一、需求背景分析
随着《中华人民共和国网络安全法》、《关键信息基础设施保护条例》、《中华人民共和国数据安全法》等法律法规的出台实施,卫健委在网络安全方面的主管责任越来越明确,在网络安全监管方面的责任也越来越重,如何建立一套行之有效的监管体系或安全运营体系是是否能够落实好监管责任并指导下辖医疗卫生机构处置安全威胁的关键。
1、 医卫安全挑战大:医卫数据涉及到广大人民群众个人健康敏感数据,因此,医疗卫生数据也被定义为国家关键信息基础设施,一旦这些数据被泄露或遭受网络攻击,将会危及到人民群众生命健康、医疗卫生机构生存发展甚至是社会稳定;同时医卫单位也是网络攻击的重灾区,医卫机构遭受网络攻击或勒索事件每年都时有发生,受限于人力、技术资源,安全运营精力不足等原因,资产、漏洞、策略、威胁、事件等管控效果不达预期。为了降低信息系统中安全隐患被非法利用的可能性或在被利用后能及时加以响应,需要有专业的信息安全服务人员协助管理人员进行安全运营工作。
2、 监管压力大:2019年3月国家卫建委印发《关于落实卫生健康行业网络信息与数据安全责任的通知》,明确各级单位主要负责人为网络与数据安全第一责任人。明确要求定期开展安全检查,对存在的漏洞、隐患等及时进行整改,杜绝网络信息与数据安全事件的发生。通知也明确了主管部门建立健全监测预警、信息共享和通报制度,组织领导本行政领域内卫生健康行业网络信息与数据安全保护和重大事件应急处置。《中华人民共和国基本医疗卫生与健康促进法》,明确对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行罚款,对于情节严重的,对直接负责的主管人员和其他直接责任人员依法追究法律责任。针对医疗行业网络安全和数据安全提出明确要求。2021年7月30日李克强总理签署745号令公布《关键信息基础设施安全保护条例》(简称“条例”),条例在2021年9月1日施行,和数据安全法施行时间一致。条例明确了保护工作部门(行业主管单位)的责任和义务:保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络 安全威胁和隐患,指导做好安全防范工作。
二、主要需求与建设方案
部分卫健委全民健康平台的等级保护三级已经做完了,平台的安全性是否就得到了保障呢?一些医疗单位虽然做了等保三级建设,但依旧遭遇了勒索病毒攻击,通过溯源发现是来源于基层医疗机构风险,作为跳板逐步渗透到平台内进行病毒攻击。全民健康平台承诺整个地市、区县的健康医疗信息,一旦出现任何问题,整个区域基层卫生的业务就整个中断了。所以,仅通过合规性的等级保护安全建设是不足以支撑起整个平台的安全能力,等保建设只是安全建设的第一步。
综合分析发生的安全事件,大部分原因归结为:
1、资产不清晰,平台内部以及医疗机构的资产没有统一性的梳理,存在大量脆弱性资产(我们不清楚和未做管理),这些资产就容易作为黑客攻击的跳板,渗透到平台内部;
2、没有相应的手段或抓手能对整个平台的脆弱性、漏洞做可视化梳理,仅依靠防火墙和一些安全设备做访问隔离,设备间又缺少信息共享或整合机制,平台安全风险情况散乱,无从管理,造成高危漏洞和风险被遗漏,成为攻击的入口;
3、安全状况不可视,滞后性响应流程,下级医疗机构风险不可知等。
安全现状:风险入口多。网民通过互联网的方式访问置于外部DMZ区域的对公众提供服务的相关系统(如健康档案、药招系统等)。特别是基层卫生管理信息系统、慢性病防治、妇幼保健管理等业务系统集中部署在数据中心,下属单位均需与数据中心进行数据交互和数据共享。需求:下属单位缺乏安全防护手段和网络安全管理人员,数据中心频繁遭受攻击无法精准定位。
我们通过一套安全运营体系流程的搭建,帮助平台构建高效可持续闭环的安全建设体系。通过在平台侧搭建一套态势感知平台SIP(或者将探针散布在各个医疗机构核心旁路),通过探针和终端EDR、审计设备等将流量和日志抓取至态势感知平台做深度分析(大数据分析,人工智能分析,建模分析),在态势感知平台侧构建资产可视、风险可视、事件告警及主动闭环一整套安全体系。
帮助用户实现一个平台掌握全网安全动态,通过可视化大屏展示安全状况并实时更新,出现风险及时通报预警,派发工单告知基层医疗机构进行安全处置,通过7*24h不间断持续风险监测,安全响应不再滞后。支持SOAR自动化安全响应编排机制,出现问题,无需人工接入,自动化闭环处置,将安全风险降至最低。
通过安全运营中心的构建,将安全建设,安全效果,安全能力可视化展现出来,帮助用户实现绩效考核。同时,借助我们的MSS运营团队,将产生的风险,事件问题做到闭环处置,本地化安全人员上门应急处置响应,同时在云端有高级安全专家值守,帮助我们构建“智能-风险控制-闭环”的安全能力,将出现的安全问题不再是无从下手,不再束手无策。通过安全运营中心的“平台+人+流程”的建设模型,实现全民健康平台真正“不知合规、持续有效”的安全建设。