360专家受邀医疗信息安全闭门会，分享疫情常态下如何建立实战体系

5月17日，中国卫生信息与健康医疗大数据学会应用评估和保障专业委员会邀请各界专家分享疫情对医学人工智能发展的影响，共同探讨中国医学人工智能健康发展。360企业安全集团行业专家宫志明受邀参与闭门会议，带来《新常态医疗信息化网络安全思考》主题分享。



“新常态”为医疗卫生行业带来了机遇，但更多的是挑战，医疗行业网络安全新常态应该以新冠肺炎为起始标志。



新冠肺炎疫情不仅影响了人类健康和医学发展，更是对国家的治理体系和治理能力进行了一次全盘考验，其中网络安全是非常重要的环节，守住网络安全的防线，对于全面战胜新冠肺炎有着至关重要的作用。



01
合规建设是冰山一角
建立实战体系是重中之重


根据西方国家一个网络安全风险排名显示，中国恶意传染率在国际上位列前茅，而中国的防控状态属于中等偏下。其根本原因在于，中国是世界上攻击的热点目标，同时我国本身的防护水平偏低。

/西方国家统计全球网络安全风险排名/

360企业安全集团行业专家宫志明表示，对疫情期间发生的网络安全事件加以分析，可以发现新常态下的网络攻击以信息窃取和经济获得为主要目标，中断业务越来越少，越来越难以感知，安全防护成为了社会工程。

由于疫情是热点话题，一时间各类谣言真假难辨。黑客、黑产将各种病毒、远程控制文件包装为文件或者网页，利用热点话题和人的好奇心，通过伪造的电子邮件发件人遍地撒网，中招者无数。

与此同时，APT组织在疫情期间将我国各级医疗相关机构打得焦头烂额、疲惫不堪，其关注重点是我国疫情病毒相关数据、人类DNA信息和血液信息，以及人口数据。根据人口数据就可以推测出这次疫情对我国真实的经济影响到底有多大。

此外，疫情期间面向公众的电信诈骗猖獗，不法分子利用隐私泄露数据进行精准诈骗，如利用口罩诈骗现金流，利用因疫情大面积取消的火车、航班等各类退费信息进行诈骗。

/中美在信息技术基础设施对比/

究其根本，我国网络安全水平低下的原因在于网络安全的信息化基础设施不独立自主。

具体而言，美国国防部有包括服务器、操作系统以及一些网络核心设备、数据库在内的“八大金刚”，可为美国国防部提供相关技术支撑，甚至是以系统级、内核级后门存在，而这些偏偏是我国所倚重的。

我国大部分IT企业都还是停留在信息技术基础设施上方的应用层面，严重缺失在内核级、芯片级的底层设计。中美在信息技术基础设施上的差异，必然导致对核心技术掌握与网络攻防主被动的差异。

当下的网络安全新常态已经是敌已在我、不宣而战，黑客已经处于渗透潜伏的状态，并且越来越多的黑客都是国家级力量，攻击的对象主要是关键基础设施。

今年提出的“新基建”就属于关键基础设施，其中包含了卫生医疗行业。因此，卫生医疗行业面对的威胁对象更多是国家力量，不再是“脚本小子”、漏洞扫描这种初级攻击。

通过关键基础设施的对比以及国家级攻防演练可以发现，我国过去常态化的安全以合规建设为主。事实上，合规建设在真正的攻防视角下仅仅是冰山的一角。

在对抗体系下，如何能够发现潜伏的事件，发现潜伏之后实施有效的能力对抗，如何对发现的事件进行实时响应，建立实战体系才是我们未来应该重点关注的。

02
医疗机构和监管层
需联手应对网络安全新常态


基于以上网络安全新常态，“医疗机构和监管层应该在合规基础上加强基础设施建设，监管层则需强化对医疗行业信息准入的控制与评价”，宫志明表示。

/安全能力滑尺模型/

医疗机构可采用安全能力滑尺模型作为安全建设的目标定位，最基本的是安全架构；基于等保要求采用相关安全产品时就可以达到第二层级被动防御；然而新常态下的安全建设目标应该是积极防御，也就是第三层级，是指通过数据分析中台把不同厂商的安全数据在能力中台上进行综合会聚、积极分析的能力；监管层面要输出的能力是安全情报，之所以没有把安全防御放到医疗机构，是因为真正有意义的行业情报必须基于大量安全数据；最后一个层级是自动反制能力，当前只有国家能够实现攻击情况下的自动反制。

从安全建设的管理角度来讲，理念也需要改变。传统安全做的是运维，是建立一个安全管理中心，靠人员、岗位职责和流程等建立安全管理制度。

而在攻击视角下，安全运维要向安全运营转变。运营是基于中台的大数据能力，可以实现安全威胁的统一呈现，对威胁进行有效感知，对攻击行为乃至攻击用户进行溯源画像。

03
安全赋能实现联动共建医疗大安全生态

随后，宫志明逐一介绍了医疗行业三大场景的网络安全建设逻辑。

场景一：区域的公共卫生平台


1
打通资产管理、漏洞管理、防火墙边界攻击流量三个数据源，才能知道边界攻击是否达到了攻击资产，以及是否利用了已经掌握的资产漏洞威胁情况，真正有效降低传统威胁的误报率。

2
针对实时平台、虚拟化平台、动态平台搭建安全架构。部分云管平台云安全资源池能力不足，要通过异构、安全云方式来补充云管平台的安全能力。

3
通过企业版浏览器在本地沙箱模式下运营实现终端数据保护。关闭浏览器后，所有访问数据在本地沙箱中被抹除，企业版浏览器可以使用统一的管理平台，对浏览器的行为、用户的权限、访问进行统一控制，并且不受并发用户限制，这是一种轻量级的数据保护方案。


场景二：互联网医疗


互联网医疗有个额外的特征是基于App的应用，需要医疗机构、卫健委在准入阶段进行测评甚至准入门槛，在App小程序运营阶段能够进行行业监测。

远程医疗网站：

1
面向互联网的，要能够进行事件监测、通报管理监测、监测报表资产管理。

2
网站本地内网也要能够对业务访问全过程及各种对象进行防护。


场景三：卫健委监管与行业情报建设


我国已经通过法律进行了网络安全顶层设计，各医疗机构是监管的具体落实单位，卫健委在中间应起到行业监管的作用，包括为行业提供公共服务，对行业进行监管以及进行行业情报建设，具体包括以下三方面：

1
行业监管层首先需要发布行业指导标准，同时要能够有行政强制的措施，保证相关标准能够在行业进行应用。

2
一般采用应用备案的流程，对行业准入相关设备进行监管测评。

3
建立行业测评能力平台，通过远程医疗App和智能医疗设备App进行管理。基于前端App，通过协议对App云平台到IoT设备自身进行纵深监管。这里就需要基于设备的全生命周期和App生命周期能力去进行建设。


医疗网络安全建设工作看似很庞大，实则是有内在逻辑的，第一是打通各种平台数据；第二是要有不同的工作载体、数据输入；第三第四是核心知识源，这里叫智能大脑；第五是赋能到终端。

这类系统一般需要一个完整的生态群，需要各类厂商去协同完成，共建生态。

在这个生态里有一个安全赋能的逻辑，所有的能力都在社会上的安全专家手里，可以对传统安全产品和服务的不足加以赋能，最终将会以知识库形式落实到相关基础设施上，以此实现对威胁的感知和迅速的联动。



来源  360企业安全