时间:2021-09-07 作者:奇安信
2017年4月,国务院办公厅印发《关于推进医疗联合体建设和发展的指导意见》,全面启动多种形式的医疗联合体建设试点,从此开始,全国各省掀起了一场医联体建设的浪潮。
“通过医联体建设,深圳市二院的医疗能力已经完成了向区级医院的下沉,但接下来的任务是推动安全能力的下沉,否则一旦区级医院被突破,整个集团内网的重要系统和数据,也会暴露在攻击者面前,后果不堪设想。”深圳市第二人民医院(简称深圳二院)信息科科长熊文举表示。
图:深圳市第二人民医院(深圳大学第一附属医院)
深圳二院,是深圳市综合实力排名前三的大型医院。2017年6月,深圳二院牵头组建深圳市大鹏新区医疗健康集团(简称:大鹏新区医疗集团),对大鹏新区3家区级医院及所辖21家社区健康服务机构进行一体化管理,推进“以人为本”的市、区一体化医疗卫生服务体系建设。2020年,深圳二院通过部署奇安信天眼(新一代安全感知系统),为大鹏医疗集团以及旗下的3家区级医院,实现了医联体信息化安全威胁检测、主动防御和全局安全态势可视一体化,树立了深圳集团化、医联体改革的样板工程。
图 :实战化防御指挥平台指挥作战大屏
在全面性方面,深圳二院兼顾集团的分支医院,将安全作为一个整体全面解决问题,继而构建完整的网络威胁态势感知系统。这与以往遇到安全问题后“头疼医头、脚疼医脚”的“创可贴”式,面向单一风险点、零散的、碎片化的安全产品叠加式的安全建设有本质不同。安全体系建设更强调规划思路,建设方案应坚持以面向问题、整体设计、支撑运营为原则,系统性解决各类安全威胁与安全问题,实现安全体系的可持续发展与迭代创新。
在有效性方面,深圳二院强调了安全运营监管的重要性。潘科长认为,安全运营监管是深圳二院实现一体化安全保障,有效解决安全问题的重要基础,在方案设计过程中需重点突出实战能力与保障能力,以动态安全保障中的感知发现、分析研判、响应处置、追踪调查、追踪溯源为核心,构建完整有效的一体化安全保障能力体系。
潘科长举了一个例子,“传统的安全防御体系就如同一个硬壳软糖,将安全性全部寄托于硬壳之上,一旦硬壳被砸碎,那么内部毫无二次抵御攻击的能力,而事实证明,天下不存在无坚不摧的管道硬壳。”因此,网络安全需要变被动为主动,只有快速追踪溯源,清晰掌握攻击过程全貌,才能迅速采取动作,遏制攻击扩散,实现积极防御。
在具体实施方面,深圳二院按照循序渐进的原则推进整体方案建设。第一步,深圳二院基于分布式大数据架构,将天眼的流量传感器作为数据采集的原点,收集出深圳二院(内科楼、外科楼)、大鹏妇幼保健院、南澳人民医院、葵涌人民医院、大鹏医疗集团全网所有的流量数据,并利用数据标准架构来进行清洗、存储和计算分析,实现一体化的流量数据采集。
图:天眼威胁感知系统
第二步,深圳二院将整个集团的数据归总在统一的展示层面,构建出“网络威胁感知系统”,即安全运营监管中心(威胁分析平台),从而对深圳二院的外、内科楼,以及大鹏医院集团内外网,下属区级医院等的医疗信息化系统,实现一体化运营和监管,实现安全的态势感知、安全分析、安全评估、安全运营等大数据安全监管能力。
最后,整个大鹏新区医疗集团利用云端的安全大数据决策体系,提供威胁情报、失陷主机检测等各类 SaaS 安全服务,为本地的安全体系赋能,实现真正意义上的“云地协同、数据协同”的一体化效果。
图:天眼“仪表板”界面
“在运行过程中,天眼在高级威胁检测、回溯分析、威胁情报等方面的能力,让我们印象深刻。”潘科长表示。同时,天眼还具备强大的协同联动能力,通过终端EDR联动、防火墙NDR联动与自动化编排处置,帮助用户快速定位感染主机和恶意软件,并及时的阻断威胁,提升网络攻击的响应和处置能力。
图:天眼的威胁感知家族体系
“以往网络安全和业务运营经常相互独立、缺乏协同,但基于天眼构建的网络威胁感知系统,最重要的就是将网络安全和业务运营紧密地融合到了一起。” 潘科长总结道。
在谈及医院未来的网络安全建设规划时,潘科长着重强调了安全运营的重要性,“部署网络安全设备只是打好基础,安全运营才是网络安全工作最为关键的一步。”据悉,未来医院及集团分支医院还将纳入天眼大家族中更多的产品成员,并将数据、技术、人员和流程等有效结合起来,形成面向实战的安全运营体系,为集团数字化转型保驾护航。
95015服务热线
微信公众号