零信任在衛(wèi)生科教管理平臺中的應(yīng)用

卜曉曉，陳 穎，孟小飛

（南京市衛(wèi)生信息中心，江蘇 南京 210003）

全球數(shù)字化轉(zhuǎn)型趨勢明顯，反映出云技術(shù)等的發(fā)展優(yōu)勢，加速了醫(yī)療機(jī)構(gòu)IT環(huán)境和網(wǎng)絡(luò)邊界的多元化變革[1]。在這樣的背景之下，衛(wèi)生科教管理平臺的完善及優(yōu)化應(yīng)該受到重視，要充分考慮多接入方式、多系統(tǒng)運(yùn)行等，了解整體的管理實(shí)效和成本問題。零信任安全防護(hù)系統(tǒng)在衛(wèi)生科教管理平臺中扮演著重要角色，其能夠保障信息安全，推動醫(yī)療工作穩(wěn)步開展。

1 零信任安全防護(hù)系統(tǒng)的概述

依照現(xiàn)階段醫(yī)療機(jī)構(gòu)的實(shí)際運(yùn)行情況分析，應(yīng)該重視業(yè)務(wù)痛點(diǎn)和實(shí)際需求，保證在用戶實(shí)際的業(yè)務(wù)需求上融合雙向流量加密技術(shù)，讓用戶業(yè)務(wù)系統(tǒng)的安全訪問成為可能，強(qiáng)化基本的控制力，實(shí)現(xiàn)日志審計(jì)和事件溯源等目標(biāo)。在相應(yīng)的系統(tǒng)中，重點(diǎn)是涉及到統(tǒng)一的身份管理，在多個(gè)平臺的支撐下，使信息更為可靠，達(dá)到理想化標(biāo)準(zhǔn)。零信任安全防護(hù)系統(tǒng)屬于一種較為可靠的系統(tǒng)，其面向終端賦予的準(zhǔn)入策略，可以精準(zhǔn)分析環(huán)境感知信息，展示出強(qiáng)大的響應(yīng)處置能力。在具體的操作中，若是系統(tǒng)受到外部攻擊，則健康狀態(tài)能夠發(fā)生明顯的偏離，通過相關(guān)系統(tǒng)展示出的強(qiáng)大功能，確保多組件深度聯(lián)動，保持穩(wěn)定狀態(tài)[2]。

2 零信任在衛(wèi)生科教管理平臺中的應(yīng)用難點(diǎn)

（1）先認(rèn)證后連接技術(shù)。在衛(wèi)生科教管理平臺上，零信任是非常重要的支撐條件，零信任的投入使用可以將傳統(tǒng)的思路加以轉(zhuǎn)變，讓先連接后認(rèn)證轉(zhuǎn)變?yōu)橄日J(rèn)證后連接。在可信接入代理技術(shù)的作用下，通過終端管理手段提升整體的運(yùn)行實(shí)效，完成用戶的針對性訪問，保證對重要數(shù)據(jù)和業(yè)務(wù)及時(shí)的分析，強(qiáng)化數(shù)據(jù)訪問的控制能力。通過相關(guān)技術(shù)的支撐作用，使得具體成果更加顯著，也能充分展示出零信任的優(yōu)勢，使其服務(wù)于衛(wèi)生科教管理平臺的工作。

圖1 動態(tài)授權(quán)管理圖示

（2）動態(tài)授權(quán)管理技術(shù)。在衛(wèi)生科教管理平臺中，動態(tài)授權(quán)也是需要關(guān)注的焦點(diǎn)，一般會將其當(dāng)作零信任的關(guān)鍵點(diǎn)。在其充分展示審計(jì)分析能力的過程中，建立并完善用戶行為的基線，詳細(xì)掌握用戶業(yè)務(wù)訪問行為的實(shí)際變化，落實(shí)好動態(tài)權(quán)限控制，避免出現(xiàn)越權(quán)訪問數(shù)據(jù)的情況，構(gòu)建起更為可靠的安全訪問基線。

（3）行為畫像技術(shù)。在用戶行為分析中，可以適當(dāng)構(gòu)建起用戶訪問數(shù)據(jù)行為基準(zhǔn)，同時(shí)也能提供用戶畫像，促使相應(yīng)的依據(jù)功能展示出來?？紤]到用戶畫像的存在價(jià)值，促使用戶業(yè)務(wù)數(shù)據(jù)訪問行為得以有效分析，還能詳細(xì)判斷輸出用戶的異常行為。

（4）用戶頁面水印和動態(tài)脫敏技術(shù)。零信任給衛(wèi)生科教管理平臺提供了保障，考慮到零信任先認(rèn)證后連接的技術(shù)手段，針對于應(yīng)用頁面也要做好水印標(biāo)識，還要分析頁面應(yīng)用內(nèi)容，及時(shí)落實(shí)好動態(tài)脫敏管理。

3 零信任在衛(wèi)生科教管理平臺中的應(yīng)用標(biāo)準(zhǔn)

零信任與衛(wèi)生科教管理平臺的結(jié)合意義重大，能夠展示零信任安全防護(hù)系統(tǒng)的優(yōu)勢，也能讓衛(wèi)生科教管理平臺穩(wěn)步運(yùn)行[3]。在“四橫三縱”的邏輯框架中，使得相應(yīng)的服務(wù)有效落實(shí)，同時(shí)還能提升基本的資源實(shí)效，體現(xiàn)具體的成果和優(yōu)勢。所謂的“四橫三縱”，就是指的外部生態(tài)系統(tǒng)、零信任管控平臺、可信訪問控制服務(wù)、策略執(zhí)行組件等，也涉及到用戶端、安全訪問通道、資源端等。

零信任管控平臺中涵蓋著不同模塊，如認(rèn)證管理模塊、權(quán)限管理模塊以及身份管理模塊等，屬于零信任安全防護(hù)系統(tǒng)中的核心。通過積極地接收相應(yīng)數(shù)據(jù)，確保精細(xì)化管理更加到位，同時(shí)借助于可信訪問控制服務(wù)，完成對執(zhí)行組件的精準(zhǔn)指示，使其提供必要的決策服務(wù)。

管控平臺屬于一種至關(guān)重要的接口，其重點(diǎn)是連接著外部生態(tài)系統(tǒng)以及第三方平臺，在相應(yīng)的實(shí)踐環(huán)節(jié)，可以充分展示相應(yīng)的數(shù)據(jù)優(yōu)勢，使其發(fā)揮出參考價(jià)值。外部認(rèn)證因素模塊擴(kuò)展中涉及到CA、LDAP、動態(tài)令牌等因素，在相應(yīng)的維護(hù)和管理中，發(fā)揮出基本的實(shí)效性，使得相應(yīng)的成果更為突出，顯現(xiàn)出具體的作用及功能。用戶行為分析中，可以通過信息審計(jì)作用判斷出高風(fēng)險(xiǎn)操作行為，同時(shí)反哺權(quán)限管理模塊，充實(shí)權(quán)限管理模塊的授權(quán)維度。

相應(yīng)的平臺上，可以讓策略擁有執(zhí)行依據(jù)，其中涉及到多個(gè)組成部分，如策略執(zhí)行依據(jù)以及運(yùn)維級策略執(zhí)行依據(jù)等。還能通過相應(yīng)的分析，判斷具體情況，以便更好地開展各項(xiàng)工作。

圖2 零信任在衛(wèi)生科教管理平臺中的應(yīng)用圖

4 零信任在衛(wèi)生科教管理平臺中的應(yīng)用實(shí)踐

零信任架構(gòu)的基本目的是打造出富有身份邊界感的訪問模式，借助于動態(tài)授權(quán)以及持續(xù)認(rèn)證等多種手段，使得業(yè)務(wù)更加順利推進(jìn)，維護(hù)數(shù)據(jù)信息的整體安全性。在該項(xiàng)目中，通過適當(dāng)?shù)难芯亢头治隽阈湃伟踩軜?gòu)的基本運(yùn)用情況，判斷網(wǎng)絡(luò)邊界防御為主的安全體系狀態(tài)，在相應(yīng)的實(shí)踐操作中，提升基本的框架依賴性，促使網(wǎng)絡(luò)位置構(gòu)建起信任關(guān)系，設(shè)備、用戶和訪問流量都需要被認(rèn)證和授權(quán)。在對應(yīng)的認(rèn)證并獲得權(quán)限后，可以及時(shí)享受訪問服務(wù)，針對權(quán)限的具體范圍以及基本時(shí)效等加以控制[4]。針對支撐企業(yè)的互聯(lián)網(wǎng)建設(shè)趨勢，需要注重醫(yī)療大數(shù)據(jù)的使用情況，采取適宜措施詳細(xì)判斷，了解具體的需求和標(biāo)準(zhǔn)，以保證衛(wèi)生科教管理平臺的各項(xiàng)服務(wù)扎實(shí)推進(jìn)。

在南京市區(qū)域衛(wèi)生科教管理平臺日臻完善的背景下，數(shù)據(jù)安全受到的關(guān)注度明顯提升，采取何種方式保證其安全及可靠成為了熱議話題。云計(jì)算等先進(jìn)技術(shù)的使用讓傳統(tǒng)安全邊界變得極為模糊，網(wǎng)絡(luò)攻擊也體現(xiàn)出精準(zhǔn)特征，逐步向著更高水平的方向發(fā)展。黑客可以對多種手段加以利用，通過社會工程等獲取用戶的權(quán)限，借助于用戶個(gè)人信息登錄到衛(wèi)生信息平臺上攻擊重要內(nèi)容。因此，將零信任安全防護(hù)系統(tǒng)與衛(wèi)生科教管理平臺密切結(jié)合，建設(shè)出新的零信任安全防護(hù)體系，避免內(nèi)部核心數(shù)據(jù)和資產(chǎn)遭受攻擊。通過相應(yīng)的實(shí)踐過程，促使著零信任安全防護(hù)系統(tǒng)發(fā)揮出自身價(jià)值，在逐步強(qiáng)化自身影響力的前提下，完善具體實(shí)踐方案，給衛(wèi)生科教管理平臺的建立和發(fā)展創(chuàng)造理想條件。

5 零信任在衛(wèi)生科教管理平臺中的應(yīng)用策略

在南京市區(qū)域衛(wèi)生科教管理平臺中，零信任安全防護(hù)體系發(fā)揮出自身影響力，通過將其適當(dāng)?shù)剡\(yùn)用起來，可以打造出以身份為中心的邊界，借助動態(tài)授權(quán)以及持續(xù)認(rèn)證等多重手段推動業(yè)務(wù)安全訪問進(jìn)程，保障數(shù)據(jù)的安全性，給全南京市衛(wèi)生科研申報(bào)和管理工作的開展提供支持，維護(hù)平臺的各種功能[5]。

5.1 補(bǔ)充現(xiàn)有安全防御體系

目前，安全防御體系存在著亟待完善的問題，結(jié)合南京市大數(shù)據(jù)局反映的情況分析，安全防御體系應(yīng)該重點(diǎn)關(guān)注網(wǎng)絡(luò)邊界的防御情況，還要借助于先進(jìn)手段實(shí)現(xiàn)云安全防御，關(guān)注用戶身份的科學(xué)認(rèn)證和控制。根據(jù)目前狀況分析，用戶身份的持續(xù)認(rèn)證和控制缺少針對性，以至于無法抵御外界的威脅，還易出現(xiàn)數(shù)據(jù)信息泄露的問題。在新的時(shí)期，應(yīng)該肯定零信任安全防護(hù)體系的運(yùn)用優(yōu)勢，按照實(shí)際需要引入“身份”新邊界的零信任架構(gòu)，依靠網(wǎng)絡(luò)位置來建立信任關(guān)系，同時(shí)關(guān)注用戶與設(shè)備等的認(rèn)證及授權(quán)情況，在獲取相應(yīng)的權(quán)限后可訪問服務(wù)，對權(quán)限范圍、時(shí)效等進(jìn)行嚴(yán)格的控制，保證設(shè)備、人以及應(yīng)用等覆蓋全面，達(dá)到理想化要求，實(shí)現(xiàn)智能化訪問控制。

5.2 構(gòu)建“身份”安全的零信任架構(gòu)

在先進(jìn)技術(shù)的支撐下，衛(wèi)生科教管理平臺也注入了新的活力，相應(yīng)工作的開展也擁有了穩(wěn)固條件，對于長遠(yuǎn)發(fā)展和進(jìn)步影響較大。南京市區(qū)域衛(wèi)生科教管理平臺具有對接設(shè)備多、人員多、分布范圍廣等特點(diǎn)，為了規(guī)避一系列問題，應(yīng)該重視實(shí)際情況，結(jié)合具體要求完成合理驗(yàn)證和分析。人員身份、接入設(shè)備的身份驗(yàn)證等都是至關(guān)重要的內(nèi)容，只有讓相應(yīng)的操作符合預(yù)期，達(dá)到既定標(biāo)準(zhǔn)和要求，才能保障整個(gè)過程的安全及可靠，及時(shí)拒絕未通過認(rèn)證的任何人員或?qū)嶓w設(shè)備入網(wǎng)。在相應(yīng)的操作環(huán)節(jié)，各方主體也能清楚認(rèn)識自身的職責(zé)，將身份當(dāng)作新的安全邊界，自覺遵守對應(yīng)的檢驗(yàn)和核查，確保大數(shù)據(jù)安全保障的關(guān)鍵關(guān)口發(fā)揮出自身影響力[6]。

5.3 建立業(yè)務(wù)安全訪問機(jī)制

衛(wèi)生科教管理平臺中，需要積極分析業(yè)務(wù)安全訪問機(jī)制的重要性，要抓住適宜機(jī)會使其展示出保障功能，給具體工作的開展提供支持。在零信任架構(gòu)的支撐下，安全防御體系發(fā)揮出自身的影響力，在相應(yīng)的支撐之下，所有業(yè)務(wù)呈現(xiàn)出默認(rèn)的隱藏狀態(tài)，結(jié)合實(shí)際的授權(quán)結(jié)果完成最小限度的開放，保證具體成果顯現(xiàn)出來，達(dá)到最佳的實(shí)效。業(yè)務(wù)訪問請求可以實(shí)現(xiàn)全流量加密以及強(qiáng)制授權(quán)，這樣促使著業(yè)務(wù)訪問過程更為安全，有助于及時(shí)完成基本操作，獲取可靠成果。

5.4 實(shí)現(xiàn)數(shù)據(jù)安全縱深防護(hù)

在先進(jìn)技術(shù)的支撐下，零信任安全防護(hù)體系的支撐效力充分體現(xiàn)出來，數(shù)據(jù)層面上也可完成大集中存儲，保證業(yè)務(wù)互通，數(shù)據(jù)有效共享。在具體的實(shí)踐環(huán)節(jié)，數(shù)據(jù)訪問人數(shù)多、權(quán)限分配復(fù)雜等問題格外明顯，在對其進(jìn)行處理的時(shí)候，還要了解基本標(biāo)準(zhǔn)和要求，從而使多種問題迎刃而解，避免各種麻煩。在零信任的安全架構(gòu)中，能夠明確判斷數(shù)據(jù)的流徑，通過詳細(xì)分析風(fēng)險(xiǎn)點(diǎn)，同時(shí)確定好相應(yīng)的控制舉措，展示出應(yīng)用層、網(wǎng)絡(luò)層和基礎(chǔ)平臺層等各個(gè)層面的數(shù)據(jù)安全縱深防御能力[7]。

5.5 實(shí)現(xiàn)數(shù)據(jù)脫敏以及隱私保護(hù)

作為防護(hù)的重中之重，數(shù)據(jù)安全的重要性備受關(guān)注，現(xiàn)階段的網(wǎng)絡(luò)安全形勢并不盡人意，出現(xiàn)了諸多的外部攻擊和內(nèi)部威脅，因此需要積極應(yīng)對，結(jié)合先進(jìn)手段提升防范能力。面對有組織的攻擊情況，南京市衛(wèi)生科教管理平臺給予了高度關(guān)注，對于數(shù)據(jù)安全制定出了相應(yīng)的應(yīng)對措施，以期通過零信任體系實(shí)現(xiàn)頁面的動態(tài)脫敏，讓訪問過程全面審計(jì)，為事后追蹤溯源提供依據(jù)。

6 結(jié)束語

在衛(wèi)生科教管理平臺的運(yùn)營管理中，采取何種方式保證其安全受到關(guān)注，應(yīng)該通過相應(yīng)措施優(yōu)化平臺，提升影響力，讓衛(wèi)生科教管理有條不紊地推進(jìn)。零信任安全防護(hù)體系的重要性備受認(rèn)可，需要將其與衛(wèi)生科教管理平臺密切結(jié)合，打造出理想化管理模式，使得具體工作穩(wěn)步開展，擁有理想的支撐條件。通過本文的詳細(xì)分析，明確了零信任與衛(wèi)生科教管理平臺相結(jié)合的策略，旨在提供參考，推動具體工作順利開展。