安全建設實踐案例四連發（四）丨5G背景下，醫療機構應如何開展資訊化建設？

新時期下，我國數字化轉型步伐加快，醫療行業資訊化建設正步入整體智慧、持續演進的發展快車道。“全感知”、“全聯接”、“全智慧”，將成為未來智慧醫院的主要建設方向，特別是隨著以5G為代表的新技術引入，正在為醫療行業帶來日新月異的變化。醫療行業在快速發展的同時，來自網路安全的挑戰也愈發明顯。

1. 海量、多樣化的醫療終端，帶來多樣、差異化的安全需求。

隨著5G及邊緣計算MEC新技術在醫療行業的引入，網路與應用系統安全環境更加複雜。同時，全新診療方式帶來的多樣化醫療終端，對網路環境與安全需求有著多樣的需求，繁簡不一。

2. 不同的終端連線，存在潛在的安全隱患。

5G技術帶來的不再是簡單的人與人之間的連線，更多的是人與物、物與物的連線。如何確保合適的人/終端在合適的時間地點進行規範使用，是急需解決的安全問題。

3. 不同裝置與終端的資料傳輸，存在被竊取、篡改、銷燬等安全風險。

隨著醫院資訊化發展程式加快以及5G的廣泛應用，系統與系統之間、檢測裝置與系統之間、系統與終端之間，以及醫院與合作機構之間存在大量的資料傳輸互動。不安全的資料傳輸極易導致傳輸資料被竊取、篡改、銷燬等，存在極大的安全風險。

當醫療行業資訊化向我們大跨步走來時，我們發現傳統的安全防護思路已經無法適配5G物聯網應用場景的安全需求。綠盟科技透過對醫療行業業務場景的深入分析，認為醫療行業資訊保安建設工作應圍繞“三個轉變”展開，即“從被動防禦向主動感知轉變”、“從靜態防護向動態可信訪問控制轉變”、“從單點防禦向體系化協同防禦轉變”。

1. 從被動防禦向主動感知轉變

5G應用帶來大量新型智慧終端，這些終端呈多樣化形態，使安全接入問題更加突出。一方面加劇了醫療機構對終端管理的複雜性，另一方面隨著帶有安全漏洞移動終端的接入，醫療機構更容易被惡意攻擊者利用，且攻擊更具有隱蔽性。對於海量終端帶來的安全隱患，必須建立主動感知能力。

2. 從靜態防護向動態可信訪問控制轉變

醫院屬於半開放式場所，對於不同身份的人員及終端管理難度較大；MEC邊緣計算技術為醫療服務帶來創新模式的同時，也促使邊緣APP透過API呼叫基礎能力產生新的安全問題。依靠基於IP地址、固定位置的傳統ACL方式難以有效管理訪問許可權、控制合理授權訪問行為。可以透過構建信任訪問模型，進行風險匯聚、持續信任評估、分析決策和聯動響應，對海量異構終端進行可信接入、合法訪問以及API合理呼叫過程中的多環節信任驗證，實現動態可信的訪問控制。 

3. 從單點防禦向體系化協同防禦轉變

傳統的逐點防護模式讓安全裝置難以具備全域性感知和協同能力，容易成為資訊孤島，安全策略也難以隨安全態勢的變化做出有效調整，甚至相互矛盾。面對資訊保安新挑戰，醫療機構必須具備全域性視角，依靠體系化協同才能獲得網路攻防對抗優勢。

針對以上問題，綠盟科技建議醫療機構應從接入安全、MEC安全、雲平臺安全和統一安全運營四個方面，打造自身網路安全。

1. 接入安全

針對接入安全存在的未知安全風險，應採用分層決策模式進行詳細架構設計。零信任分析和控制平臺作為總分析決策點管理整個零信任體系，統一身份認證平臺、終端安全管理平臺可以基於已有策略及收集的風險資料做出就近決策。同時也可以接收零信任分析和控制平臺的決策資訊進行動態策略調整。

2. MEC邊緣安全

安全域隔離

根據網元屬性劃分不同的安全域，如核心網域、基礎服務域、第三方應用域等。透過劃分不同的VLAN或部署防火牆，實現隔離和訪問控制。

MEC平臺API防護

依託API閘道器能力，實現對MEP平臺本身的微服務進行保護，兼顧業務可用性與安全性。實現先認證授權再連線，支援裝置之間的認證，可將醫療機構暴露的API介面全面隱藏。介面呼叫過程中配合細粒度流控及內容安全檢查，保障業務資料安全性。

MEC主機安全

利用終端安全管理平臺，實現基於Gartner自適應安全理念的主機安全防護。實現對軟硬體配置、執行配置和狀態、策略配置、安全漏洞、資源佔用等內容的檢查評估；實現基於主機微隔離、主機加固、准入控制、策略配置的安全防護；實現基於日誌採集、攻擊識別、行為監控、威脅誘捕、脆弱性風險監控、軟硬體環境變更監控的威脅檢測；實現基於告警處置、溯源取證、配置恢復、策略響應的威脅響應。

容器安全

透過容器安全管理系統，實現針對容器安全引擎所管理的安全資源的全景概覽，全景檢視容器關係，對安全風險一目瞭然；提供主機、容器映象的掃描能力；對映象檔案進行分層解析，並可掃描映象敏感資訊，實現安全風險掃描；提供合規性檢查能力；基於機器學習配置容器自學習策略，對映象倉庫中的映象建立學習週期，檢測執行時的狀態，包括異常程式，病毒木馬等，提供容器執行檢測告警；提供歷史命令審計功能；提供微服務API和安全掃描功能。

3. 雲平臺安全

在雲端計算環境下，計算、儲存、網路都變成一個大的資源池，可根據使用者需要對外提供服務能力。基於此，綠盟科技將安全變成一個資源池，利用池化能力，為醫療行業使用者提供安全服務。在雲中心出口部署一個安全資源池，處理需要防護和檢測的流量，這些流量進入安全資源池並對其進行如抗拒絕服務攻擊、訪問控制和Web防護等處理。

4. 統一安全運營平臺

以安全運營為核心，圍繞監測、研判、處置三個關鍵環節，構建安全運營支撐平臺體系。統一安全運營平臺為安全應用環境提供集中安全管理功能，是安全應用系統安全策略部署和控制的中心，對安全策略和安全計算環境、安全區域邊界和安全通訊網路上的安全機制實施統一管理。同時，安全運營中心以大資料框架為基礎，結合威脅情報系統，透過對攻防場景模型的大資料分析，協助雲服務商建立和完善對網際網路醫院網路的安全態勢監控、安全威脅實時預警、安全事故緊急響應的能力。透過自適應的體系架構，結合情境上下文分析，協助安全專家快速發現和分析安全問題，依靠實際運維手段，實現安全閉環管理。

方案優勢

綠盟科技從5G+醫療實際業務需求出發，以新技術、新業務和新場景的體系化建設為指引，構建“全場景、可信任、實戰化”的安全運營能力，從而實現“全面防護、智慧分析、自動響應”的防護效果。

在全場景方面，面向5G+醫療的數字化應用場景，針對全部安全要素，提供全方位的安全能力。在可信任方面，有效支撐醫療行業使用者構建可信任的能力、可信任的訪問和可信任的供應鏈。在實戰化方面，以實戰化安全運營為目標，為客戶構建按需排程能力，以及高效持續性安全運營體系。