随着互联网、大数据、云计算、人工智能等新兴技术与传统医疗不断深化融合,医疗机构依托信息化建设不断提升医疗服务水平的同时,业务连续性保障及安全防护的难度也在不断加大,各种信息安全问题如影随形。据不完全统计,2022年针对医疗机构的网络攻击增加了50%以上,其中勒索攻击、挖矿和数据泄露尤为常见。
安徽医科大学第一附属医院引入安全运营托管服务(MSS),补齐7*24小时自动化监控、威胁实时监测及分析、安全专家团队保障等能力,构建“人机共智”的医院安全运营平台。通过优秀的运营机制将以往单点工作的安全设备和线上线下安全人员进行整合,通过安全运营平台全天候监控“资产、脆弱性、威胁、事件”四大核心风险要素,实现以持续的“动态安全监测、安全运营”代替传统的“静态、被动安全防御”,构建医院高质量发展的网络与信息安全堡垒。
一、构建安全运营平台
通过安全运营平台AI能力与资深云端专家研判能力相配合,提供7*24小时的自动化监测响应,在面对互联网暴露面威胁、勒索软件、APT防范等复杂的安全挑战时,医院不必再依赖某个安全工程师的个人能力,通过安全运营平台AI与安全专家相结合的研判能力,不仅能让医院缩短近三分之一的分析、研判时间,还能大大提升安全事件处置的准确率。
二、全量资产全生命周期管理
通过资产管理五步法对医院资产全生命周期进行管理,对资产脆弱性的风险进行识别和评估,判断风险是否存在和影响范围,根据其影响情况,对其重要性进行排序,展示整体脆弱性的闭环变化情况。针对新上线、变更的系统,安全运营平台会及时检测、发现和处置。实现资产数量内容的全量发现、自动识别,对资产台账重要性分析和责任定位,实现全网资产可视和动态更新。
三、安全事件动态管理
(一)有效应对威胁管理
对系统或组织产生危害的事故潜在起因,以威胁管理的维度,安全运营平台先做Use-Case的模型设计,比如:挖矿、勒索攻击、渗透、扫描等场景;基于这些场景,安全运营平台会做持续的威胁检测和云端安全专家主动狩猎,针对威胁实现深度的多维度数据分析和精准定位。一旦出现威胁,安全运营平台会通过通讯软件、邮件、电话等形式及时通知医疗机构管理人员,提供响应的加固方案并协助进行安全策略的调优、跟踪威胁的闭环。
(二)主动发现安全事件
安全运营平台主动发现安全事件,对某个终端中毒、非法的网络访问等,安全运营平台会进行降噪,比如:攻击是否可达,攻击的危害程度等,从而识别出真正的安全事件,针对这部分事件,通知云端或者线下专家及时处理。安全运营平台通过主动检测、快速响应,在安全事件发生前提前一步,将事件影响降到最小。
除此之外,通过安全运营平台,还可以量化指标,清晰地还原安全风险及事件。数据化、图形化的周、月、季、年安全总结不仅能让医院的信息部门高效开展日常网络安全工作,也可以为医院未来的安全建设决策提供数据支撑。
最后,通过安全运营平台的建设,在不增加医院原有的人员及设备投入的情况下,以可控的成本引入安全运营服务的线上安全专家团队。通过线上、线下联动的方式,实现高效的处置,在一定程度上缓解了“安全人员缺乏”、“建设成本投入过高”这两大医疗行业的安全难题,从而实现了降本增效、将网络安全真正“运营”起来。