“如果沒(méi)有清晰的數(shù)字指標(biāo)，我始終對(duì)集團(tuán)整體的終端安全狀況是模糊的。不知道脆弱點(diǎn)有多少，安全風(fēng)險(xiǎn)是增加了還是降低了。” 深圳市南山區(qū)醫(yī)療集團(tuán)總部智慧健康部徐部長(zhǎng)談到�！坝绕涫巧鐓^(qū)健康中心比醫(yī)院系統(tǒng)更加開(kāi)放，攻擊面更廣，安全運(yùn)營(yíng)的挑戰(zhàn)更為嚴(yán)峻�！�

圖：深圳南山區(qū)醫(yī)療集團(tuán)

　　中央在支持深圳建設(shè)先行示范區(qū)的《意見(jiàn)》中明確指出，深圳要打造民生幸福標(biāo)桿，其中就包括“病有良醫(yī)”。在深圳南山區(qū)委區(qū)政府的強(qiáng)力推動(dòng)下，南山區(qū)醫(yī)療集團(tuán)著力打造“病有良醫(yī)”和“重基層、強(qiáng)社康”的醫(yī)改標(biāo)桿。

　　自2020年伊始，南山區(qū)醫(yī)療集團(tuán)從終端開(kāi)始強(qiáng)化網(wǎng)絡(luò)安全建設(shè)，通過(guò)部署奇安信天擎終端安全管理系統(tǒng)，解決了社區(qū)健康中心終端在開(kāi)放網(wǎng)絡(luò)環(huán)境下面臨的安全問(wèn)題，通過(guò)奇安信終端安全運(yùn)營(yíng)平臺(tái)的關(guān)聯(lián)分析與全面展示，為常態(tài)化、數(shù)字化的終端安全運(yùn)營(yíng)奠定了堅(jiān)實(shí)的基礎(chǔ)。

　　“1+C+N”模式樹(shù)立醫(yī)改標(biāo)桿，也帶來(lái)更復(fù)雜的安全挑戰(zhàn)

　　“南山醫(yī)改是大手筆，經(jīng)驗(yàn)值得推廣�！�

　　2020年10月，南山區(qū)醫(yī)療集團(tuán)作為廣東省唯一代表，在國(guó)家衛(wèi)健委召開(kāi)的全國(guó)分級(jí)診療制度和醫(yī)聯(lián)體建設(shè)工作推進(jìn)大會(huì)上，向全國(guó)分享了醫(yī)改先進(jìn)經(jīng)驗(yàn)，獲得了國(guó)家衛(wèi)健委領(lǐng)導(dǎo)的高度評(píng)價(jià)。

　　近年來(lái)，作為深圳市南山區(qū)委衛(wèi)生工委領(lǐng)導(dǎo)，由深圳市南山區(qū)衛(wèi)生健康局舉辦的事業(yè)單位，南山區(qū)醫(yī)療集團(tuán)抓住醫(yī)改機(jī)遇，在基層醫(yī)改道路上不斷探索，體制機(jī)制上實(shí)現(xiàn)創(chuàng)新，并首創(chuàng)“1+C+N”醫(yī)療集團(tuán)整合模式。

　　其中“1”為南山區(qū)醫(yī)療集團(tuán)總部；“C”為集團(tuán)成員單位；“N”為轄區(qū)其他高水平醫(yī)療機(jī)構(gòu)。集團(tuán)各社康中心定位于“基層”，組成醫(yī)院定位于“高地”，區(qū)醫(yī)療集團(tuán)作為連接“基層”與“高地”之“彩虹”，科學(xué)規(guī)劃和布局區(qū)域醫(yī)療資源配置，建立引導(dǎo)公立醫(yī)院主動(dòng)下沉資源與社康中心分工協(xié)作機(jī)制，打造現(xiàn)代化智能化高水平醫(yī)療集團(tuán)。

　　“1+C+N”模式為社區(qū)健康中心打造了很好的標(biāo)桿典范，推動(dòng)了醫(yī)療資源的下沉，但同時(shí)也給網(wǎng)絡(luò)安全帶來(lái)了空前挑戰(zhàn)。

　　首先是地域分散，管理維護(hù)難度高。社區(qū)健康中心或處于城市核心區(qū)，或處于偏遠(yuǎn)地區(qū)，交通非常不便�！耙郧暗尼t(yī)院信息化平臺(tái)，因?yàn)樵O(shè)備比較集中，打補(bǔ)丁相對(duì)容易。但社區(qū)健康中心非常分散，打補(bǔ)丁是一個(gè)非常困難的事情。”深圳市南山區(qū)醫(yī)療集團(tuán)總部智慧健康部徐部長(zhǎng)表示，“舉個(gè)例子來(lái)說(shuō)，南山醫(yī)療下轄的某一個(gè)社區(qū)健康中心，位于一個(gè)海島上，只有2-3個(gè)醫(yī)生值班。如果IT或者安全人員為它打一次補(bǔ)丁，僅申請(qǐng)上船就需要1天，往返更需要2-3天。”

　　其次是內(nèi)外邊界模糊，攻擊面廣�！拔覀兒歪t(yī)院信息化最大的不同在于，醫(yī)院的內(nèi)網(wǎng)是封閉的，而社區(qū)健康中心的網(wǎng)絡(luò)是開(kāi)放的，這就意味著我們要承受更廣攻擊面�！� 徐部長(zhǎng)談到。“我們的業(yè)務(wù)系統(tǒng)全部支持內(nèi)外雙線訪問(wèn)，所有的終端既要訪問(wèn)外網(wǎng)即公共互聯(lián)網(wǎng)，又需要訪問(wèn)內(nèi)網(wǎng)，如醫(yī)院信息管理系統(tǒng)（HIS）、商貿(mào)系統(tǒng)等等。而且接入網(wǎng)絡(luò)方式包括了VPN、專(zhuān)線、光纖接入等等各種類(lèi)型，很難界定清晰的內(nèi)外邊界�！�

　　第三是終端情況非常復(fù)雜。社區(qū)健康中心業(yè)務(wù)分散，終端安全防護(hù)難度更大。并且在“1+C+N”的N個(gè)成員單位中，大多數(shù)社康中心是后期整合進(jìn)來(lái)的，也有部分單位為新建。“這些成員單位的信息化水平參差不齊，設(shè)備型號(hào)不一，有些業(yè)務(wù)系統(tǒng)很老，打印機(jī)程序甚至是10年前的系統(tǒng)。由于終端情況非常復(fù)雜，很難對(duì)它們進(jìn)行統(tǒng)一的管理和系統(tǒng)的安全防護(hù)�！�

　　總體來(lái)看，南山醫(yī)療集團(tuán)作為社區(qū)健康中心，同樣具有HIS(醫(yī)院信息系統(tǒng))、PACS(醫(yī)學(xué)影像系統(tǒng))、LIS(醫(yī)院檢驗(yàn)系統(tǒng))、 CIS (臨床信息系統(tǒng))、GMIS (局域醫(yī)療衛(wèi)生服務(wù)體系)等業(yè)務(wù)平臺(tái)，在信息化水平和復(fù)雜度上，不亞于傳統(tǒng)醫(yī)院。由于全面向外部公網(wǎng)開(kāi)放，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)方面比醫(yī)院有過(guò)之而無(wú)不及，建立下沉到各個(gè)末梢環(huán)節(jié)的終端安全運(yùn)行體系勢(shì)在必行。

　　集中管理全網(wǎng)終端 打造“指揮中心”讓終端安全可視、可管、可控

　　在網(wǎng)絡(luò)安全建設(shè)方面，南山醫(yī)療集團(tuán)信息中心確立了“三步走”的原則：第一步是構(gòu)建可視化的終端安全管理，實(shí)現(xiàn)全局管控；第二步是實(shí)施零信任解決方案，縮小暴露面；第三步是實(shí)現(xiàn)“人+工具+數(shù)據(jù)”的實(shí)戰(zhàn)化安全運(yùn)營(yíng)能力。

　　2020年初，南山醫(yī)療集團(tuán)信息中心啟動(dòng)了體系化網(wǎng)絡(luò)安全建設(shè)的第一步：采用奇安信天擎終端安全管理系統(tǒng)（簡(jiǎn)稱天擎），構(gòu)建“體系化防御、數(shù)字化運(yùn)營(yíng)”能力，實(shí)現(xiàn)對(duì)全區(qū)所有終端的一體化安全管理，大幅降低終端安全管理復(fù)雜度，并通過(guò)預(yù)防、防護(hù)、檢測(cè)、響應(yīng)的閉環(huán)防御能力，有效防御各種已知、未知安全威脅；同時(shí)采用奇安信終端安全運(yùn)營(yíng)平臺(tái)（簡(jiǎn)稱：安運(yùn)平臺(tái)），依托奇安信豐富的威脅情報(bào)和奇安信天擎的終端安全數(shù)據(jù)，對(duì)終端安全態(tài)勢(shì)進(jìn)行深入的關(guān)聯(lián)分析和清晰的效果呈現(xiàn)，并通過(guò)指標(biāo)化的運(yùn)營(yíng)方法和完整的威脅軌跡分析不斷優(yōu)化調(diào)整安全策略，確保終端安全能力持續(xù)有效。

　　通過(guò)奇安信天擎和安運(yùn)平臺(tái)的實(shí)施，南山醫(yī)療集團(tuán)在終端安全方面取得了以下階段性成果。

　　首先是讓整個(gè)終端安全變得數(shù)字化、可量化。如果沒(méi)有清晰的目標(biāo)和明確的衡量方法，終端安全管理很難真正做到位。通過(guò)奇安信天擎和安運(yùn)平臺(tái)，南山醫(yī)療集團(tuán)可以實(shí)時(shí)掌握全網(wǎng)終端的安全指標(biāo)，包括安裝率、正常率、實(shí)名率、基線合規(guī)率、病毒掃描執(zhí)行率、病毒處置成功率、病毒風(fēng)險(xiǎn)終端比率、漏洞風(fēng)險(xiǎn)終端比率等，并基于這些可量化的指標(biāo)與整體終端安全目標(biāo)的偏離程度，及時(shí)調(diào)整安全策略，實(shí)現(xiàn)切實(shí)有效的終端安全運(yùn)營(yíng)。

圖：終端安全運(yùn)營(yíng)概況

　　其次是讓漏洞補(bǔ)丁管理變得簡(jiǎn)單、高效。漏洞是萬(wàn)惡之源，是病毒和攻擊的最佳載體，但補(bǔ)丁又不能隨便打，也很難及時(shí)將其安裝到位，所以對(duì)于醫(yī)療行業(yè)的安全管理人員來(lái)說(shuō)，漏洞補(bǔ)丁管理一直是復(fù)雜繁瑣、讓人頭痛的事情。通過(guò)奇安信天擎和安運(yùn)平臺(tái)，南山醫(yī)療集團(tuán)能夠第一時(shí)間掌握全網(wǎng)終端的漏洞分布情況，并基于安全策略和處置優(yōu)先級(jí)，給終端及時(shí)打上經(jīng)過(guò)奇安信安全團(tuán)隊(duì)測(cè)試的最新補(bǔ)丁，還可以通過(guò)自動(dòng)化編排技術(shù)實(shí)現(xiàn)補(bǔ)丁的多次分批安裝，有效控制補(bǔ)丁兼容性問(wèn)題可能給終端帶來(lái)的運(yùn)行風(fēng)險(xiǎn)。

圖：終端安全畫(huà)像

　　第三是讓病毒防御變得有效、閉環(huán)。新威脅采用的攻擊手段、推出的數(shù)量和質(zhì)量正不斷升級(jí)，如果缺乏有效的防御手段，它們必將造成更大范圍、更長(zhǎng)時(shí)間的破壞。通過(guò)奇安信天擎和安運(yùn)平臺(tái)，南山醫(yī)療集團(tuán)實(shí)現(xiàn)了對(duì)病毒攻擊的閉環(huán)防御，即預(yù)防、防護(hù)、檢測(cè)、響應(yīng)，在有效防御各種已知未知病毒攻擊的同時(shí)，還能清晰掌握全網(wǎng)終端的病毒防御態(tài)勢(shì)，包括病毒仍感染次數(shù)、感染次數(shù)、中毒終端分布、仍感染終端比率排行、查殺趨勢(shì)等，甚至追溯展示病毒在內(nèi)網(wǎng)的感染歷史與趨勢(shì)。

　　“多種天擎數(shù)據(jù)源支持是安運(yùn)平臺(tái)的重要優(yōu)勢(shì)。”徐部長(zhǎng)談到：“它從十四大維度全面揭示終端安全威脅情況，讓我們真正構(gòu)建了終端安全的‘指揮中心’�！�

　　未發(fā)生大型攻擊事件 零信任和安全運(yùn)營(yíng)將成未來(lái)目標(biāo)

　　得益于天擎強(qiáng)大的防病毒、漏洞和補(bǔ)丁管理等能力，自項(xiàng)目實(shí)施以來(lái)，深圳南山醫(yī)療未出現(xiàn)大型病毒入侵、數(shù)據(jù)泄露、系統(tǒng)被攻擊等事件，有效保障了各個(gè)業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行。

　　下一步，南山醫(yī)療計(jì)劃采用目前全球領(lǐng)先的零信任安全建設(shè)方案，遵循“先驗(yàn)證后連接”的零信任理念，基于最小權(quán)限原則，對(duì)合法的用戶和終端開(kāi)放訪問(wèn)權(quán)限，極大縮小安全風(fēng)險(xiǎn)的暴露面和攻擊面，顯著提高黑客攻擊門(mén)檻，最大限度的解決接入、訪問(wèn)、數(shù)據(jù)的安全問(wèn)題。

　　對(duì)于未來(lái)，深圳南山醫(yī)療計(jì)劃與安全公司合作，安排專(zhuān)業(yè)的安全人員駐場(chǎng)運(yùn)營(yíng)全區(qū)醫(yī)療信息化的安全、提供規(guī)劃建議、做實(shí)戰(zhàn)化的攻防和滲透，提高南山醫(yī)療集團(tuán)信息化在極端情況下的實(shí)戰(zhàn)防守能力，預(yù)計(jì)2021年年底完成。通過(guò)這些規(guī)劃和建設(shè)，最終實(shí)現(xiàn)安全狀態(tài)通過(guò)專(zhuān)業(yè)工具可視化，安全建設(shè)專(zhuān)人運(yùn)營(yíng)，安全問(wèn)題專(zhuān)家處理，達(dá)到檢查不被通報(bào)、日常不被攻擊的效果，保障南山區(qū)醫(yī)療信息化系統(tǒng)長(zhǎng)期、穩(wěn)定運(yùn)行。

   【免責(zé)聲明】本文僅代表合作供稿方觀點(diǎn)，不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作，風(fēng)險(xiǎn)請(qǐng)自擔(dān)。