5月14日,由《中国数字医学》杂志社主办,360集团支持的“医院网络安全系列课程”第一讲:医疗机构网络安全(综述)如期举办,360企业安全集团大政府事业部技术总监程瑞发表《医疗机构安全体系建设思路分享》主题演讲。
2019年,国内很多医院内网服务器遭受了勒索病毒的攻击从而导致自己内部大量的数据被锁死,甚至还有一些医院的CT机遭到了“永恒之蓝”攻击,导致运行不正常。
目前,虽然国内各界单位领导对安全的重视程度越来越高,但事实上大部分医疗机构对安全的认知、对安全建设的理解还有一定偏差。
程瑞表示,医疗机构安全建设应该有三大目标,首先是按照等保合规和分保合规的根本要求来完成规定动作。其次,确保业务稳定可靠和安全运转。最后,要保证出现任何事能够及时发现和精准还原。
过去做安全建设普遍是去选择大量网络设备搭建整个安全体系,但这样做的结果是依然出现了很多攻击事件。“这是因为没有正确对待安全建设,安全的本质实际是机密性、完整性和可用性(CIA),真正的安全建设是要平衡好三属性之间的关系”,基于此,程瑞提出了两点建议:1第一,正视安全的属性。安全的属性就是对抗,对抗意味高度的动态、随时随地的变化,需要建设一个运转良好的安全体系去适应这种对抗属性。
2第二,摆正安全观。要关注内外部的情况变化,比如外部的攻击对手的变化,新技术的应用导致自身业务的变化等,只有这样才能有一个清晰的路线图去落地安全技术体系。
“在建设安全体系的过程中,应该将安全合规视为基础,在合规基础上逐步提升安全能力”,程瑞表示,建设安全体系最先要做的是安全治理,比如要基于业务目标推导出安全建设的目标;基于组织架构做出合理分工以进行良好配合;接下来是安全管理,结合自身情况梳理出整套安全管理的标准和制度,去约束内外部因素,这两部分做完才会谈到安全技术的问题。
安全技术一方面可以辅助管理落地,另一方面可以提供基础防护能力和监测采集能力,以支撑安全治理中安全目标的落地。最终是安全运营,安全运营体系并不是一成不变的,而是需要结合内外部情况逐步调整和优化,使得安全管理和安全技术能够与业务贴得越来越紧。随后,程瑞重点介绍了安全技术和安全运营的建设逻辑。从安全技术角度出发,首先要做安全基础设施,简单来说就是类似于密码管理者PKI的东西。接下来要做基础安全防护,需要采购一些设备和产品放在合适的位置,实现最基础的安全防护目标的。程瑞强调,做安全防护一是要把业务流和数据流梳理清楚,不见得所有产品会有合理的部署位置。二是要站在攻击者的角度看事,而不只是把互联网的出口堵上,在具体设计落地过程中尽可能简化设计。最终要结合数据治理来做安全防护,医疗机构还是相对好落地的。 之后要优先把检测运营打造起来,利用大量多维度的数据时刻结合自身业务去发现内部存在的安全问题,这样才能形成一个安全闭环。做监测运营中心涉及到人、技术和流程三方面。具体而言,首先要打造一个运营工具平台,做安全时内部会产生大量数据,这些数据如果单纯靠人工效率会极低,因为当人发现的时候对方已经把数据偷了或把安全打穿了。二线分析人员结合业务做深度分析和挖掘;高级人员做远程支撑,这部分人做的是一、二线人员搞不定的事情,属于安全技术水平比较高的人。基于这些人和工具,再结合自身业务做出合理的流程之后,安全运营中心就能够基本成立。最后还要思考安全评价的问题,需要通过外部手段尽可能发现已建设的安全体系是否真正有效。现在很多安全公司会提供一些攻击链检测的能力,站在互联网外侧对所有暴露在互联网上的东西做持续的监测和分析,发现攻击者最有可能从哪里入手。