基于等保2.0的醫院態勢感知系統應用

畢鵬

摘 要：本文基于等級保護制度2.0（以下簡稱：等保2.0）的要求，對公共服務類的關鍵信息基礎設施，在網絡安全等級保護上做出了明確要求。醫療行業屬于公共服務領域，很多信息系統被定義為保護第三級系統，如何做好這些業務系統和基礎設施的等級保護，對衛生行業來說，提出了新的要求和新的挑戰。網絡安全態勢感知的研究應運而生，它融合各種網絡安全要素，站在更高的角度去評估網絡安全的實時狀況，在一定的條件下，可以預測網絡安全態勢的發展趨勢，加強關鍵信息基礎設施的保護，使得業務系統可以滿足等保2.0的新要求的道路。

關鍵詞：等級保護2.0 態勢感知系統 基礎設施保護

中圖分類號：TP393文獻標識碼：A文章編號：1003-9082（2020）05-00-01

引言

隨著各信息化技術的快速發展，以及云計算、移動化、大數據、物聯網等新技術的出現和發展，醫療業務與互聯網對接已是不可避免的趨勢。醫療行業在利用互聯網、移動化技術實現醫生隨訪、移動護理、自助交費、院外康復和家庭病床等業務也利用新技術實現了高速的發展。

那么在這“互聯網+醫療”的大趨勢下，在將新的技術應用到信息系統的過程中，我們發現新的信息安全問題逐漸浮出水面。一方面新的信息安全威脅層出不窮，非法獲取病人信息已經形成產業化的趨勢，利用特種木馬、0day漏洞、水坑攻擊、釣魚攻擊甚至威脅更大的APT攻擊，已是傳統防火墻、IPS、殺毒軟件等安全防護設備無法發現和阻止。另一方面隨著單位內各個業務部門信息系統的快速建設，信息系統產生的數據無法被有效收集、整理并加以利用，導致信息安全管理員無法通過數據分析發現隱藏在其中的安全威脅。

網絡安全，有幾個主要特點。一是網絡安全是整體的而不是割裂的。二是網絡安全是動態的而不是靜態的。信息技術變化越來越快，過去分散獨立的網絡變得高度關聯、相互依賴，網絡安全的威脅來源和攻擊手段不斷變化，依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態、綜合的防護理念。三是網絡安全是開放的而不是封閉的。四是網絡安全是相對的而不是絕對的。五是網絡安全是共同的而不是孤立的。

要全方位感知網絡安全態勢。知己知彼，才能百戰不殆。沒有意識到風險是最大的風險。網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發作了。維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險，正所謂“聰者聽于無聲，明者見于未形”。感知網絡安全態勢是最基本最基礎的工作。

隨著《中國人民共和網絡安全法》在2017年6月1日的正式實施，對信息系統安全、個人隱私保護以及處罰標準都做出了明確規范，在滿足行業主管部門的要求和法律規定之上，針對如何解決新形勢下的信息安全威脅則是信息安全保障下一步建設的關鍵所在。

一、態勢感知安全建設目標

用大數據技術，建設針對全院的網絡安全態勢感知系統，利用可視化技術以圖形化的方式展示院內各業務系統的安全狀況，并結合互聯網安全狀態，整體展示全院的安全態勢，并能實現對全院核心業務網絡流量的長期存儲與分析，及時發現潛在的異常行為和高級威脅。通過本項目建設，將實現醫院具備如下安全建設目標：

1.建設基于互聯網威脅情報的高級威脅發現系統;

2.建設全流量采集與日志采集、存儲、分析處理的大數據安全分析及態勢感知系統;

3.建設自動化的關聯分析發現本地異常行為;

4.建設可視化平臺展現全院整體的威脅與異常及其處置情況;

5.具備高級威脅與內部人員惡意行為發現能力;

二、態勢感知系統安全防護建設

信息安全首重發現的能力，Gartner 研究的最新安全模型，通過預測風險情況和攻擊手段，并對響應的信息和行為進行防護與阻止，并全方位的觀測監察防護與組織手段的有效性，對相關內容進行調查與相應，通過持續性的監控與分析，拓展發現和預測可能出現的攻擊手段和風險資產，從而實現安全保障的閉環運行。

醫院業務的內部網絡來說，本身的安全建設非常重要，而現在已經得到一種公認，就是傳統的邊界防御體系有著自身的缺陷，必須采用一種縱深防御體系來代理邊界防御體系。邊界防御思想已經成為過去時，而縱深防御體系已經成為趨勢。

解決新的安全威脅需要利用多種先進技術，才可能實現對用戶的安全數據進行快速、自動化的關聯分析，及時發現本地的威脅和異常，同時通過圖形化、可視化的技術將這些威脅和異常的總體安全態勢進行展現。

1.設計方案

1.1使用互聯網威脅情報發現高級威脅

傳統網絡由于APT攻擊的復雜性和背景的特殊性，僅依賴于單一單位的數據經常無法有效的發現APT攻擊背景，難以做到真正的追蹤溯源。

從互聯網數據進行發掘和分析，由于任何攻擊線索都會有相關聯的其他信息被互聯網數據捕捉到，所以從互聯網進行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數據的覆蓋面更大，可以做到攻擊的更精準溯源。

1.2利用威脅情報檢測高級威脅

用威脅情報的形式對各種APT攻擊中常出現的特點和背景信息進行記錄和傳輸，而威脅情報將通過統一的規范化格式將APT攻擊中出現的多種攻擊特征進行標準化，可滿足未來擴展APT攻擊特征以及后續擴展聯動設備的需要。

1.3使用搜索技術進行數據分析處理

用搜索引擎技術作為本地數據存儲和檢索核心技術，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，同時相比傳統架構也能夠降低大量接口上的開發量?？蔀閱挝槐镜氐拇笠幠祿４?、攻擊證據留存和查詢、實時關聯分析提供堅實的技術保障。

1.4可視化技術使得威脅和異常清晰可見

通過可視化技術的利用，將原本碎片化的威脅告警、異常行為告警、資產管理等數據結構化，形成高維度的可視化方案，以便于用戶理解。大數據的存儲與實時運算能力保證能夠實現數據的實時推送，配以可以實時交互的3D可視化界面，與其美觀的3D展示效果相得益彰?？梢暬夹g的利用使得用戶可以更直觀地感受到網內的安全態勢，使得安全由不可見變為可見，不但帶來了更好的用戶體驗，同時還有效地提高了安全監控的效率。

結論

本文是基于等保2.0標準下三級系統的要求，對重要基礎公共設施安全下醫療行業中態勢感知系統建設進行說明。從互聯網數據進行發掘和分析，將原本碎片化的威脅告警、異常行為告警、資產管理等可視化，提升網絡安全數據存儲與溯源的能力等方面建設。滿足了等保2.0標準對醫院系統的要求。

參考文獻

[1]《中國人民共和國網絡安全法》.

[2]《網絡安全等級保護基本要求》.