基于等保2.0的醫(yī)院態(tài)勢(shì)感知系統(tǒng)應(yīng)用

畢鵬

摘 要：本文基于等級(jí)保護(hù)制度2.0（以下簡(jiǎn)稱：等保2.0）的要求，對(duì)公共服務(wù)類的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)上做出了明確要求。醫(yī)療行業(yè)屬于公共服務(wù)領(lǐng)域，很多信息系統(tǒng)被定義為保護(hù)第三級(jí)系統(tǒng)，如何做好這些業(yè)務(wù)系統(tǒng)和基礎(chǔ)設(shè)施的等級(jí)保護(hù)，對(duì)衛(wèi)生行業(yè)來(lái)說(shuō)，提出了新的要求和新的挑戰(zhàn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究應(yīng)運(yùn)而生，它融合各種網(wǎng)絡(luò)安全要素，站在更高的角度去評(píng)估網(wǎng)絡(luò)安全的實(shí)時(shí)狀況，在一定的條件下，可以預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，使得業(yè)務(wù)系統(tǒng)可以滿足等保2.0的新要求的道路。

關(guān)鍵詞：等級(jí)保護(hù)2.0 態(tài)勢(shì)感知系統(tǒng) 基礎(chǔ)設(shè)施保護(hù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-9082（2020）05-00-01

引言

隨著各信息化技術(shù)的快速發(fā)展，以及云計(jì)算、移動(dòng)化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)和發(fā)展，醫(yī)療業(yè)務(wù)與互聯(lián)網(wǎng)對(duì)接已是不可避免的趨勢(shì)。醫(yī)療行業(yè)在利用互聯(lián)網(wǎng)、移動(dòng)化技術(shù)實(shí)現(xiàn)醫(yī)生隨訪、移動(dòng)護(hù)理、自助交費(fèi)、院外康復(fù)和家庭病床等業(yè)務(wù)也利用新技術(shù)實(shí)現(xiàn)了高速的發(fā)展。

那么在這“互聯(lián)網(wǎng)+醫(yī)療”的大趨勢(shì)下，在將新的技術(shù)應(yīng)用到信息系統(tǒng)的過(guò)程中，我們發(fā)現(xiàn)新的信息安全問(wèn)題逐漸浮出水面。一方面新的信息安全威脅層出不窮，非法獲取病人信息已經(jīng)形成產(chǎn)業(yè)化的趨勢(shì)，利用特種木馬、0day漏洞、水坑攻擊、釣魚(yú)攻擊甚至威脅更大的APT攻擊，已是傳統(tǒng)防火墻、IPS、殺毒軟件等安全防護(hù)設(shè)備無(wú)法發(fā)現(xiàn)和阻止。另一方面隨著單位內(nèi)各個(gè)業(yè)務(wù)部門信息系統(tǒng)的快速建設(shè)，信息系統(tǒng)產(chǎn)生的數(shù)據(jù)無(wú)法被有效收集、整理并加以利用，導(dǎo)致信息安全管理員無(wú)法通過(guò)數(shù)據(jù)分析發(fā)現(xiàn)隱藏在其中的安全威脅。

網(wǎng)絡(luò)安全，有幾個(gè)主要特點(diǎn)。一是網(wǎng)絡(luò)安全是整體的而不是割裂的。二是網(wǎng)絡(luò)安全是動(dòng)態(tài)的而不是靜態(tài)的。信息技術(shù)變化越來(lái)越快，過(guò)去分散獨(dú)立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來(lái)源和攻擊手段不斷變化，依靠裝幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜，需要樹(shù)立動(dòng)態(tài)、綜合的防護(hù)理念。三是網(wǎng)絡(luò)安全是開(kāi)放的而不是封閉的。四是網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的。五是網(wǎng)絡(luò)安全是共同的而不是孤立的。

要全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。知己知彼，才能百戰(zhàn)不殆。沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰(shuí)進(jìn)來(lái)了不知道、是敵是友不知道、干了什么不知道”，長(zhǎng)期“潛伏”在里面，一旦有事就發(fā)作了。維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂“聰者聽(tīng)于無(wú)聲，明者見(jiàn)于未形”。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作。

隨著《中國(guó)人民共和網(wǎng)絡(luò)安全法》在2017年6月1日的正式實(shí)施，對(duì)信息系統(tǒng)安全、個(gè)人隱私保護(hù)以及處罰標(biāo)準(zhǔn)都做出了明確規(guī)范，在滿足行業(yè)主管部門的要求和法律規(guī)定之上，針對(duì)如何解決新形勢(shì)下的信息安全威脅則是信息安全保障下一步建設(shè)的關(guān)鍵所在。

一、態(tài)勢(shì)感知安全建設(shè)目標(biāo)

用大數(shù)據(jù)技術(shù)，建設(shè)針對(duì)全院的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，利用可視化技術(shù)以圖形化的方式展示院內(nèi)各業(yè)務(wù)系統(tǒng)的安全狀況，并結(jié)合互聯(lián)網(wǎng)安全狀態(tài)，整體展示全院的安全態(tài)勢(shì)，并能實(shí)現(xiàn)對(duì)全院核心業(yè)務(wù)網(wǎng)絡(luò)流量的長(zhǎng)期存儲(chǔ)與分析，及時(shí)發(fā)現(xiàn)潛在的異常行為和高級(jí)威脅。通過(guò)本項(xiàng)目建設(shè)，將實(shí)現(xiàn)醫(yī)院具備如下安全建設(shè)目標(biāo)：

1.建設(shè)基于互聯(lián)網(wǎng)威脅情報(bào)的高級(jí)威脅發(fā)現(xiàn)系統(tǒng);

2.建設(shè)全流量采集與日志采集、存儲(chǔ)、分析處理的大數(shù)據(jù)安全分析及態(tài)勢(shì)感知系統(tǒng);

3.建設(shè)自動(dòng)化的關(guān)聯(lián)分析發(fā)現(xiàn)本地異常行為;

4.建設(shè)可視化平臺(tái)展現(xiàn)全院整體的威脅與異常及其處置情況;

5.具備高級(jí)威脅與內(nèi)部人員惡意行為發(fā)現(xiàn)能力;

二、態(tài)勢(shì)感知系統(tǒng)安全防護(hù)建設(shè)

信息安全首重發(fā)現(xiàn)的能力，Gartner 研究的最新安全模型，通過(guò)預(yù)測(cè)風(fēng)險(xiǎn)情況和攻擊手段，并對(duì)響應(yīng)的信息和行為進(jìn)行防護(hù)與阻止，并全方位的觀測(cè)監(jiān)察防護(hù)與組織手段的有效性，對(duì)相關(guān)內(nèi)容進(jìn)行調(diào)查與相應(yīng)，通過(guò)持續(xù)性的監(jiān)控與分析，拓展發(fā)現(xiàn)和預(yù)測(cè)可能出現(xiàn)的攻擊手段和風(fēng)險(xiǎn)資產(chǎn)，從而實(shí)現(xiàn)安全保障的閉環(huán)運(yùn)行。

醫(yī)院業(yè)務(wù)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，本身的安全建設(shè)非常重要，而現(xiàn)在已經(jīng)得到一種公認(rèn)，就是傳統(tǒng)的邊界防御體系有著自身的缺陷，必須采用一種縱深防御體系來(lái)代理邊界防御體系。邊界防御思想已經(jīng)成為過(guò)去時(shí)，而縱深防御體系已經(jīng)成為趨勢(shì)。

解決新的安全威脅需要利用多種先進(jìn)技術(shù)，才可能實(shí)現(xiàn)對(duì)用戶的安全數(shù)據(jù)進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)本地的威脅和異常，同時(shí)通過(guò)圖形化、可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)進(jìn)行展現(xiàn)。

1.設(shè)計(jì)方案

1.1使用互聯(lián)網(wǎng)威脅情報(bào)發(fā)現(xiàn)高級(jí)威脅

傳統(tǒng)網(wǎng)絡(luò)由于APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一單位的數(shù)據(jù)經(jīng)常無(wú)法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。

從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準(zhǔn)溯源。

1.2利用威脅情報(bào)檢測(cè)高級(jí)威脅

用威脅情報(bào)的形式對(duì)各種APT攻擊中常出現(xiàn)的特點(diǎn)和背景信息進(jìn)行記錄和傳輸，而威脅情報(bào)將通過(guò)統(tǒng)一的規(guī)范化格式將APT攻擊中出現(xiàn)的多種攻擊特征進(jìn)行標(biāo)準(zhǔn)化，可滿足未來(lái)擴(kuò)展APT攻擊特征以及后續(xù)擴(kuò)展聯(lián)動(dòng)設(shè)備的需要。

1.3使用搜索技術(shù)進(jìn)行數(shù)據(jù)分析處理

用搜索引擎技術(shù)作為本地?cái)?shù)據(jù)存儲(chǔ)和檢索核心技術(shù)，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，同時(shí)相比傳統(tǒng)架構(gòu)也能夠降低大量接口上的開(kāi)發(fā)量。可為單位本地的大規(guī)模數(shù)據(jù)保存、攻擊證據(jù)留存和查詢、實(shí)時(shí)關(guān)聯(lián)分析提供堅(jiān)實(shí)的技術(shù)保障。

1.4可視化技術(shù)使得威脅和異常清晰可見(jiàn)

通過(guò)可視化技術(shù)的利用，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等數(shù)據(jù)結(jié)構(gòu)化，形成高維度的可視化方案，以便于用戶理解。大數(shù)據(jù)的存儲(chǔ)與實(shí)時(shí)運(yùn)算能力保證能夠?qū)崿F(xiàn)數(shù)據(jù)的實(shí)時(shí)推送，配以可以實(shí)時(shí)交互的3D可視化界面，與其美觀的3D展示效果相得益彰。可視化技術(shù)的利用使得用戶可以更直觀地感受到網(wǎng)內(nèi)的安全態(tài)勢(shì)，使得安全由不可見(jiàn)變?yōu)榭梢?jiàn)，不但帶來(lái)了更好的用戶體驗(yàn)，同時(shí)還有效地提高了安全監(jiān)控的效率。

結(jié)論

本文是基于等保2.0標(biāo)準(zhǔn)下三級(jí)系統(tǒng)的要求，對(duì)重要基礎(chǔ)公共設(shè)施安全下醫(yī)療行業(yè)中態(tài)勢(shì)感知系統(tǒng)建設(shè)進(jìn)行說(shuō)明。從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等可視化，提升網(wǎng)絡(luò)安全數(shù)據(jù)存儲(chǔ)與溯源的能力等方面建設(shè)。滿足了等保2.0標(biāo)準(zhǔn)對(duì)醫(yī)院系統(tǒng)的要求。

參考文獻(xiàn)

[1]《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》.

[2]《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》.