基于实战化安全运营的智慧医院网络安全保护体系构建与应用

刘阳

中南大学湘雅医学院附属海口医院（海口市人民医院） 信息管理处，海南 海口 570208

引言

当前全球信息化进程已进入全面渗透阶段，医疗行业作为关乎国计民生的重要领域也步入智慧医疗建设新阶段，互联网诊疗、智能导诊、刷脸支付等网络信息技术在医疗健康便捷普惠、医疗资源压力释放、数据信息开放共享等方面发挥了重要作用[1]。与此同时，频发的患者隐私数据泄露、医疗数据勒索篡改等安全事件逐渐引发人们对医疗健康行业信息安全的思考。近年来，医疗行业网络安全配套政策法规不完善、管理规范适用性低、技术手段薄弱等问题的逐步显现，使得网络安全形势日益严峻[2]。本文针对如何基于实战化安全运营的智慧医院网络安全保护体系进行研究，以期实现将智慧医院的网络安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险，避免网络安全问题给医院造成损害，为有效保障智慧医院信息化业务的稳定运行创造条件。

1 医院网络安全存在的问题

1.1 投入与产出不成正比

随着《网络安全法》及等保2.0 相关制度的颁布，医疗机构虽然在等级保护合规建设方面投入不菲，且安全设备日益增多，但是在出现安全事件后，还是存在很难分析、排查、定位、溯源[3]等问题。

1.2 重防护、轻预防的现状依旧

医疗行业的传统网络安全建设重点在安全防护，忽略了安全预警与安全监测，缺乏对全网安全运行态势进行监测、告警。

1.3 工作成绩难以量化

医疗机构信息部门虽然日常安全防护工作繁重，但是安全防御效果和成绩无法被量化，只有安全事件发生后才被重视，造成安全建设成效不明显，使信息部门的业务技术能力无法被体现[4]。

2 网络安全的需求分析

基于实战化的理念，网络安全变被动为主动，事后补漏变为事前预警就成为必然。网络安全被动防御与主动态势感知关系图如图1 所示，以安全滑动标尺为例，当前的安全建设大多为被动防御，为做到主动防御、积极监测，经过需求分析可知需要发挥安全运营的重要作用，保障医院网络安全工作可视、可见、可管、可控。

图1 网络安全被动防御与主动态势感知关系图

3 智慧医院实战化安全运营架构体系

医院面对网络安全存在的资金投入、安全意识、成果量化等困扰，结合需求分析探索搭建基于主动监测网络安全态势感知的安全运营中心，形成智慧医院实战化安全运营架构体系，对医院全网安全状态进行分析研判，制定正确的安全策略[5]。利用安全运营中心实现对安全威胁的及时发现，通过安全运行团队构建医院的安全能力，制定符合智慧医院实际需求的安全运行制度与相关标准作业流程，见图2。智慧医院综合安全运营中心需安全运行平台、安全运行团队、安全运行制度、安全运行流程等的联动协同。

图2 安全运营中心运行框架图

3.1 智能化的态势感知平台

在瞬息万变的实战化网络环境中，智能化态势感知安全运行平台作为安全运营中心的核心基础，其设计需要从态势感知技术、异构网络环境、数据采集和处理、安全事件处置、可视化展示和分析以及安全运营管理等方面展开，以提高网络安全的整体防护能力，保障网络安全态势感知的精准度和实时性。

（1）具备先进的态势感知技术，包括威胁情报、行为分析建模、用户和实体行为分析技术、大数据关联分析等。

（2）考虑异构网络环境的影响，包括不同厂商、不同协议、不同安全等级的网络设备和系统，以便对各种网络安全威胁进行全面的检测和防御。

（3）采集和处理海量的网络安全数据，包括网络流量、日志文件、行为日志、威胁情报等，以便对网络安全态势进行全面的分析和预测。

（4）具备对安全事件进行快速处置和响应的能力，包括威胁检测、事件分级、响应流程、处置结果等。

（5）提供可视化的展示和分析功能，包括网络安全态势可视化、威胁情报分析、安全事件分析等，以便对网络安全态势进行全面的分析和展示。

（6）提供安全运营管理的能力，包括安全策略制定、安全运营监控、安全事件分析等，以便对网络安全运营进行有效监管。

作为实战化安全运营管理与指挥的中枢，通过收集流量、各类日志关联资产等信息，了解安全现状和情报，对安全情况进行评估、考核、分析研判[6]，对全网发现的安全事件进行通报预警和响应处置，形成安全运行流程中的云安全、数据安全、应用安全、终端安全等的协同和联动。最终，将分析出来的安全预警数据、追踪处置情况反馈给处置人员，形成安全事件闭环管理，弥补现有被动防御方式的不足[7]。

3.2 实战化的安全队伍

实战化的安全队伍是安全运营中心的核心保障，通过对安全工作分工、设立专职岗位、对各类安全威胁事件的分析与研判，给出合理建议与整改措施，突出解决医院专业安全人员缺失与能力不足的问题[8]。安全运营队伍可分为安全运营管理组和安全运营技术组。

3.2.1 安全运营中心管理组

管理组职能范围包括：① 定制度，根据安全运营中心建设发展需要，协助有关部门编写和优化智慧医院整体信息安全体系及安全运营所需的流程、制度及标准；② 定规划，负责制定智慧医院安全运营中心规划的制定、实施和监控；③ 做指挥，负责在发生安全事件时进行应急统一调度、指挥、汇报和总结。

3.2.2 安全运营中心技术组

技术组职能范围包括：① 安全监控，负责智慧医院整体安全设备的事件监控与策略维护；② 漏洞扫描，开展漏洞扫描、资产风险管理、可用性、容量、业务连续性的风险评估；③ 事件响应，负责安全事件的响应、恢复和安全通报[9]；④ 参与变更，负责安全设备的变更评估和变更回顾。

3.3 制度化的管理规范

针对安全运营管理的各个工作环节，制定针对性的管理制度和规范[10]，满足安全运营工作落地执行的需求。其内容至少包含以下基本制度和规范：

（1）资产采集与梳理：通过明确采集资产名称、联系人、职务、邮箱、IP 地址、设备序列号等内容，形成《资产采集与管理制度》。

（2）数据采集与治理：采集数据内容包含网络流量、综合日志、漏洞信息等多元数据，确保数据结构满足平台存储与展示标准的要求，形成《数据采集与治理制度》。

（3）安全分析优先级：针对安全事件进行分级分类处理，形成安全事件分析优先级，确保高级威胁优先处理、中低威胁全面分析，形成《安全事件分类分级制度》。

（4）安全事件分析：针对各类安全事件进行规范化处置，确保告警信息准确处置，减少误报，形成《安全事件分析处置流程规范》。

（5）漏洞管理：针对安全漏洞以及外部安全预警漏洞进行标准化处置，确保终端与设备补丁及时更新，形成《漏洞管理制度》。

（6）应急响应：针对突发安全事件进行标准化处置，例如勒索病毒、挖矿木马、webshell 等常见安全事件，能够满足追踪溯源基本环境的要求，形成《应急响应管理制度》。

（7）安全通报：针对发现的安全隐患进行及时通报，确保能对各类安全威胁完成闭环处置，形成《安全通报管理制度》。

（8）重保时期：针对国家重大节假日及重大会议、医院重大活动进行安全保障，形成《重保时期管理制度》。

（9）安全舆情：搜集第三方或外部发布的集团安全隐患或漏洞进行监控管理，确保智慧医院商誉不受影响，形成《安全舆情管理制度》。

（10）第三方驻场运营管理：针对医院第三方驻场运营工程师或组织进行管理，形成《第三方驻场运营管理制度》。

因此，建立健全安全运营中心基本管理制度，以及制度的落地可执行是安全运营中心管理的重要前提，也是安全运营工作质量的基本保障[11-12]。

3.4 规范化的操作流程

流程设计满足并支撑安全运营管理工作标准化、智能化、自动化，形成安全事件的闭环管理[13]。网络安全事件的闭环管理流程图如图3 所示。

图3 网络安全事件的闭环管理流程图

（1）安全信息采集：采集各类安全告警、审计数据、网络流量等，进行标准化处理，达到对医院网络安全状态的实时监测和审计。

（2）威胁及风险识别：基于已有的采集数据结合智慧医院的资产信息、漏洞信息和人员身份信息，利用关联分析、用户和实体行为分析、流量分析、失陷主机检测技术，发现异常违规及可疑攻击并产生告警，同时通过安全运维人员或风险识别工具进行风险评估。

（3）告警识别及分级分类：对于威胁及风险识别产生的告警，进行初步分析判断和分级分类，消除无效告警[14]。

（4）告警分析判断：对告警进行深入分析判断，消除无效告警，确定真实告警事件，形成处置工单。

（5）事件处置：利用真实告警事件的分析判断结果，通过安全策略管理平台进行自动化处置。与此同时，进行溯源和取证，对重大安全事件直接启用应急响应机制[15]。

（6）事件跟踪记录：对整个事件处置流程进行跟踪记录，直至事件处置完成形成闭环管理。

通过态势感知技术的应用、实战团队的保障、管理制度的优化、运营流程的规范4 个能力的有机结合，能够快速辨识和系统感知安全风险，灵活运用和演进提升安全技术能力体系，在智慧医院安全生态中扮演关键角色、发挥重要作用，使更多的情报资源、专家资源的能力得到释放[16-17]。

4 结果

海口市人民医院结合自身特点和网络安全现状，构建基于实战化安全运营的智慧医院网络安全保护体系，通过前后数据对比的方法，统计安全威胁行为的预警信息，对威胁告警数前5 位的状况以及告警整体趋势图形化，达到有效预警感知的目的，安全运营中心主界面如图4 所示。

此外，在安全管理方面，医院通过实战化安全运营机制的优化，不断调整相应的网络安全管理防护工作重点，提前预警网络安全威胁，将安全威胁控制在萌芽状态，信息技术部门的信息安全管理工作从事后响应变为主动出击，并获得持续的安全运营服务能力，开创信息安全管理工作的新模式。建立起完善的风险管理机制，对于发现的新威胁、新病毒，还可以通过流程的配合得到专业安全技术人员支持，使安全事件得以“早发现、先处置”，进而螺旋式提升信息安全管理水平。

选取2023 年1 月1 日至3 月31 日为统计时间段，从SQL 注入攻击、发现明文口令传输、Web 弱口令登录、发现系统默认共享连接行为、发现Web 空口令登录行为等5 个维度进行分析。主动发现安全事件能力对比情况如表1 所示，未使用安全运营中心对于安全事件的主动发现能力仅有14490 条，通过安全运营中心进行感知，主动安全事件发现40351 条，总体能力提升率为178.47%。使网络安全运行过程得到有效监管，为医疗业务开展创造更加可靠的网络安全环境。

5 讨论

从管理角度方面，相较于使用传统安全架构，各个安全防护措施单元独立作战而无法形成合力的研究，本研究构建以事前态势感知和预警为目标的安全运营中心，进而形成安全管理体系。从经济角度方面，采用整体运营的方式可以有效减少重复建设，使医疗机构与各安全服务商、安全产品商能够共同协作提升安全产品的应用价值和实现安全资源的优化[18]。从技术角度方面，可以增强网络安全数据分析、数据利用能力和安全事件发现能力，减少以往的研究中“事后补救”方式所造成的损失。最终，完善实时在线安全监测预警和整体安全运行能力，提升智慧医院信息系统信息安全保障水平。

信息安全如果建设不完善就会成为医院信息化建设的一个短板，显现木桶效应。其中，安全管理是信息安全的重中之重，从安全运营中心构建完成，到具备智慧医院网络安全管理体系的能力，都是信息技术有效实施的关键[19]。首先，平台的运用、制度的落实、流程的执行，都基于一个专业的安全团队，因此在医院建立一个成熟的安全团队显得至关重要。其次，安全运营是一个长期持续的过程，需要医院从上至下的认同和支持，共同落实安全运营的工作举措。因此，从“一把手工程”到“全员工程”[20]，是安全认知不断提升的过程。

6 总结

通过安全运营实现人员、技术、管理、流程的整合，以工作流程驱动安全管理思想在执行层面落地，以态势感知平台为载体实现安全能力的高效输出。通过安全运营建立持续预防、持续防御、持续监测、持续响应的闭环安全保护体系，持续推动医院安全能力的自我进化，使智慧医院的安全管理逐步衍生出安全智慧。