探秘網(wǎng)絡(luò)安全運(yùn)營(yíng)的“江干模式”

張文

走路十幾分鐘，到附近醫(yī)院頭疼腦熱就能治好;小病不用去大醫(yī)，免去舟車勞頓之苦。近年來(lái)，基層醫(yī)療衛(wèi)生改革深入開(kāi)展，數(shù)字化水平大幅提升，給患者和醫(yī)生都帶來(lái)了極大便利。但隨著醫(yī)療數(shù)據(jù)的開(kāi)放共享，信息安全也面臨新的挑戰(zhàn)。

基層醫(yī)療機(jī)構(gòu)數(shù)量眾多，規(guī)模較小，地理位置分散，導(dǎo)致信息化和網(wǎng)絡(luò)安全建設(shè)參差不齊，總體水平相對(duì)落后。不僅自身廣泛存在著后門程序、僵尸網(wǎng)絡(luò)、木馬蠕蟲、勒索病毒等安全問(wèn)題，同時(shí)由于需要接入衛(wèi)生專網(wǎng)，更給衛(wèi)生專網(wǎng)和數(shù)據(jù)中心帶來(lái)巨大安全隱患。

如何保障醫(yī)療數(shù)據(jù)信息安全，保護(hù)患者隱私，滿足信息安全等級(jí)保護(hù)要求，確保醫(yī)療服務(wù)穩(wěn)定開(kāi)展？如何將網(wǎng)絡(luò)安全防御框架“下沉”到醫(yī)療衛(wèi)生體系末端，讓基層醫(yī)療機(jī)構(gòu)也具備事前防控的“積極防御”體系？面對(duì)這些問(wèn)題，2020年1月開(kāi)始，浙江省杭州市江干區(qū)衛(wèi)生健康局?jǐn)y手奇安信，以態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)為核心，建成全國(guó)首個(gè)覆蓋社區(qū)衛(wèi)生服務(wù)中心的網(wǎng)絡(luò)安全運(yùn)營(yíng)樣板，打造了讓各地醫(yī)療衛(wèi)生機(jī)構(gòu)廣泛借鑒的“江干模式”。

基層網(wǎng)絡(luò)安全“三板斧”

“在部署NGSOC之前，街道社區(qū)衛(wèi)生服務(wù)中心的網(wǎng)絡(luò)安全停留在安裝殺毒軟件這樣的被動(dòng)防御層面?；臼歉髯詾閼?zhàn)、事后補(bǔ)救，非常被動(dòng)。”江干區(qū)衛(wèi)生健康局信息安全負(fù)責(zé)人魯主任表示，“對(duì)于衛(wèi)生系統(tǒng)專網(wǎng)的監(jiān)管者和運(yùn)營(yíng)者來(lái)說(shuō)，由于缺少指導(dǎo)和開(kāi)展相關(guān)網(wǎng)絡(luò)安全工作的工具和數(shù)據(jù)，無(wú)法對(duì)網(wǎng)絡(luò)安全做到高效運(yùn)營(yíng)和深度管控，很容易讓專網(wǎng)的重要業(yè)務(wù)和敏感數(shù)據(jù)，暴露于攻擊者面前。”

江干區(qū)衛(wèi)生健康局始終對(duì)網(wǎng)絡(luò)安全高度重視，2018年，當(dāng)基層區(qū)域衛(wèi)生信息化建設(shè)完成之后，幾乎同期，整個(gè)系統(tǒng)就全線部署了奇安信天擎等安全產(chǎn)品。

2019年開(kāi)始，為了強(qiáng)化安全分析、威脅發(fā)現(xiàn)和管理能力，構(gòu)建積極防御體系，態(tài)勢(shì)感知和安全運(yùn)營(yíng)的建設(shè)部署被列上日程。

“幾家廠商競(jìng)爭(zhēng)非常激烈，經(jīng)過(guò)幾輪篩選，奇安信走到了最后?！碧崞疬x擇過(guò)程，魯主任談到，參與的幾家廠商各有千秋，都有很強(qiáng)的實(shí)力?？紤]到衛(wèi)生健康局現(xiàn)狀，主要考量參與廠商的兩方面能力：首先是安全分析能力，其次是安全服務(wù)能力。

談到這次項(xiàng)目實(shí)施，魯主任回憶了當(dāng)時(shí)的一個(gè)小插曲。

從2019年底招標(biāo)確定下奇安信作為合作伙伴，到2020年初NGSOC等主要設(shè)備基本到位，和奇安信的合作非常順利。即便中間受到春節(jié)和疫情因素影響，奇安信仍然在復(fù)產(chǎn)復(fù)工之后，第一時(shí)間進(jìn)行上門部署。不過(guò)，當(dāng)時(shí)卻遇到過(guò)一次意外。

“三臺(tái)服務(wù)器幾次調(diào)試，同步總是不成功，延遲比較厲害?！逼姘残彭?xiàng)目工程師向衛(wèi)生健康局信息中心反饋了部署中遇到的問(wèn)題。

“所有業(yè)務(wù)都是正常的，應(yīng)該不是網(wǎng)絡(luò)的問(wèn)題?！毙l(wèi)生健康局信息中心當(dāng)時(shí)也感到很困惑，但第一反應(yīng)并沒(méi)有想到網(wǎng)絡(luò)設(shè)備的因素。

3月初的杭州乍暖還寒，那幾個(gè)晚上，奇安信工作人員經(jīng)常干到深夜，一次次的調(diào)試，排查故障，尋找原因，甚至凌晨一兩點(diǎn)才離開(kāi)機(jī)房。

到3月10日，魯主任感覺(jué)有些奇怪，于是帶上網(wǎng)絡(luò)技術(shù)人員，去現(xiàn)場(chǎng)反復(fù)排查網(wǎng)絡(luò)設(shè)備，終于有了重大發(fā)現(xiàn)，找出了故障原因。

“原來(lái)，當(dāng)時(shí)我們用的是某網(wǎng)絡(luò)設(shè)備廠家型號(hào)較老的交換機(jī)，為了2臺(tái)做堆疊，后來(lái)增加了兩塊萬(wàn)兆光板卡和兩塊電口板卡進(jìn)行數(shù)據(jù)交換，當(dāng)時(shí)從業(yè)務(wù)正常運(yùn)行的層面，沒(méi)發(fā)現(xiàn)異常。但在測(cè)試中發(fā)現(xiàn)，2塊新的板卡，在數(shù)據(jù)同步的時(shí)候，未能達(dá)到千兆。所以當(dāng)流量很大的時(shí)候就會(huì)出現(xiàn)延遲。” 魯主任表示。

當(dāng)晚，信息中心就對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行了系統(tǒng)升級(jí)，之前數(shù)據(jù)同步延遲的問(wèn)題徹底得到了解決?！爸拔覀兌家詾槭荖GSOC安裝調(diào)試的問(wèn)題，沒(méi)往網(wǎng)絡(luò)設(shè)備上想?！辈粌H如此，奇安信的專業(yè)服務(wù)和快速響應(yīng)能力讓魯主任記憶深刻。“網(wǎng)絡(luò)安全的核心是人，再?gòu)?qiáng)大的產(chǎn)品，再聰明的機(jī)器，都需要人來(lái)運(yùn)營(yíng)，人來(lái)使用。奇安信提供了日常巡檢服務(wù)、應(yīng)急響應(yīng)服務(wù)、重要時(shí)期安全保障服務(wù)，尤其是每月都有專業(yè)的NGSOC分析報(bào)告，對(duì)月度告警情況、僵木蠕毒活動(dòng)事件、安全處置建議等詳盡分析?！?/p>

提前洞悉威脅?將安全風(fēng)險(xiǎn)化于無(wú)形

“我們?yōu)榭蛻籼峁┑牟皇菃我划a(chǎn)品，而是一套在防御、檢測(cè)、響應(yīng)、預(yù)測(cè)、持續(xù)監(jiān)控分析周期內(nèi)提供威脅發(fā)現(xiàn)和響應(yīng)綜合性一體化平臺(tái)?！必?fù)責(zé)江干項(xiàng)目的奇安信浙江分區(qū)醫(yī)療銷售總監(jiān)蔣寶堯表示。

在威脅發(fā)現(xiàn)和感知方面，通過(guò)部署NGSOC，可提前洞悉各種安全威脅，同時(shí)聯(lián)動(dòng)本地防火墻、終端安全管控系統(tǒng)以及云端的威脅情報(bào)數(shù)據(jù)，能夠?qū)ξ粗{的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，并可對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源，并為后期安全加固提供有效依據(jù)。

對(duì)于客戶最關(guān)心的性能和安全分析能力，一方面，奇安信NGSOC具備千億級(jí)數(shù)據(jù)處理能力，可以大大提升安全分析和響應(yīng)的速度和效率;另一方面，NGSOC基于國(guó)內(nèi)首款分布式關(guān)聯(lián)分析引擎Sabre，通過(guò)場(chǎng)景化檢測(cè)規(guī)則、機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析進(jìn)行多維度威脅研判，大幅降低了威脅檢測(cè)的誤報(bào)率和漏報(bào)率，其DGA域名檢測(cè)準(zhǔn)確率高達(dá)99.94%。

在邊界防護(hù)方面，通過(guò)部署防火墻對(duì)整個(gè)網(wǎng)絡(luò)形成分區(qū)分域，一方面對(duì)內(nèi)外網(wǎng)出口及重要邊界進(jìn)行安全防護(hù)，另一方面可以更好的進(jìn)行訪問(wèn)控制。在聯(lián)動(dòng)方面，該項(xiàng)目形成“云管端”聯(lián)合解決方案，將終端安全管控、控制中心、新一代防火墻“病毒云查殺”、云端反饋和NGSOC等實(shí)現(xiàn)無(wú)縫聯(lián)動(dòng)，提升告警和阻斷效率。

而在服務(wù)方面，奇安信推出了專業(yè)運(yùn)營(yíng)服務(wù)，將人、數(shù)據(jù)、工具和流程，四個(gè)維度進(jìn)行了有機(jī)的結(jié)合，徹底幫助衛(wèi)健委下屬部分機(jī)構(gòu)客戶解決產(chǎn)品不能用、不會(huì)用的問(wèn)題，讓態(tài)勢(shì)感知實(shí)現(xiàn)了真正落地。

對(duì)于該項(xiàng)目，奇安信負(fù)責(zé)人歸納了四方面的效果。首先是威脅告警事件數(shù)量明顯降低。其次是發(fā)現(xiàn)反復(fù)感染風(fēng)險(xiǎn)并及時(shí)處理。通過(guò)NGSOC發(fā)現(xiàn)了部分衛(wèi)生服務(wù)中心存在反復(fù)感染跡象，由安服人員進(jìn)行了協(xié)助排查并及時(shí)處理，提高了區(qū)衛(wèi)生健康局的網(wǎng)絡(luò)安全監(jiān)管處置能力。再次是解決了社區(qū)衛(wèi)生網(wǎng)絡(luò)安全的人力和財(cái)務(wù)問(wèn)題。最后是形成安全能力下沉的典型經(jīng)驗(yàn)。該項(xiàng)目針對(duì)醫(yī)療衛(wèi)生體系大數(shù)據(jù)時(shí)代的安全需求，基于大數(shù)據(jù)思維下沉安全業(yè)務(wù)流程和企業(yè)體系架構(gòu)，以數(shù)據(jù)為核心，形成醫(yī)療衛(wèi)生體系末端安全能力下沉典型經(jīng)驗(yàn)，打造出體系化、合規(guī)化、可視化、持續(xù)化、可復(fù)制的江干模式，已吸引省內(nèi)多個(gè)市區(qū)縣衛(wèi)生健康局前來(lái)考察調(diào)研和學(xué)習(xí)。

杭州江干區(qū)衛(wèi)生健康局的“江干模式”運(yùn)行成功之后，在全國(guó)醫(yī)療衛(wèi)生行業(yè)被廣泛借鑒。僅僅一年的時(shí)間，就有數(shù)十家單位，紛紛借鑒江干模式，將安全管理前移到規(guī)劃建設(shè)早期階段，并將態(tài)勢(shì)感知融入系統(tǒng)運(yùn)行維護(hù)過(guò)程之中，實(shí)現(xiàn)常態(tài)化的威脅發(fā)現(xiàn)與響應(yīng)處置工作，變被動(dòng)防御為主動(dòng)防御，構(gòu)建起“關(guān)口前移，防患于未然”的網(wǎng)絡(luò)安全管理體系，進(jìn)而顯著提升醫(yī)療衛(wèi)生行業(yè)的信息安全保護(hù)和智慧治理水平。