取動作，遏制攻擊擴散，實現(xiàn)積極防御。

構(gòu)建1+N的威脅感知系統(tǒng) 為集團實現(xiàn)“一體化”防護

2020年，深圳二院立足規(guī)劃的全局性和前瞻性，啟動威脅感知系統(tǒng)的建設(shè)。奇安信提供的產(chǎn)品及解決方案更符合醫(yī)院和集團的需求，雙方達成了合作。

圖 ：深圳二院天眼系統(tǒng)整體建設(shè)方案

在具體實施方面，深圳二院按照循序漸進的原則推進整體方案建設(shè)。第一步，深圳二院基于分布式大數(shù)據(jù)架構(gòu)，將天眼的流量傳感器作為數(shù)據(jù)采集的原點，收集出深圳二院（內(nèi)科樓、外科樓）、大鵬婦幼保健院、南澳人民醫(yī)院、葵涌人民醫(yī)院、大鵬醫(yī)療集團全網(wǎng)所有的流量數(shù)據(jù)，并利用數(shù)據(jù)標準架構(gòu)來進行清洗、存儲和計算分析，實現(xiàn)一體化的流量數(shù)據(jù)采集。

圖:天眼威脅感知系統(tǒng)

第二步，深圳二院將整個集團的數(shù)據(jù)歸總在統(tǒng)一的展示層面，構(gòu)建出“網(wǎng)絡威脅感知系統(tǒng)”，即安全運營監(jiān)管中心（威脅分析平臺），從而對深圳二院的外、內(nèi)科樓，以及大鵬醫(yī)院集團內(nèi)外網(wǎng)，下屬區(qū)級醫(yī)院等的醫(yī)療信息化系統(tǒng)，實現(xiàn)一體化運營和監(jiān)管，實現(xiàn)安全的態(tài)勢感知、安全分析、安全評估、安全運營等大數(shù)據(jù)安全監(jiān)管能力。

最后，整個大鵬新區(qū)醫(yī)療集團利用云端的安全大數(shù)據(jù)決策體系，提供威脅情報、失陷主機檢測等各類 SaaS 安全服務，為本地的安全體系賦能，實現(xiàn)真正意義上的“云地協(xié)同、數(shù)據(jù)協(xié)同”的一體化效果。

圖：天眼“儀表板”界面

“在運行過程中，天眼在高級威脅檢測、回溯分析、威脅情報等方面的能力，讓我們印象深刻。”潘科長表示。同時，天眼還具備強大的協(xié)同聯(lián)動能力，通過終端EDR聯(lián)動、防火墻NDR聯(lián)動與自動化編排處置，幫助用戶快速定位感染主機和惡意軟件，并及時的阻斷威脅，提升網(wǎng)絡攻擊的響應和處置能力。

圖：天眼的威脅感知家族體系

“以往網(wǎng)絡安全和業(yè)務運營經(jīng)常相互獨立、缺乏協(xié)同，但基于天眼構(gòu)建的網(wǎng)絡威脅感知系統(tǒng)，最重要的就是將網(wǎng)絡安全和業(yè)務運營緊密地融合到了一起。” 潘科長總結(jié)道。

網(wǎng)絡安全建設(shè)成果屢獲肯定 安全運營是未來重點

從實踐效果來看，大鵬新區(qū)醫(yī)療集團的信息化和網(wǎng)絡安全建設(shè)成果，獲得了各大主管機構(gòu)的肯定。“去年集團過了電子病歷六級測評，今年正在通過互聯(lián)互通評測，目前這些指標在全國一千多家三甲醫(yī)院中名列前茅。而在信息化水平占據(jù)相當比重的國家衛(wèi)健委三級公立醫(yī)院績效考核中，深圳第二醫(yī)院連續(xù)兩年全國前列、深圳市排名第一?！?/p>

在談及醫(yī)院未來的網(wǎng)絡安全建設(shè)規(guī)劃時，潘科長著重強調(diào)了安全運營的重要性，“部署網(wǎng)絡安全設(shè)備只是打好基礎(chǔ)，安全運營才是網(wǎng)絡安全工作最為關(guān)鍵的一步。”據(jù)悉，未來醫(yī)院及集團分支醫(yī)院還將納入天眼大家族中更多的產(chǎn)品成員，并將數(shù)據(jù)、技術(shù)、人員和流程等有效結(jié)合起來，形成面向?qū)崙?zhàn)的安全運營體系，為集團數(shù)字化轉(zhuǎn)型保駕護航。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。