企业动态

某医药公司系世界500强直属企业，是一家以药品分销为核心的全国性现代医药供应链服务企业，经营规模超2000亿，经营中心网络遍布全国25个省市，覆盖全国7万多家终端医疗机构。

随着规模的不断扩大，该医药公司的业务范围已经覆盖分销、零售、贸易、物流等多个领域。与此同时，公司在加速数字化转型的过程中，对外信息服务平台规模和数据量更加庞大，随之带来了日益突出的网络攻击、业务中断、数据泄露等威胁。如何发现潜在风险、防范未知威胁，保障全集团加速推进数字化转型，成为该医药公司亟待解决的问题。

医药安全关乎健康生命，安全运营能力亟待提升

“公司作为健康事业‘国家队’，在不断推进全国战略，深化服务创新、加快产业突破的同时，也同样面临数字化转型时代的新型网络安全威胁。集团需与时俱进，一方面需要提升自身员工的安全意识能力，做好应对现代网络攻击战的准备；另外一方面也要“打铁还需自身硬”，全方面提升集团的整体安全运营能力，将公司潜在的网络安全威胁降到最低，为客户提供更安全的健康服务。”该医药公司网络安全相关负责人表示。

纵观近些年国内外新闻曝光的多起网络安全攻击事件，可以看到，攻击者具有很强的专业性，使用的攻击手法也尤为成熟、攻击策略较为先进。而该医药公司在对抗网络攻击中存在多方面薄弱点，缺乏完善的体系化的技术应对能力。2017年以前，整个集团只有终端安全的病毒防护能力，且防护较分散，难以做到全面的终端一体化管理，面对肆虐的勒索病毒攻击往往力不从心，更不用说更高维度威胁监测及资产安全运营了。
同时，医药行业属于知识密集型、资产密集型和数据密集型行业，对于数字化系统依赖度很高，因此网络安全对公司医药业务的保障作用就显得至关重要，主要表现在几个方面：
首先，高价值的数据，往往容易成为攻击者的目标。医药企业往往拥有价值数十亿美元的数据，通常包括机密知识产权、药物进步和技术的研发数据、药物和开发的专有信息以及患者和临床试验数据。访问此类关键和敏感信息使制药行业成为网络犯罪分子极具吸引力的目标。不久前印度制药巨头阿尔肯实验室（Alkem Laboratories）证实发生一起网络安全事件，导致旗下一家子公司向欺诈分子转账5.2亿卢比（约合人民币4500万元）。
其次，医药行业关乎社会民生，甚至公民的健康和生命，数字化平台的容错空间极小。“对于很多重危急病患者，医药的及时配送，就是和病魔在赛跑。”相关负责人表示，全市数千家的大大小小医院、卫生院、诊所等，都依赖于公司去配送药品，一旦公司系统遭到破坏，不能及时送药，轻则影响患者正常治疗，重则关乎危重患者的生命。例如2020年9月，德国杜塞尔多夫的一家医院遭勒索软件攻击，导致一位紧急入院病人在被迫转院途中耽误救治时间而亡。
最后是公司的庞大规模和快速发展的业务，其安全风险也是指数级攀升。公司以全国性的终端网络为基础，着力推进医院供应链服务，发展“新分销新零售”，构建新产业优势。庞大规模和多元化的业务模式，使得数字化系统也非常复杂和开放，这就带来了更多的暴露面和风险敞口，一旦某个分支机构被单点攻破，就可能影响整个集团系统，这对于医药公司也是严峻的安全挑战。

从终端切入到全局安全运营，集团总部率先取得成效

罗马不是一天建成的。面对纷繁复杂、防护孱弱的全集团网络安全状况，该从哪个切口入手？该医药公司给出的答案是：终端。
据介绍，在2017年的时候，集团经常遇到病毒的侵扰，由于集团终端量大，分布于不同的办公区，总部所有省区终端的安全状况，分部来总部的时候终端可以直接连上总部内部网络，存在很大的风险。现有的防病毒软件远远无法满足需求。
就在一筹莫展之际，奇安信走进了该医药公司的视野。尤其是奇安信天擎（终端安全管理系统）具有的病毒防护、补丁管理、终端管控、终端审计、勒索防护等功能，可以解决终端资产不清、防护能力薄弱等紧迫问题，获得了该医药公司的认可。
天擎和传统防病毒软件具有最大的不同在于，它充分体现了管理和运营的理念，它通过搭建一套集中统一的计算机终端安全管理平台，增强计算机终端面对复杂的新型威胁防护能力，真正实现终端的数字化安全运营。
终端安全建设的第一阶段围绕集团上海总部，截止到2022年，上海总部终端安全产品安装率已达到98%。在总部实现了终端资产信息实名化，资产可达到人、机实名对应的情况，总部所有终端安全产品均可做到版本及时更新、病毒库版本及时更新、补丁库版本及时更新。

总部终端安全建设的效果显而易见，该医药公司也正式借助奇安信的天擎实现的初步的终端安全运营工作。随着终端安装杀毒软件数量的提升，终端的中毒类事件逐步下降，安装后勒索事件未有发生。
终端安全运营工作取得的成绩，让该医药公司也充分感受到安全运营带来的价值。因此，从2020年年底开始，公司正式规划建设安全运营中心，将安全运营从终端运营提升到全局运营层面。在可研、规划及方案设计阶段，奇安信态势感知与安全运营平台（NGSOC）的专业性和全面性令该医药公司印象深刻，最终决定选择奇安信NGSOC作为集团总部安全运营中心的底座。
通过部署NGSOC，实现覆盖全量资产的全面实时监测预警、事件快速响应，整个安全运营中心初见成效。目前公司已实现“平战结合”的实战化安全运营能力，具备网络资产全面细致颗粒度管理，丰富安全事件的监测预警手段，进而提升安全事件发现与检测的效率与准确性，提升安全事件处置与应急响应的效率。
为了更近一步完善安全运营中心的建设，奇安信的终端安全准入、漏洞扫描、WAF、防火墙等陆续部署到集团总部，最终在总部建成了以NGSOC安全运营平台为中心的一套实时监测、及时预警、协同联动的统一安全运营体系。

从总部到全国，安全能力向全集团辐射

到了2023年，该医药公司在感受到总部网络安全建设成效之后，重点工作转移到第二阶段，即将总部成功的经验，向控股公司以及各分支机构推广。
在该阶段，在安全运营层面，由于集团总部安全运营平台的系统整合建设已基本完成，所以重点工作是建立集团总部及多区域多级联的安全运营平台，实现集团统一管控、统一管理，完成“一屏观全局”的安全愿景，持续优化安全防护策略。
在安全技防层面，主要包括持续完善集团公司与分支公司的网络纵深防御、流量威胁检测、主机安全加固措施；同时面向集团公司多场景提升综合防护能力；建设内部威胁防控体系；完善国产化密码基础设施建设；建设安全靶场、实战演练平台等。
截止目前，天擎终端安全方案已经全面推广到集团公司以及各分支机构。接下来，集团计划重点将流量检测、安全准入等产品，逐步向各地推广，最终实现统筹分管、集约联动。包括横向打通集团各子系统，纵向贯穿集团、省平台、分支机构等，实现管理对象全协同，对各类资源的统筹调度、情报共享、协同联动，提升整个医药公司的整体网络安全运营能力水平。
“通过这两个阶段的建设，我们最大的收获在于，网络安全建设一定是一个体系化的工作，单一的产品和能力无法实现整体的安全，单点的安全防护无法实现整体安全防御能力。通过体系化的安全运营能力，引入不同节点的安全管控手段，联合作战，在功能和能力上互相弥补，才能实现保卫整体网络安全的目标。”该医药公司网络安全相关负责人表示。

步步为赢，集团安全建设的四年三大跃迁

实践是检验真理的标准，也是最好的老师，从2019到2023年，该公司不断在实践中探索，收获了三方面价值。

首先是从应对乏力到体系防御。
在项目建设之前，公司早期仅有基础的防病毒软件，在主机加固、虚拟化、应用、数据、密码等通用安全能力建设严重不足，下属单位也缺乏统一的终端威胁检测与处置等终端运营手段。面对日益复杂新型的、专业的网络安全攻击和勒索病毒，公司在这些方面还有很多提升和改善空间。
随着天擎、安全准入、安全运营平台、智慧防火墙、WAF等一系列产品的部署，在满足合规的同时，该医药公司的整体网络安全建设成效已经非常显著，安全运营能力水平提升显著。如防火墙实现边界访问控制、恶意代码防范；WAF完成网站防护、防篡改；漏扫完成脆弱性管理；天擎完成终端管控、终端防病毒等，已经构建企一套叠加演进、持续兼容、务实高效的网络安全体系框架，实现了风险可视、态势可知、威胁可控、资源可用。
其次是分散到统一管控。
在初期，该医药公司面临终端资产不明、纳管不全，看不见风险、缺乏全局感知等难题，而终端往往又是黑客最热衷关注且最容易突破的窗口。例如，知道某个终端遭遇了勒索攻击，是哪个区域、哪个终端？终端资产归属人是谁？会给集团总部造成多大损害、多大影响？集团总部和分支机构的终端安全状况如何？这些问题都无法得知，更谈不上集中化的统一管控。

统一管控不是一项一蹴而就的工作，该医药公司先通过上线天擎，解决了资产台账的问题，实现了终端安全的持续运营和统一管控。之后，公司通过上线安全运营平台，可以对天擎/EDR、智慧防火墙、WAF、漏扫、椒图等10多种设备联动，实现处置命令、策略下发等。同时，通过安全运营平台的系统整合建设，在总部试运行；建立集团总部及多区域多级联的安全运营平台，实现集团统一管控、统一管理。

通过网络安全运营中心的建设，不仅在等保合规、资产管理、脆弱性管理、事件管理、基础运行等基础能力，取得了建设成果，尤其是提供了综合安全态势、外部威胁态势、内部威胁态势、攻击者态势等多个维度大屏，实现了资产风险、网络攻击和业务漏洞等层面的全局可视，结合集团需要的不同展示场景，可以更加数字化、专题化、精细化的展示医药公司整体网络安全态势。
最后是聚焦总部到辐射全集团。

在前期，医药公司主要重点解决总部终端安全的问题。天擎、安全运营平台、安全准入、智慧防火墙、WAF等均围绕集团总部来进行部署。这样带来的问题就是，各单位与集团之间的整体运营保障联动不足，下属单位数据采集不足，在数据、流程及安全工作等层面的打通和联动机制都需要亟待完善。加上集团公司二三级单位的安全管理人员严重不足，人员能力参差不齐，给整个公司埋下了安全隐患。
为了解决这些问题，目前医药公司已经将终端安全全面辐射到了集团下属的各级单位，完成了全国终端一体化安全态势平台，实现全集团的终端统一监管。
对于下一步的规划，该医药公司计划将网络安全准入、安全运营平台等向集团下属各级单位普及，最终横向打通集团各子系统，纵向贯穿集团、二级单位、子公司等，实现管理对象全协同，对各类资源的统筹调度、情报共享、协同联动，提升网络安全事件应急响应能力水平。
结束语：
医药行业是我国国民经济的重要组成部分，不仅是推动经济增长的重要支柱，同时也关乎着亿万公民的健康和生命。当前，AI、物联网、大数据、云计算等新兴数字技术，也在医药行业得到越来越多的应用，推动着整个行业的高质量发展。而在医药行业的数字化转型过程中，迫切需要筑牢网络安全底座。该医药公司在网络安全建设中的探索与实践，无疑为同行树立了可供借鉴的建设范本。