企業動態

2017年4月，國務院辦公廳印發《關於推進醫療聯合體建設和發展的指導意見》，全面啓動多種形式的醫療聯合體建設試點，從此開始，全國各省掀起了一場醫聯體建設的浪潮。

“通過醫聯體建設，深圳市二院的醫療能力已經完成了向區級醫院的下沉，但接下來的任務是推動安全能力的下沉，否則一旦區級醫院被突破，整個集團內網的重要系統和數據，也會暴露在攻擊者面前，後果不堪設想。”深圳市第二人民醫院（簡稱深圳二院）信息科科長熊文舉表示。

圖：深圳市第二人民醫院（深圳大學第一附屬醫院）

深圳二院，是深圳市綜合實力排名前三的大型醫院。2017年6月，深圳二院牽頭組建深圳市大鵬新區醫療健康集團（簡稱：大鵬新區醫療集團），對大鵬新區3家區級醫院及所轄21家社區健康服務機構進行一體化管理，推進“以人為本”的市、區一體化醫療衞生服務體系建設。2020年，深圳二院通過部署奇安信天眼（新一代安全感知系統），為大鵬醫療集團以及旗下的3家區級醫院，實現了醫聯體信息化安全威脅檢測、主動防禦和全局安全態勢可視一體化，樹立了深圳集團化、醫聯體改革的樣板工程。

醫療能力加速下沉 安全風險隨之而來

2017年9月1日，國家衞生計生委、國務院醫改辦在廣東省深圳市召開全國醫聯體建設現場推進會，深圳的改革經驗被充分肯定。

“病有良醫”，是民生幸福的基礎。近年來，深圳以改革創新為動力，着力推進以基層醫療集團為主要形式的緊密型醫聯體建設，引導醫療衞生工作重心下移、資源下沉。2017年，作為深圳市首個市區合作的緊密醫聯體，大鵬新區醫療集團正式成立。目前，集團建立了“社康機構-區級醫院-市級醫院”上下通暢的三級診療服務體系引導優質醫療資源下沉基層，讓大鵬轄區居民足不出户即可享受市區三甲醫院同質的醫療服務，並創下了全科診療服務公眾滿意度位居全市第一的口碑。

在醫療能力下沉的同時，大鵬新區醫療集團的網絡安全問題也凸顯出來。熊科長回憶在項目實施前，安全挑戰主要在幾個方面。

首先是地理分散，距離較遠，統一管理防護的難度高。“深圳二院位於福田區，而其他3家區級醫院都在數十公里之外。要進行統一安全管理和維護，都是很大的挑戰。”

其次是分支機構的網絡安全建設基礎非常薄弱。“當時有一些區級醫院僅安裝了簡單的防火牆等邊界設備，屬於被動防禦的措施，而且缺乏專業的人員進行配置和維護，在新型攻擊面前很容易被穿透。”

同時，從市二院到各個區級醫院，過去部署的網絡設備和系統，基本都是各自獨立的，形成了一個個安全孤島。對於一些複雜的攻擊行為，依靠單一的安全設備往往不是難以發現問題，就是產生過多誤報。

第三是缺乏對未知及高級威脅攻擊的主動發現與防禦能力。未知威脅及高級持續性威脅（APT攻擊）是近年來非常猖獗的攻擊行為，根據奇安信威脅情報中心《2020年全球高級持續威脅(APT)年度報告》顯示，2020年，醫療衞生行業首次超過政府、金融、國防、能源、電信等領域，成為全球APT活動關注的首要目標，全球23.7%的APT活動事件與醫療衞生行業相關。

熊科長認為，APT的目的性非常強，攻擊目標明確，持續時間長，不達目的不罷休，對醫院威脅很大。目前，主流的安全技術手段大多是利用已知攻擊的特徵對行為數據進行簡單的模式匹配，只關注單次行為的識別和判斷，並沒有對長期的攻擊行為鏈進行有效分析。

最後是不具備全局的安全態勢監控和威脅追蹤溯源能力。在上線天眼之前，從整個醫療集團到各機構部署的各類安全設備，會產生海量的日誌，消耗大量存儲和性能資源。但攻擊發生之後，是誰攻進來過？做過哪些破壞？什麼數據被拿走了？由於證據鏈不夠全面，缺乏網絡日誌端回溯手段，無法跟蹤溯源，能發現問題但無法定位問題。

遵循“合規、全面、有效”三項原則

基於深圳二院醫療信息化系統的現狀，以及大鵬新區醫療集團下轄其他醫院的整體情況，集團在網絡安全規劃方面，遵循合規性、全面性、有效性三管齊下的原則。

“合規是基礎要求，也是我們首要考慮的。”深圳二院信息科副科長潘軍傑談到。在合規性方面，深圳二院安全運營監管平台既是網絡信息安全運營監管平台的基礎，同時也是國家網絡空間安全的組成部分，需嚴格符合國家關於網絡與關鍵信息基礎設施、雲計算、大數據、等保2.0相關的安全政策標準、法令法規和指導文件的要求，在合規的基礎上考慮整體安全保障方案設計，尤其符合國家《網絡安全法》的要求。

圖 ：實戰化防禦指揮平台指揮作戰大屏

在全面性方面，深圳二院兼顧集團的分支醫院，將安全作為一個整體全面解決問題，繼而構建完整的網絡威脅態勢感知系統。這與以往遇到安全問題後“頭疼醫頭、腳疼醫腳”的“創可貼”式，面向單一風險點、零散的、碎片化的安全產品疊加式的安全建設有本質不同。安全體系建設更強調規劃思路，建設方案應堅持以面向問題、整體設計、支撐運營為原則，系統性解決各類安全威脅與安全問題，實現安全體系的可持續發展與迭代創新。

在有效性方面，深圳二院強調了安全運營監管的重要性。潘科長認為，安全運營監管是深圳二院實現一體化安全保障，有效解決安全問題的重要基礎，在方案設計過程中需重點突出實戰能力與保障能力，以動態安全保障中的感知發現、分析研判、響應處置、追蹤調查、追蹤溯源為核心，構建完整有效的一體化安全保障能力體系。

潘科長舉了一個例子，“傳統的安全防禦體系就如同一個硬殼軟糖，將安全性全部寄託於硬殼之上，一旦硬殼被砸碎，那麼內部毫無二次抵禦攻擊的能力，而事實證明，天下不存在無堅不摧的管道硬殼。”因此，網絡安全需要變被動為主動，只有快速追蹤溯源，清晰掌握攻擊過程全貌，才能迅速採取動作，遏制攻擊擴散，實現積極防禦。

構建1+N的威脅感知系統 為集團實現“一體化”防護

2020年，深圳二院立足規劃的全局性和前瞻性，啓動威脅感知系統的建設。奇安信提供的產品及解決方案更符合醫院和集團的需求，雙方達成了合作。

圖 ：深圳二院天眼系統整體建設方案

在具體實施方面，深圳二院按照循序漸進的原則推進整體方案建設。第一步，深圳二院基於分佈式大數據架構，將天眼的流量傳感器作為數據採集的原點，收集出深圳二院（內科樓、外科樓）、大鵬婦幼保健院、南澳人民醫院、葵涌人民醫院、大鵬醫療集團全網所有的流量數據，並利用數據標準架構來進行清洗、存儲和計算分析，實現一體化的流量數據採集。

圖:天眼威脅感知系統

第二步，深圳二院將整個集團的數據歸總在統一的展示層面，構建出“網絡威脅感知系統”，即安全運營監管中心（威脅分析平台），從而對深圳二院的外、內科樓，以及大鵬醫院集團內外網，下屬區級醫院等的醫療信息化系統，實現一體化運營和監管，實現安全的態勢感知、安全分析、安全評估、安全運營等大數據安全監管能力。

最後，整個大鵬新區醫療集團利用雲端的安全大數據決策體系，提供威脅情報、失陷主機檢測等各類 SaaS 安全服務，為本地的安全體系賦能，實現真正意義上的“雲地協同、數據協同”的一體化效果。

圖：天眼“儀表板”界面

“在運行過程中，天眼在高級威脅檢測、回溯分析、威脅情報等方面的能力，讓我們印象深刻。”潘科長表示。同時，天眼還具備強大的協同聯動能力，通過終端EDR聯動、防火牆NDR聯動與自動化編排處置，幫助用户快速定位感染主機和惡意軟件，並及時的阻斷威脅，提升網絡攻擊的響應和處置能力。

圖：天眼的威脅感知家族體系

“以往網絡安全和業務運營經常相互獨立、缺乏協同，但基於天眼構建的網絡威脅感知系統，最重要的就是將網絡安全和業務運營緊密地融合到了一起。” 潘科長總結道。

網絡安全建設成果屢獲肯定 安全運營是未來重點

從實踐效果來看，大鵬新區醫療集團的信息化和網絡安全建設成果，獲得了各大主管機構的肯定。“去年集團過了電子病歷六級測評，今年正在通過互聯互通評測，目前這些指標在全國一千多家三甲醫院中名列前茅。而在信息化水平佔據相當比重的國家衞健委三級公立醫院績效考核中，深圳第二醫院連續兩年全國前列、深圳市排名第一。”

在談及醫院未來的網絡安全建設規劃時，潘科長着重強調了安全運營的重要性，“部署網絡安全設備只是打好基礎，安全運營才是網絡安全工作最為關鍵的一步。”據悉，未來醫院及集團分支醫院還將納入天眼大家族中更多的產品成員，並將數據、技術、人員和流程等有效結合起來，形成面向實戰的安全運營體系，為集團數字化轉型保駕護航。