业务背景
当前,卫生健康行业网络安全工作针对局部信息系统的被动性、应急性安全保障,需要向网络空间安全整体规划,主动积极防御转变,以应对曰益严峻的安全形势。根据中央网信办制定的《关键信息基础设施安全保护条例(征求意见稿)》,卫生健康行业信息化建设作为国家关键信息基础设施的重要组成部分,面临着严峻的网络安全形势,亟需加强网络安全监测、感知和预警工作。
首先,卫生健康行业信息化建设具有建设分散的特点,各医院建立自己的各种信息系统,相互之间又有关联,信息产生于不同机构,通过跨系统实现数据交换和信息共享。各医院信息系统安全防范也是分散建设的,防范能力参差不齐。
此外,医疗数据具有重要的商业价值,而且又是患者的隐私数据,经常成为不法分子的关注对象。由于医疗信息安全建设技术不完备,安全治理措施也不到位等原因,攻击者非常容易得手。面对卫生健康信息安全威胁,轻则造成系统资源的消耗,重则造成系统崩溃、信息泄露,医疗业务工作无法正常开展,因而产生严重的经济和社会影响。
现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。
安全需求
● 合规需求
习主席在网信工作座谈会上提到维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。
《网络安全法》第五十二条指出负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
国家卫生计生委国家中医药管理局联合发布《关于落实卫生健康行业网络信息与数据安全责任的通知》要求建立行业监测预警、巡查抽查制度和网络安全事件处置机制;健全网络产品和服务审查、数据出境评估和人才培养机制,做好相相关培训和宣传等工作。
● 业务需求
▶ 区域医疗行业安全监测需求
针对区域医疗行业被监管单位的资产、信息系统和流量进行监测,包括僵木蠕毒监测、DDoS攻击监测、高级威胁(APT)攻击监测、网站安全监测(网页篡改、网站漏洞、网站挂马、sql注入、xss跨站脚本攻击)。主要涉及医疗机构网站安全数据监测、DDOS攻击数据监测、僵木蠕毒数据监测和高级威胁数据监测等。
▶ 安全威胁的全局可视能力及监测预警需求
区域医疗机构网络安全建设能力各不相同,网络安全管理能力千差万别,互联网+医疗及互联互通等相关政策要求使得医疗机构形成了一张医疗网,割裂的安全视角,难以看清安全全貌;看不清资产,看不到风险,看不见内网潜伏的威胁。为实现网络安全态势感知与通报预警平台的价值,首先需要对区域医疗机构信息安全相关数据做到采集,形成统一的数据池,以形成统一的全局视角的安全威胁监测与预警能力。
▶ 可视化展示需求
对于区域医疗机构整体的安全态势,如果仅仅是简单的数据罗列,对于非技术的管理人员很难有着直观清晰的感受,通过可视化技术的利用,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成高维度的可视化方案,以便于用户理解。大数据的存储与实时运算能力保证了能够实现数据的实时推送,配以可以实时交互的3D可视化界面,与其美观的3D展示效果相得益彰。可视化技术的利用使得用户可以更直观地感受到区域医疗机构的整体安全态势,使得安全由不可见变为可见,不但带来了更好的用户体验,使得非管理人员能够清晰的看见医院内现有的安全状况,同时还有效地提高了安全监控的效率。
解决方案
启明星辰泰合态势感知平台系统的目标是围绕用户的被防护对象,综合全部安全要素信息,形成安全威胁、风险隐患的动态持续态势感知。
态势感知是一个全面信息收集、融合处理感知安全状态及风险并进行态势可视化呈现的过程,该过程是动态持续的,通过连续的信息采集分析不断更新对目标网络安全态势的认知理解,掌握安全状态、识别发展规律、认识威胁预警。
因此态势感知系统要处理的是海量多维的信息,要进行多方位的关联及发掘分析,要呈现的也是多对象多种形式的安全态势。鉴于此,启明星辰泰合态势感知系统将安全态势涉及的各类安全要素和监视角度进行了梳理归纳,形成了由六个维度组合构成的态势感知体系。这六个维度分别是资产感知、攻击感知、漏洞感知、运行感知、威胁感知和风险感知,综合这六个感知形成有面向综合态势监视的态势总览。
通过该六个维度的感知,泰合态势感知平台系统可以为用户呈现出一副较为通用和完整的网络安全态势的全景图。并且在这六个维度的专项分析呈现和扩展外延中,用户可以聚焦整合、按需搭配,形成适合自身业务需要和安全态势监控需要的态势感知系统。
态势感知平台的数据源都来自于分布于网络不同地方的网络设备、安全设备、主机、数据库和中间件等软硬件基础设施。
态势感知平台通过多种数据接口采集所需的信息,这些信息包括:资产、拓扑、性能、事件、行为、漏洞、配置和流量等。同时,这些信息采集装置可以分布式部署,并且对网络性能影响极小甚至无影响。采集到的所有信息都会进行进行预处理,将其转换为统一的内部格式,并提交给业务逻辑层中的相应组件进行分析处理。
在海量安全信息统一获取的基础上,平台系统聚焦于综合利用这些监控数据进行集中分析处理,通过整理分类、精简过滤、对比统计、重点识别、趋势归纳、关联分析、挖掘预测等数据融合处理手段认知安全态势,感知威胁和风险,并根据用户业务特点和安全需求进行态势感知可视化呈现。
态势感知平台系统的功能架构由安全要素采集层、安全大数据存储层、安全态势分析层和态势感知及展现层四个层面组成,在各层中分别实现对应的系统功能,平台系统架构示意图如下所示:
● 安全要素采集层:提供开放式的信息采集接口,实现对用户环境内各类IT资产以及所采用的各厂商安全产品或安全系统进行统一的信息采集,并提供非结构化数据采集接口,可采集各类情境数据和威胁情报。
● 安全大数据存储层:实现海量安全大数据的分布式存储,提供结构化数据和非结构化数据的存储能力,并为上层的数据分析应用提供高效的数据库功能支撑;
● 安全态势分析层:平台综合数据处理分析的能力提供层,提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层,提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力,是系统的分析处理的核心。该层提供了基础数据处理引擎,包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。基于这些计算引擎实现分析能力包括威胁目标分析、威胁源分析、攻击过程分析、影响及危害程度分析以及风险分析等。
● 态势感知层:通过下层所提供的数据采集和处理能力向用户输出态势感知能力,包括资产感知、攻击感知、漏洞感知、运行感知、威胁感知、风险感知以及安全态势总揽,服务于全网的安全态势呈现,支撑用户全局的安全防护工作。
区域医疗行业态势感知平台拓扑图如下图所示:
方案优势
● 四维一体的全网安全管理与运维
以客户的业务信息系统安全为保障目标,从监控、审计、风险、运维四个维度对全网的整体安全进行集中化的管理与运维,为用户建立起了一个可视、可查、可度量与可持续的安全管理新平台。
● 日常安全运维工作的有力工具
能够统一收集来自网络中IT资产的运行信息和日志信息,通过分析这些数据,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。
● 遵照等级保护的技术要求
TSOC-CSA态势感知平台在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于安全管理中心的安全设计技术要求。系统能够帮助客户更好地遵从等级保护的基本安全要求和安全设计技术要求。
● 契合信息安全管理体系的监测与评审要求
为客户提供了一个对信息安全管理体系进行持续监测与评审的技术支撑平台,协助客户通过对安全日志的持续采集与分析以及安全风险的持续评估,最终达到对信息安全管理控制措施的持续改进。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
