2017年4月，國(guó)務(wù)院辦公廳印發(fā)《關(guān)于推進(jìn)醫(yī)療聯(lián)合體建設(shè)和發(fā)展的指導(dǎo)意見》，全面啟動(dòng)多種形式的醫(yī)療聯(lián)合體建設(shè)試點(diǎn)，從此開始，全國(guó)各省掀起了一場(chǎng)醫(yī)聯(lián)體建設(shè)的浪潮。

“通過醫(yī)聯(lián)體建設(shè)，深圳市二院的醫(yī)療能力已經(jīng)完成了向區(qū)級(jí)醫(yī)院的下沉，但接下來的任務(wù)是推動(dòng)安全能力的下沉，否則一旦區(qū)級(jí)醫(yī)院被突破，整個(gè)集團(tuán)內(nèi)網(wǎng)的重要系統(tǒng)和數(shù)據(jù)，也會(huì)暴露在攻擊者面前，后果不堪設(shè)想?！鄙钲谑械诙嗣襻t(yī)院（簡(jiǎn)稱深圳二院）信息科科長(zhǎng)熊文舉表示。

圖：深圳市第二人民醫(yī)院（深圳大學(xué)第一附屬醫(yī)院）

深圳二院，是深圳市綜合實(shí)力排名前三的大型醫(yī)院。2017年6月，深圳二院牽頭組建深圳市大鵬新區(qū)醫(yī)療健康集團(tuán)（簡(jiǎn)稱：大鵬新區(qū)醫(yī)療集團(tuán)），對(duì)大鵬新區(qū)3家區(qū)級(jí)醫(yī)院及所轄21家社區(qū)健康服務(wù)機(jī)構(gòu)進(jìn)行一體化管理，推進(jìn)“以人為本”的市、區(qū)一體化醫(yī)療衛(wèi)生服務(wù)體系建設(shè)。2020年，深圳二院通過部署奇安信天眼（新一代安全感知系統(tǒng)），為大鵬醫(yī)療集團(tuán)以及旗下的3家區(qū)級(jí)醫(yī)院，實(shí)現(xiàn)了醫(yī)聯(lián)體信息化安全威脅檢測(cè)、主動(dòng)防御和全局安全態(tài)勢(shì)可視一體化，樹立了深圳集團(tuán)化、醫(yī)聯(lián)體改革的樣板工程。

醫(yī)療能力加速下沉 安全風(fēng)險(xiǎn)隨之而來

2017年9月1日，國(guó)家衛(wèi)生計(jì)生委、國(guó)務(wù)院醫(yī)改辦在廣東省深圳市召開全國(guó)醫(yī)聯(lián)體建設(shè)現(xiàn)場(chǎng)推進(jìn)會(huì)，深圳的改革經(jīng)驗(yàn)被充分肯定。

“病有良醫(yī)”，是民生幸福的基礎(chǔ)。近年來，深圳以改革創(chuàng)新為動(dòng)力，著力推進(jìn)以基層醫(yī)療集團(tuán)為主要形式的緊密型醫(yī)聯(lián)體建設(shè)，引導(dǎo)醫(yī)療衛(wèi)生工作重心下移、資源下沉。2017年，作為深圳市首個(gè)市區(qū)合作的緊密醫(yī)聯(lián)體，大鵬新區(qū)醫(yī)療集團(tuán)正式成立。目前，集團(tuán)建立了“社康機(jī)構(gòu)-區(qū)級(jí)醫(yī)院-市級(jí)醫(yī)院”上下通暢的三級(jí)診療服務(wù)體系引導(dǎo)優(yōu)質(zhì)醫(yī)療資源下沉基層，讓大鵬轄區(qū)居民足不出戶即可享受市區(qū)三甲醫(yī)院同質(zhì)的醫(yī)療服務(wù)，并創(chuàng)下了全科診療服務(wù)公眾滿意度位居全市第一的口碑。

在醫(yī)療能力下沉的同時(shí)，大鵬新區(qū)醫(yī)療集團(tuán)的網(wǎng)絡(luò)安全問題也凸顯出來。熊科長(zhǎng)回憶在項(xiàng)目實(shí)施前，安全挑戰(zhàn)主要在幾個(gè)方面。

首先是地理分散，距離較遠(yuǎn)，統(tǒng)一管理防護(hù)的難度高。“深圳二院位于福田區(qū)，而其他3家區(qū)級(jí)醫(yī)院都在數(shù)十公里之外。要進(jìn)行統(tǒng)一安全管理和維護(hù)，都是很大的挑戰(zhàn)。”

其次是分支機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)基礎(chǔ)非常薄弱。“當(dāng)時(shí)有一些區(qū)級(jí)醫(yī)院僅安裝了簡(jiǎn)單的防火墻等邊界設(shè)備，屬于被動(dòng)防御的措施，而且缺乏專業(yè)的人員進(jìn)行配置和維護(hù)，在新型攻擊面前很容易被穿透。”

同時(shí)，從市二院到各個(gè)區(qū)級(jí)醫(yī)院，過去部署的網(wǎng)絡(luò)設(shè)備和系統(tǒng)，基本都是各自獨(dú)立的，形成了一個(gè)個(gè)安全孤島。對(duì)于一些復(fù)雜的攻擊行為，依靠單一的安全設(shè)備往往不是難以發(fā)現(xiàn)問題，就是產(chǎn)生過多誤報(bào)。

第三是缺乏對(duì)未知及高級(jí)威脅攻擊的主動(dòng)發(fā)現(xiàn)與防御能力。未知威脅及高級(jí)持續(xù)性威脅（APT攻擊）是近年來非常猖獗的攻擊行為，根據(jù)奇安信威脅情報(bào)中心《2020年全球高級(jí)持續(xù)威脅(APT)年度報(bào)告》顯示，2020年，醫(yī)療衛(wèi)生行業(yè)首次超過政府、金融、國(guó)防、能源、電信等領(lǐng)域，成為全球APT活動(dòng)關(guān)注的首要目標(biāo)，全球23.7%的APT活動(dòng)事件與醫(yī)療衛(wèi)生行業(yè)相關(guān)。

熊科長(zhǎng)認(rèn)為，APT的目的性非常強(qiáng)，攻擊目標(biāo)明確，持續(xù)時(shí)間長(zhǎng)，不達(dá)目的不罷休，對(duì)醫(yī)院威脅很大。目前，主流的安全技術(shù)手段大多是利用已知攻擊的特征對(duì)行為數(shù)據(jù)進(jìn)行簡(jiǎn)單的模式匹配，只關(guān)注單次行為的識(shí)別和判斷，并沒有對(duì)長(zhǎng)期的攻擊行為鏈進(jìn)行有效分析。

最后是不具備全局的安全態(tài)勢(shì)監(jiān)控和威脅追蹤溯源能力。在上線天眼之前，從整個(gè)醫(yī)療集團(tuán)到各機(jī)構(gòu)部署的各類安全設(shè)備，會(huì)產(chǎn)生海量的日志，消耗大量存儲(chǔ)和性能資源。但攻擊發(fā)生之后，是誰攻進(jìn)來過？做過哪些破壞？什么數(shù)據(jù)被拿走了？由于證據(jù)鏈不夠全面，缺乏網(wǎng)絡(luò)日志端回溯手段，無法跟蹤溯源，能發(fā)現(xiàn)問題但無法定位問題。

遵循“合規(guī)、全面、有效”三項(xiàng)原則

基于深圳二院醫(yī)療信息化系統(tǒng)的現(xiàn)狀，以及大鵬新區(qū)醫(yī)療集團(tuán)下轄其他醫(yī)院的整體情況，集團(tuán)在網(wǎng)絡(luò)安全規(guī)劃方面，遵循合規(guī)性、全面性、有效性三管齊下的原則。

“合規(guī)是基礎(chǔ)要求，也是我們首要考慮的。”深圳二院信息科副科長(zhǎng)潘軍杰談到。在合規(guī)性方面，深圳二院安全運(yùn)營(yíng)監(jiān)管平臺(tái)既是網(wǎng)絡(luò)信息安全運(yùn)營(yíng)監(jiān)管平臺(tái)的基礎(chǔ)，同時(shí)也是國(guó)家網(wǎng)絡(luò)空間安全的組成部分，需嚴(yán)格符合國(guó)家關(guān)于網(wǎng)絡(luò)與關(guān)鍵信息基礎(chǔ)設(shè)施、云計(jì)算、大數(shù)據(jù)、等保2.0相關(guān)的安全政策標(biāo)準(zhǔn)、法令法規(guī)和指導(dǎo)文件的要求，在合規(guī)的基礎(chǔ)上考慮整體安全保障方案設(shè)計(jì)，尤其符合國(guó)家《網(wǎng)絡(luò)安全法》的要求。

圖 ：實(shí)戰(zhàn)化防御指揮平臺(tái)指揮作戰(zhàn)大屏

在全面性方面，深圳二院兼顧集團(tuán)的分支醫(yī)院，將安全作為一個(gè)整體全面解決問題，繼而構(gòu)建完整的網(wǎng)絡(luò)威脅態(tài)勢(shì)感知系統(tǒng)。這與以往遇到安全問題后“頭疼醫(yī)頭、腳疼醫(yī)腳”的“創(chuàng)可貼”式，面向單一風(fēng)險(xiǎn)點(diǎn)、零散的、碎片化的安全產(chǎn)品疊加式的安全建設(shè)有本質(zhì)不同。安全體系建設(shè)更強(qiáng)調(diào)規(guī)劃思路，建設(shè)方案應(yīng)堅(jiān)持以面向問題、整體設(shè)計(jì)、支撐運(yùn)營(yíng)為原則，系統(tǒng)性解決各類安全威脅與安全問題，實(shí)現(xiàn)安全體系的可持續(xù)發(fā)展與迭代創(chuàng)新。

在有效性方面，深圳二院強(qiáng)調(diào)了安全運(yùn)營(yíng)監(jiān)管的重要性。潘科長(zhǎng)認(rèn)為，安全運(yùn)營(yíng)監(jiān)管是深圳二院實(shí)現(xiàn)一體化安全保障，有效解決安全問題的重要基礎(chǔ)，在方案設(shè)計(jì)過程中需重點(diǎn)突出實(shí)戰(zhàn)能力與保障能力，以動(dòng)態(tài)安全保障中的感知發(fā)現(xiàn)、分析研判、響應(yīng)處置、追蹤調(diào)查、追蹤溯源為核心，構(gòu)建完整有效的一體化安全保障能力體系。

潘科長(zhǎng)舉了一個(gè)例子，“傳統(tǒng)的安全防御體系就如同一個(gè)硬殼軟糖，將安全性全部寄托于硬殼之上，一旦硬殼被砸碎，那么內(nèi)部毫無二次抵御攻擊的能力，而事實(shí)證明，天下不存在無堅(jiān)不摧的管道硬殼?！币虼耍W(wǎng)絡(luò)安全需要變被動(dòng)為主動(dòng)，只有快速追蹤溯源，清晰掌握攻擊過程全貌，才能迅速采取動(dòng)作，遏制攻擊擴(kuò)散，實(shí)現(xiàn)積極防御。

構(gòu)建1+N的威脅感知系統(tǒng) 為集團(tuán)實(shí)現(xiàn)“一體化”防護(hù)

2020年，深圳二院立足規(guī)劃的全局性和前瞻性，啟動(dòng)威脅感知系統(tǒng)的建設(shè)。奇安信提供的產(chǎn)品及解決方案更符合醫(yī)院和集團(tuán)的需求，雙方達(dá)成了合作。

圖 ：深圳二院天眼系統(tǒng)整體建設(shè)方案

在具體實(shí)施方面，深圳二院按照循序漸進(jìn)的原則推進(jìn)整體方案建設(shè)。第一步，深圳二院基于分布式大數(shù)據(jù)架構(gòu)，將天眼的流量傳感器作為數(shù)據(jù)采集的原點(diǎn)，收集出深圳二院（內(nèi)科樓、外科樓）、大鵬婦幼保健院、南澳人民醫(yī)院、葵涌人民醫(yī)院、大鵬醫(yī)療集團(tuán)全網(wǎng)所有的流量數(shù)據(jù)，并利用數(shù)據(jù)標(biāo)準(zhǔn)架構(gòu)來進(jìn)行清洗、存儲(chǔ)和計(jì)算分析，實(shí)現(xiàn)一體化的流量數(shù)據(jù)采集。

圖:天眼威脅感知系統(tǒng)

第二步，深圳二院將整個(gè)集團(tuán)的數(shù)據(jù)歸總在統(tǒng)一的展示層面，構(gòu)建出“網(wǎng)絡(luò)威脅感知系統(tǒng)”，即安全運(yùn)營(yíng)監(jiān)管中心（威脅分析平臺(tái)），從而對(duì)深圳二院的外、內(nèi)科樓，以及大鵬醫(yī)院集團(tuán)內(nèi)外網(wǎng)，下屬區(qū)級(jí)醫(yī)院等的醫(yī)療信息化系統(tǒng)，實(shí)現(xiàn)一體化運(yùn)營(yíng)和監(jiān)管，實(shí)現(xiàn)安全的態(tài)勢(shì)感知、安全分析、安全評(píng)估、安全運(yùn)營(yíng)等大數(shù)據(jù)安全監(jiān)管能力。

最后，整個(gè)大鵬新區(qū)醫(yī)療集團(tuán)利用云端的安全大數(shù)據(jù)決策體系，提供威脅情報(bào)、失陷主機(jī)檢測(cè)等各類 SaaS 安全服務(wù)，為本地的安全體系賦能，實(shí)現(xiàn)真正意義上的“云地協(xié)同、數(shù)據(jù)協(xié)同”的一體化效果。

圖：天眼“儀表板”界面

“在運(yùn)行過程中，天眼在高級(jí)威脅檢測(cè)、回溯分析、威脅情報(bào)等方面的能力，讓我們印象深刻?！迸丝崎L(zhǎng)表示。同時(shí)，天眼還具備強(qiáng)大的協(xié)同聯(lián)動(dòng)能力，通過終端EDR聯(lián)動(dòng)、防火墻NDR聯(lián)動(dòng)與自動(dòng)化編排處置，幫助用戶快速定位感染主機(jī)和惡意軟件，并及時(shí)的阻斷威脅，提升網(wǎng)絡(luò)攻擊的響應(yīng)和處置能力。

圖：天眼的威脅感知家族體系

“以往網(wǎng)絡(luò)安全和業(yè)務(wù)運(yùn)營(yíng)經(jīng)常相互獨(dú)立、缺乏協(xié)同，但基于天眼構(gòu)建的網(wǎng)絡(luò)威脅感知系統(tǒng)，最重要的就是將網(wǎng)絡(luò)安全和業(yè)務(wù)運(yùn)營(yíng)緊密地融合到了一起?！?潘科長(zhǎng)總結(jié)道。

網(wǎng)絡(luò)安全建設(shè)成果屢獲肯定 安全運(yùn)營(yíng)是未來重點(diǎn)

從實(shí)踐效果來看，大鵬新區(qū)醫(yī)療集團(tuán)的信息化和網(wǎng)絡(luò)安全建設(shè)成果，獲得了各大主管機(jī)構(gòu)的肯定?！叭ツ昙瘓F(tuán)過了電子病歷六級(jí)測(cè)評(píng)，今年正在通過互聯(lián)互通評(píng)測(cè)，目前這些指標(biāo)在全國(guó)一千多家三甲醫(yī)院中名列前茅。而在信息化水平占據(jù)相當(dāng)比重的國(guó)家衛(wèi)健委三級(jí)公立醫(yī)院績(jī)效考核中，深圳第二醫(yī)院連續(xù)兩年全國(guó)前列、深圳市排名第一?！?/p>

在談及醫(yī)院未來的網(wǎng)絡(luò)安全建設(shè)規(guī)劃時(shí)，潘科長(zhǎng)著重強(qiáng)調(diào)了安全運(yùn)營(yíng)的重要性，“部署網(wǎng)絡(luò)安全設(shè)備只是打好基礎(chǔ)，安全運(yùn)營(yíng)才是網(wǎng)絡(luò)安全工作最為關(guān)鍵的一步?！睋?jù)悉，未來醫(yī)院及集團(tuán)分支醫(yī)院還將納入天眼大家族中更多的產(chǎn)品成員，并將數(shù)據(jù)、技術(shù)、人員和流程等有效結(jié)合起來，形成面向?qū)崙?zhàn)的安全運(yùn)營(yíng)體系，為集團(tuán)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。