医院网络安全运营中心建设方案

• 同步运营：IT基础设施部署完成后转入运
营阶段，采取监控、维护的手段进行一体
安全
化运营。
运营
安全运营中心-安全体系研究
一把手重视 重在规划 持续投入
随着信息时代的高速发展，物联网、 5G推向市场，新技术不断应用到医疗 行业中的时候，安全将如何应对，这将 是一个新的研究方向。
合作研究安全新技术，并在未来的 医疗行业期刊、杂志发表安全新技术研 究文章。
医联 体
移动医 疗
云计算
物联 网
人工 智能
互联网 医院
4 安全运营中心建设体会
安全运营中心建设体会
1、网络安全与每个人息息相关
提升全员的网络安全意识水平， 知晓病 毒、恶意软件就在身边，通 过不断的培训、 学习，让每个人都 做信息安全的“便衣警察 ”。
安全运营中心建设体会
2、单打独斗不如合作共赢
• 《电子病历系统应用水平分级评价标准（试行）》
• 其中7级对网络安全部分要求主要体现在终端安全、服务 器安全以及边界安全防护工具的配备和部署。
• 《全国医院信息化建设标准与规范(试行) 》
• 第四章明确规定了安全防护的内容，包括四大类19个子 类内容。其中明确要求三级医院的信息化建设应参照等 级保护三级标准进行网络安全建设。
网络与信息安全培训
• 为了进一步加强全院信息安全管理能力， 提高全院员工的网络安全防范意识，以 及提 高安全运营团队的安全技能，在2019年开展3场网络安全培训，并对受 训人员进行安 全能力考核。
安全运营中心-终端安全建设
建设绿色、安全、统一管理的医院办公平台
• 东院区已使用云终端替代传统PC，实 现操 作系统统一管理，软件系统统一进 行更新 ，管理方便，绿色节能。
安全运营中心-网络安全体系建设
安全运营中心-网络安全体系建设
应急保障
• 应急响应工作分为安全事件应急响应和处置工作，在发 生信息破坏事件（篡改、泄露、窃取、丢失 等）、大规 模病毒事件、网站漏洞事件等信息安全事件时，作出应 急响应专家协助处置操作。
• 实际出动应急保障服务0次。
安全运营中心-网络安全体系建设
安全运营中心-基础设施的信息安全建设
在IT基础设施建设中需遵循“三同步”原则：
基础架
• 同步规划：网络安全团队参与早期的信息
构运营
化项目规划，在顶层设计阶段确立安全建
设目标。
• 同步建设：网络安全要随着整体信息化项
终端
责任主
业务
目同时进行，网络安全建设滞后将导致安
运营
体统一
运营
全风险和改造成本同时上升。
上级部门、院领导重视
安全培训讲座
上级部门组织网络安全培训，对《网络安全 法》进行专题解读。
督促网络安全、数据安全自查
《勒索病毒攻击情况自查通知》、《重要数 据和公民个人信息泄露安全隐患排查通知》， 我院对应开展响应自查、整改和培训工作。
院领导重视网络安全
积极响应上级部门政策，重视网络安全，并且 网络安全意识超前，建立安全防护长效机制。
• 《 医院智慧服务分级评估标准体系（试行）》
• 安全管理要点：智慧服务系统基础设施、管理与安全状 况，对网络安全、数据安全作出要求。
我院网络安全背景
外部威胁：
• 勒索病毒导致的数据受威胁 2017年开始，勒索病毒在全球范围爆发；截至2018年，某安全公司在全国处理勒索病毒应急 事件630起，其中医疗行业65起，占比约12%。
信息安全“攻防战”永无止境 打造最适合医院的安全运营模式
敬请指导!
• 关键动作： 严格按照三级等保要求，对核心业务 的软、硬件进行进行风险评估，开展 安全合规自查，在规划和建设中，高 标准，严格要求，落实等保安全规范。
集成平 台
互联网 缴费
HIS
业务 合规
LIS PACS
EMR
CIS
安全运营中心-安全合规性建设
2018年补充安全设备（软件） 12套，基本满足等保三级要求。
医疗卫生领域的相关工作，更加专注于自身的业务建设。
1+5的运营管理模式
意识+管理+ 产品+服务 模式合作
安全合规 性建设
网络安全 体系建设
终端安全 建设
基础设施 的信息安 全建设
安全体系 研究
安全运营中心 安全意识+管理理念+产品+服务模式合作
• 打破传统——缺乏整体观，更加关注点，等保测评、物 理隔离、病毒攻击、介质控制等。
• 结合终端安全管理系统、准入系统，实 现 终端可信入网。
关键动作： • 在全院范围内，逐步使用桌面云终端 替 换传统PC。 • 逐楼启用网络安全准入策略，未经安 全 检测的终端禁止接入内网，限制内 网USB 端口使用，禁止使用者随意移 动电脑。
新业务系 统测试
业务连续 性
部署新办 公平台
人力资源 保障
• 资源整合——将信息安全提升到与医疗安全、生产安全 同等重要的级别，以管理为导向，结合专业的信息安全 公司的技术+产品+服务，打造最适合医院的安全管理 模式，以数据安全驱动医院整体信息安全体系的建设 。
网络 等级 规划 保护
安全 安全 技术 服务
管理 安全 导向 体系
安全运营中心建设3年规划
建设合规的 网络安全体 系
安全策略和管理制度
设备和计算安全
安全管理机构和人员
网络和通信安全
安全建设管理
物理和环境安全
安全运维管理
安全运营中心-网络安全体系建设
• 规范管理——安全运营规范制定
• 初步编制成《安全运营工作制度和流程》，包含20余项工作制 度流程。
• 主动出击——安全监测预警处理
• 使用渗透测试、代码审计、流量监测等方式，对医院业务系统 进行更深层次的安全监测。
台积电事件：台积电身为全球半导体第一大厂，竟遭勒索病毒击垮，停产2天，经济损失52亿。 • 黑客攻击导致的网站受威胁 门户网站系统防护脆弱，若被黑客篡改将造成较大负面影响。
内部威胁：
• 网络统一规划缺失 • 终端缺乏统一管理 • 应用系统缺乏检测和预警 • 安全技术和制度不完善 • 网络安全呈被动防御状态
• 7*24小时监测网站和内网核心流量，梳理、分析、汇总安全事 件及其威胁影响，形成并建立运营中心安全知识库。
• 应急保障——信息安全保障全面融入传统应急保障体系
• 采用重要时期网络安全保障及应急响应机制，保障我院在关键 时期的信息化业务正常运营。
• 全员重视——网络与信息安全培训工作
• 对运维工程师进行网络安全技能培训，对软件开发工程师进行 业务安全培训，对在职员工进行日常网络安全教育培训，全面 提高我院网络安全知识水平。
• 国家坚持网络安全与信息化发展并重，遵循积极利用、 科学发展、依法管理、确保安全的方针，推进网络基础 设施建设和互联互通，鼓励网络技术创新和应用，支持 培养网络安全人才，建立健全网络安全保障体系，提高 网络安全保护能力。
• 《信息系统安全等级保护管理办法》
• 根据我院三级甲等医院的级别，核心系统（HIS、电子病 历等）应备案并通过三级评测。
响应处持续检置测威胁预威胁防测护安全运营中心网络安全体系建设?整体运营制度?节假日值班制度制度?基础环境评估制度?安全设备配置和变更制度?网络安全运行维护制度?信息安全态势分析制度?漏洞发现及加固制度?安全监测及防护制度?信息安全文档管理制度?文档控制制度?信息安全配置核查不优化制度?安全咨询规划服务制度?安全渗透测试制度?源代码检测制度?全流量威胁检测分析制度?重要时期安全保障制度?与家应急响应制度?网络安全培训制度?终端安全管理制度?安全事件分级上报制度
• 医联体体系内技术推广
• 将先进安全技术与运营模式向郑医医疗集团和平行医院推广。
威胁预 威胁防
测
护
响应处 持续检
置
测
安全运营中心-网络安全体系建设
安全运营规范制定
• 整体运营制度 • 节假日值班制度制度 • 基础环境评估制度 • 安全设备配置和变更制度 • 网络安全运行维护制度 • 信息安全态势分析制度 • 漏洞发现及加固制度 • 安全监测及防护制度 • 信息安全文档管理制度 • 文档控制制度
先梳理现有的网络安全弱点，优 先做核心业务的安全加固，并使用 代码检测、渗透测试等方式发现应 用层面漏洞。
安全运营中心建设体会
4、完善安全管理制度
技术手段不是万能的，需要靠 制度去保障、去规范使用者的操作 行为，既要明确使用部门职责，也 要明确管理部门职责。
制度的制定要接地气，具备明 确的流程、可实施性强、简单易懂。
安全设备各自为政，安全防护架构不 统一。
医院信息部门在安全领域不专业，安 全缺乏顶层设计，导致安全管理失控，需 要借助专业的力量将信息化安全整合，最 终实现安全联动。
安全运营中心建设体会
3、整体规划，顶层设计，分 步实施
做好整体规划和顶层设计，确定 分步实施的方案，医院的人财物资 源有限，抓大放小，逐步建立整体 的网络安全保障体系。
• 6个月内，发现并清除院内失陷主机134个。 • 对10个互联网业务系统进行渗透测试，修复高危 漏洞53个。 • 对12个核心业务系统进行源代码检测，修复高危 漏洞39个。 • 通过部署网站云防护和网站云监测，对网站进行
7X24小时防御，日均拦截攻击1万次，发出可用 性告警4次，主动发现并修复 网站漏洞7次。 • 部署安全监测工具及运营，修复系统漏洞200余 个，建立安全基线5次。 • 对于长时间未进行整改的软件供应商，发出整改 通知3次，责令限期改正。
设备名称
边界防火墙 行为管理 网站云防护服务 网站云监测服务
信息安全隔离系统
防火墙
终端安全管理
数据库审计 桌面云
APT检测系统 日志审计 虚拟化安全
部署情况
已上线 已上线 已上线 开启6个网站的防护
已上线
已上线
已上线
已上线 东院区已上线
已上线 已上线 已上线（测试版）
等级保护2.0
技术要求
管理要求Biblioteka 应用和数据安全基础，联手打造郑州人民医院在新兴IT 产业环境下的新时代医院网络安全保障体系全国标杆，促进院区
信息化安全建设健康、稳定的持续运营。
总体目标：
以高水平的“三级等保”为要求，对核心业务系统进行合规性审查，逐步建立完善的网络安全体系。
由安全运营工程师来逐步全面承担我院信息环境的网络空间安全工作，使得我院可以集中精力开展
• 信息安全配置核查与优化制度 • 安全咨询规划服务制度 • 安全渗透测试制度 • 源代码检测制度 • 全流量威胁检测分析制度 • 重要时期安全保障制度 • 专家应急响应制度 • 网络安全培训制度 • 终端安全管理制度 • 安全事件分级上报制度
…………
安全运营中心-网络安全体系建设
安全监测预警处理
构建以威胁 情报为支撑 的安全运营 体系
2019
2018
建立数据安全体 系和运营知识库， 实现标准化运营
2020
安全运营中心-安全合规性建设
推进网络与信息安全等级保护工作
依据国家等级保护制度要求和技术标准， 同步规划建设符合该安全保护等级要求的 安全保护设施，保障医院内网信息系统网 络安全、确保业务系统稳定运行。
安全运营中心建设体会
未来：建设安全运营知识库
安全运营工作不应随着某一项事务的 结束而消亡，应形成持续的安全运营知识 库，知识库是知识交流共享的平台，对人 员技能提升可以起到加速作用，也是标准 化操作流程的模版。
以5月15日微软发布的CVE-20190708补丁为例：接收漏洞预警—制定修 复计划—漏洞修复实施—持续安全监测， 形成标准的工作流程可以应用到各类补丁 修复工作中。
怎样应对目前严峻的网络安全形势
需要专业的网络安全规划
在现有的网络安全架构基础上，优化网络架 构，依照规范完善数据中心基本设施，提升 基础防御能力与满足合规性要求。
需要专业的网络安全技术
用专业的网络安全服务技术，对我院内网做 全面整理，发现、修复业务系统漏洞，提高 防御级别。
需要专业的网络安全运营
网络安全不能只依靠被动挨打式运维，要做主 动出击，实现安全“事前”、“事中”、“事 后”全流程管理。
需要专业的安全快速响应
当安全事件发生时，谁能跑赢时间，谁就赢得 了网络的安全，0-day漏洞修复方案、高危漏 洞预警必不可少。
建设理念： 让专业的人做专业的事 网络安全要从可运维，转向可运营
医院重视： 人、财、物的支持
3 安全运营中心建设历程
安全运营中心建设内容和目标
以全国医院信息化标准合规建设、医疗机构网络安全运营中心、医疗机构网络安全保障体系研究为
医院网络安全运营中心建设方案
技术创新，变革未来
目录
Content s
1.医院背景简介 2.安全运营中心建设背景 3.安全运营中心建设历程 4.安全运营中心建设体会
2 安全运营中心建设背景
网络安全法律法规要求
• 中央精神：
• 习主席“419讲话”：“没有网络安全就没有国家安全。”
• 政策依据： • 《网络安全法》