一张网一盘棋一条链一本账，某市卫健委一体化安全运营中心建设之路

线上挂号缴费、足不出户送药上门、随时调阅自己的健康档案.....某市市民正在享受越来越多数字化技术带来的诊疗便利。

近年来，某市卫生健康委员会（简称：某市卫健委）深入推进全市医院数字化改革，“互联网+医疗健康”便民服务走在全国前列。但是在卫生健康信息化给患者和医生带来极大便利的同时，随着医疗机构的互联互通，数据的开放共享，给该市医疗卫生系统的网络安全也带来了新的挑战。

图片来源于网络

“高级的网络攻击通常攻击链很长，每个节点都可能成为跳板，攻击者很可能以一个乡镇卫生院为突破口潜入，而后顺着卫生专网对市医院或市卫健委进行攻击”。该市卫健委网络安全部门相关负责人表示，医疗单位应对新型攻击，必须打破全市医疗单位碎片化各自为战的防御方式，上到全市医院、区县医院，下到镇卫生院，全部实现互联互通、协同联防。

然而，现实的情况是，该市二级以上公立医院近70家、乡镇卫生院百余家，由于它们的地理位置分散，信息系统和安全防范系统各自为战，安全能力参差不齐，安全人员人手不足，不仅导致整个医疗机构的数据无法实现归集共享。与此同时，该市卫健委作为市医疗卫生的主管单位，既无法有效掌控下辖医疗单位整体的网络安全状况，又无法做到有效的运维，迫切需要建立一套完善的、一体化安全运营体系，实现全市医疗态势一张网、医疗安全运营一盘棋，对网络安全事件和风险通报实现上通下达。

根据市医疗信息化发展规划，奇安信联合该区域的合作伙伴，从医疗卫生主管机构的实际需求出发，基于奇安信“MDR安全托管平台”以及具有高性价比的网络威胁检测与响应系统“天观”，并借助奇安信区域合作伙伴在当地的安全运维服务和专家响应团队，共同为该市卫健委打造了一个集安全态势分析、安全运维管理、资产风险管理为一体的“安全运营中心”，实现对全市医院、区县医院、基层卫生机构7*24小时全天候的统一防护、统一运营和统一监管，让全市医疗单位的安全问题能被及时发现、得到迅速解决。

全市医疗单位安全风险多

卫生主管单位监管难

一

“很多安全事件都是出事之后，医院才知道，甚至还有很多乡镇医院受了攻击都不知道。”某市卫健委网络安全部门相关负责人表示，在没有部署奇安信天观之前，全市医院、区县医院、基层卫生院的网络安全情况对于市卫健委来说就是一个“暗箱”，根本无法看清若隐若现的安全隐患，发生安全事件又无法进行有效溯源和预警。

该市卫健委网络安全部门相关负责人对此深有体会。他介绍了在项目实施前，市卫健委及下辖医院、基层卫生院面临的几大安全挑战。

首先，各大医院外网流量威胁不可见，面向患者的医疗服务受到直接威胁。

该市大部分医院外网的流量主要分为两个部分。

一是医院微信业务、官网与互联网交互的流量。这部分流量面临的威胁主要体现为，攻击者可能利用医院官网或者微信业务存在的漏洞进行攻击，或者通过医院官网或微信业务上传Webshell获取系统权限来控制外网服务器等等，最终窃取医院重要信息或者对系统进行破坏，直接影响患者的就医。

二是医院行政人员访问互联网的流量。除了专业医护人员，医院还有一部分负责财务、人力、后勤等工作的行政人员，这部分人员在访问互联网的过程中，由于安全意识不强，很可能会给医院带来各种安全隐患，例如：造成密码泄露，或遭受钓鱼邮件攻击、恶意软件攻击等，最终导致医院内部数据被窃取、篡改或者系统被破坏，也可能会影响到患者的就医。

其次，各接入单位安全能力参差不齐，对卫生系统带来巨大安全隐患。

全市各医疗卫生机构安全建设单独进行，安全效果不能保证。虽然市重点医院安全建设尚有保障，但基层乡镇医疗机构数量众多，信息化建设规模较小，没有充足预算购买完备的网络安全产品，整体安全水平落后，对全市卫生专网构成了不可忽视的威胁。

第三，地理位置分散，难以进行统一监管、安全赋能。

该市有几十家二级以上公立医院，涉及10余个县级行政区，几十个镇卫生院，医院及卫生院的地理位置分散，要进行统一的安全管理和维护，都是很大的挑战。

第四，安全数据碎片化，难以形成合力应对攻击者。

各医院不同防护设备之间的数据相对割裂，形成信息孤岛，分析人员只能获取局部的攻击信息，无法构建出完整的攻击链条，难以发现并追踪真实的攻击行为和攻击者身份。

第五，本地专业安全人员人手不足，安全事件难及时有效处置。

由于全市医疗机构缺少专业的安全人员，因此面对突发的安全事件，往往难以把握应急处置的最佳时间窗口，容易扩大安全事件的影响面。

第六，市卫健委不具备全局安全态势监控能力，安全监管不到位。

在现有安全架构下，作为全市医疗行业的网络安全监管单位，市卫健委却不能有效掌握全市医院的网络安全状况，发现各家医院的网络安全问题，也不能及时提醒和督促相应医院进行修复、加固和改进，制约了全市医疗机构安全水平的提升。

全市医疗统一安全运营中心

全天候“线上+线下”威胁处理闭环

二

针对该市医疗卫生系统面临的安全问题，市卫健委联手奇安信及奇安信某区域合作伙伴，共同对全市医院、区县医院、基层卫生院现有设备进行巡检摸查，成立专家组就现有问题进行梳理、分析，针对性提供了一套由“平台、人员、流程”组成的铁三角安全运营中心方案，为市医疗卫生系统提供完整的监测预警、威胁检测、溯源分析、响应处置的闭环式托管运营服务。

从实际部署上看：

在全市医院、区县医院，

将奇安信天观系统部署在各大医院的外网核心交换机侧，实时采集外网流量，并将各医院产生的告警日志全部上传到部署在市卫健委的“MDR安全托管平台”。

在基层卫生院，

通过在市卫健委与各级乡镇医院传输的医疗专线交换机侧接入奇安信天观系统，将从乡镇卫生院采集的告警日志也全部上传到市卫健委的“MDR安全托管平台”。

在全局方面，

市卫健委作为全市医疗机构统一的“安全运营中心”，部署的“MDR安全托管平台”实现对全市医院、区县医院、基层卫生院的告警信息采集、数据分析、安全事件管理和综合态势感知。

最终，

在全面感知威胁的基础上，市卫健委通过借助奇安信区域合作伙伴安全运营团队7*24小时的威胁监测服务及本地驻场运维服务，并结合统一的“安全运营中心”，建立“云地协同”的体系，形成“线上+线下”安全服务闭环。

实践效果四个“一”

实现全市医疗一体化安全防护

三

“哪些医院的业务系统薄弱，更容易受到网络攻击；哪些医院近期产生的安全告警多，其中失陷的告警有哪些；哪些医院发生的安全事件多，这些事件是否被有效处置，是否还留有安全隐患。”该市卫健委网络安全部门负责人介绍，项目实施之后，市卫健委实现对全市医疗卫生行业网络安全态势的全天候感知，安全事件的主动溯源、快速响应及有效预警。同时，也提供了辅助市卫健委制定下辖医疗机构安全管理策略所需的数据，从而更好地履行监管义务，提升了全市医疗卫生行业的网络安全防护水平。

对于该项目的具体实践效果，奇安信安全攻防产线负责人归纳了四方面。

一、全市医疗态势一张“网”

该市卫健委“安全运营中心”通过奇安信天观系统收集全市医院、区县医院、基层卫生院的网络数据，对全网安全事件与攻击做可视化展现，实现全市医疗机构安全监控“一张网”，安全态势展示“一张图”。安全运营人员在市卫健委通过一个“MDR安全托管平台”态势大屏就可以全天候实时查看所有下辖医院的网络安全态势，时刻做到安全“心中有数”。

二、全市医疗安全运营一盘“棋”

通过统一的“安全运营中心”，该市卫健委形成全市医疗单位安全运营一盘棋，可随时随地查看所有医疗单位安全风险处理闭环进度，进行服务监督，规范各医院安全行为。通过线上工单管理，让安全分析事件分析及处置流程化，让事件通报和处置更及时，从而提高全市区域医疗卫生智能化安全运营管理效能。

三、全市医疗威胁溯源一条“链”

市卫健委“安全运营中心”通过对全市医疗单位统一的威胁管控和态势感知，实现奇安信天观、IDS、防火墙等各类安全设备信息互通、联动响应，让原本碎片化的告警汇聚成一条“链”，实现数据共享，并与情报、脆弱性等信息相关联，可以还原完整的攻击路径，实现对安全事件的深度溯源和主动预警，从而与下辖医疗单位形成合力应对更加高级的威胁。

四、全市医疗网络资产一本“账”

在各医疗机构安全管理人员的配合下，该市卫健委安全人员通过奇安信天观系统对网络内资产进行全方位探测和识别，辅助建立资产与机构责任人关系管理“一本账”，让资产跟着人走，发现风险或安全事件后，能够找得到人、找得对人。同时，市卫健委“安全运营中心”对全网资产的安全状态进行关联分析，可有效把握整体网络安全态势，并进行安全决策分析。

后记

随着新兴技术与传统医疗系统的不断深化融合，我国医疗信息化程度越来越高，逐步向数字化、智慧化医疗演进，蓬勃发展的信息化也使医疗行业面临的安全风险逐渐增多。

根据IBM数据泄露年度报告显示，从去年三月至今年三月，全球医疗保健行业是网络攻击最大受害者。报告连续第13年显示医疗保健行业遭遇的数据泄露成本极高，平均每起攻击损失1100万美元。

从医疗卫生行业现有的安全防护体系来看，传统的安全防护设备已经无法发现和阻止更加高级的威胁。医疗卫生行业主管单位作为行业网络安全监管单位，应当加强下辖全部医疗卫生机构的网络安全管理，促进“互联网+医疗健康”安全发展。

从市卫健委到省卫健委，医疗卫生主管单位一体化“安全运营中心”的建设，可有效实现区域医疗行业安全监管与预警体系全覆盖，实现安全集约化管理，有助于提高全域医疗卫生信息化、智能化水平。