在數字化轉型的大背景下，醫療機構面臨著越來越多的網絡安全威脅，需應對安全運營的挑戰，如何構建一個高效、智能的安全運營體系成為了亟待解決的問題。

　　一 背景

　　2021年4月6日，國家醫療保障局發布的《關于印發加強網絡安全和數據保護工作指導意見》指出，至2022 年，基本建成基礎強、技術優、制度全、責任明、管理嚴的醫療保障網絡安全保護工作機制。

　　目前，依據《網絡安全法》《網絡安全等級保護條例》等法規要求，醫療機構加強網絡安全建設，推動安全管理、安全技術建設，并開展等保測評，有一些醫療機構正著手安全運營中心的建設工作。

　　在業務上，國家衛生健康委相繼發布了互聯網醫院、智慧服務的政策文件和建設標準，旨在利用信息技術持續優化醫療服務流程、改善就醫體驗，眾多醫療機構實現了互聯網便民服務部署，如預約掛號、患者查詢、網上問診、互聯網醫院平臺等業務，將院內業務延伸到了線上。

　　伴隨著業務系統在互聯網的暴露面擴大，信息系統也面臨著越來越嚴重的網絡安全威脅：惡意掃描、網絡攻擊、數據盜竊、勒索病毒等現象越發嚴重，自動化、智能化、擬人化的自動化威脅已經非常普遍，使醫療機構需要一個更加主動、高效、融合、智能的安全運營思路。

　　二 安全管理痛點

　　醫療機構信息安全人員日常工作中，安全痛點總結為以下幾點：

　　1.基礎性保障能力缺位無法應對多層面風險

　　風險的防御考量綜合性和立體性。目前醫療機構的眾多業務都要對外開放，而業務開放也意味著引入了更多的風險暴露面。攻擊者可通過網站掛馬、垃圾郵件傳播、軟件捆綁、U盤傳播、不必要開放的后臺服務等多種方式從邊界、內網全面侵入到醫療機構的網絡。而目前市場上的各種安全產品大多各自為政，不能形成統一的網絡安全保護，無法適應當前多層面風險現狀。

　　2.有限資源投入下安全運營能力的普遍缺失

　　安全工作本質上是一個需要技術高度協同，并不斷整合人員，優化流程的持續運營的工作。過去在安全預算有限的情況下，醫療機構往往缺乏專業人員來管理安全，一人多崗現象較為普遍，在安全建設過程中缺乏風險識別和風險處置的能力。

　　3.無法有效應對外部不斷衍生的未知性風險

　　長期以來，醫療機構認為的安全能力是設備或者方案提供的原生安全能力，威脅依賴于廠商提供的集成化程度非常高的安全模塊，而安全的日常運營大部分依賴于廠商自身技術的實現機制，以及通過規則更新的方式去防護威脅，無法有效應對未知的威脅。

　　4.邊界逐步模糊導致安全域機制被打破

　　傳統模式下，安全防護一個很重要的原則就是基于邊界的安全隔離和訪問控制，并且強調針對不同安全區域設置有差異化的安全防護策略，很大程度上依賴各區域之間明顯清晰的區域邊界。通常組織可以根據應用的特性和安全等級進行安全域劃分，將網絡劃分成不同安全級別，而云技術的逐漸普及，導致業務邊界愈發模糊，安全域的機制將逐步被打破。

　　5.數據井噴式增長帶來數據安全風險

　　技術的演進推進數據出現井噴式增長，數字經濟已然來臨，挖掘和保護數據的價值成為組織自身發展的必修課。數據本身對醫療機構而言具有重大價值，但數據在產生、傳輸、存儲、處理以及使用等環節，尤其是在開發測試環境或第三方數據共享環節，存在很大泄露的風險。

　　6.安全漏洞風險

　　隨著已公開漏洞的數量逐年增加，以及醫療機構的軟硬件資產體量增大，少則幾百多則幾千，這直接導致安全運營團隊經常被源源不斷的漏洞警報所淹沒，這些漏洞警報必須得到妥善處理。然而，安全運營團隊不可能在第一時間修復所有問題。

　　而傳統的漏掃報告中，只有漏洞的等級而沒有結合資產價值、位置、影響范圍等因素給出修復的優先級，就讓本來就缺乏安全經驗的信息科更加無從下手。

　　7.員工缺乏網絡安全意識缺乏

　　員工缺乏網絡安全意識是一個普遍存在的問題，這給醫療機構的網絡安全帶來了一定的風險和挑戰。許多員工沒有接受過系統的網絡安全培訓和教育，對網絡安全的重要性和風險不夠了解。員工對社交、釣魚攻擊等常見的網絡攻擊手段缺乏警覺性，容易受騙并泄露敏感信息。一些員工可能存在使用弱密碼、隨意點擊鏈接、打開未知附件等不良習慣和疏忽大意的行為，增加了安全風險。

　　三 安全運營架構

　　堅持“以人員為核心、以數據為基礎、以運營為手段”的基本安全理念，結合實際情況，構建安全運營體系，形成威脅預測、威脅防護、持續檢測、響應處置的閉環安全工作流程，打造四位一體的安全運營機制。

　　安全運營體系是安全工作的“抓手”，其主要工作需要對系統進行安全檢測，對發現的安全問題由各自責任方進行整改，再利用各類技術手段對系統進行全天候的安全監測，安全運營人員對其狀態進行全面監控，對發現的問題及安全事件快速分析，選擇相應的處置方法快速解決問題，通過安全運營做到問題早發現、快響應、早根除，可以有效的保障信息系統的安全穩定運行，避免上級監管機構進行通報。

　　依托于安全運營中心的平臺能力、專家團隊，通過本地化安全運營組件，結合高效的安全運營流程機制，圍繞“資產+漏洞+威脅與事件”相關風險要素，及時發現問題、高效解決問題，7*24小時持續開展有效的安全運營服務，幫助用戶構建常態化、實戰化、體系化的安全運營保障體系。

　　四 安全運營思路

　　根據當前的醫療信息安全現狀，我們認為安全運營“預防勝于治療”。單純依靠“頭痛醫頭，腳痛醫腳”的思路，無法真正解決安全運營難題。

　　通過結合攻防實戰的安全營運思路，圍繞【資產-脆弱性-威脅】，集攻擊面管理、資產探測與管理、脆弱性風險發現、威脅誘捕、主機安全、流量監測等能力于一體，精準發現問題、快速解決問題，有效控制風險，提升保障能力，即根據最關鍵的脆弱點對組織造成的風險來確定優先級并加以解決。

　　1.資產暴露面探測與梳理

　　外部攻擊面的弱點有多種來源：可能是受感染的網站或Web應用程序、基礎設施配置錯誤、低強度的訪問控制或API中的身份驗證機制不足等等。所有這些脆弱性都為潛在攻擊者竊取敏感數據、未經授權訪問基礎設施提供了機會。同時面對多個問題時，關鍵是要找對問題的切入點。這里最佳的切入點就是清楚地掌握組織機構的外部攻擊面都有哪些資產。

　　通過外部攻擊面管理工具可以幫助發現和驗證已知和未知的面向互聯網的資產，例如IP地址、域名、子域、端口和SSL證書。你以為自己已經知道其中的大多數，但徹底的掃描通常可以發現相當多以前沒有出現在資產臺賬中的信息。

　　2.漏洞管理

　　為了有效應對漏洞處置中面臨的問題，漏洞優先級技術(Vulnerability Prioritization Technology ，簡稱VPT)應運而生。

　　漏洞管理工作包括開發側和運維側，在開發側，開發團隊需要及時感知所開發系統中存在的漏洞情況，并且將其有效的管理起來，才能避免產品交付后發生安全事故;在運維側，安全團隊更加要實時掌握外部安全威脅，并對內部資產進行聯動，以在安全漏洞爆發的第一時間檢查內部資產的安全狀況，通過漏洞管理工作，將海量漏洞智能評定優先級，聚焦高風險漏洞，并優先解決高風險漏洞問題。

　　3.修復和緩解漏洞

　　結合互聯網的暴露面位置、資產價值、漏洞的評級、影響范圍等因素，確定了脆弱點的優先級后，就可以對其進行修復或緩解。修復時優先考慮直接定位、修復漏洞以消除相關風險。要確認是否成功，可在應用后驗證修復。

　　有時無法立即修復。例如，需要重新啟動整個系統來實施更新，顯然，這不可能每天都能實現。在這種情況下，緩解策略將有助于減少漏洞利用的潛在影響，直到可以應用永久修復。

　　4.威脅源評級

　　日常運營中，運營人員需要登錄態勢感知、防火墻、WAF等設備讀取設備日志，分析研判安全事件。在海量報警信息中區分哪些是有效攻擊、是哪臺設備并及時處理，這要求相關人員具備一定的知識儲備和運維經驗，當前醫療機構信息部門具備這方面能力的人比較少。

　　通過結合入侵檢測、Web檢測、威脅情報等，結合攻擊范圍、規則命中次數、規則等級、告警次數、IP情報計算等因素綜合分析，自動對威脅源進行風險評級，形成少量的、精準的、可落地處置的告警。

　　引入AI技術，基于威脅源自動評級算法呈現攻擊源風險，進一步指導運營人員處置落地，消除影響。

　　5.威脅誘捕技術的應用

　　基于特征庫的監測手段，必然會產生漏報和誤報，通過引入欺騙防御技術，誘騙攻擊者入侵仿真業務的蜜罐主機，不僅可精準定位攻擊源、回溯攻擊行為，而且可在真實攻防對抗中，消耗攻擊資源、溯源攻擊者、反制攻擊者，解決攻易守難的困境，化被動防御為主動防御。

　　6.基于行為的攻擊鏈回溯

　　基于MITRE ATT&CK理念，從“網絡層、應用層、主機層”對攻擊行為全量溯源，提取攻擊入侵證據：“攻擊特征取證、行為取證、日志取證、病毒取證”。全面還原攻擊者入侵過程：探測掃描、滲透攻擊、攻陷蜜罐、后門遠控、跳板攻擊。

　　7.常態化應急演練

　　在技術上，通過模擬真實事件及應急處置過程，參與者可以深刻認識到突發事件的影響，從而提高對突發事件風險源的警惕性。這有助于增強全體的應急意識，促使他們在沒有發生突發事件時主動學習應急知識，掌握處置技能，增強突發事件的應急反應能力，規避“臨時抱佛腳”。

　　在管理上，檢驗應急預案的可操作性。應急演練可以發現應急預案中存在的問題，在突發事件發生前暴露預案的缺點。這樣，可以驗證預案在應對可能出現的各種意外情況方面的適應性，找出需要完善和修正的地方。同時，演練還可以檢驗預案的可行性以及應急反應的準備情況，確保應急預案或其關鍵部分能夠有效實施。

　　五 安全運營服務

　　六 安全運營成效

　　安全運營體系是安全工作的“抓手”，其主要目的是周期性及時發現現有系統的安全問題，針對發現的安全問題下發至各自責任方進行整改，再利用主動掃描、流量監測、端點安全、威脅誘捕等技術手段對系統進行全天候的安全監測。

　　結合AI模型分析，對告警信息進行過濾后的全面監控，安全運營人員對發現的問題及安全事件快速分析，選擇相應的處置方法快速解決問題，通過安全運營做到問題早發現、快響應、早根除，可以有效的保障信息系統的安全穩定運行，避免上級監管機構進行通報。

　　1.精細化的IT資產管理

　　通過互聯網資產稽查，發現暴露在互聯網的資產及其開放的業務端口情況，與實際需要的資產基線進行對比，發現未經許可的資產或資產業務，通過運營做進一步追蹤，定位資產責任人及資產實際用途。

　　通過主動掃描+主機Agent+歷史臺賬的方式確定資產范圍，進行主動精準探測，深度發現暴露在外的IT設備、端口及應用服務，發現未知資產及“僵尸”資產，由安全專家對每項業務進行梳理分析，結合用戶反饋的業務特點對資產重要程度、業務安全需求進行歸納，最終形成區域資產清單，周期自動更新。

　　2.安全管理

　　(1)安全漏洞管理：對網站、應用程序、服務等進行周期性的漏洞掃描和檢測，及時修復已知的漏洞并復查效果，避免黑客利用漏洞入侵系統。相比過往的報告式交付的傳統安全服務，結合漏洞優先級技術，降低修復疲勞，提高修復效率。

　　對于無法修復的老舊業務系統，采用漏洞攻擊屏蔽技術，阻斷威脅掃描行為。

　　(2)安全事件響應：建立安全事件響應機制，對發生的安全事件進行快速響應和處置，降低損失。

　　(3)事件定位及處置：醫療機構終端中毒主機多為下載惡意軟件、感染普通病毒、感染僵尸家族、感染Mine Pool家族挖礦等。安全運營人員監測分析中毒主機外聯告警事件，并及時處置所有中毒主機，針對所有終端采取安裝EDR、防火墻、上網行為管理等安全設備以及進行定期殺毒等措施，實現了對病毒的有效防控。

　　(4)員工安全意識培訓：加強員工的安全意識培訓，輔以釣魚郵件、勒索攻擊等實景演練，提高員工的安全意識和防范能力，減少人為因素對信息安全的影響。

　　3.重要保障時期安全運營

　　重保前期，扎實開展暴露面梳理、風險掃描、策略優化、規則升級、服務收斂、滲透測試等工作，做到“明資產、控風險、嚴防護、全監控”。

　　重保期間，提供7*24小時威脅監測，一級專家現場值守保障，二級專家遠程提供技術支撐，結合企業微信、飛書、釘釘、郵件等多種實時預警方式，發生網絡安全事件，可利用微隔離技術迅速將受影響設備做斷網隔離，結合情報迅速找到安全事件源頭，防止安全事件擴散。

　　通過5個維度分析出黑客畫像，包括：設備指紋、位置信息、社交指紋、反向探測-漏洞信息、攻擊者標簽，再通過與漏洞探測的結合，分析內網攻擊主機的失陷原因，查看是否由于存在相關可入侵漏洞導致，有助于失陷主機處置。

　　總之，醫療機構需要構建一個全面、高效、智能的安全運營體系，以應對日益嚴重的網絡安全威脅。通過整合人員、技術、流程等多方面的資源，形成閉環的安全工作流程，不斷提升醫療機構的信息安全水平。

　　作者簡介

　　張雷，CHIMA常委，河北醫科大學第一醫院西南院區院長。