“电子病历、影像数据、临床诊疗、疫苗研究……医疗数据是医院最宝贵的财富之一。因此面对安全与便利之间的矛盾,我们医院在信息化建设方面的原则是,绝不会在安全尺度上进行妥协。”深圳市人民医院王院长这样表示。
图片来源于网络
作为深圳第一家“三级甲等”医院,深圳市人民医院深知医疗数据的重要价值,以及对于社会民生的特殊意义。因此,在信息化和网络安全的建设之路上,深圳市人民医院始终坚持更高要求、更严标准,向安全事件“零事故”的目标而努力。经过近几年的探索和实践,深圳市人民医院在数据安全,尤其是终端安全准入方面,开辟出了一条值得业界借鉴的道路。
8000多个终端 意味着8000多个薄弱点
“在规模和综合实力方面,深圳市人民医院是全市领先的三甲医院,而在信息化建设方面,医院更是给予了极高的重视程度和投入力度,并积累了大量的宝贵数据,这也让我们更容易成为攻击者的目标。”王院长表示。
据介绍,深圳市人民医院始建于1946年,前身是宝安县人民医院,1979年随着深圳经济特区的成立,更名为深圳市人民医院。现已发展成为一个功能齐全、设备先进、人才结构合理、技术力量雄厚,集医疗、科研、教学、住院医师规培、保健为一体的深圳市最大的现代化综合性医院。
随着《网络安全法》、《数据安全法》相继出台,网络安全是全国上下高度关注的问题。但在实际工作中,网络安全工作存在很大难度,集中体现在以下几个方面:
首先是很多人的网络安全意识薄弱,对数据泄露风险知之甚少。
“以医院为例,一些医护人员、专家、科研人员,他们业务熟练,专业能力很强,但网络安全意识不强,对网络安全攻防技术更是知之甚少。实际工作中可能将电脑等设备无意外联,使宝贵的医疗数据暴露在外网,很容易让攻击者得手。” 医院协会信息分会会长、深圳市人民医院信息技术部李科长对医院数据面临的风险深有感触。
Verizon曾发布的一篇网络安全报告显示,在全世界范围内,医疗行业是内部威胁高于外部威胁的唯一一个行业,内部从业人员对医疗数据的泄漏达到了惊人的程度。要避免这种情况,除了必须要加强员工的安全意识之外,还需要通过技术手段提高身份认证的安全性,并做到安全追溯、责任到人。
其次是终端数量多,类型复杂,地域分散,防不胜防。
据介绍,深圳市人民医院有四个院区,地理位置相对分散,各类终端多达8000多个,包括电脑、打印机、移动终端、自助机、大屏幕等。这些设备都和重要业务及敏感数据相关。在攻击者眼中,8000多个终端就如同8000多个攻击入口。仅靠技术很难防住所有薄弱环节。
再者是接入环境复杂,准入手段单一。
除了数量多之外,深圳市人民医院的终端接入方式多种多样,包括上万个有线网口、HUB或NAT设备接入以及无线WIFI接入等多种形式,接入形式不统一,缺少标准的准入认证流程不光给网络管理造成了巨大的困扰,缺少认证的网络接入也给网络安全防护造成巨大的挑战。大量的信息接入点缺少端口级的准入防护方案,仅使用简单的IP-MAC绑定策略,外部终端直接修改网卡MAC即可接入有线网络,或直接接入无线网络,使得医院内网在攻击者眼中近乎不设防。
最后是黑客手段越来越高明,新型攻击形式层出不穷。
根据奇安信威胁情报中心《2020年全球高级持续威胁(APT)年度报告》显示,2020年,医疗卫生行业首次超过政府、金融、国防、能源、电信等领域,成为全球APT活动关注的首要目标,全球23.7%的APT活动事件与医疗卫生行业相关。由于APT的目的性非常强,攻击目标明确,持续时间长,不达目的不罢休,对医院威胁很大。
从病毒查杀到“一站式”准入安全 深圳市人民医院的安全进阶
面对层出不穷的安全风险,深圳市人民医院意识到,终端安全不仅仅局限于恶意代码防范、病毒查杀、漏洞修补等方面。首先,要保障医院安全建设满足合规标准要求,这是安全底线。其次,还需要针对终端建立起从接入感知、资产发现、认证授权、安全检查、隔离修复、访问控制到入网追溯的“一站式”准入安全管理措施,实现从事前接入发现、事中接入管理、事后接入审计的整体安全防护方案,并且需支持多种设备类型进行统一准入管理。
更具体来说,包括五个方面:
第一是资产发现与识别。 医院不断有新设备接入,以及端点的改造变化,导致设备资产情况不清晰,无法做到统一接入安全管理,经常会发生资产信息不全、资产丢失等情况,更无法建立完善的设备规范化接入管理机制。
第二是身份认证与授权。由于网络边界越来越模糊,开放性越来越强,深圳市人民医院意识到, 如果不对接入医院的用户和设备进行身份与权限的甄别,不受任何检查和限制的话,医院开放式网络将为恶意访问和入侵提供非常便利的条件,采用简单的攻击技术便可造成巨大的破坏,同时容易增加核心数据泄露风险。
第三是合规检查与评估。医院有大量的工作终端,如果有“亚健康”终端接入内部网络,如:重要补丁没有安装、风险端口、非法外联等,随时都可能成为“定时炸弹”。以2017年肆虐全网的“永恒之蓝”事件为前车之鉴,一旦攻击者利用高危端口和漏洞等实现大规模传播,就会给医院带来不可估量的损失。所以,医院必须对终端进行合规检查和安全性评估才能接入网络。
第四是设备异常监测。 医院终端接入比较分散、数量又非常巨大,出现仿冒和劫持无法避免,需要进行监测和时候追踪。
第五是入网追溯审计。 只有知己知彼,才能百战不殆。管理员还需要了解什么人、什么时间、是什么设备、从哪里接入了医院网络,都有哪些安全风险项、网络接入情况等,需要全程追溯和审计。
与天擎实现一体化 部署和运维成本显著下降
2019年12月开始,深圳市人民医院和多家网络安全厂商进行了接触,经过对产品性能、场景应用、可实施性等多方面综合比较之后,最终选择了和奇安信合作,为其提供终端安全准入(NAC)整体解决方案。
“在网络攻防对抗中,终端历来是攻防双方的必争之地。”李科长表示,一方面是终端防御难,由于终端数量庞大、操作系统各异、用户安全意识薄弱等问题,容易成为突破口;另一方面,终端又是所有网络攻击的“着陆点”,核心重要数据的承载设施,一旦终端失陷,或者直接数据泄密被窃,或者成为攻击者横向移动的跳板,危害极大。
图802.1x认证
为此,奇安信终端安全准入系统(NAC),满足了医院多个方面的需求。
采用端口级准入技术,完全满足政策合规要求,为医院提供可靠安全保障。
医院属于关系国计民生的卫生行业,也是国家网络空间安全的组成部分,应符合国家关于网络与关键信息基础设施、云计算、大数据、等保 2.0等相关的安全政策标准、法令法规和指导文件的要求,在合规的基础上考虑整体安全保障方案设计,尤其要符合国家《网络安全法》的要求。
“目前医院采用了最严格的802.1x端口模式认证,保证每一个接入到网络中的终端均需要进行认证,其严格程度在业内是少见的。” 李科长表示。
据奇安信工程师介绍,这是 IEEE制定关于用户接入网络的认证标准,它作为最为严格的端口级准入技术,未经身份认证与合规验证的终端接入交换机端口,除eapol报文外无法传输任何网络流量。同时认证通过后也受授权策略控制,仅可以访问指定的目标地址。
可以说,奇安信NAC方案不仅保障了用户网络或设备接入内部网络的安全可信,保护IT基础设施的稳定运行和数据安全,同时也满足国家或行业的安全技术规范要求。
其次是一体化管理,解决了传统散兵模式的部署难题,降低运维成本。
在过去,安全准入和终端安全软件往往是相互独立的,这给管理和部署带来了一些难题。而奇安信NAC可以基于天擎集中统一管理,可在天擎“一体化”平台对引擎设备进行集中策略下发、设备批量升级、设备统一监测、区域分权管理等方式,适应超大规模用户的部署,多种灵活的手段满足大型网络架构下的业务管理需求,解决了传统方式的独立管理、散兵模式的部署难题。
同时,这种一体化管理显著减轻了用户运维人员的工作量。另一方面,由于NAC和天擎终端安全进行一体化的联动,使得终端只需打开一个进程,避免多进程对计算资源的消耗。
第三是旁路部署可不改变既有架构,实施成本更低。
奇安信NAC方案的最显著优势就是部署更灵活。NAC可采用旁路部署方式,对网络环境依赖较小,不改变用户网络架构,支持集中和分布式部署方式。而且,该产品支持多种准入技术混合部署模式,可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制,满足不同场景下的应用部署需求。
最后是支持多种认证方式,满足用户入网多样性需求
天擎强制合规组件支持多凭证认证方式,支持用户名密码、主机MID、MAC、快速认证应用准入等多种凭证认证方式,支持多条件绑定认证入网,满足用户入网多样性需求建立多层入网防护体系,兼容与AD、LDAP等联动认证。同时,它确保实名制统一认证管理,使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
强管控显著降低风险 安全事件实现“零事故”
“我们使用最严格的安全准入制度,初期给医院的医生、科研人员及相关员工带来的操作不便等问题,是显而易见的。” 李科长回忆到,“刚开始部分科室,例如急诊科,反馈比较多,但磨合一段时间之后,大家意识到安全的必要性和重要性,很快适应了新的安全准入管理体系。”
“安全不能抱有侥幸心理,严格合规是我们的红线,不能贪图便利就放弃安全”。王院长反复强调了安全意识的重要性。据介绍,随着时间的推进,以及安全准入项目的实施,这些安全意识和理念,逐渐渗透到深圳市人民医院每个员工的头脑意识之中,整个安全的要求,不再是负担,而是日常的习惯。
安全准入项目上线到现在,深圳市人民医院真正实现了安全事件“零事故”,相比之前每年有数起的情况,有了立竿见影的显著效果。不仅如此,在每年组织的实战攻防演习中,深圳市人民医院均实现了核心目标“零失陷”的佳绩。