走路十几分钟,头疼脑热就能治好;小病不用去大医院排队挂号,免去舟车劳顿之苦。近年来,基层医疗卫生改革深入开展,数字化水平大幅提升,给患者和医生都带来了极大便利。但随着医疗数据的开放共享,信息安全也面临新的挑战。
基层医疗机构数量众多,规模较小,地理位置分散,导致信息化和网络安全建设层次不齐,总体水平相对落后。不仅自身广泛存在着后门程序、僵尸网络、木马蠕虫、勒索病毒等安全问题,同时由于需要接入卫生专网,更给卫生专网和数据中心带来巨大安全隐患。
如何保障医疗数据信息安全,保护患者隐私,满足信息安全等级保护要求,确保医疗服务稳定开展?如何将网络安全防御框架“下沉”到医疗卫生体系末端,让基层医疗机构也具备事前防控的“积极防御”体系?面对这些问题,2020年1月开始,浙江省杭州市江干区卫生健康局携手国内领先的网络安全公司奇安信,以奇安信态势感知与安全运营平台(简称:NGSOC)为核心,建成全国首个覆盖社区卫生服务中心的网络安全运营样板,打造了让各地医疗卫生机构广泛借鉴的“江干模式”。
杀毒、重装、格式化 基层网络安全“三板斧”
“没有部署网络安全系统之前,社区卫生服务中心的电脑一遇到蓝屏死机、中毒卡慢,通常招数就是先杀毒,不行就重装系统,甚至格式化硬盘,然后数据恢复。”江干区卫生健康局信息中心负责人谈起几年前的基层信息化现状,依然是感慨万千。
江干区,隶属于浙江省杭州市,是杭州城市发展战略的轴心所在,也是杭州的交通枢纽中心,曾先后获评全国科技工作先进区、全国卫生先进城区、全国社区建设示范区、浙江省科技进步先进区等荣誉。江干区卫生健康局作为区医疗卫生健康管理职能部门,打造出了3个全国百强社区卫生服务中心,曾先后接待国务院医改办、国家卫健委基层卫生司、体改司、中国社区卫生协会、WHO扩大免疫规划组、国家卫健委免疫规划督查组等行业专家的多次考察与调研。
没有网络安全就没有国家安全,没有信息化就没有现代化。在与民生紧密相关的卫生系统中,随着信息化建设的普及,医共体建设的有序开展,卫生系统常遭遇的各类勒索病毒、木马等高级攻击手段也蔓延到了卫生体系的末端,直接威胁基层医疗机构业务平稳运行和卫生专网的安全。
江干区卫生健康局信息中心的负责人对此深有体会。他总结了五个方面:
首先是各社区机构信息建设普遍规模小,网络安全关注度低,对卫生专网构成不可忽视的威胁。
其次是资源相对紧张,信息化先天建设方面存在缺陷,自身不具备建设网络安全监测的能力。
第三是一线医护人员比重高,网络安全意识薄弱,更易感染木马病毒。社区卫生服务中心的IT人员基本上只有一名,日常工作繁杂,身兼多职,无暇处理各种安全问题。
第四是地理位置较为分散,难以进行统一监管、安全赋能。江干区卫生健康局辖区内有8个街道社区卫生服务中心,以及卫生健康局机房数据中心、青山湖IDC机房数据中心,地理位置很远,安全管理难度很大。
最后是基层区域卫生专网数据中心亦需要相关专业的安全能力保障。由于数据中心承载了重要业务和敏感数据,一旦被攻击,导致业务停顿、数据泄密等,其损失不可估量。
“在部署NGSOC之前,街道社区卫生服务中心的网络安全停留在安装杀毒软件这样的被动防御层面。基本是各自为战、事后补救,非常被动。”江干区卫生健康局信息安全负责人鲁主任表示,“对于卫生系统专网的监管者和运营者来说,由于缺少指导和开展相关网络安全工作的工具和数据,无法对网络安全做到高效运营和深度管控,很容易让专网的重要业务和敏感数据,暴露于攻击者面前。”
安全分析、服务等优势明显 奇安信NGSOC脱颖而出
江干区卫生健康局始终对网络安全高度重视,2018年,当基层区域卫生信息化建设完成之后,几乎同期,整个系统就全线部署了奇安信天擎等安全产品。2019年开始,为了强化安全分析、威胁发现和管理能力,构建积极防御体系,态势感知和安全运营的建设部署被列上日程。
“几家厂商竞争非常激烈,经过几轮筛选,奇安信走到了最后。”提起选择过程,鲁主任谈到,参与的几家厂商各有千秋,都有很强的实力。考虑到卫生健康局现状,主要考量参与厂商的两方面能力:首先是安全分析能力,其次是安全服务能力。
高性能无疑是安全分析能力的基础保障。当时,2家竞标厂商提供的是一体机的方案,1家提供了2台服务器的方案,而奇安信是唯一一家提供基于三台服务器高性能并发方案的厂商。
谈到这次项目实施,鲁主任回忆了当时的一个小插曲。
从2019年底招标确定下奇安信作为合作伙伴,到2020年初NGSOC等主要设备基本到位,和奇安信的合作非常顺利。即便中间受到春节和疫情因素影响,奇安信仍然在复产复工之后,第一时间进行上门部署。不过,当时却遇到过一次意外。
“三台服务器几次调试,同步总是不成功,延迟比较厉害。”奇安信项目工程师向卫生健康局信息中心反馈了部署中遇到的问题。
“所有业务都是正常的,应该不是网络的问题。”卫生健康局信息中心当时也感到很困惑,但第一反应并没有想到网络设备的因素。
三月初的杭州乍暖还寒,那几个晚上,奇安信工作人员经常干到深夜,一次次的调试,排查故障,寻找原因,甚至凌晨一两点才离开机房。
到3月10日,鲁主任感觉有些奇怪,于是带上网络技术人员,去现场反复排查网络设备,终于有了重大发现,找出了故障原因。
“原来,当时我们用的是某网络设备厂家型号较老的交换机,为了2台做堆叠,后来增加了两块万兆光板卡和两块电口板卡进行数据交换,当时从业务正常运行的层面,没发现异常。但在测试中发现,2块新的板卡,在数据同步的时候,未能达到千兆。所以当流量很大的时候就会出现延迟。” 鲁主任表示。
当晚,信息中心就对网络设备进行了系统升级,之前数据同步延迟的问题彻底得到了解决。“之前我们都以为是NGSOC安装调试的问题,没往网络设备上想。现在想起来,奇安信人的敬业态度和认真负责着实让人钦佩。”
不仅如此,奇安信的专业服务和快速响应能力也让鲁主任记忆深刻。“网络安全的核心是人,再强大的产品,再聪明的机器,都需要人来运营,人来使用。奇安信提供了日常巡检服务、应急响应服务、重要时期安全保障服务,尤其是每月都有专业的NGSOC分析报告,对月度告警情况、僵木蠕毒活动事件、安全处置建议等详尽分析。”
提前洞悉威胁 将安全风险化于无形
“我们为客户提供的不是单一产品,而是一套在防御、检测、响应、预测、持续监控分析周期内提供威胁发现和响应综合性一体化平台。”负责江干项目的奇安信浙江分区医疗销售总监蒋宝尧表示。
在威胁发现和感知方面,通过部署NGSOC,可提前洞悉各种安全威胁,同时联动本地防火墙、终端安全管控系统以及云端的威胁情报数据,能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,并为后期安全加固提供有效依据。
对于客户最关心的性能和安全分析能力,一方面,奇安信NGSOC具备千亿级数据处理能力,可以大大提升安全分析和响应的速度和效率;另一方面,NGSOC基于国内首款分布式关联分析引擎Sabre,通过场景化检测规则、机器学习和关联分析进行多维度威胁研判,大幅降低了威胁检测的误报率和漏报率,其DGA域名检测准确率高达99.94%。
业务资产外联态势
外部威胁态势
内网威胁态势
在边界防护方面,通过部署防火墙对整个网络形成分区分域,一方面对内外网出口及重要边界进行安全防护,另一方面可以更好的进行访问控制。
在联动方面,该项目形成“云管端”联合解决方案,将终端安全管控、控制中心、新一代防火墙“病毒云查杀”、云端反馈和NGSOC等实现无缝联动,提升告警和阻断效率。
而在服务方面,奇安信推出了专业运营服务,将人、数据、工具和流程,四个维度进行了有机的结合,彻底帮助卫健委下属部分机构客户解决产品不能用、不会用的问题,让态势感知实现了真正落地。
网络威胁持续降低 解决缺钱缺人两大矛盾
对于该项目,奇安信负责人归纳了四方面的效果。
首先是威胁告警事件数量明显降低。结合NGSOC提供的持续监测威胁告警信息,安服人员协助客户进行了积极处置,经过半年多的持续安全运营,目前已完成相关后门、病毒的排查和处置工作,江干区卫生专网威胁告警事件总体已呈现明显下降趋势。
其次是发现反复感染风险并及时处理。通过NGSOC发现了部分卫生服务中心存在反复感染迹象,由安服人员进行了协助排查并及时处理,提高了区卫生健康局的网络安全监管处置能力。客户通过监测中心定期下发病毒、漏洞扫描任务,针对安全风险进行有效的事前排查,并与终端控制系统联动进行实时防护。
第三是解决了社区卫生网络安全的人财问题。通过区卫生健康局统一规划、统一建设、统一运营,有效解决了社区卫生服务中心无资金投入、缺网络安全人员运营的问题,这种集约化的投入和管控方式,不仅极大节省了人力和财力,也有效减少了社区卫生终端对卫生专网造成的安全威胁。
最后是形成安全能力下沉的典型经验。该项目针对医疗卫生体系大数据时代的安全需求,基于大数据思维下沉安全业务流程和企业体系架构,以数据为核心,形成医疗卫生体系末端安全能力下沉典型经验,打造出体系化、合规化、可视化、持续化、可复制的江干模式,现已吸引了省内多个市区县卫生健康局前来考察调研和学习。
结束语:
杭州江干区卫生健康局的“江干模式”运行成功之后,在全国医疗卫生行业迅速获得广泛借鉴。仅仅一年的时间,就有广西医疗保障局、内蒙古医疗保障局、河南省卫健委、吉林省卫生健康中心、天津市河西区卫健委、武汉市卫健委等数十家单位,纷纷借鉴江干模式,将安全管理前移到规划建设早期阶段,并将态势感知融入系统运行维护过程之中,实现常态化的威胁发现与响应处置工作,变被动防御为主动防御,构建起“关口前移,防患于未然”的网络安全管理体系,进而显著提升医疗卫生行业的信息安全保护和智慧治理水平。