基于等保2.0的医院态势感知系统应用

来源:用户上传      作者:

　　摘 要：本文基于等级保护制度2.0（以下简称：等保2.0）的要求，对公共服务类的关键信息基础设施，在网络安全等级保护上做出了明确要求。医疗行业属于公共服务领域，很多信息系统被定义为保护第三级系统，如何做好这些业务系统和基础设施的等级保护，对卫生行业来说，提出了新的要求和新的挑战。网络安全态势感知的研究应运而生，它融合各种网络安全要素，站在更高的角度去评估网络安全的实时状况，在一定的条件下，可以预测网络安全态势的发展趋势，加强关键信息基础设施的保护，使得业务系统可以满足等保2.0的新要求的道路。
　　关键词：等级保护2.0 态势感知系统 基础设施保护
　　中图分类号：TP393 文献标识码：A 文章编号：1003-9082（2020）05-00-01
　　引言
　　随着各信息化技术的快速发展，以及云计算、移动化、大数据、物联网等新技术的出现和发展，医疗业务与互联网对接已是不可避免的趋势。医疗行业在利用互联网、移动化技术实现医生随访、移动护理、自助交费、院外康复和家庭病床等业务也利用新技术实现了高速的发展。
　　那么在这“互联网+医疗”的大趋势下，在将新的技术应用到信息系统的过程中，我们发现新的信息安全问题逐渐浮出水面。一方面新的信息安全威胁层出不穷，非法获取病人信息已经形成产业化的趋势，利用特种木马、0day漏洞、水坑攻击、钓鱼攻击甚至威胁更大的APT攻击，已是传统防火墙、IPS、杀毒软件等安全防护设备无法发现和阻止。另一方面随着单位内各个业务部门信息系统的快速建设，信息系统产生的数据无法被有效收集、整理并加以利用，导致信息安全管理员无法通过数据分析发现隐藏在其中的安全威胁。
　　网络安全，有几个主要特点。一是网络安全是整体的而不是割裂的。二是网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。四是网络安全是相对的而不是绝对的。五是網络安全是共同的而不是孤立的。
　　要全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。感知网络安全态势是最基本最基础的工作。
　　随着《中国人民共和网络安全法》在2017年6月1日的正式实施，对信息系统安全、个人隐私保护以及处罚标准都做出了明确规范，在满足行业主管部门的要求和法律规定之上，针对如何解决新形势下的信息安全威胁则是信息安全保障下一步建设的关键所在。
　　一、态势感知安全建设目标
　　用大数据技术，建设针对全院的网络安全态势感知系统，利用可视化技术以图形化的方式展示院内各业务系统的安全状况，并结合互联网安全状态，整体展示全院的安全态势，并能实现对全院核心业务网络流量的长期存储与分析，及时发现潜在的异常行为和高级威胁。通过本项目建设，将实现医院具备如下安全建设目标：
　　1.建设基于互联网威胁情报的高级威胁发现系统;
　　2.建设全流量采集与日志采集、存储、分析处理的大数据安全分析及态势感知系统;
　　3.建设自动化的关联分析发现本地异常行为;
　　4.建设可视化平台展现全院整体的威胁与异常及其处置情况;
　　5.具备高级威胁与内部人员恶意行为发现能力;
　　二、态势感知系统安全防护建设
　　信息安全首重发现的能力，Gartner 研究的最新安全模型，通过预测风险情况和攻击手段，并对响应的信息和行为进行防护与阻止，并全方位的观测监察防护与组织手段的有效性，对相关内容进行调查与相应，通过持续性的监控与分析，拓展发现和预测可能出现的攻击手段和风险资产，从而实现安全保障的闭环运行。
　　医院业务的内部网络来说，本身的安全建设非常重要，而现在已经得到一种公认，就是传统的边界防御体系有着自身的缺陷，必须采用一种纵深防御体系来代理边界防御体系。边界防御思想已经成为过去时，而纵深防御体系已经成为趋势。
　　解决新的安全威胁需要利用多种先进技术，才可能实现对用户的安全数据进行快速、自动化的关联分析，及时发现本地的威胁和异常，同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势进行展现。
　　1.设计方案
　　1.1使用互联网威胁情报发现高级威胁
　　传统网络由于APT攻击的复杂性和背景的特殊性，仅依赖于单一单位的数据经常无法有效的发现APT攻击背景，难以做到真正的追踪溯源。
　　从互联网数据进行发掘和分析，由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到，所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率，而且由于数据的覆盖面更大，可以做到攻击的更精准溯源。
　　1.2利用威胁情报检测高级威胁
　　用威胁情报的形式对各种APT攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将APT攻击中出现的多种攻击特征进行标准化，可满足未来扩展APT攻击特征以及后续扩展联动设备的需要。
　　1.3使用搜索技术进行数据分析处理
　　用搜索引擎技术作为本地数据存储和检索核心技术，采用json格式作为引擎的输入输出格式，这样可极大提高检索性能，同时相比传统架构也能够降低大量接口上的开发量。可为单位本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。
　　1.4可视化技术使得威胁和异常清晰可见
　　通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解。大数据的存储与实时运算能力保证能够实现数据的实时推送，配以可以实时交互的3D可视化界面，与其美观的3D展示效果相得益彰。可视化技术的利用使得用户可以更直观地感受到网内的安全态势，使得安全由不可见变为可见，不但带来了更好的用户体验，同时还有效地提高了安全监控的效率。
　　结论
　　本文是基于等保2.0标准下三级系统的要求，对重要基础公共设施安全下医疗行业中态势感知系统建设进行说明。从互联网数据进行发掘和分析，将原本碎片化的威胁告警、异常行为告警、资产管理等可视化，提升网络安全数据存储与溯源的能力等方面建设。满足了等保2.0标准对医院系统的要求。
　　参考文献
　　[1]《中国人民共和国网络安全法》.
　　[2]《网络安全等级保护基本要求》.
转载注明来源:https://www.xzbu.com/4/view-15254456.htm