2019年12月1日實(shí)施執(zhí)行的《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，在法律法規(guī)層面對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)安全防范提出了新要求。隨著醫(yī)院業(yè)務(wù)系統(tǒng)的不斷增多，與之配套的IT基礎(chǔ)設(shè)施，特別是主機(jī)的數(shù)量也不斷增加，為保障業(yè)務(wù)安全，主機(jī)安全管理越來越重要，主機(jī)作為信息安全管理的最后一公里，需要持續(xù)的安全監(jiān)控、分析和快速響應(yīng)，如何保障主機(jī)有效的安全管理是信息技術(shù)部門面臨的一個(gè)重要課題。

1、項(xiàng)目背景

揚(yáng)州市第一人民醫(yī)院，創(chuàng)建于1960年，系揚(yáng)州大學(xué)唯一直屬附屬醫(yī)院，是省教育廳、省衛(wèi)健委共建單位。歷經(jīng)建設(shè)與發(fā)展，現(xiàn)已成為一所集醫(yī)療、教學(xué)、科研、急救、預(yù)防、康復(fù)為一體的綜合性三級(jí)甲等醫(yī)院。目前院內(nèi)有上百臺(tái)主機(jī)，由于不同的主機(jī)上也部署不同業(yè)務(wù)系統(tǒng)，對(duì)于主機(jī)上操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等軟件的版本、數(shù)量的梳理急需完善。同時(shí)對(duì)于主機(jī)補(bǔ)丁檢查、合規(guī)檢查、等保檢查也需要統(tǒng)一的管理平臺(tái)進(jìn)行管理。對(duì)于可能存在webshell后門等入侵行為，需要實(shí)時(shí)進(jìn)行監(jiān)控檢測(cè)，使在物理機(jī)、虛擬機(jī)等各種業(yè)務(wù)環(huán)境下實(shí)現(xiàn)安全的統(tǒng)一策略管理和快速的安全響應(yīng)能力，提高醫(yī)院的安全防護(hù)能力。

2、解決方案

在了解到揚(yáng)州市第一人民醫(yī)院的需求后，我們做了這些方面的實(shí)施工作：

（一）信息資產(chǎn)全面管理，可以發(fā)現(xiàn)、識(shí)別和跟蹤生產(chǎn)環(huán)境中的各類IT設(shè)備、主機(jī)軟件和WEB應(yīng)用及相關(guān)信息資產(chǎn)的參數(shù)屬性，并自動(dòng)維護(hù)動(dòng)態(tài)的企業(yè)信息資產(chǎn)庫(kù)，從而幫助醫(yī)院各項(xiàng)安全管理工作的自動(dòng)化，確保核查工作的全面性和準(zhǔn)確性；并可以做到以每天或更低的時(shí)間周期實(shí)現(xiàn)對(duì)生產(chǎn)環(huán)境中的安全檢查和監(jiān)控。

（二）完善的安全知識(shí)庫(kù)，通過知識(shí)庫(kù)可以全面的指導(dǎo)醫(yī)院IT信息系統(tǒng)的安全配置及加固工作；允許用戶根據(jù)自身業(yè)務(wù)的需要方便地實(shí)現(xiàn)安全檢查項(xiàng)擴(kuò)展，允許用戶進(jìn)行不同顆粒度的自定義檢查，包括：模板自定義、安全核查參數(shù)自定義、安全檢查項(xiàng)自定義等；與等保2.0相關(guān)要求的主機(jī)安全配置標(biāo)準(zhǔn)相兼容。

（三）信息資產(chǎn)驅(qū)動(dòng)安全基線管理，采用agent/server架構(gòu)，從而可以將傳統(tǒng)的遠(yuǎn)程安全配置核查工作中的大量人力工作改為自動(dòng)化的方式，大大節(jié)省了每次安全核查的時(shí)間，在較短的時(shí)間內(nèi)檢測(cè)出安全配置項(xiàng)的變化，并通過異常告警的方式提示給用戶。

（四）主機(jī)補(bǔ)丁檢查，及時(shí)、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)需要升級(jí)更新的重要補(bǔ)丁。通過定期更新補(bǔ)丁知識(shí)庫(kù)和補(bǔ)丁文件，結(jié)合系統(tǒng)的業(yè)務(wù)影響、資產(chǎn)及補(bǔ)丁的重要程度、修復(fù)影響情況，智能提供最貼合業(yè)務(wù)的補(bǔ)丁修復(fù)建議。

（五）弱口令檢查，檢測(cè)WEB/SSH/TELNET/FTP等應(yīng)用的弱口令，支持用戶導(dǎo)入自主的賬號(hào)和密碼字典，針對(duì)主機(jī)系統(tǒng)和部分中間件的弱口令，核查帳號(hào)口令強(qiáng)度是否符合要求，實(shí)現(xiàn)系統(tǒng)、業(yè)務(wù)口令的常態(tài)化檢查，不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行，后臺(tái)集中核查，支持核查各類在網(wǎng)主機(jī)、數(shù)據(jù)庫(kù)、中間件、以及第三方應(yīng)用系統(tǒng)的弱口令，可全面掌控主機(jī)的口令情況。

（六）漏洞與入侵檢測(cè)，實(shí)現(xiàn)風(fēng)險(xiǎn)持續(xù)性監(jiān)測(cè)與分析產(chǎn)品，能夠化被動(dòng)為主動(dòng)，深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險(xiǎn)，持續(xù)有效地對(duì)風(fēng)險(xiǎn)進(jìn)行處理，提高攻擊門檻。能夠?qū)崟r(shí)、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)被入侵主機(jī)。通過和資產(chǎn)信息緊密結(jié)合，第一時(shí)間提供最準(zhǔn)確入侵報(bào)警信息，同時(shí)提供入侵的詳情信息，幫助用戶解決問題。

實(shí)施效果

通過部署主機(jī)安全管理系統(tǒng)，完善醫(yī)院內(nèi)網(wǎng)安全防范體系，增加主機(jī)安全運(yùn)維數(shù)據(jù)監(jiān)測(cè)和合規(guī)緯度，有效提高防范潛在風(fēng)險(xiǎn)的能力：

（1）對(duì)運(yùn)營(yíng)環(huán)境中規(guī)模化、復(fù)雜化、快速變化的主機(jī)資產(chǎn)提供高效的運(yùn)維管理，并建立主機(jī)安全管理規(guī)范。

（2）減少主機(jī)的被攻擊面，發(fā)現(xiàn)(探測(cè))未知風(fēng)險(xiǎn)，讓主機(jī)安全真正落地，進(jìn)而保證業(yè)務(wù)系統(tǒng)的連續(xù)正常運(yùn)行。

（3）可配合國(guó)家、行業(yè)和醫(yī)院合規(guī)管控要求進(jìn)行自檢。