龐延輝 羅 俊 肖 鵬 章詩(shī)韻 舒成城

(武漢市疾病預(yù)防控制中心 武漢 430015)

1 引言

1.1 研究背景

隨著信息化發(fā)展，信息技術(shù)在疾控行業(yè)中得到充分應(yīng)用。武漢市逐步建立起傳染病、慢性病、健康危害因素及居民死亡原因上報(bào)等疾控信息系統(tǒng)，保存有大量敏感信息。近年來(lái)疾控、醫(yī)院等衛(wèi)生機(jī)構(gòu)屢次發(fā)生勒索、入侵、數(shù)據(jù)泄露等安全事件[1]。如何加強(qiáng)網(wǎng)絡(luò)安全防護(hù)已經(jīng)成為信息化建設(shè)中的難題。2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)》(等級(jí)保護(hù)制度2.0)等系列標(biāo)準(zhǔn)相繼出臺(tái)實(shí)施[2-3]，成為我國(guó)各行各業(yè)開(kāi)展網(wǎng)絡(luò)安全防護(hù)工作的金標(biāo)準(zhǔn)，疾控網(wǎng)絡(luò)安全建設(shè)必須以此為依據(jù)，提高網(wǎng)絡(luò)安全防護(hù)能力。

1.2 等級(jí)保護(hù)制度2.0概述

2019年5月13日等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)(以下簡(jiǎn)稱等保2.0)的發(fā)布標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代。等保2.0在法律支撐、技術(shù)、工程應(yīng)用層面都有較大創(chuàng)新，以“一個(gè)中心、三重防護(hù)”為中心的指導(dǎo)思想[4]，從安全管理體系和安全技術(shù)體系兩方面建設(shè)網(wǎng)絡(luò)安全防護(hù)框架[5]。等保2.0是推動(dòng)新一代網(wǎng)絡(luò)安全變革的驅(qū)動(dòng)力[6]，可指導(dǎo)疾控行業(yè)新安全體系建設(shè)，應(yīng)對(duì)外部高級(jí)威脅與內(nèi)部業(yè)務(wù)安全問(wèn)題，推動(dòng)疾控信息系統(tǒng)網(wǎng)絡(luò)安全水平全面提升。

2 疾控信息系統(tǒng)安全建設(shè)需求

2.1 安全管理體系

疾控中心橫向隸屬于本級(jí)衛(wèi)生健康管理部門，縱向接收上級(jí)疾控中心的技術(shù)指導(dǎo)和工作要求，在網(wǎng)絡(luò)安全上也受到轄區(qū)安全管理部門的監(jiān)督。在信息化建設(shè)過(guò)程中，還涉及內(nèi)部信息科、業(yè)務(wù)科室、采購(gòu)部門等。根據(jù)等保2.0安全管理體系要求，需要做好制度、機(jī)構(gòu)、人員、安全建設(shè)和安全運(yùn)維管理5項(xiàng)工作內(nèi)容。首先，亟需梳理各方關(guān)系，厘清網(wǎng)絡(luò)安全責(zé)任邊界，按照“誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”原則[7]，建立網(wǎng)絡(luò)安全組織架構(gòu)，明確信息部門工作范圍和責(zé)任邊界。其次，加強(qiáng)信息系統(tǒng)安全運(yùn)維管理。最后，提高人員網(wǎng)絡(luò)安全意識(shí)。

2.2 安全技術(shù)體系

由于疾控中心業(yè)務(wù)范圍涉及較廣、需求多樣，經(jīng)長(zhǎng)時(shí)間發(fā)展形成較多孤立的信息系統(tǒng)。另外為滿足業(yè)務(wù)系統(tǒng)需求，逐漸接入了衛(wèi)生專網(wǎng)、政務(wù)內(nèi)網(wǎng)、財(cái)務(wù)專網(wǎng)、視頻會(huì)議專線，具有復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和互聯(lián)網(wǎng)暴露點(diǎn)多的特點(diǎn)，增加了網(wǎng)絡(luò)安全防護(hù)難度。依據(jù)等保2.0安全技術(shù)體系要求，需要做好安全物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境和安全管理中心5方面工作。根據(jù)疾控中心實(shí)際情況，一方面，厘清內(nèi)部信息資產(chǎn)；另一方面，劃清網(wǎng)絡(luò)安全邊界，加強(qiáng)區(qū)域防護(hù)；最后，加強(qiáng)信息系統(tǒng)全生命周期信息安全管理。對(duì)此，本次實(shí)踐從安全管理和安全技術(shù)兩方面入手，對(duì)疾控中心原有安全架構(gòu)查漏補(bǔ)缺，形成符合等保2.0的3級(jí)信息系統(tǒng)安全體系。

3 安全管理體系建設(shè)

3.1 組織架構(gòu)

3.1.1 總體架構(gòu) 網(wǎng)絡(luò)安全管理是一項(xiàng)復(fù)雜的工程，其管理對(duì)象包括人、物和網(wǎng)絡(luò)空間，除了技術(shù)實(shí)現(xiàn)，單位管理層的參與和重視至關(guān)重要。因此以單位黨委書(shū)記作為網(wǎng)絡(luò)安全第一責(zé)任人，強(qiáng)化網(wǎng)絡(luò)安全責(zé)任制，在組織架構(gòu)上劃分為管理層和運(yùn)行層。

3.1.2 管理層 在管理層面成立網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組，由中心領(lǐng)導(dǎo)和中層干部組成。中心黨委書(shū)記擔(dān)任小組組長(zhǎng)，分管領(lǐng)導(dǎo)為直接負(fù)責(zé)人，科長(zhǎng)為成員。領(lǐng)導(dǎo)小組職責(zé)是制定中心網(wǎng)絡(luò)安全目標(biāo)和管理制度、評(píng)審與監(jiān)察網(wǎng)絡(luò)安全事件。

3.1.3 運(yùn)行層 領(lǐng)導(dǎo)小組下設(shè)辦公室在中心信息科，具體承擔(dān)領(lǐng)導(dǎo)小組的日常管理工作，依據(jù)“誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”原則，貫徹落實(shí)上級(jí)網(wǎng)絡(luò)工作的部署和要求；負(fù)責(zé)統(tǒng)籌、協(xié)調(diào)本單位網(wǎng)絡(luò)安全事件應(yīng)急工作，配合上級(jí)主管部門和轄區(qū)網(wǎng)絡(luò)安全管理部門做好網(wǎng)絡(luò)安全相關(guān)應(yīng)急處置工作；保障應(yīng)用系統(tǒng)安全，推進(jìn)信息系統(tǒng)全生命周期安全管理，信息技術(shù)基礎(chǔ)設(shè)施安全基線檢查，督促相關(guān)科室及廠商完成安全整改等。后勤部門負(fù)責(zé)信息系統(tǒng)及相關(guān)硬件設(shè)備采購(gòu)、電力供應(yīng)和消防設(shè)備維護(hù)等。系統(tǒng)建設(shè)部門承擔(dān)信息系統(tǒng)安全主體責(zé)任，負(fù)責(zé)軟件部分安全整改。同時(shí)中心與上級(jí)主管部門、各類供應(yīng)商、業(yè)界專家及安全組織等外聯(lián)單位保持合作伙伴關(guān)系，建立合作內(nèi)容、聯(lián)系方式列表，開(kāi)展常態(tài)化溝通協(xié)作。

3.2 安全運(yùn)維

3.2.1 安全巡檢 網(wǎng)絡(luò)安全是不斷變化和發(fā)展的動(dòng)態(tài)過(guò)程，使用任何一種功能強(qiáng)大、體系健壯的技術(shù)產(chǎn)品都不可能一勞永逸地解決網(wǎng)絡(luò)安全威脅問(wèn)題，需要根據(jù)外部安全態(tài)勢(shì)和安全通告不斷完善內(nèi)部安全措施。日常安全巡檢是信息系統(tǒng)常態(tài)化運(yùn)行中保障網(wǎng)絡(luò)安全的重要手段，其目的是確保信息系統(tǒng)網(wǎng)絡(luò)安全一直處于等?；€水平上。在實(shí)踐中采取“日周月季”巡檢措施。日巡檢：每日進(jìn)行機(jī)房物理安全巡查，包括門禁狀態(tài)、空調(diào)溫濕度、不間斷電源(Uninterruptible Power Supply，UPS)以及各種網(wǎng)絡(luò)設(shè)備服務(wù)器指示燈是否正常等；周巡檢：收集態(tài)勢(shì)感知平臺(tái)和日志審計(jì)數(shù)據(jù)，對(duì)本周內(nèi)網(wǎng)絡(luò)攻擊行為進(jìn)行分析總結(jié)，采取漏洞修復(fù)、口令修改、IP封堵等措施，降低安全風(fēng)險(xiǎn)；月報(bào)告：對(duì)終端電腦、服務(wù)器、虛擬機(jī)、安全設(shè)備、數(shù)據(jù)庫(kù)等做全面安全檢查，形成月度運(yùn)維報(bào)告，分析存在的安全問(wèn)題，提出整改意見(jiàn)，列出整改計(jì)劃；季度漏掃：每季度定期對(duì)信息系統(tǒng)進(jìn)行安全漏洞掃描和人工滲透，形成“季度安全滲透測(cè)試及巡檢報(bào)告”，涉及信息系統(tǒng)有安全漏洞的，由信息科督促責(zé)任部門及時(shí)整改，按時(shí)提交整改報(bào)告并將整改結(jié)果納入季度績(jī)效考核。

3.2.2 安全應(yīng)急處置 目前安全應(yīng)急處置主要來(lái)自于外部通報(bào)和內(nèi)部自查。其中外部通報(bào)是指市網(wǎng)信辦、市網(wǎng)安部門、上級(jí)主管部門等第3方監(jiān)管機(jī)構(gòu)下發(fā)的安全通報(bào)，由網(wǎng)絡(luò)安全員負(fù)責(zé)進(jìn)行深入分析，評(píng)估影響范圍，按時(shí)完成系統(tǒng)加固并提交整改報(bào)告；內(nèi)部自查是指在日常安全巡檢或收到態(tài)勢(shì)感知的安全警告，發(fā)現(xiàn)系統(tǒng)有被黑客入侵的跡象，網(wǎng)絡(luò)安全員對(duì)該情況進(jìn)行深入分析，如果確認(rèn)系統(tǒng)被攻擊，則立即啟動(dòng)“信息系統(tǒng)安全應(yīng)急預(yù)案”，果斷采取阻斷措施，同時(shí)評(píng)估影響范圍，進(jìn)行攻擊溯源，形成網(wǎng)絡(luò)安全事件報(bào)告，按預(yù)案流程逐級(jí)上報(bào)。

3.2.3 重保服務(wù) 重大事件安全保障服務(wù)簡(jiǎn)稱為“重保服務(wù)”，是為解決人員經(jīng)驗(yàn)技術(shù)不足及配置缺陷等問(wèn)題，由第3方專業(yè)安全公司提供協(xié)助，處理特殊時(shí)期(如各級(jí)護(hù)網(wǎng)行動(dòng)、重大節(jié)假日及活動(dòng)期間)信息系統(tǒng)安全工作中出現(xiàn)的故障、安全事件以及安全管理方面的問(wèn)題，保障業(yè)務(wù)系統(tǒng)完整性、保密性，使業(yè)務(wù)系統(tǒng)高效持續(xù)運(yùn)行。通過(guò)事前發(fā)現(xiàn)與預(yù)防、事中處理與恢復(fù)、保障后評(píng)估與總結(jié)3個(gè)階段，全面了解系統(tǒng)安全現(xiàn)狀，實(shí)現(xiàn)詳細(xì)資產(chǎn)梳理、漏洞檢測(cè)加固、全量的網(wǎng)站監(jiān)控、專業(yè)人員值守、問(wèn)題總結(jié)實(shí)時(shí)整改等工作。

3.3 安全意識(shí)教育

3.3.1 安全培訓(xùn) 網(wǎng)絡(luò)安全意識(shí)教育是保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)，在等保2.0中明確指出應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育。疾控機(jī)構(gòu)中參與信息系統(tǒng)流程的人員較多，將培訓(xùn)對(duì)象分為業(yè)務(wù)人員和信息技術(shù)人員，由信息科統(tǒng)一組織、定期開(kāi)展，采取線上、線下或兩者相結(jié)合的培訓(xùn)形式。針對(duì)業(yè)務(wù)人員進(jìn)行普及性安全意識(shí)教育，結(jié)合當(dāng)前國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)、安全事件案例等告知相關(guān)安全責(zé)任和懲戒措施，加深被培訓(xùn)者的印象，針對(duì)信息技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)和崗位技能培訓(xùn)，加強(qiáng)政策宣貫和制度學(xué)習(xí)。

3.3.2 管理制度 做好網(wǎng)絡(luò)安全管理應(yīng)制定網(wǎng)絡(luò)安全工作總體方針、安全策略和各種管理制度。由信息科制定和發(fā)布，定期對(duì)安全管理制度合理性和適應(yīng)性進(jìn)行論證和審定，針對(duì)存在的不足進(jìn)行修訂。圍繞信息系統(tǒng)全生命周期制定相關(guān)制度，包括“信息化項(xiàng)目管理制度”“網(wǎng)絡(luò)安全管理制度”“信息系統(tǒng)運(yùn)維管理制度”“網(wǎng)絡(luò)安全意識(shí)教育和培訓(xùn)制度”“網(wǎng)絡(luò)安全責(zé)任追究制度”“信息系統(tǒng)安全應(yīng)急預(yù)案”等。嚴(yán)格按照制度內(nèi)容落實(shí)網(wǎng)絡(luò)安全工作，通過(guò)日常網(wǎng)絡(luò)安全防護(hù)實(shí)踐不斷完善管理制度，形成良好循環(huán)。

3.3.3 安全通告 安全通告是指通過(guò)互聯(lián)網(wǎng)或第3方安全服務(wù)公司及時(shí)獲取最新的安全漏洞態(tài)勢(shì)、前沿安全技術(shù)，及時(shí)了解最新的重大安全事件，提升網(wǎng)絡(luò)安全管理員技術(shù)能力，為單位內(nèi)部進(jìn)行安全預(yù)警，提前做好安全漏洞補(bǔ)丁修復(fù)。在實(shí)踐中采取購(gòu)買服務(wù)形式，由第3方每月提供一期安全態(tài)勢(shì)報(bào)告，內(nèi)容包括緊急安全事件通告、安全漏洞通告、安全預(yù)警通告和安全建議。在出現(xiàn)高危漏洞和突發(fā)重要事件時(shí)將提供相應(yīng)安全通告。

3.4 信息系統(tǒng)全生命周期管理

針對(duì)信息系統(tǒng)，嚴(yán)格落實(shí)“同步規(guī)劃、同步建設(shè)、同步使用”的3同步原則[8]。首先，在信息系統(tǒng)規(guī)劃階段要進(jìn)行安全方案討論，明確用戶對(duì)象、保護(hù)等級(jí)、所屬安全區(qū)域、安全措施；其次，在實(shí)施階段填寫(xiě)“服務(wù)器資源申請(qǐng)表”，明確系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D，設(shè)置安全措施(殺毒軟件、EDR、主機(jī)防火墻、網(wǎng)絡(luò)防火墻安全策略、WAF、數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)、數(shù)據(jù)備份、堡壘機(jī)、VPN等)，上線前在繞開(kāi)安全設(shè)備防護(hù)下進(jìn)行安全漏洞掃描，整改完成后才允許上線運(yùn)行；最后，同步運(yùn)行，做好常態(tài)化系統(tǒng)運(yùn)行網(wǎng)絡(luò)安全監(jiān)督檢查整改。同時(shí)在信息系統(tǒng)停止使用后，要收回服務(wù)器資源和網(wǎng)絡(luò)安全配置，做到信息系統(tǒng)的全生命周期管理。

4 安全技術(shù)體系建設(shè)

4.1 信息資產(chǎn)梳理

網(wǎng)絡(luò)安全遵循“木桶原理”，防護(hù)工作質(zhì)量取決于最短板[9]。因此全面梳理信息資產(chǎn)是做好網(wǎng)絡(luò)安全的首要工作，將資產(chǎn)整理成表形成網(wǎng)絡(luò)拓?fù)鋱D和資產(chǎn)清單。信息資產(chǎn)包括服務(wù)器、虛擬機(jī)、存儲(chǔ)、安全設(shè)備、軟件信息系統(tǒng)等，不同資產(chǎn)的記錄字段有所差異。

4.2 安全區(qū)域規(guī)劃(圖1)

4.2.1 概述 等保2.0提出“一個(gè)中心，三重防御”的重要思想：一個(gè)中心指“安全管理中心”，三重防御是指“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”[10]。中心參考網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架，將網(wǎng)絡(luò)劃分為4個(gè)安全區(qū)域：外網(wǎng)服務(wù)器安全域、內(nèi)網(wǎng)服務(wù)器安全域、終端安全域和安全管理中心。各安全域所使用資源相對(duì)獨(dú)立，域間通過(guò)安全設(shè)備相互通信，域內(nèi)通過(guò)虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)進(jìn)行邏輯隔離或者終端檢測(cè)響應(yīng)平臺(tái)(Endpoint Detection and Response, EDR)進(jìn)行微隔離[11]。

4.2.2 外網(wǎng)服務(wù)器安全域 該區(qū)域采用虛擬化技術(shù)構(gòu)建虛擬計(jì)算資源池，部署供互聯(lián)網(wǎng)用戶訪問(wèn)的業(yè)務(wù)信息系統(tǒng)。域內(nèi)各虛擬機(jī)均安裝企業(yè)版殺毒軟件，利用EDR進(jìn)行服務(wù)器間的微隔離，控制服務(wù)器間橫向訪問(wèn)，根據(jù)最小訪問(wèn)權(quán)限原則僅開(kāi)放虛擬機(jī)之間必要的訪問(wèn)端口。

4.2.3 內(nèi)網(wǎng)服務(wù)器安全域 該區(qū)域同樣采用虛擬化技術(shù)構(gòu)建計(jì)算資源池，部署僅供內(nèi)部員工或醫(yī)療衛(wèi)生單位用戶訪問(wèn)的業(yè)務(wù)信息系統(tǒng)，用戶只能通過(guò)局域網(wǎng)或衛(wèi)生專網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng)。安全策略與外網(wǎng)服務(wù)器區(qū)域一致，通過(guò)防火墻與其他區(qū)域進(jìn)行邏輯隔離。

4.2.4 終端安全域 終端是指局域網(wǎng)內(nèi)有線用戶、無(wú)線用戶和VPN虛擬終端。中心辦公區(qū)域全部覆蓋無(wú)線網(wǎng)絡(luò)，為規(guī)范管理無(wú)線用戶，將其分為內(nèi)網(wǎng)用戶和游客兩類。其中內(nèi)網(wǎng)用戶僅指內(nèi)部員工，可訪問(wèn)內(nèi)部業(yè)務(wù)系統(tǒng)，需要安裝準(zhǔn)入控制系統(tǒng)進(jìn)行登記，實(shí)施殺毒軟件、主機(jī)強(qiáng)口令的安全檢測(cè)，通過(guò)后給予放行；有線用戶管理同無(wú)線內(nèi)網(wǎng)用戶；VPN虛擬終端是指用戶在互聯(lián)網(wǎng)環(huán)境以VPN方式訪問(wèn)內(nèi)部資源，將嚴(yán)格控制訪問(wèn)權(quán)限。系統(tǒng)運(yùn)維人員以VPN方式訪問(wèn)堡壘機(jī)，開(kāi)展系統(tǒng)維護(hù)工作。

4.3 安全管理中心

等保2.0將安全管理中心從管理層面提升到技術(shù)層面，獨(dú)立出來(lái)進(jìn)行要求，包括系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等功能[12]，從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御、動(dòng)態(tài)防御。該區(qū)域功能主要通過(guò)安全設(shè)備實(shí)現(xiàn)，包括防火墻、網(wǎng)絡(luò)管理平臺(tái)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)備份、VPN設(shè)備、準(zhǔn)入控制系統(tǒng)、EDR、安全網(wǎng)閘、堡壘機(jī)、態(tài)勢(shì)感知平臺(tái)等，以實(shí)現(xiàn)權(quán)限集中管控、日志集中審計(jì)、安全事件集中監(jiān)控響應(yīng)、安全策略的統(tǒng)一管理、漏洞補(bǔ)丁的統(tǒng)一更新等。

5 結(jié)語(yǔ)

通過(guò)上述網(wǎng)絡(luò)安全加固措施，大幅提升疾控信息系統(tǒng)安全防護(hù)能力，順利通過(guò)網(wǎng)絡(luò)安全3級(jí)等保測(cè)評(píng)，有效保障網(wǎng)絡(luò)安全。等級(jí)保護(hù)2.0為各行各業(yè)提供了一個(gè)網(wǎng)絡(luò)安全建設(shè)基線[13]，但網(wǎng)絡(luò)安全是個(gè)動(dòng)態(tài)防護(hù)過(guò)程[14]，重點(diǎn)是建立一套監(jiān)測(cè)、整改加固、應(yīng)急事件處置的日常管理機(jī)制。在本實(shí)踐中較為創(chuàng)新的是設(shè)置 “日周月季”的巡檢措施和完善的應(yīng)急處置流程，將網(wǎng)絡(luò)安全工作常態(tài)化，做到早發(fā)現(xiàn)、早處置。網(wǎng)絡(luò)安全需要從技術(shù)與管理的角度對(duì)當(dāng)前存在的安全隱患進(jìn)行全面分析，保證疾控信息系統(tǒng)安全穩(wěn)定運(yùn)行，為疾控工作提供可靠支撐。