阜外医院：以底线思维筑牢网络安全防线

来源：HIT专家网      作者：姜浩

“网络安全工作不是管理制度与安全设备的堆叠，后期持续运营更为重要。”在3月18日举办的医院网络安全实战化防护研讨会上，中国医学科学院阜外医院信息中心副主任韩作为介绍了该院的主要实践经验。

我国医疗行业已成高级威胁的重要攻击目标之一，医院网络安全防护工作不容忽视。如何评估网络安全建设的实际效果？韩作为通过一个公式来说明：

安全效果=（管理+技术）*运营效率。

其中，“安全管理和安全技术是灯芯与灯油的关系，谁也离不开谁”；而安全运营体系的建设及效率，则是决定管理和技术落地情况的重要系数。

“管理+技术”筑牢安全基础

上述公式的前半部分，强调的是安全管理体系与安全技术体系的建设。

韩作为介绍，在安全管理体系建设中，常见的切入点有两种：第一种基于日常工作流程，理解简单、便于落实，但主要关注人员操作所带来的风险，不利于考虑技术性风险；第二种基于管理对象，便于技术措施的落实，但缺乏对流程及管理性风险的考虑。韩作为建议要将二者有效结合，网络安全部门首先要对管理对象有清晰的认知，在各职能部门内设置信息安全控制点，辅以流程保障与制度保障，由点变线、由线变网，形成整体安全管理措施，再以管理制度和技术手段控制整张网，达成“技管融合”。

在安全管理体系的建设过程中，首先要成立网络安全领导小组，其次要建立涵盖四层的网络安全管理制度体系：第一层为方针策略，即网络安全工作的纲领性文件；第二层是制度办法，在安全策略的指导下，制定各项安全管理与技术的制度、办法和准则，用来规范各部门网络安全管理工作；第三层是流程细则，通过细化实施细则、管理技术标准等内容，支撑第二层对应的制度与管理办法的有效实施；第四层为运行记录，记录活动实行以符合前3层文件要求的客观证据，阐明所取得的结果或提供完成活动的证据。

在安全技术体系方面，医院应建设“一个中心”管理下的“三重防护”体系，一个中心即安全管理中心（统一管理、集中审计、安全态势感知），三重防护即通信网络防护（传输信息加密、可信接入保护）、安全边界防护（边界已知威胁全面防护、新型威胁的检测与防护）、计算环境防护（主机安全、应用安全、数据安全）。“安全设备的作用如同战士的头盔，是用来防‘流弹碎片’的，如果系统中没有漏洞暴露在互联网上，就不会让黑客有可乘之机。”韩作为说。

“在医院的网络安全建设中，困难不在技术上，至少技术不是最重要的点，而是需要不断地去说服并影响开发运维和业务部门的同事。”韩作为认为，如果安全人员能跳出技术思维，站在更高层面去思考安全问题解决方案，那么境界就提高了好几层。

漏洞治理要形成闭环

在上述公式的后半部分，强调的是安全运营体系的建设及效率提升。在安全运营体系方面，主要包括风险评估、漏洞治理、安全监测、应急响应、安全开发与重保管理等内容。

韩作为首先建议医院应重视漏洞治理问题。如图1所示，安全事件的风险值由“安全事件的可能性”与“造成的损失”两个因素决定，而这两个因素都与“脆弱性的严重程度”息息相关。“因此，治理漏洞的性价比是很高的。”韩作为说。

漏洞责任的归属问题值得讨论。从外部而言，医院被发现漏洞、通报漏洞，安全团队要承担责任。对内部而言，按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则处理则更为妥当。但无论是谁的责任导致安全问题发生，安全部门都应该深度参与并解决问题，若只负责扫描，不参与治理，安全部门的地位与价值将逐渐变低。

常见漏洞大致可分为三种：系统漏铜、Web漏洞与逻辑漏洞，有四种常用的漏洞发现手段：每月进行常规漏洞扫描；每年进行渗透测试；接到上级监管部门发布的整改通知书；重要节点前进行的漏洞扫描和渗透测试。

遇到漏洞时，应形成标准的漏洞管理流程：先组织漏洞扫描和渗透测试，根据漏洞扫描结果形成《漏洞整改通知单》，再根据漏洞的风险等级，要求相关负责部门在规定的时间修复漏洞，最后记录漏洞修复情况，并形成漏洞知识库。整个流程闭环管理，不断迭代，使系统里漏洞越来越少。

韩作为介绍：“阜外医院规定：高危漏洞要求不超过24小时之内解决，解决不了就要把系统下线，中危漏洞3天之内解决，低危漏洞1周之内解决。”

安全开发“十准则”

“如果说安全设备是战士的头盔，只能防‘流弹碎片’，那么如何才能防住真正的火力攻击？最终还要依赖信息系统自身的可靠性。系统没有漏洞，才能扛得住真挑战。”韩作为认为，在提升安全运营效率方面，“安全开发”应放在非常重要的位置上。

在医院信息化建设的道路上，阜外医院始终坚持以自主开发为主。因此，确保网络安全的工作从软件开发时就已开始：首先要有安全的开发环境，将开发环境与运行环境进行物理隔离，测试数据和测试结果能够受到控制。其次要规范软件开发流程，制定软件安全开发管理规范，明确控制方法及人员行为准则。最后，要确保开发人员为专职人员，开发活动可控制、可审查。

此外，软件开发应重点注意以下事项：

首先是预防注入。例如，简单地使用字符串拼接创建XML查询，然后将其发送到服务器，此时就有可能出现XML注入问题，因为没有进行任何输入验证。

其次是使用安全的开发框架。语言体系越发灵活，第三方开发库也越来越多，每一种语言都有自己固定的“坑”，如何正确规范安全地开发将会是重中之重。使用安全性弱或者版本低的开发框架，在受到攻击时很快就会败下阵来。在攻防演练中，攻击者已经收集了医院的开发信息，对框架、版本及语言等了如指掌。此时，需通过代码审计等策略将其完善。代码审计分为机器审计和人工审计，当代码数量过多时，可先使用代码审计设备，查出安全开发框架的漏洞，处理如SQL注入等低级攻击。

最重要的是源码泄露检查。当程序员将代码托管到代码平台时，有时会泄露数据库的密码，攻击者可轻而易举地侵入医院信息系统。韩作为介绍说：“阜外医院的做法是：保持独立的研发环境，与互联网、医院内网均不连通，使代码无法拷贝；同时在内部搭建自己的Github平台，研发人员可在内部进行代码交流，保证代码不外泄。”即便如此，还需要定期对开发人员进行安全意识培训，检查源代码托管平台代码泄露情况。

最后是安全体系的培训。除研发人员以外，业务人员、医生、护士更需要培训。通过培训、宣传、竞赛评比等形式，打造安全文化，做到人人都是安全官，人人都会进行安全防护，网络安全防护工作将事半功倍。

在安全开发方面，阜外医院信息中心还总结了如下“十准则”：

严禁弱口令，源码不泄漏。

发布要谨慎，注意超授权。

重视生产库，不测不上线。

堡垒及时退，数据有脱敏。

操作有记录，传输要加密。

“总体而言，安全运营需做到四个结合。”韩作为介绍，也即平时和战时相结合、业务和安全相结合、技术和管理相结合、服务和保障相结合。“医院网络安全防护工作，需未谋胜、先谋败，强化底线思维，筑牢安全防线。”唯有如此，方能打赢医院网络安全防卫战。

【责任编辑：闻雨】