2019年12月1日實施執(zhí)行的《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，在法律法規(guī)層面對醫(yī)療行業(yè)的網(wǎng)絡(luò)安全防范提出了新要求。隨著醫(yī)院業(yè)務(wù)系統(tǒng)的不斷增多，與之配套的IT基礎(chǔ)設(shè)施，特別是主機的數(shù)量也不斷增加，為保障業(yè)務(wù)安全，主機安全管理越來越重要，主機作為信息安全管理的最后一公里，需要持續(xù)的安全監(jiān)控、分析和快速響應(yīng)，如何保障主機有效的安全管理是信息技術(shù)部門面臨的一個重要課題。

1、項目背景

揚州市第一人民醫(yī)院，創(chuàng)建于1960年，系揚州大學(xué)唯一直屬附屬醫(yī)院，是省教育廳、省衛(wèi)健委共建單位。歷經(jīng)建設(shè)與發(fā)展，現(xiàn)已成為一所集醫(yī)療、教學(xué)、科研、急救、預(yù)防、康復(fù)為一體的綜合性三級甲等醫(yī)院。目前院內(nèi)有上百臺主機，由于不同的主機上也部署不同業(yè)務(wù)系統(tǒng)，對于主機上操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟件的版本、數(shù)量的梳理急需完善。同時對于主機補丁檢查、合規(guī)檢查、等保檢查也需要統(tǒng)一的管理平臺進行管理。對于可能存在webshell后門等入侵行為，需要實時進行監(jiān)控檢測，使在物理機、虛擬機等各種業(yè)務(wù)環(huán)境下實現(xiàn)安全的統(tǒng)一策略管理和快速的安全響應(yīng)能力，提高醫(yī)院的安全防護能力。

2、解決方案

在了解到揚州市第一人民醫(yī)院的需求后，我們做了這些方面的實施工作：

（一）信息資產(chǎn)全面管理，可以發(fā)現(xiàn)、識別和跟蹤生產(chǎn)環(huán)境中的各類IT設(shè)備、主機軟件和WEB應(yīng)用及相關(guān)信息資產(chǎn)的參數(shù)屬性，并自動維護動態(tài)的企業(yè)信息資產(chǎn)庫，從而幫助醫(yī)院各項安全管理工作的自動化，確保核查工作的全面性和準(zhǔn)確性；并可以做到以每天或更低的時間周期實現(xiàn)對生產(chǎn)環(huán)境中的安全檢查和監(jiān)控。

（二）完善的安全知識庫，通過知識庫可以全面的指導(dǎo)醫(yī)院IT信息系統(tǒng)的安全配置及加固工作；允許用戶根據(jù)自身業(yè)務(wù)的需要方便地實現(xiàn)安全檢查項擴展，允許用戶進行不同顆粒度的自定義檢查，包括：模板自定義、安全核查參數(shù)自定義、安全檢查項自定義等；與等保2.0相關(guān)要求的主機安全配置標(biāo)準(zhǔn)相兼容。

（三）信息資產(chǎn)驅(qū)動安全基線管理，采用agent/server架構(gòu)，從而可以將傳統(tǒng)的遠(yuǎn)程安全配置核查工作中的大量人力工作改為自動化的方式，大大節(jié)省了每次安全核查的時間，在較短的時間內(nèi)檢測出安全配置項的變化，并通過異常告警的方式提示給用戶。

（四）主機補丁檢查，及時、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)需要升級更新的重要補丁。通過定期更新補丁知識庫和補丁文件，結(jié)合系統(tǒng)的業(yè)務(wù)影響、資產(chǎn)及補丁的重要程度、修復(fù)影響情況，智能提供最貼合業(yè)務(wù)的補丁修復(fù)建議。

（五）弱口令檢查，檢測WEB/SSH/TELNET/FTP等應(yīng)用的弱口令，支持用戶導(dǎo)入自主的賬號和密碼字典，針對主機系統(tǒng)和部分中間件的弱口令，核查帳號口令強度是否符合要求，實現(xiàn)系統(tǒng)、業(yè)務(wù)口令的常態(tài)化檢查，不影響業(yè)務(wù)系統(tǒng)正常運行，后臺集中核查，支持核查各類在網(wǎng)主機、數(shù)據(jù)庫、中間件、以及第三方應(yīng)用系統(tǒng)的弱口令，可全面掌控主機的口令情況。

（六）漏洞與入侵檢測，實現(xiàn)風(fēng)險持續(xù)性監(jiān)測與分析產(chǎn)品，能夠化被動為主動，深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險，持續(xù)有效地對風(fēng)險進行處理，提高攻擊門檻。能夠?qū)崟r、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)被入侵主機。通過和資產(chǎn)信息緊密結(jié)合，第一時間提供最準(zhǔn)確入侵報警信息，同時提供入侵的詳情信息，幫助用戶解決問題。

實施效果

通過部署主機安全管理系統(tǒng)，完善醫(yī)院內(nèi)網(wǎng)安全防范體系，增加主機安全運維數(shù)據(jù)監(jiān)測和合規(guī)緯度，有效提高防范潛在風(fēng)險的能力：

（1）對運營環(huán)境中規(guī)模化、復(fù)雜化、快速變化的主機資產(chǎn)提供高效的運維管理，并建立主機安全管理規(guī)范。

（2）減少主機的被攻擊面，發(fā)現(xiàn)(探測)未知風(fēng)險，讓主機安全真正落地，進而保證業(yè)務(wù)系統(tǒng)的連續(xù)正常運行。

（3）可配合國家、行業(yè)和醫(yī)院合規(guī)管控要求進行自檢。