區域醫療行業網絡安全監管平臺建設方案
作者:啟明星辰技術中心行業營銷部
2021-03-11
業務背景
當前�����,衛生健康行業網絡安全工作針對局部信息系統的被動性��、應急性安全保障�,需要向網絡空間安全整體規劃����,主動積極防御轉變�,以應對曰益嚴峻的安全形勢���。根據中央網信辦制定的《關鍵信息基礎設施安全保護條例(征求意見稿)》�,衛生健康行業信息化建設作為國家關鍵信息基礎設施的重要組成部分����,面臨著嚴峻的網絡安全形勢��,亟需加強網絡安全監測�����、感知和預警工作�。
首先��,衛生健康行業信息化建設具有建設分散的特點���,各醫院建立自己的各種信息系統���,相互之間又有關聯����,信息產生于不同機構�����,通過跨系統實現數據交換和信息共享���。各醫院信息系統安全防范也是分散建設的�����,防范能力參差不齊��。
此外�����,醫療數據具有重要的商業價值�,而且又是患者的隱私數據��,經常成為不法分子的關注對象�。由于醫療信息安全建設技術不完備����,安全治理措施也不到位等原因��,攻擊者非常容易得手�����。面對衛生健康信息安全威脅��,輕則造成系統資源的消耗���,重則造成系統崩潰�、信息泄露�����,醫療業務工作無法正常開展����,因而產生嚴重的經濟和社會影響��。
現階段面對傳統安全防御體系失效的風險�,態勢感知能夠全面感知網絡安全威脅態勢����、洞悉網絡及應用運行健康狀態���、通過全流量分析技術實現完整的網絡攻擊溯源取證�,幫助安全人員采取針對性響應處置措施����。
安全需求
● 合規需求
習主席在網信工作座談會上提到維護網絡安全�����,首先要知道風險在哪里��,是什么樣的風險����,什么時候發生風險���,正所謂“聰者聽于無聲�,明者見于未形”�����。感知網絡安全態勢是最基本最基礎的工作�����。要全面加強網絡安全檢查�,摸清家底����,認清風險�,找出漏洞���,通報結果����,督促整改����。要建立統一高效的網絡安全風險報告機制����、情報共享機制���、研判處置機制����,準確把握網絡安全風險發生的規律�����、動向��、趨勢����。
《網絡安全法》第五十二條指出負責關鍵信息基礎設施安全保護工作的部門���,應當建立健全本行業�、本領域的網絡安全監測預警和信息通報制度����,并按照規定報送網絡安全監測預警信息��。
國家衛生計生委國家中醫藥管理局聯合發布《關于落實衛生健康行業網絡信息與數據安全責任的通知》要求建立行業監測預警���、巡查抽查制度和網絡安全事件處置機制�����;健全網絡產品和服務審查�、數據出境評估和人才培養機制��,做好相相關培訓和宣傳等工作����。
● 業務需求
? 區域醫療行業安全監測需求
針對區域醫療行業被監管單位的資產���、信息系統和流量進行監測��,包括僵木蠕毒監測���、DDoS攻擊監測�、高級威脅(APT)攻擊監測���、網站安全監測(網頁篡改����、網站漏洞�、網站掛馬���、sql注入�����、xss跨站腳本攻擊)�。主要涉及醫療機構網站安全數據監測����、DDOS攻擊數據監測�����、僵木蠕毒數據監測和高級威脅數據監測等��。
? 安全威脅的全局可視能力及監測預警需求
區域醫療機構網絡安全建設能力各不相同�����,網絡安全管理能力千差萬別�,互聯網+醫療及互聯互通等相關政策要求使得醫療機構形成了一張醫療網�,割裂的安全視角���,難以看清安全全貌����;看不清資產��,看不到風險����,看不見內網潛伏的威脅����。為實現網絡安全態勢感知與通報預警平臺的價值���,首先需要對區域醫療機構信息安全相關數據做到采集����,形成統一的數據池�,以形成統一的全局視角的安全威脅監測與預警能力�����。
? 可視化展示需求
對于區域醫療機構整體的安全態勢��,如果僅僅是簡單的數據羅列��,對于非技術的管理人員很難有著直觀清晰的感受�����,通過可視化技術的利用�����,將原本碎片化的威脅告警�、異常行為告警�、資產管理等數據結構化��,形成高維度的可視化方案��,以便于用戶理解�����。大數據的存儲與實時運算能力保證了能夠實現數據的實時推送��,配以可以實時交互的3D可視化界面����,與其美觀的3D展示效果相得益彰��??梢暬夹g的利用使得用戶可以更直觀地感受到區域醫療機構的整體安全態勢���,使得安全由不可見變為可見����,不但帶來了更好的用戶體驗��,使得非管理人員能夠清晰的看見醫院內現有的安全狀況����,同時還有效地提高了安全監控的效率�。
解決方案
啟明星辰泰合態勢感知平臺系統的目標是圍繞用戶的被防護對象��,綜合全部安全要素信息���,形成安全威脅��、風險隱患的動態持續態勢感知�����。
態勢感知是一個全面信息收集�、融合處理感知安全狀態及風險并進行態勢可視化呈現的過程��,該過程是動態持續的��,通過連續的信息采集分析不斷更新對目標網絡安全態勢的認知理解�����,掌握安全狀態����、識別發展規律�����、認識威脅預警���。
因此態勢感知系統要處理的是海量多維的信息�����,要進行多方位的關聯及發掘分析�����,要呈現的也是多對象多種形式的安全態勢����。鑒于此���,啟明星辰泰合態勢感知系統將安全態勢涉及的各類安全要素和監視角度進行了梳理歸納�����,形成了由六個維度組合構成的態勢感知體系����。這六個維度分別是資產感知��、攻擊感知���、漏洞感知�����、運行感知��、威脅感知和風險感知���,綜合這六個感知形成有面向綜合態勢監視的態勢總覽����。
通過該六個維度的感知���,泰合態勢感知平臺系統可以為用戶呈現出一副較為通用和完整的網絡安全態勢的全景圖����。并且在這六個維度的專項分析呈現和擴展外延中���,用戶可以聚焦整合���、按需搭配�����,形成適合自身業務需要和安全態勢監控需要的態勢感知系統��。
態勢感知平臺的數據源都來自于分布于網絡不同地方的網絡設備�����、安全設備����、主機�����、數據庫和中間件等軟硬件基礎設施����。
態勢感知平臺通過多種數據接口采集所需的信息��,這些信息包括:資產���、拓撲���、性能�、事件��、行為�����、漏洞����、配置和流量等�。同時��,這些信息采集裝置可以分布式部署���,并且對網絡性能影響極小甚至無影響�。采集到的所有信息都會進行進行預處理�����,將其轉換為統一的內部格式����,并提交給業務邏輯層中的相應組件進行分析處理��。
在海量安全信息統一獲取的基礎上��,平臺系統聚焦于綜合利用這些監控數據進行集中分析處理�����,通過整理分類����、精簡過濾�����、對比統計�、重點識別�、趨勢歸納��、關聯分析�、挖掘預測等數據融合處理手段認知安全態勢����,感知威脅和風險�,并根據用戶業務特點和安全需求進行態勢感知可視化呈現����。
態勢感知平臺系統的功能架構由安全要素采集層��、安全大數據存儲層����、安全態勢分析層和態勢感知及展現層四個層面組成�����,在各層中分別實現對應的系統功能����,平臺系統架構示意圖如下所示:
● 安全要素采集層:提供開放式的信息采集接口�,實現對用戶環境內各類IT資產以及所采用的各廠商安全產品或安全系統進行統一的信息采集��,并提供非結構化數據采集接口�����,可采集各類情境數據和威脅情報���。
● 安全大數據存儲層:實現海量安全大數據的分布式存儲����,提供結構化數據和非結構化數據的存儲能力��,并為上層的數據分析應用提供高效的數據庫功能支撐��;
● 安全態勢分析層:平臺綜合數據處理分析的能力提供層�,提供由大數據技術和架構支撐的快速檢索和數據關聯發掘功能�����。是支撐上層數據呈現和分析結果輸出的計算引擎層�����,提供豐富的大數據統計�、關聯分析�����、數據挖掘以及態勢分析能力����,是系統的分析處理的核心�。該層提供了基礎數據處理引擎��,包括流式計算引擎�����、復雜事件處理引擎���、全文檢索引擎�����、關聯分析引擎等�����?��;谶@些計算引擎實現分析能力包括威脅目標分析�����、威脅源分析��、攻擊過程分析����、影響及危害程度分析以及風險分析等�����。
● 態勢感知層:通過下層所提供的數據采集和處理能力向用戶輸出態勢感知能力���,包括資產感知�、攻擊感知���、漏洞感知����、運行感知��、威脅感知��、風險感知以及安全態勢總攬���,服務于全網的安全態勢呈現��,支撐用戶全局的安全防護工作��。
區域醫療行業態勢感知平臺拓撲圖如下圖所示:
方案優勢
● 四維一體的全網安全管理與運維
以客戶的業務信息系統安全為保障目標����,從監控��、審計����、風險�、運維四個維度對全網的整體安全進行集中化的管理與運維�����,為用戶建立起了一個可視��、可查����、可度量與可持續的安全管理新平臺���。
● 日常安全運維工作的有力工具
能夠統一收集來自網絡中IT資產的運行信息和日志信息����,通過分析這些數據���,識別各類性能故障�、非法訪問控制���、不當操作���、惡意代碼�����、攻擊入侵�,以及違規與信息泄露等行為��,協助客戶安全運維人員進行安全監視���、審計追蹤����、調查取證���、應急處置���、生成各類報表報告���,成為客戶日常安全運維的有力工具�。
● 遵照等級保護的技術要求
TSOC-CSA態勢感知平臺在設計之初就充分考慮的國家制定的信息系統等級保護制度中對于安全管理中心的安全設計技術要求�。系統能夠幫助客戶更好地遵從等級保護的基本安全要求和安全設計技術要求�。
● 契合信息安全管理體系的監測與評審要求
為客戶提供了一個對信息安全管理體系進行持續監測與評審的技術支撐平臺��,協助客戶通過對安全日志的持續采集與分析以及安全風險的持續評估���,最終達到對信息安全管理控制措施的持續改進����。
京公網安備11010802024551號