基于等保2.0的醫(yī)院態(tài)勢感知系統(tǒng)應(yīng)用

畢鵬

摘 要：本文基于等級保護(hù)制度2.0（以下簡稱：等保2.0）的要求，對公共服務(wù)類的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)上做出了明確要求。醫(yī)療行業(yè)屬于公共服務(wù)領(lǐng)域，很多信息系統(tǒng)被定義為保護(hù)第三級系統(tǒng)，如何做好這些業(yè)務(wù)系統(tǒng)和基礎(chǔ)設(shè)施的等級保護(hù)，對衛(wèi)生行業(yè)來說，提出了新的要求和新的挑戰(zhàn)。網(wǎng)絡(luò)安全態(tài)勢感知的研究應(yīng)運(yùn)而生，它融合各種網(wǎng)絡(luò)安全要素，站在更高的角度去評估網(wǎng)絡(luò)安全的實(shí)時(shí)狀況，在一定的條件下，可以預(yù)測網(wǎng)絡(luò)安全態(tài)勢的發(fā)展趨勢，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，使得業(yè)務(wù)系統(tǒng)可以滿足等保2.0的新要求的道路。

關(guān)鍵詞：等級保護(hù)2.0 態(tài)勢感知系統(tǒng) 基礎(chǔ)設(shè)施保護(hù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-9082（2020）05-00-01

引言

隨著各信息化技術(shù)的快速發(fā)展，以及云計(jì)算、移動(dòng)化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)和發(fā)展，醫(yī)療業(yè)務(wù)與互聯(lián)網(wǎng)對接已是不可避免的趨勢。醫(yī)療行業(yè)在利用互聯(lián)網(wǎng)、移動(dòng)化技術(shù)實(shí)現(xiàn)醫(yī)生隨訪、移動(dòng)護(hù)理、自助交費(fèi)、院外康復(fù)和家庭病床等業(yè)務(wù)也利用新技術(shù)實(shí)現(xiàn)了高速的發(fā)展。

那么在這“互聯(lián)網(wǎng)+醫(yī)療”的大趨勢下，在將新的技術(shù)應(yīng)用到信息系統(tǒng)的過程中，我們發(fā)現(xiàn)新的信息安全問題逐漸浮出水面。一方面新的信息安全威脅層出不窮，非法獲取病人信息已經(jīng)形成產(chǎn)業(yè)化的趨勢，利用特種木馬、0day漏洞、水坑攻擊、釣魚攻擊甚至威脅更大的APT攻擊，已是傳統(tǒng)防火墻、IPS、殺毒軟件等安全防護(hù)設(shè)備無法發(fā)現(xiàn)和阻止。另一方面隨著單位內(nèi)各個(gè)業(yè)務(wù)部門信息系統(tǒng)的快速建設(shè)，信息系統(tǒng)產(chǎn)生的數(shù)據(jù)無法被有效收集、整理并加以利用，導(dǎo)致信息安全管理員無法通過數(shù)據(jù)分析發(fā)現(xiàn)隱藏在其中的安全威脅。

網(wǎng)絡(luò)安全，有幾個(gè)主要特點(diǎn)。一是網(wǎng)絡(luò)安全是整體的而不是割裂的。二是網(wǎng)絡(luò)安全是動(dòng)態(tài)的而不是靜態(tài)的。信息技術(shù)變化越來越快，過去分散獨(dú)立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，依靠裝幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜，需要樹立動(dòng)態(tài)、綜合的防護(hù)理念。三是網(wǎng)絡(luò)安全是開放的而不是封閉的。四是網(wǎng)絡(luò)安全是相對的而不是絕對的。五是網(wǎng)絡(luò)安全是共同的而不是孤立的。

要全方位感知網(wǎng)絡(luò)安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆。沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進(jìn)來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂“聰者聽于無聲，明者見于未形”。感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作。

隨著《中國人民共和網(wǎng)絡(luò)安全法》在2017年6月1日的正式實(shí)施，對信息系統(tǒng)安全、個(gè)人隱私保護(hù)以及處罰標(biāo)準(zhǔn)都做出了明確規(guī)范，在滿足行業(yè)主管部門的要求和法律規(guī)定之上，針對如何解決新形勢下的信息安全威脅則是信息安全保障下一步建設(shè)的關(guān)鍵所在。

一、態(tài)勢感知安全建設(shè)目標(biāo)

用大數(shù)據(jù)技術(shù)，建設(shè)針對全院的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，利用可視化技術(shù)以圖形化的方式展示院內(nèi)各業(yè)務(wù)系統(tǒng)的安全狀況，并結(jié)合互聯(lián)網(wǎng)安全狀態(tài)，整體展示全院的安全態(tài)勢，并能實(shí)現(xiàn)對全院核心業(yè)務(wù)網(wǎng)絡(luò)流量的長期存儲(chǔ)與分析，及時(shí)發(fā)現(xiàn)潛在的異常行為和高級威脅。通過本項(xiàng)目建設(shè)，將實(shí)現(xiàn)醫(yī)院具備如下安全建設(shè)目標(biāo)：

1.建設(shè)基于互聯(lián)網(wǎng)威脅情報(bào)的高級威脅發(fā)現(xiàn)系統(tǒng);

2.建設(shè)全流量采集與日志采集、存儲(chǔ)、分析處理的大數(shù)據(jù)安全分析及態(tài)勢感知系統(tǒng);

3.建設(shè)自動(dòng)化的關(guān)聯(lián)分析發(fā)現(xiàn)本地異常行為;

4.建設(shè)可視化平臺(tái)展現(xiàn)全院整體的威脅與異常及其處置情況;

5.具備高級威脅與內(nèi)部人員惡意行為發(fā)現(xiàn)能力;

二、態(tài)勢感知系統(tǒng)安全防護(hù)建設(shè)

信息安全首重發(fā)現(xiàn)的能力，Gartner 研究的最新安全模型，通過預(yù)測風(fēng)險(xiǎn)情況和攻擊手段，并對響應(yīng)的信息和行為進(jìn)行防護(hù)與阻止，并全方位的觀測監(jiān)察防護(hù)與組織手段的有效性，對相關(guān)內(nèi)容進(jìn)行調(diào)查與相應(yīng)，通過持續(xù)性的監(jiān)控與分析，拓展發(fā)現(xiàn)和預(yù)測可能出現(xiàn)的攻擊手段和風(fēng)險(xiǎn)資產(chǎn)，從而實(shí)現(xiàn)安全保障的閉環(huán)運(yùn)行。

醫(yī)院業(yè)務(wù)的內(nèi)部網(wǎng)絡(luò)來說，本身的安全建設(shè)非常重要，而現(xiàn)在已經(jīng)得到一種公認(rèn)，就是傳統(tǒng)的邊界防御體系有著自身的缺陷，必須采用一種縱深防御體系來代理邊界防御體系。邊界防御思想已經(jīng)成為過去時(shí)，而縱深防御體系已經(jīng)成為趨勢。

解決新的安全威脅需要利用多種先進(jìn)技術(shù)，才可能實(shí)現(xiàn)對用戶的安全數(shù)據(jù)進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)本地的威脅和異常，同時(shí)通過圖形化、可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢進(jìn)行展現(xiàn)。

1.設(shè)計(jì)方案

1.1使用互聯(lián)網(wǎng)威脅情報(bào)發(fā)現(xiàn)高級威脅

傳統(tǒng)網(wǎng)絡(luò)由于APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一單位的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。

從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準(zhǔn)溯源。

1.2利用威脅情報(bào)檢測高級威脅

用威脅情報(bào)的形式對各種APT攻擊中常出現(xiàn)的特點(diǎn)和背景信息進(jìn)行記錄和傳輸，而威脅情報(bào)將通過統(tǒng)一的規(guī)范化格式將APT攻擊中出現(xiàn)的多種攻擊特征進(jìn)行標(biāo)準(zhǔn)化，可滿足未來擴(kuò)展APT攻擊特征以及后續(xù)擴(kuò)展聯(lián)動(dòng)設(shè)備的需要。

1.3使用搜索技術(shù)進(jìn)行數(shù)據(jù)分析處理

用搜索引擎技術(shù)作為本地?cái)?shù)據(jù)存儲(chǔ)和檢索核心技術(shù)，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，同時(shí)相比傳統(tǒng)架構(gòu)也能夠降低大量接口上的開發(fā)量。可為單位本地的大規(guī)模數(shù)據(jù)保存、攻擊證據(jù)留存和查詢、實(shí)時(shí)關(guān)聯(lián)分析提供堅(jiān)實(shí)的技術(shù)保障。

1.4可視化技術(shù)使得威脅和異常清晰可見

通過可視化技術(shù)的利用，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等數(shù)據(jù)結(jié)構(gòu)化，形成高維度的可視化方案，以便于用戶理解。大數(shù)據(jù)的存儲(chǔ)與實(shí)時(shí)運(yùn)算能力保證能夠?qū)崿F(xiàn)數(shù)據(jù)的實(shí)時(shí)推送，配以可以實(shí)時(shí)交互的3D可視化界面，與其美觀的3D展示效果相得益彰?？梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)內(nèi)的安全態(tài)勢，使得安全由不可見變?yōu)榭梢?，不但帶來了更好的用戶體驗(yàn)，同時(shí)還有效地提高了安全監(jiān)控的效率。

結(jié)論

本文是基于等保2.0標(biāo)準(zhǔn)下三級系統(tǒng)的要求，對重要基礎(chǔ)公共設(shè)施安全下醫(yī)療行業(yè)中態(tài)勢感知系統(tǒng)建設(shè)進(jìn)行說明。從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等可視化，提升網(wǎng)絡(luò)安全數(shù)據(jù)存儲(chǔ)與溯源的能力等方面建設(shè)。滿足了等保2.0標(biāo)準(zhǔn)對醫(yī)院系統(tǒng)的要求。

參考文獻(xiàn)

[1]《中國人民共和國網(wǎng)絡(luò)安全法》.

[2]《網(wǎng)絡(luò)安全等級保護(hù)基本要求》.