基于态势感知的医院安全运营实践

陈明，林志刚，林传捷

福建医科大学附属第一医院信息中心，福建福州 350005

随着国家信息安全技术网络安全等级保护(“等保2.0”)的颁布，国家对医院的安全管理提出了新的要求，如应对分散在各个设备上的审计数据进行收集汇总和集中分析， 并保证审计日志记录符合法律法规要求；应能对网络中发生的各类安全事件进行识别、报警和分析等[1]。 另一方面，随着网络技术的日趋成熟，黑客们也将注意力逐步转向APT 攻击。 根据国家互联网应急中心（national internet emergency center，CNCERT） 发 布 的《2020 年我国互联网网络安全态势》，境外“白象”“海莲花” 等APT 攻击组织以各类社会热点为诱饵对中国卫生机构发起攻击；同时勒索病毒持续活跃，技术手段不断升级，入侵移动过程的自动化、集成化、模块化、组织化特点愈发明显，并表现出更强的针对性，攻击目标主要是包含医疗机构在内的大型高价值机构[2]。因此，在网络安全保障压力与日俱增的情况下，医院如何建立与时俱进、持续有效的安全运营体系将成为一个重要的研究课题[3]。 该研究以某省属三级甲等医院的网络安全现状为例，提出基于态势感知的医院安全运营方案，于2021年9—12 月开展持续有效的安全运营实践活动，现报道如下。

1 基本现状与主要问题

该省属三级甲等医院经过多年的安全建设，建立院内院外网络通信渠道；建设各种外联线路防火墙、入侵防护系统、网络准入系统、网络管理系统、运维与审计系统、 数据库审计系统与网闸等安全防护设备和管理工具，完成了基础的信息安全体系建设[4]。但该医院的网络安全防护体系仍存在以下问题： 医院存在安全数据孤岛，分散的告警信息导致溯源能力不足，对高级威胁的检测、处置存在滞后；医院安全管理人员身兼多职，未专人专岗位，工作存在业务边界不清晰；医院安全运营流程不完整，安全告警无法及时有效处理。 这些问题不仅使网内的安全设备和管理工具无法充分发挥其安全防护能力，也无法保证院内高效的安全运营闭环管理[5]。

2 安全目标与框架

2.1 安全目标

在医院原有安全防护的基础上，通过部署态势感知系统提升医院安全数据的采集、认知、溯源分析能力及应急响应能力。 组建医院网络安全团队，优化安全运营流程，准确定位风险，及时处置告警，逐步构建主动、协同、闭环、高效的安全运营体系，实现医院安全管理由被动防御向主动防御转变、 静态防御向动态防御的转变、分散防御向协同防御转变。

2.2 安全框架

为了实现可持续的安全运营目标， 依据等级保护2.0 的基本要求及技术要求、 网络安全态势感知通用技术要求、MMI 软件成熟度模型及ISO27000 的合规要求，建立医院安全运营框架[6]，见图1。 安全运营框架以人员、技术、流程为支撑，围绕资产、漏洞、威胁、事件4 个要素持续有效地开展网络安全运营工作，其中技术是安全运营的核心，流程提供安全运营的机制保障，而人员可充分发挥技术及流程的安全管理价值。

图1 医院安全运营架构

2.3 建立组织架构

医院建立网络安全运营团队， 包括网络安全决策、网络安全管理、网络安全执行3 个组成部分。 信息中心主任作为安全运营主管， 组织安全运营标准规范的制订，组织开展安全运营规范、安全培训，负责网络安全运营体系建设和安全考核； 安全管理员负责沟通安全需求、制订安全方案计划、把控工作进度与质量，对接日常安全业务运维工作；网络系统管理员、主机管理员、终端管理员、应用管理员作为执行组织的成员，共同配合完成安全相关资产管理，安全监测、威胁分析、安全事件处理，文档管理等工作[7-8]。

2.4 部署态势感知

网络安全态势感知建设融合云计算、大数据、人工智能等先进技术，可显著提高网络安全态势状态和把控能力。 医院建立本单位的信息网络态势感知系统，全面采集医院信息安全危险数据，充分挖掘分析可能存在的高级威胁事件， 以掌握医院网络信息安全风险信息，提升内部应急响应能力[9]。

态势感知系统部署在医院互联网访问接入区，用于威胁情报更新。 其部署方式见图2。 流量探针分别接入医院访问接入区、运维管理区、业务受理区、业务处理区、政务外网、数据中心等区域，其日志采集器采集各区域安全设备、网络设备以及各服务器的系统日志，流量探针采集到的数据汇入态势感知平台进行分析。在检查流量数据接入无误后，对接入的采集设备、数据的解析规则和策略提供统一的管理， 包括日志采集与处理、流量采集与处理等。同时采用高性能的分布式集群数据存储与检索系统，帮助安全运营人员追根溯源；配置与其他安全产品进行联动，将告警、漏洞、弱口令等通过工单任务统一跟踪，实现安全威胁及时有效的处置[10-11]。

图2 态势感知系统部署拓扑图

2.5 优化运营流程

安全运营工作流程围绕资产管理、漏洞管理、威胁管理、事件管理闭环处置过程进行展开，并确保每个环节工作都能高效率执行[12]。

2.5.1 资产管理 资产管理员首先协调主机管理员与应用管理员对已有的资产进行确认，确认的内容涵盖系统IP、系统名称、责任人及开发商等基本信息，然后对全网进行资产扫描，完善原有的资产清单，在确认无误后录入安全态势感知的资产库中。 在安全运营过程中心，资产管理员根据实际情况，结合安全态势感知的变更探测和存活性监测等资产识别功能，持续发现新增和变更的资产信息，在资产发生变更时及时更新资产信息，避免资产信息与实际不符。

2.5.2 脆弱性管理 根据扫描的深度、 时间周期制订漏扫策略，执行漏洞扫描的同时对发现的漏洞进行分析和验证；在确认漏洞重要等级后，制订漏洞处置方案：安全管理员将漏洞整改通知报告及时转发主机管理员与各应用负责人，各应用负责人督促相关系统开发商限期完成系统应用逻辑漏洞、中间件、应用开发框架漏洞的修复， 并协助主机管理员在限期内完成操作系统漏洞、数据库系统漏洞的修复。安全管理员在收到漏洞修复确认报告后对修复的漏洞进行复测。漏洞未完全修复继续通知相关人员，若人员未反馈任何信息，上报安全运营主管继续推进直至漏洞修复[13]。

2.5.3 威胁管理 首先对态势感知发现的威胁进行判断，若接受风险就进行备注说明，因业务原因暂不处理进行持续跟踪。对需要马上进行处置的安全事件采用与安全设备联动的方式进行处置，威胁处置完成后将与安全事件相关联的告警信息、日志信息、情报信息、资产信息等进行归纳整理，对事件处置的结果采用观察、分析、主动验证等方式对威胁的处理结果进行确认，确认风险威胁消除，确认采用的措施对于风险控制有效[14]。

2.5.4 事件管理 定期审阅医院应急响应预案， 定期组织应急演练，并更新应急响应流程。在安全事件发生时，尽快识别并采取应对措施来控制安全事件的影响，根除造成安全事件的原因，并尽快采取恢复措施，使业务恢复正常运转。 一旦事件成功解决，需要撰写网络信息安全事件报告，并根据该次安全事件更新应急响应预案[15]。

3 应用效果

该省属三级甲等医院依据以上安全运营方案，于2021 年9 月，通过安全态势感知平台，从资产、漏洞、威胁、事件4 个维度开始进行持续有效的安全运营，其一个季度的安全运营情况如下。

运营团队将重要资产全部录入态势感知平台，对各类高危告警进行分析研判， 告警类型涉及跨站脚本攻击、信息泄露、目录遍历、SQL 注入、暴力猜解、远控木马、代码执行、蠕虫事件、HTTP 爆破、Apache strurt 漏洞及SSH 爆破等， 告警分发给各责任人进行处置的同时持续跟踪监督。 统计显示，在安全运营中资产安全防护率达到100%；处置攻击威胁事件11 起，威胁情报命中资产15 个，排查防火墙等安全策略隐患20 个；发现并处置紧急漏洞15 个，弱口令29 个，安全事件38 起，事件平均响应时间为5 min，响应及时率100%。 此外，医院第一季度全网外部攻击总次数达16.78 万次，平均每周捕获网络攻击1.19 万，每周外部攻击数持续降低，见图3，这意味着医院资产安全风险下降、信息安全事件发生的概率降低，说明基于态势感知的医院安全运营管理效果初见成效[16]。

图3 医院2021 年第4 季度外部攻击趋势图

4 结语

基于态势感知的医院安全运营自开始以来，围绕业务的“资产、漏洞、威胁、事件”4 个核心要素，充分发挥安全运营人员的能动性与安全设备的价值，主动发现医院安全风险并进行闭环处置，在帮助医院顺利通过国家网络安全等级保护2.0 测评的同时，也实现医院信息安全风险可知、风险可控、风险可管，切实提升医院安全运营效率与质量，避免医院因信息安全事导致医患纠纷等不良后果。 此外，它对我国其他医疗机构的安全运营管理，也具有一定的参考价值和推广意义。