企業動態

“如果沒有清晰的數字指標，我始終對集團整體的終端安全狀況是模糊的。不知道脆弱點有多少，安全風險是增加了還是降低了。” 深圳市南山區醫療集團總部智慧健康部徐部長談到。“尤其是社區健康中心比醫院系統更加開放，攻擊面更廣，安全運營的挑戰更為嚴峻。”

圖：深圳南山區醫療集團

中央在支持深圳建設先行示範區的《意見》中明確指出，深圳要打造民生幸福標杆，其中就包括“病有良醫”。在深圳南山區委區政府的強力推動下，南山區醫療集團着力打造“病有良醫”和“重基層、強社康”的醫改標杆。

自2020年伊始，南山區醫療集團從終端開始強化網絡安全建設，通過部署奇安信天擎終端安全管理系統，解決了社區健康中心終端在開放網絡環境下面臨的安全問題，通過奇安信終端安全運營平台的關聯分析與全面展示，為常態化、數字化的終端安全運營奠定了堅實的基礎。

“1+C+N”模式樹立醫改標杆，也帶來更復雜的安全挑戰

“南山醫改是大手筆，經驗值得推廣。”

2020年10月，南山區醫療集團作為廣東省唯一代表，在國家衞健委召開的全國分級診療制度和醫聯體建設工作推進大會上，向全國分享了醫改先進經驗，獲得了國家衞健委領導的高度評價。

近年來，作為深圳市南山區委衞生工委領導，由深圳市南山區衞生健康局舉辦的事業單位，南山區醫療集團抓住醫改機遇，在基層醫改道路上不斷探索，體制機制上實現創新，並首創“1+C+N”醫療集團整合模式。

其中“1”為南山區醫療集團總部；“C”為集團成員單位；“N”為轄區其他高水平醫療機構。集團各社康中心定位於“基層”，組成醫院定位於“高地”，區醫療集團作為連接“基層”與“高地”之“彩虹”，科學規劃和佈局區域醫療資源配置，建立引導公立醫院主動下沉資源與社康中心分工協作機制，打造現代化智能化高水平醫療集團。

“1+C+N”模式為社區健康中心打造了很好的標杆典範，推動了醫療資源的下沉，但同時也給網絡安全帶來了空前挑戰。

首先是地域分散，管理維護難度高。社區健康中心或處於城市核心區，或處於偏遠地區，交通非常不便。“以前的醫院信息化平台，因為設備比較集中，打補丁相對容易。但社區健康中心非常分散，打補丁是一個非常困難的事情。”深圳市南山區醫療集團總部智慧健康部徐部長表示，“舉個例子來説，南山醫療下轄的某一個社區健康中心，位於一個海島上，只有2-3個醫生值班。如果IT或者安全人員為它打一次補丁，僅申請上船就需要1天，往返更需要2-3天。”

其次是內外邊界模糊，攻擊面廣。“我們和醫院信息化最大的不同在於，醫院的內網是封閉的，而社區健康中心的網絡是開放的，這就意味着我們要承受更廣攻擊面。” 徐部長談到。“我們的業務系統全部支持內外雙線訪問，所有的終端既要訪問外網即公共互聯網，又需要訪問內網，如醫院信息管理系統（HIS）、商貿系統等等。而且接入網絡方式包括了VPN、專線、光纖接入等等各種類型，很難界定清晰的內外邊界。”

第三是終端情況非常複雜。社區健康中心業務分散，終端安全防護難度更大。並且在“1+C+N”的N個成員單位中，大多數社康中心是後期整合進來的，也有部分單位為新建。“這些成員單位的信息化水平參差不齊，設備型號不一，有些業務系統很老，打印機程序甚至是10年前的系統。由於終端情況非常複雜，很難對它們進行統一的管理和系統的安全防護。”

總體來看，南山醫療集團作為社區健康中心，同樣具有HIS(醫院信息系統)、PACS(醫學影像系統)、LIS(醫院檢驗系統)、 CIS (臨牀信息系統)、GMIS (局域醫療衞生服務體系)等業務平台，在信息化水平和複雜度上，不亞於傳統醫院。由於全面向外部公網開放，網絡安全面臨的風險方面比醫院有過之而無不及，建立下沉到各個末梢環節的終端安全運行體系勢在必行。

集中管理全網終端 打造“指揮中心”讓終端安全可視、可管、可控

在網絡安全建設方面，南山醫療集團信息中心確立了“三步走”的原則：第一步是構建可視化的終端安全管理，實現全局管控；第二步是實施零信任解決方案，縮小暴露面；第三步是實現“人+工具+數據”的實戰化安全運營能力。

2020年初，南山醫療集團信息中心啓動了體系化網絡安全建設的第一步：採用奇安信天擎終端安全管理系統（簡稱天擎），構建“體系化防禦、數字化運營”能力，實現對全區所有終端的一體化安全管理，大幅降低終端安全管理複雜度，並通過預防、防護、檢測、響應的閉環防禦能力，有效防禦各種已知、未知安全威脅；同時採用奇安信終端安全運營平台（簡稱：安運平台），依託奇安信豐富的威脅情報和奇安信天擎的終端安全數據，對終端安全態勢進行深入的關聯分析和清晰的效果呈現，並通過指標化的運營方法和完整的威脅軌跡分析不斷優化調整安全策略，確保終端安全能力持續有效。

通過奇安信天擎和安運平台的實施，南山醫療集團在終端安全方面取得了以下階段性成果。

首先是讓整個終端安全變得數字化、可量化。如果沒有清晰的目標和明確的衡量方法，終端安全管理很難真正做到位。通過奇安信天擎和安運平台，南山醫療集團可以實時掌握全網終端的安全指標，包括安裝率、正常率、實名率、基線合規率、病毒掃描執行率、病毒處置成功率、病毒風險終端比率、漏洞風險終端比率等，並基於這些可量化的指標與整體終端安全目標的偏離程度，及時調整安全策略，實現切實有效的終端安全運營。

圖：終端安全運營概況

其次是讓漏洞補丁管理變得簡單、高效。漏洞是萬惡之源，是病毒和攻擊的最佳載體，但補丁又不能隨便打，也很難及時將其安裝到位，所以對於醫療行業的安全管理人員來説，漏洞補丁管理一直是複雜繁瑣、讓人頭痛的事情。通過奇安信天擎和安運平台，南山醫療集團能夠第一時間掌握全網終端的漏洞分佈情況，並基於安全策略和處置優先級，給終端及時打上經過奇安信安全團隊測試的最新補丁，還可以通過自動化編排技術實現補丁的多次分批安裝，有效控制補丁兼容性問題可能給終端帶來的運行風險。

圖：終端安全畫像

第三是讓病毒防禦變得有效、閉環。新威脅採用的攻擊手段、推出的數量和質量正不斷升級，如果缺乏有效的防禦手段，它們必將造成更大範圍、更長時間的破壞。通過奇安信天擎和安運平台，南山醫療集團實現了對病毒攻擊的閉環防禦，即預防、防護、檢測、響應，在有效防禦各種已知未知病毒攻擊的同時，還能清晰掌握全網終端的病毒防禦態勢，包括病毒仍感染次數、感染次數、中毒終端分佈、仍感染終端比率排行、查殺趨勢等，甚至追溯展示病毒在內網的感染歷史與趨勢。
“多種天擎數據源支持是安運平台的重要優勢。”徐部長談到：“它從十四大維度全面揭示終端安全威脅情況，讓我們真正構建了終端安全的‘指揮中心’。”

未發生大型攻擊事件 零信任和安全運營將成未來目標

得益於天擎強大的防病毒、漏洞和補丁管理等能力，自項目實施以來，深圳南山醫療未出現大型病毒入侵、數據泄露、系統被攻擊等事件，有效保障了各個業務系統的穩定運行。

下一步，南山醫療計劃採用目前全球領先的零信任安全建設方案，遵循“先驗證後連接”的零信任理念，基於最小權限原則，對合法的用户和終端開放訪問權限，極大縮小安全風險的暴露面和攻擊面，顯著提高黑客攻擊門檻，最大限度的解決接入、訪問、數據的安全問題。

對於未來，深圳南山醫療計劃與安全公司合作，安排專業的安全人員駐場運營全區醫療信息化的安全、提供規劃建議、做實戰化的攻防和滲透，提高南山醫療集團信息化在極端情況下的實戰防守能力，預計2021年年底完成。通過這些規劃和建設，最終實現安全狀態通過專業工具可視化，安全建設專人運營，安全問題專家處理，達到檢查不被通報、日常不被攻擊的效果，保障南山區醫療信息化系統長期、穩定運行。

奇安信天擎終端安全管理系統是中國政企5000萬終端的信賴之選，通過“體系化防禦、數字化運營”方法，幫助政企客户準確識別、保護和監管終端，並確保這些終端在任何時候都能可信、安全、合規地訪問數據和業務，真正構建持續有效的終端安全能力。