醫療資訊化建設實踐丨零信任夯實醫療機構網路安全保障體系
全球數字化轉型以及雲、大、物、移技術發展,正加速醫療機構的IT環境與網路邊界的多元化變革。傳統以安全域劃分、邊界防護的安全體系面臨失效。在此背景下,多系統、多賬戶、多接入方式,跨域部署等在資訊化管理層面帶來了管理效率下降及成本增加等問題,尤其面對日益嚴峻的內、外部威脅,醫療結構面臨安全性無法有效保障的挑戰。
在此新形勢下,為了有效應對改變,醫療機構必須不斷地分析和評估其內部資產與業務功能的風險,並制定防護措施。這些控制措施既要確保可信訪問的通達,又需要提供對網路攻擊的有效防禦。但醫療機構在建立資訊化時,也常常遇到如下方面的問題。
01
賬號和許可權管理成本高且存在安全隱患
醫療機構常常擁有紛繁複雜的業務系統,且分佈在不同的網路環境中。管理員面對不同崗位的入離調轉,需要在各個業務系統中去管理更新賬號狀態,完全靠手工,維護成本高,效率低。眾多系統的訪問許可權和運維許可權也無法集中管理,這就容易導致許可權管理混亂。臨時人員或者離職人員的賬號、許可權如果不能及時回收,也會留下非常大的安全隱患。
02
認證混亂無法集中管理
醫療機構中,各個業務系統由於建設時期和廠商不同,對安全性考量也參差不齊。系統間認證各自獨立,無法有效集中管理,弱口令屢禁不止,身份盜用、仿冒無法識別。不同部門的普通員工、運維人員、第三方人員,訪問時間、訪問方式、網路等各異,採用一種認證方式也無法適應不同場景下對不同認證強度的要求。
03
跨多系統無統一入口多次認證體驗差
醫療機構各個業務系統,部分直接對映到公網,部分遠端訪問時透過VPN,需提前對外開發埠,一旦VPN撥入內網,系統無異於直接暴露,因此整體暴露面大,安全風險高。醫務人員業務訪問無統一入口,運維管理人員也需要在多個管理域中切換,當資訊管理員同時具備業務訪問和運維許可權時,更是需要在業務訪問和管理域入口來回切換,需要多次認證,體驗差而且導致工作效率低下。
04
無法集中審計和展示
醫務人員的業務訪問,以及多個管理域的運維操作,無法集中審計,統計報表也無法集中展示。管理員需在多個系統間切換,無法有效關聯和發現異常。
醫療機構網路安全建設痛點分析
結合醫療機構業務痛點,應重點圍繞以下方面開展網路安全建設工作。
A. 提供統一的主從賬號管理能力,包含主賬號生命週期管理、主從賬號繫結、狀態同步、殭屍和幽靈賬號發現等。
B. 提供認證策略集中管理和場景化自定義能力,包括提供可自定義的多因子認證,以及根據使用者角色、訪問時間、所在地理位置、所在網路等場景元素定義認證方式和認證強度。
C. 透過SDP技術的先驗證再連線,SPA單包授權、動態埠等機制實現組織的網路和應用的全面隱藏,可有效收斂組織的攻擊暴露面。
D. 提高終端裝置的安全性,作為訪問應用和資料的屬性,全面收集終端環境資料,為零信任提供終端環境感知資料,同時還可以實現終端可信訪問代理和終端身份認證。
E. 具備動態細粒度的授權控制能力。提供對終端、使用者、應用的主客體訪問的動態、細粒度化的授權控制。結合業務場景以及業務敏感程度,提供多層級可選的控制粒度。
F. 使用者和實體行為分析,透過對網路上流量和各種日誌的採集、儲存、分析,實現持續的裝置安全狀態和使用者安全評估。
G. 根據實時使用者和實體分析的結果,以及其他安全裝置的檢測,可以得到訪問的信任關係評估結果,動態調整訪問策略,向具有阻斷能力的安全元件下發指令。實現自動化響應。
零信任夯實醫療機構網路安全保障體系
結合醫療機構業務痛點以及需求分析,綠盟科技提供的零信任安全解決方案,基於使用者實際業務的實際需求,融合雙向流量加密mTLS、軟體定義邊界SDP、單包授權SPA、多因素認證MFA等技術,提升使用者業務系統的安全訪問和控制能力,縮小攻擊暴露面,精細化身份管理和特權賬號的訪問許可權控制,並實現日誌審計和事件溯源,充分夯實使用者網路安全保障體系基礎。
該方案包含統一身份管理平臺UIP, 安全認證閘道器SAG(SDP),終端安全管理平臺、分析和控制平臺多個部分。其中,UIP負責全員賬號、許可權、認證、審計、業務和資產的統一管理,並提供統一門戶;SAG可有效隱藏暴露面,實現細粒度的業務訪問控制以及資料上報。終端安全管理平臺,面向終端賦予更安全的准入策略、更精準的環境感知資訊,更細緻的微隔離策略以及更快速的響應處置能力。零信任分析和控制平臺透過持續網路安全資料,進行實時風險和信任評估,一旦系統受到外部攻擊、健康狀態出現偏離,可動態訪問控制策略,多元件深度聯動、持續保障系統執行在穩定、可靠的安全狀態。該方案可全方位提升醫療機構網路安全能力。
1.網路、業務全面隱藏
基於UDP的SPA技術,只驗證,不響應,採用先認證後訪問的方式,動態開放埠,確保始終具有可信條件的物件才能訪問受控允許的資源。
2.智慧化分析識別
藉助大資料引擎的強大演算法,智慧化完成使用者建模和行為分析,基於信任評估模型,識別安全風險。
3.動態安全能力管控
摒棄靜態訪問控制規則,持續進行風險和信任的評估、基於評估結果,動態調整訪問策略。
4.全方位降本提效
整合內外網訪問,統一入口,統一管理,節約管理、運維、人員成本,提高辦公訪問效率,提高員工工作效率。
相關文章
- 醫療資訊化建設實踐丨一體化安全能力建設,助力醫院安全能力提升
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 醫療資訊化建設實踐丨雲安全賦能智慧醫院構建縱深、主動防禦體系
- 安全建設實踐案例四連發(四)丨5G背景下,醫療機構應如何開展資訊化建設?
- 零信任安全網路構建
- 夯實高校數字化改革,美創科技構建資料安全保障體系
- TiDB 在醫療保障資訊平臺的應用實踐TiDB
- 數字化醫療建設中的網路安全隱患
- 智慧安全3.0助力高校網路安全保障體系建設
- 安全建設實踐案例四連發(三)丨醫療衛生主管單位如何實現安全管理一盤棋?
- CRM系統加強醫療機構資訊化建設?
- 課程報名丨“重大活動”網路安全保障中的攻守實踐
- 騰訊 iOA 零信任安全技術實踐
- 實施零信任網路訪問的五個最佳實踐
- 醫院核心資料庫一體化建設實踐資料庫
- CRM系統怎麼加強醫療機構資訊化建設?
- 安全建設實踐案例四連發(二)丨如何讓智慧醫院更有“安全感”?
- 助力智慧醫療,杉巖資料為醫療資訊化建設護航加速
- 兩會聚焦|夯實網路安全保障基礎,護航工業生產兩化融合程式
- 深度丨擰緊醫療保障系統“安全閥”,昂楷這套方案不容錯過!
- 教育網路安全實踐丨如何讓科研院所網路更安全?
- 雙專場 話安全|聚焦醫療資訊化,暢談網路安全創新發展
- 雲知聲智慧醫療,賦能醫療,領跑行業行業資訊化建設行業
- 網路安全新晉網紅“零信任”
- 資訊保安保障體系建設的整體思路
- 美創科技勒索病毒“零信任”防護和資料安全治理體系的探索實踐
- 《網路安全原理與實踐》一1.8網路安全體系結構的部署
- 零信任身份治理保障遠端辦公安全
- 智慧賦能醫療資訊保安能力建設
- 蘑菇街SRE體系建設實踐
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- CIS 2021網路安全創新大會《程式碼安全體系建設》實錄
- PIGOSS BSM 與“中國交通建設”攜手資訊化運維保障體系的建設Go運維
- 美創科技亮相第三屆國際零信任峰會,零信任實踐獲安全革新獎
- 快手實時數倉保障體系研發實踐
- 網路安全中零信任指什麼意思?
- 輕鬆保障萬級例項,vivo服務端監控體系建設實踐服務端
- 智慧醫療中的人工智慧——用於改善健康醫療實踐人工智慧