探秘网络安全运营的“江干模式”

张文

走路十几分钟，到附近医院头疼脑热就能治好;小病不用去大医，免去舟车劳顿之苦。近年来，基层医疗卫生改革深入开展，数字化水平大幅提升，给患者和医生都带来了极大便利。但随着医疗数据的开放共享，信息安全也面临新的挑战。

基层医疗机构数量众多，规模较小，地理位置分散，导致信息化和网络安全建设参差不齐，总体水平相对落后。不仅自身广泛存在着后门程序、僵尸网络、木马蠕虫、勒索病毒等安全问题，同时由于需要接入卫生专网，更给卫生专网和数据中心带来巨大安全隐患。

如何保障医疗数据信息安全，保护患者隐私，满足信息安全等级保护要求，确保医疗服务稳定开展？如何将网络安全防御框架“下沉”到医疗卫生体系末端，让基层医疗机构也具备事前防控的“積极防御”体系？面对这些问题，2020年1月开始，浙江省杭州市江干区卫生健康局携手奇安信，以态势感知与安全运营平台为核心，建成全国首个覆盖社区卫生服务中心的网络安全运营样板，打造了让各地医疗卫生机构广泛借鉴的“江干模式”。

基层网络安全“三板斧”

“在部署NGSOC之前，街道社区卫生服务中心的网络安全停留在安装杀毒软件这样的被动防御层面。基本是各自为战、事后补救，非常被动。”江干区卫生健康局信息安全负责人鲁主任表示，“对于卫生系统专网的监管者和运营者来说，由于缺少指导和开展相关网络安全工作的工具和数据，无法对网络安全做到高效运营和深度管控，很容易让专网的重要业务和敏感数据，暴露于攻击者面前。”

江干区卫生健康局始终对网络安全高度重视，2018年，当基层区域卫生信息化建设完成之后，几乎同期，整个系统就全线部署了奇安信天擎等安全产品。

2019年开始，为了强化安全分析、威胁发现和管理能力，构建积极防御体系，态势感知和安全运营的建设部署被列上日程。

“几家厂商竞争非常激烈，经过几轮筛选，奇安信走到了最后。”提起选择过程，鲁主任谈到，参与的几家厂商各有千秋，都有很强的实力。考虑到卫生健康局现状，主要考量参与厂商的两方面能力：首先是安全分析能力，其次是安全服务能力。

谈到这次项目实施，鲁主任回忆了当时的一个小插曲。

从2019年底招标确定下奇安信作为合作伙伴，到2020年初NGSOC等主要设备基本到位，和奇安信的合作非常顺利。即便中间受到春节和疫情因素影响，奇安信仍然在复产复工之后，第一时间进行上门部署。不过，当时却遇到过一次意外。

“三台服务器几次调试，同步总是不成功，延迟比较厉害。”奇安信项目工程师向卫生健康局信息中心反馈了部署中遇到的问题。

“所有业务都是正常的，应该不是网络的问题。”卫生健康局信息中心当时也感到很困惑，但第一反应并没有想到网络设备的因素。

3月初的杭州乍暖还寒，那几个晚上，奇安信工作人员经常干到深夜，一次次的调试，排查故障，寻找原因，甚至凌晨一两点才离开机房。

到3月10日，鲁主任感觉有些奇怪，于是带上网络技术人员，去现场反复排查网络设备，终于有了重大发现，找出了故障原因。

“原来，当时我们用的是某网络设备厂家型号较老的交换机，为了2台做堆叠，后来增加了两块万兆光板卡和两块电口板卡进行数据交换，当时从业务正常运行的层面，没发现异常。但在测试中发现，2块新的板卡，在数据同步的时候，未能达到千兆。所以当流量很大的时候就会出现延迟。” 鲁主任表示。

当晚，信息中心就对网络设备进行了系统升级，之前数据同步延迟的问题彻底得到了解决。“之前我们都以为是NGSOC安装调试的问题，没往网络设备上想。”不仅如此，奇安信的专业服务和快速响应能力让鲁主任记忆深刻。“网络安全的核心是人，再强大的产品，再聪明的机器，都需要人来运营，人来使用。奇安信提供了日常巡检服务、应急响应服务、重要时期安全保障服务，尤其是每月都有专业的NGSOC分析报告，对月度告警情况、僵木蠕毒活动事件、安全处置建议等详尽分析。”

提前洞悉威胁 将安全风险化于无形

“我们为客户提供的不是单一产品，而是一套在防御、检测、响应、预测、持续监控分析周期内提供威胁发现和响应综合性一体化平台。”负责江干项目的奇安信浙江分区医疗销售总监蒋宝尧表示。

在威胁发现和感知方面，通过部署NGSOC，可提前洞悉各种安全威胁，同时联动本地防火墙、终端安全管控系统以及云端的威胁情报数据，能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源，并为后期安全加固提供有效依据。

对于客户最关心的性能和安全分析能力，一方面，奇安信NGSOC具备千亿级数据处理能力，可以大大提升安全分析和响应的速度和效率;另一方面，NGSOC基于国内首款分布式关联分析引擎Sabre，通过场景化检测规则、机器学习和关联分析进行多维度威胁研判，大幅降低了威胁检测的误报率和漏报率，其DGA域名检测准确率高达99.94%。

在边界防护方面，通过部署防火墙对整个网络形成分区分域，一方面对内外网出口及重要边界进行安全防护，另一方面可以更好的进行访问控制。在联动方面，该项目形成“云管端”联合解决方案，将终端安全管控、控制中心、新一代防火墙“病毒云查杀”、云端反馈和NGSOC等实现无缝联动，提升告警和阻断效率。

而在服务方面，奇安信推出了专业运营服务，将人、数据、工具和流程，四个维度进行了有机的结合，彻底帮助卫健委下属部分机构客户解决产品不能用、不会用的问题，让态势感知实现了真正落地。

对于该项目，奇安信负责人归纳了四方面的效果。首先是威胁告警事件数量明显降低。其次是发现反复感染风险并及时处理。通过NGSOC发现了部分卫生服务中心存在反复感染迹象，由安服人员进行了协助排查并及时处理，提高了区卫生健康局的网络安全监管处置能力。再次是解决了社区卫生网络安全的人力和财务问题。最后是形成安全能力下沉的典型经验。该项目针对医疗卫生体系大数据时代的安全需求，基于大数据思维下沉安全业务流程和企业体系架构，以数据为核心，形成医疗卫生体系末端安全能力下沉典型经验，打造出体系化、合规化、可视化、持续化、可复制的江干模式，已吸引省内多个市区县卫生健康局前来考察调研和学习。

杭州江干区卫生健康局的“江干模式”运行成功之后，在全国医疗卫生行业被广泛借鉴。仅仅一年的时间，就有数十家单位，纷纷借鉴江干模式，将安全管理前移到规划建设早期阶段，并将态势感知融入系统运行维护过程之中，实现常态化的威胁发现与响应处置工作，变被动防御为主动防御，构建起“关口前移，防患于未然”的网络安全管理体系，进而显著提升医疗卫生行业的信息安全保护和智慧治理水平。