導(dǎo) 語

醫(yī)療數(shù)據(jù)如患者隱私信息、實(shí)驗(yàn)數(shù)據(jù)、病例樣本等都具有極高的價值，所以越來越多不法分子通過散播勒索病毒、加密服務(wù)器所有文件等方式中斷公共衛(wèi)生服務(wù)，并索取高額贖金，給醫(yī)療結(jié)構(gòu)造成不良影響以及經(jīng)濟(jì)損失。同時，醫(yī)療行業(yè)也是一個內(nèi)部威脅高于外部威脅的行業(yè)，其中既有醫(yī)護(hù)人員對患者隱私保護(hù)意識淡薄的原因，也包括部分可以接觸到整個數(shù)據(jù)庫的運(yùn)維人員因操作不慎或監(jiān)管不到位，造成敏感信息的泄露。

在此背景下，醫(yī)療機(jī)構(gòu)應(yīng)高度重視數(shù)據(jù)安全管理，通過健全管理機(jī)制，完善技術(shù)體系，形成貫穿全院的安全防護(hù)機(jī)制，為患者營造安全的就診環(huán)境。而零信任網(wǎng)絡(luò)的核心思想是“永不信任，持續(xù)驗(yàn)證”，以用戶身份認(rèn)證和資源授權(quán)取代了傳統(tǒng)內(nèi)外網(wǎng)隔離的邊界防護(hù)體系，能夠幫助廣大醫(yī)療機(jī)構(gòu)在“互聯(lián)網(wǎng)+健康醫(yī)療”新模式下，實(shí)現(xiàn)細(xì)粒度的訪問控制能力，同時也可以實(shí)現(xiàn)對隱私醫(yī)療數(shù)據(jù)的更好保護(hù)。

安全牛在近期開展的《現(xiàn)代企業(yè)零信任網(wǎng)絡(luò)建設(shè)應(yīng)用指南》報告研究過程中，對西部某大型綜合性醫(yī)院零信任網(wǎng)絡(luò)建設(shè)項(xiàng)目進(jìn)行了調(diào)研分析，并從用戶需求、方案設(shè)計(jì)、方案建設(shè)及運(yùn)營等維度，對項(xiàng)目實(shí)際建設(shè)經(jīng)驗(yàn)和特點(diǎn)進(jìn)行了研究總結(jié)。

本案例已收錄于《現(xiàn)代企業(yè)零信任網(wǎng)絡(luò)建設(shè)應(yīng)用指南》，項(xiàng)目由天融信建設(shè)實(shí)施，并提供案例研究支持。

項(xiàng)目背景

西部某醫(yī)院是一家大型綜合性醫(yī)院，隨著云、物聯(lián)網(wǎng)、5G技術(shù)的快速應(yīng)用，在遠(yuǎn)程醫(yī)療服務(wù)、數(shù)據(jù)管理和內(nèi)部溝通等等方面對信息技術(shù)的依賴日益增加，同時也引入了諸多安全風(fēng)險：

第一，醫(yī)務(wù)工作者通過互聯(lián)網(wǎng)對掛號、診斷、治療、購藥、健康管理以及內(nèi)部醫(yī)療信息系統(tǒng)等進(jìn)行多點(diǎn)執(zhí)業(yè)，越來越多的內(nèi)部系統(tǒng)面向互聯(lián)網(wǎng)開放共享，增加了業(yè)務(wù)系統(tǒng)的暴露面,加大了業(yè)務(wù)系統(tǒng)遭受攻擊的可能性；

第二，終端類型多樣化、訪問環(huán)境多樣化、人員復(fù)雜等導(dǎo)致終端管理的安全性和兼容性問題增多；

第三，工作人員在使用終端設(shè)備時，容易通過復(fù)制粘貼、分享或人為外發(fā)等方式進(jìn)行數(shù)據(jù)泄露；

第四，在遠(yuǎn)程醫(yī)療接入場景下，存在著身份認(rèn)證方式單一、賬號被盜用等諸多風(fēng)險。

在此背景下，該醫(yī)院決定采用零信任理念，構(gòu)建一個更加安全、高效的遠(yuǎn)程業(yè)務(wù)接入環(huán)境，建立更嚴(yán)密的安全防護(hù)體系來保護(hù)數(shù)字化醫(yī)療業(yè)務(wù)可靠運(yùn)行，提升醫(yī)療系統(tǒng)整體安全性和可靠性。

解決方案

針對該醫(yī)院現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中存在的應(yīng)用訪問控制和數(shù)據(jù)保護(hù)能力不足等問題，天融信創(chuàng)新設(shè)計(jì)了包含控制器、安全網(wǎng)關(guān)、客戶端三大核心組件的零信任網(wǎng)絡(luò)建設(shè)方案，從多域身份管理、細(xì)粒度權(quán)限管理、持續(xù)信任評估和動態(tài)訪問控制等多個維度，保障醫(yī)院的數(shù)據(jù)資產(chǎn)安全，確保醫(yī)院員工在遠(yuǎn)程辦公過程中的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性。方案架構(gòu)如下圖所示。

圖1 方案系統(tǒng)框圖

在方案的落地建設(shè)過程中，零信任控制器采用旁路方式部署在醫(yī)院總部，零信任網(wǎng)關(guān)采用串聯(lián)方式部署在各分支機(jī)構(gòu)，零信任客戶端安裝在訪問用戶業(yè)務(wù)系統(tǒng)的用戶終端上，從而有效兼容客戶終端的復(fù)雜環(huán)境和配置。

（1）零信任控制器系統(tǒng)

通過對接醫(yī)院現(xiàn)有的PKI、密碼等基礎(chǔ)設(shè)施，同時對接醫(yī)院內(nèi)部現(xiàn)有SOC、防病毒、縱深防御等信息系統(tǒng)，結(jié)合當(dāng)前信息系統(tǒng)已有的安全防護(hù)能力及分析能力實(shí)現(xiàn)對用戶訪問的持續(xù)信任評估和動態(tài)授權(quán)驗(yàn)證。

（2）零信任網(wǎng)關(guān)系統(tǒng)

為醫(yī)院的內(nèi)網(wǎng)辦公、遠(yuǎn)程接入、運(yùn)維管理和移動辦公提供一個安全、可靠、高效的訪問控制和數(shù)據(jù)保護(hù)。同時具備應(yīng)用級、功能級和API級訪問控制能力，可解決C/S架構(gòu)應(yīng)用和B/S架構(gòu)應(yīng)用的安全訪問問題

（3）終端側(cè)感知

通過零信任客戶端系統(tǒng)提供了身份認(rèn)證、數(shù)據(jù)引流和環(huán)境感知能力，實(shí)現(xiàn)用戶對應(yīng)用業(yè)務(wù)的安全訪問，為實(shí)現(xiàn)零信任的動態(tài)授權(quán)驗(yàn)證提供技術(shù)支撐。

該方案可提供內(nèi)部訪問、外部訪問等多業(yè)務(wù)場景的零信任防護(hù)。在外部訪問方面，公眾（遠(yuǎn)程問診、遠(yuǎn)程開約、互聯(lián)網(wǎng)持號）、醫(yī)院分支機(jī)構(gòu)、外部或內(nèi)部運(yùn)維人員通過信任評估后，方可訪問業(yè)務(wù)；在內(nèi)部訪問方面，為醫(yī)院各科室（麻醉科、兒科、呼吸科等)醫(yī)生的業(yè)務(wù)訪問提供基于零信任架構(gòu)的安全通道。同時，還幫助該醫(yī)院實(shí)現(xiàn)了醫(yī)療聯(lián)網(wǎng)資產(chǎn)全生命周期管控，自動發(fā)現(xiàn)醫(yī)院全網(wǎng)的醫(yī)療聯(lián)網(wǎng)資產(chǎn)并對其進(jìn)行準(zhǔn)入控制，實(shí)現(xiàn)接入前、中、后的全方位安全防護(hù)。

項(xiàng)目實(shí)施和運(yùn)營

項(xiàng)目實(shí)施前，項(xiàng)目團(tuán)隊(duì)與醫(yī)院IT部門合作，深入了解了醫(yī)院現(xiàn)有終端、網(wǎng)絡(luò)以及業(yè)務(wù)情況，通過需求分析、方案設(shè)計(jì)、系統(tǒng)部署、安全配置等環(huán)節(jié)量身打造一體化聯(lián)動管控解決方案。確定了將控制器作為全局控制單元，對聯(lián)動組件進(jìn)行集中管控，一方面對外部接入場景進(jìn)行安全接入防護(hù)，同時對醫(yī)院內(nèi)部業(yè)務(wù)訪問場景進(jìn)行安全接入管控，實(shí)現(xiàn)一體化聯(lián)動管理。

項(xiàng)目實(shí)施期間，項(xiàng)目團(tuán)隊(duì)充分考慮醫(yī)院業(yè)務(wù)特點(diǎn)、網(wǎng)絡(luò)架構(gòu)以及未來發(fā)展需求，分階段完成方案實(shí)施。在醫(yī)院內(nèi)部網(wǎng)絡(luò)及接入端部署零信任控制器、安全網(wǎng)關(guān)、客戶端等組件，并根據(jù)醫(yī)院的安全策略，配置訪問控制規(guī)則和安全策略，如通過SPA預(yù)認(rèn)證實(shí)現(xiàn)醫(yī)院業(yè)務(wù)“網(wǎng)絡(luò)隱身”、使用動態(tài)授權(quán)實(shí)現(xiàn)最小化權(quán)限管控、建立加密傳輸通道保障信息安全等，確保方案的有效落地。同時經(jīng)過多輪調(diào)優(yōu)測試，加強(qiáng)客戶端的安全性和穩(wěn)定性，確保在使用業(yè)務(wù)系統(tǒng)時更加流暢和安全的體驗(yàn)。

項(xiàng)目試運(yùn)行期間，項(xiàng)目團(tuán)隊(duì)聚焦于提升信任推斷的準(zhǔn)確性，通過不斷的數(shù)據(jù)分析、系統(tǒng)優(yōu)化及場景演練，確保整套零信任技術(shù)措施正常運(yùn)行，充分滿足醫(yī)院預(yù)期。同時對醫(yī)院員工進(jìn)行遠(yuǎn)程辦公安全意識培訓(xùn)，提高其對新系統(tǒng)的使用能力和安全防范意識，助力醫(yī)院網(wǎng)絡(luò)安全防護(hù)水平不斷提升。

案例特點(diǎn)分析

該方案價值主要包括以下幾個方面：

● 收斂暴露面實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)隱身：方案通過SPA預(yù)認(rèn)證的機(jī)制，實(shí)現(xiàn)醫(yī)院業(yè)務(wù)“網(wǎng)絡(luò)隱身”，隱藏關(guān)鍵業(yè)務(wù)、縮小暴露面，減少被攻擊的可能性，增強(qiáng)醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)的安全性。

● 通過動態(tài)授權(quán)實(shí)現(xiàn)最小化權(quán)限管控：通過零信任控制器，實(shí)現(xiàn)動態(tài)授權(quán)訪問應(yīng)用，并對內(nèi)外部用戶進(jìn)行精細(xì)化權(quán)限控制，杜絕越權(quán)訪問和特權(quán)訪問。

● 為企業(yè)提供了一體化聯(lián)動管控解決方案：方案中以控制器作為全局控制單元，對聯(lián)動組件進(jìn)行集中管控。不僅對外部接入場景進(jìn)行安全接入防護(hù)，還能夠?qū)︶t(yī)院內(nèi)部業(yè)務(wù)訪問場景進(jìn)行安全接入管控，實(shí)現(xiàn)一體化聯(lián)動管理。

● 實(shí)現(xiàn)醫(yī)療聯(lián)網(wǎng)資產(chǎn)全生命周期管控：該方案針對醫(yī)院醫(yī)療聯(lián)網(wǎng)資產(chǎn)，提供接入前、中、后的全方位安全防護(hù)，可自動發(fā)現(xiàn)醫(yī)院全網(wǎng)的醫(yī)療聯(lián)網(wǎng)資產(chǎn)并進(jìn)行準(zhǔn)入控制，實(shí)時探測醫(yī)院業(yè)務(wù)終端安全狀態(tài)，發(fā)現(xiàn)異常行為、異常狀態(tài)，可進(jìn)行告警或處置，嚴(yán)重時可進(jìn)行業(yè)務(wù)降權(quán)訪問或斷開網(wǎng)絡(luò)。

● 建立加密傳輸通道保障數(shù)據(jù)安全：在構(gòu)建零信任網(wǎng)絡(luò)解決方案同時構(gòu)建了一個更加安全、高效的遠(yuǎn)程業(yè)務(wù)接入環(huán)境，有效應(yīng)對遠(yuǎn)程辦公帶來的各種挑戰(zhàn)，為醫(yī)院的信息化建設(shè)和醫(yī)療服務(wù)提供強(qiáng)有力的支持。

案例點(diǎn)評

本案例較充分地結(jié)合了零信任安全技術(shù)和傳統(tǒng)網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn)，針對醫(yī)院提供了對內(nèi)訪問、對外訪問等多業(yè)務(wù)場景零信任防護(hù)，為新形勢下醫(yī)療行業(yè)用戶的數(shù)字化轉(zhuǎn)型，提供了切實(shí)可行的實(shí)踐方案。通過案例實(shí)踐也再次證明，零信任網(wǎng)絡(luò)安全架構(gòu)能夠幫助醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境變得更加開放、安全、高效，讓所有訪問都做到可知可控，避免過度信任下主機(jī)被攻陷導(dǎo)致整個網(wǎng)絡(luò)環(huán)境崩潰。

（來源 ：安全牛）