专业咨询
致力推进中国医疗卫生信息化

超500家医疗用户托管安全:解密深信服医疗专属MSS运行一周年

来源:HIT专家网 作者:龚晨

医院业务连续性和网络安全,是最令医疗行业CIO们放心不下的——他们必须常年保持手机开机,无论白天黑夜。《全民健康信息化调查报告——区域卫生信息化与医院信息化》显示:过半三级医院信息部门核定编制人数少于5人,新建信息化项目安全预算不低于总预算5%的三级医院占比仅为15.8%。如何在资金、人才普遍不足的条件下力保“城门”不失,这个问题无时无刻不在困扰着医院信息部门。

2022年8月23日,深信服医疗行业安全运营中心在成都正式成立。这是国内第一家医疗行业专属的安全运营中心,基于“人机共智”,专门面向医疗用户提供“7×24守护、有效预防、主动闭环”的安全托管服务(Managed Security Service,简称MSS)。

深信服医疗安全运营中心刚成立时,还有不少用户对这种服务模式心存顾虑:“把医院安全日志流量传到云端,会不会有风险?”“与驻场相比,云端安全服务能靠谱吗?”“远程的很多是安全专家,但是他们真的懂医疗的业务吗?”

一年之后,已经有500多家医疗用户选择了深信服MSS服务,其中三级医院超过60%,更不乏多家头部医院。

从用户反馈来看:

有的医院用户认为,MSS服务可以7×24小时帮助医院监测风险、处置安全事件,从而缓解医院信息部门的“后顾之忧”,将更多精力投入到直面临床、直面业务的工作中。

有的医院用户认为,MSS服务配备的专属服务经理能有效补齐医院安全能力普遍偏弱的短板,在整改环境漏洞、用好安全设备、优化安全策略等方面,作用明显。

还有的医院用户认为,MSS服务采用SaaS订阅方式,有助于减轻医院负担,帮助医院低成本、按需、实时获得云端高级安全能力,如威胁情报专家的帮助等。

MSS服务为何能一年时间内得到这么多医疗用户的认可与信任?MSS是否会成为未来医疗行业网络安全的发展新趋势?

深信服医疗安全运营中心

面向“两个复杂”,医疗行业需要专属的MSS服务

网络安全工作不是管理制度与安全设备的堆叠,后期的持续运营更为重要。”­近年来,医疗行业对网络安全,特别是“安全效果”的认知日渐更新。几年前谈到“安全效果”时,医院还只有一个模糊概念:“不出事就行”,这是结果指标。但风险的发生对每个个体而言只有100%和0的区别。因此,安全效果的评判还需结合“过程指标”进行持续运营,如:漏洞减少了吗?弱口令整改了吗?安全策略及时更新了吗?等等。唯有“过程指标”的逐步改进,才能让医院CIO们“心中有底、遇事不慌”。

不过,受制于医疗机构在网络安全人力资源、知识储备及经验等方面的普遍不足,这些问题的解决并非易事。

“有医院用户主动向我们提出:能否提供一个结合过程指标与结果指标、真正面向安全效果的全新医院网络安全解决方案?”深信服医疗事业部安全解决方案专家王成雨认为,“MSS安全托管服务”是一种比传统驻场服务更全面、能力更强、性价比更高的安全服务,可以满足医院在安全效果更高层面的需求。

深信服医疗事业部安全解决方案专家王成雨

不过,由于医疗业务的特殊性,MSS需要进行大量行业化适配,才能在这个领域站稳脚跟。“医疗行业网络安全的特点主要表现为‘两个复杂’,也即‘复杂业务环境下的复杂网络安全方案’。”王成雨谈到,这就使得面向医院的网络安全服务交付速度通常较为缓慢,方案的滞后性明显,很容易变成“用昨天的技术抵御今天的风险”。

因此,深信服将医疗行业“单拎出来”,于2022年8月成立国内首家医疗行业安全运营中心,其目的就是使得通用版本的MSS服务具备医疗属性,进而解决行业特殊环境下的服务交付问题,保证方案先进性与安全效果,提升用户体验。

人机共智:平台与专家的紧密协作、相互赋能

也正是在2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合制定的《医疗卫生机构网络安全管理办法》正式出台。这份文件要求:医疗卫生机构应充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全保护的“实战化、体系化、常态化”措施。

反观深信服MSS服务,就是借助人工智能、大数据分析技术,为医疗行业打造实战化、体系化、常态化的网络安全防护体系。这一体系的最大特点是“云网端全方位联动”:“云”是指MSS服务提供的云化安全服务,如云端安全专家值守、云端情报能力等;“网”是指深信服部署在医院侧的探针、防火墙等网络安全监测组件;“端”则指各类终端网络安全软件。

深信服医疗行业安全运营中心负责人杨升介绍,MSS服务强调安全专家和安全AI平台的紧密协作,也即“人机共智”:

一方面,安全AI平台7×24小时不间断收集关联网、端两侧上传的告警日志,借助机器学习引擎与异常行为分析引擎,准确识别高级威胁、异常行为等安全风险,并自动发出预警。

另一方面,安全专家围绕用户业务“资产、脆弱性、威胁、事件”这4个核心要素,在平台告警基础上继续分析研判,确保只将真实发生的攻击威胁和事件告知用户。同时,安全专家利用平台提供的各类工具,结合风险特征深度挖掘,主动发现风险隐患点,推动闭环处置,帮助医疗用户提升和完善现有安全体系建设能力。

深信服医疗行业安全运营中心负责人杨升

目前,深信服医疗行业安全运营中心包括服务交付、质量监督、应急响应、培训、本地安全专家等多个团队。其中,服务交付团队由服务经理、云端分析师、云端安全专家等人员组成,主要为医疗用户提供日常在线服务。

杨桥,就是深信服医疗行业安全运营中心的一名服务经理。“我的核心工作是帮助用户解决安全问题,而不是当一个‘监工’,在发现风险后简单通报给用户,让他们自己处理。”杨桥认为,服务经理的重要任务是提供可落地的安全建议和优化方案,因此必须要有“主动服务”意识,定期跟进用户的风险修复进度和困难点,帮助用户进行100%的闭环处置。

深信服医疗行业安全运营中心高级安全服务工程师杨桥

“人机共智”的另一重含义,是安全专家和安全AI平台的相互赋能。比如,MSS服务线上安全告警的具体流程为:安全设备告警-平台过滤-云端专家研判-服务经理分析-事件推送。从事件生成到事件推送,至少会经过3次分析研判,从而降低误报率。

在这个不断优化改进、强化学习的过程中,深信服安全AI平台在风险分析、数据分析、闭环处置等方面的自动化、智能化水平与日俱增。如今,杨桥日常对接的医院用户超过20家,平台承担起许多繁杂的事务性工作,帮助他将精力放到能为用户解决实际问题、创造更多价值的地方去。

打造行业化能力,要做“最懂医疗用户的安全顾问团”

成立之初,深信服医疗行业安全运营中心就为自己立下FLAG:成为“最懂医疗用户的安全顾问团”。如何才能达成这一目标?回望这一年的发展历程,杨升认为,深信服MSS服务已在以下方面打磨出面向医疗行业的四大能力。

第一项能力是服务人员的行业化能力。所有人员上岗前须具备医疗行业基础能力,包括:医疗行业发展趋势、政策要求、医疗行业网络架构及信息系统等,并通过培训、考核。

第二项能力是行业经验的沉淀能力。在服务医疗用户的过程中,及时沉淀和梳理行业方案,定期总结、输出《医疗行业网络安全运营报告》,内容包含医疗行业共性安全问题及解决方案、医疗行业网络安全最佳实践等。安全AI平台也针对医疗专属业务环境,定制监测规则和防护策略,确保MSS服务是专业且符合医疗行业需求的。

医疗行业网络安全问题TOP 8(来源:深信服医疗行业安全运营中心)

第三项能力是高度行业化的威胁情报生产与共享能力。面向医疗领域,深信服的威胁狩猎、应急响应、威胁情报等安全专家会定期生产高质量的医疗行业威胁情报,并通过情报网络进行共享,确保MSS用户提前预防风险,减少安全事件发生。

第四项能力是关键行业测评的保障能力。在等保测评、医院等级测评、智慧医院评审、互联互通测评、电子病历评级等关键时期,服务专家将结合MSS服务,为医疗用户提供全方位安全保障。

人,是做好服务的第一要素。“服务经理”是MSS服务面向医疗用户的第一扇窗口。在深信服医疗行业安全运营中心工作一年,让杨桥印象最为深刻的有两个测试项目。

所谓“测试项目”,是深信服为首次接触MSS服务的医疗用户提供的半个月免费试用期。测试项目周期短,服务经理与用户的互动频率和强度高,非常考验服务经理的能力水平。

在某县级医疗行业监管单位的测试项目中,由于用户开放了很多互联网业务,暴露面和影子资产很多,仅初步挖掘就发现了上千条数据,逐条梳理需要至少一周时间,而整个测试阶段也才15天。“但我想,我们需要将工作成果而非工作过程交付给用户。”为此,杨桥按照正式项目的服务流程,为用户进行了一次全面的资产梳理。“用户也很配合,非常乐意接受建议,能关的端口都关了,能整改风险的都整改了。测试结束后,我们还和用户保持了密切联系与沟通。”

在另一个省级医院测试项目中,用户对信息安全非常重视,一开始对MSS服务模式的信任度并不高,担心高度授权会带来不必要的风险,只授权了三个服务资产。由于授权资产少,平台告警少,获得的信息有限,杨桥只能单点登录到用户设备,逐条梳理日志,出具了风险报告。“用户看到后很震惊:原来存在这么多问题。后来用户和我的互动就开始变多了,主动要求我们给出安全建议和风险应对方案。”

这一年,在杨桥和MSS团队所有成员的共同努力下,医疗用户对MSS服务的接受程度越来越高了,包括上述两家用户在内的多个测试项目都顺利“转正”。“我们依靠主动意识、依靠专业服务,扭转了用户偏见,赢得了用户信任,这是让我最感欣慰的事情。”杨桥说。

MSS服务已成医院在网络安全领域的重要抓手

数据显示,自2022年8月成立以来,深信服医疗行业安全运营中心已为全国范围内超过500家医疗卫生机构提供MSS服务,累计服务资产数超过2万台,识别客户侧安全漏洞数超过10万个,分析安全告警数量超过250万个,省去无效告警打扰比例超过92%;处置安全事件超过1.2万起,平均每天响应用户次数162次,平均响应时间17分钟,确保安全事件100%得到闭环,每个事件的平均闭环处置时间为10.2个小时。

MSS服务正逐渐成为医院在网络安全领域的重要抓手。省心、安心、放心,这是500家医疗用户给出的评价。“我们希望帮助医院信息部门将精力投入到更有价值的业务中,把网络安全保障工作交给深信服MSS服务就好了。”杨升认为,这就是MSS服务的核心价值所在。

从用户中来,到更广泛的用户中去。基于现有医疗用户的服务经验,深信服医疗行业安全运营中心从中抽象、发掘共性问题,总结解决方案,定期发布《医疗行业网络安全运营报告》,希望帮助提升医疗行业的整体网络安全能力。

基于MSS服务的运营数据分析,深信服已敏锐察觉到,面向医院互联网业务的安全防护正在成为下一阶段的重点问题:作为直面互联网攻击的暴露点,医院互联网业务需要7×24小时的实时防护与持续主动发现,但医院面向外网的安全建设又远不如内网健全,安全压力很大。为此,深信服在近期推出“医院互联网业务全托管场景解决方案”,重点监控医院对外开放的业务,定期梳理互联网暴露面,守住攻击入口。该方案已在部分医院试点,得到很好的反馈。

【拓展阅读】

深客谈·MSS医疗行业视频第一期

深客谈·MSS医疗行业视频第二期

如您想进一步了解深信服医疗专属MSS方案和服务

请扫描下列二维码并填写信息

将有专属服务人员与您取得联系

此图片的alt属性为空;文件名为HIT%E4%B8%93%E5%AE%B6%E7%BD%91%E8%AE%A2%E9%98%85%E5%8F%B7.png
关注HIT专家网微信订阅号
精彩不容错过!
此图片的alt属性为空;文件名为9fd96946f80198b.png
寻求“商务合作”请扫码填写需求
我们将尽快与您联系!

【责任编辑:陈曦】

赞(5)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 超500家医疗用户托管安全:解密深信服医疗专属MSS运行一周年
分享到: 更多 (0)