2019年12月1日实施执行的《GBT22239-2019信息安全技术网络安全等级保护基本要求》,在法律法规层面对医疗行业的网络安全防范提出了新要求。随着医院业务系统的不断增多,与之配套的IT基础设施,特别是主机的数量也不断增加,为保障业务安全,主机安全管理越来越重要,主机作为信息安全管理的最后一公里,需要持续的安全监控、分析和快速响应,如何保障主机有效的安全管理是信息技术部门面临的一个重要课题。
1、项目背景
扬州市第一人民医院,创建于1960年,系扬州大学唯一直属附属医院,是省教育厅、省卫健委共建单位。历经建设与发展,现已成为一所集医疗、教学、科研、急救、预防、康复为一体的综合性三级甲等医院。目前院内有上百台主机,由于不同的主机上也部署不同业务系统,对于主机上操作系统、数据库、中间件等软件的版本、数量的梳理急需完善。同时对于主机补丁检查、合规检查、等保检查也需要统一的管理平台进行管理。对于可能存在webshell后门等入侵行为,需要实时进行监控检测,使在物理机、虚拟机等各种业务环境下实现安全的统一策略管理和快速的安全响应能力,提高医院的安全防护能力。
2、解决方案
在了解到扬州市第一人民医院的需求后,我们做了这些方面的实施工作:
(一)信息资产全面管理,可以发现、识别和跟踪生产环境中的各类IT设备、主机软件和WEB应用及相关信息资产的参数属性,并自动维护动态的企业信息资产库,从而帮助医院各项安全管理工作的自动化,确保核查工作的全面性和准确性;并可以做到以每天或更低的时间周期实现对生产环境中的安全检查和监控。
(二)完善的安全知识库,通过知识库可以全面的指导医院IT信息系统的安全配置及加固工作;允许用户根据自身业务的需要方便地实现安全检查项扩展,允许用户进行不同颗粒度的自定义检查,包括:模板自定义、安全核查参数自定义、安全检查项自定义等;与等保2.0相关要求的主机安全配置标准相兼容。
(三)信息资产驱动安全基线管理,采用agent/server架构,从而可以将传统的远程安全配置核查工作中的大量人力工作改为自动化的方式,大大节省了每次安全核查的时间,在较短的时间内检测出安全配置项的变化,并通过异常告警的方式提示给用户。
(四)主机补丁检查,及时、精准发现系统需要升级更新的重要补丁。通过定期更新补丁知识库和补丁文件,结合系统的业务影响、资产及补丁的重要程度、修复影响情况,智能提供最贴合业务的补丁修复建议。
(五)弱口令检查,检测WEB/SSH/TELNET/FTP等应用的弱口令,支持用户导入自主的账号和密码字典,针对主机系统和部分中间件的弱口令,核查帐号口令强度是否符合要求,实现系统、业务口令的常态化检查,不影响业务系统正常运行,后台集中核查,支持核查各类在网主机、数据库、中间件、以及第三方应用系统的弱口令,可全面掌控主机的口令情况。
(六)漏洞与入侵检测,实现风险持续性监测与分析产品,能够化被动为主动,深入发现内部暴露的问题和风险,持续有效地对风险进行处理,提高攻击门槛。能够实时、准确地感知入侵事件,发现被入侵主机。通过和资产信息紧密结合,第一时间提供最准确入侵报警信息,同时提供入侵的详情信息,帮助用户解决问题。
实施效果
通过部署主机安全管理系统,完善医院内网安全防范体系,增加主机安全运维数据监测和合规纬度,有效提高防范潜在风险的能力:
(1)对运营环境中规模化、复杂化、快速变化的主机资产提供高效的运维管理,并建立主机安全管理规范。
(2)减少主机的被攻击面,发现(探测)未知风险,让主机安全真正落地,进而保证业务系统的连续正常运行。
(3)可配合国家、行业和医院合规管控要求进行自检。