資訊
頻道
當(dāng)前位置:首頁 > 醫(yī)療器械資訊 > 行業(yè)資訊 > 王磊:“三元世界”中的網(wǎng)絡(luò)安全實踐

王磊:“三元世界”中的網(wǎng)絡(luò)安全實踐

文章來源:HC3i發(fā)布日期:2021-09-11瀏覽次數(shù):58

何謂三元世界

從哲學(xué)角度看,世界是由物質(zhì)、概念、時空構(gòu)成的,其中物質(zhì)組成了世界的內(nèi)容,概念組成了我們對世界的想象,而時空是它們存在的形式。筆者認(rèn)為當(dāng)前世界是三元的,這三元分別是物理世界、人類社會和網(wǎng)絡(luò)空間。

物理世界是客觀存在的,源于宇宙大爆炸,由太空、地球、大陸、海洋、山川、河流、動物、植物等構(gòu)成;人類社會是物質(zhì)運動的高形式,在特定的物質(zhì)資料生產(chǎn)基礎(chǔ)上相互交往共同活動形成的各種關(guān)系的有機系統(tǒng),包括政權(quán)、法律、制度、標(biāo)準(zhǔn)、道德、文化等;網(wǎng)絡(luò)空間一詞來源于美國科幻作家威廉·吉布森1984年創(chuàng)作的科幻小說《神經(jīng)漫游者》,吉布森在故事中將全球電腦網(wǎng)絡(luò)構(gòu)成的空間取名為“賽伯空間”(Cyberspace),翻譯過來也就是"網(wǎng)絡(luò)空間",網(wǎng)絡(luò)空間由網(wǎng)絡(luò)活動的主體、軟件與協(xié)議、信息資源、通信線路與通信設(shè)備四部分構(gòu)成。

筆者為何把網(wǎng)絡(luò)空間與物理世界、人類社會并稱為“三元世界”?其實早在2015年世界互聯(lián)網(wǎng)大會,習(xí)總書記就對共同構(gòu)建網(wǎng)絡(luò)空間命運共同體提出了五點主張;2017年以來,郭仁忠院士、潘云鶴院士、國家信息中心信息化和產(chǎn)業(yè)發(fā)展部單志廣主任等業(yè)內(nèi)人士紛紛指出我們已經(jīng)進入了三元世界;2019、2020年,中共中央兩度發(fā)文,將數(shù)據(jù)列為生產(chǎn)要素;新的《中國數(shù)字經(jīng)濟發(fā)展白皮書》、《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》指出,我國數(shù)字經(jīng)濟規(guī)模已經(jīng)達到39.2萬億元,占GDP38.6%,而我國互聯(lián)網(wǎng)普及率70.4%,網(wǎng)民規(guī)模達9.89億,網(wǎng)民每周上網(wǎng)時長26.2小時;今年出爐的“十四五”規(guī)劃,也將“加快數(shù)字化發(fā)展建設(shè)數(shù)字中國”作為整個規(guī)劃的第五篇。綜上所述,當(dāng)前我們已經(jīng)進入了三元世界,已逐步成為社會各界的共識。

網(wǎng)絡(luò)安全內(nèi)涵



基于對“三元世界”的認(rèn)識,筆者認(rèn)為日常我們談?wù)摰木W(wǎng)絡(luò)安全,實際上是網(wǎng)絡(luò)空間安全的簡稱。因為網(wǎng)絡(luò)空間主要由各類信息系統(tǒng)和信息資源構(gòu)成,可以認(rèn)為網(wǎng)絡(luò)安全的核心內(nèi)涵是信息安全(廣義),信息安全又包括設(shè)備安全、數(shù)據(jù)安全、行為安全、內(nèi)容安全。設(shè)備安全強調(diào)的是設(shè)備穩(wěn)定性、設(shè)備可靠性、設(shè)備可用性;數(shù)據(jù)安全也即信息安全(狹義),強調(diào)數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)可用性;行為安全可以理解為數(shù)據(jù)安全的動態(tài)過程,強調(diào)行為保密性、行為完整性、行為可控性;內(nèi)容安全強調(diào)的是信息資源政治健康、符合法律法規(guī)、符合道德規(guī)范。網(wǎng)絡(luò)空間安全是指信息獲取、信息存儲、信息傳輸和信息處理領(lǐng)域中的信息安全,它已經(jīng)發(fā)展為一個獨立的學(xué)科,可細(xì)分為五個方向:密碼學(xué)、網(wǎng)絡(luò)安全、信息系統(tǒng)安全、信息內(nèi)容安全、信息對抗。

網(wǎng)絡(luò)安全模型

目前網(wǎng)絡(luò)安全常用的為P2DR2模型,也即策略(Policy)、保護(Protection)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)。策略就是根據(jù)風(fēng)險分析,定義哪些資源需要得到保護,以及如何實現(xiàn)對它們的保護;保護就是在安全策略指導(dǎo)下,采用一切必要的措施來保護網(wǎng)絡(luò)、系統(tǒng)以及信息的安全;檢測就是了解和評估網(wǎng)絡(luò)安全狀態(tài),為安全防護和安全響應(yīng)提供依據(jù);響應(yīng)就是在安全策略指導(dǎo)下,及時截斷可疑鏈接、杜絕可疑后門和漏洞,啟動相關(guān)報警信息,進行事件處理;恢復(fù)就是在安全策略指導(dǎo)下,啟用應(yīng)急響應(yīng),及時恢復(fù)業(yè)務(wù),保證業(yè)務(wù)連續(xù),并進行現(xiàn)場恢復(fù)及攻擊行為的再現(xiàn),供研究和取證。

網(wǎng)絡(luò)安全目標(biāo)

筆者認(rèn)為網(wǎng)絡(luò)安全從業(yè)者的目標(biāo)是保證信息永不泄露、數(shù)據(jù)永不丟失、系統(tǒng)永不宕機,這是很難達到的,比較現(xiàn)實的目標(biāo)是以滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、網(wǎng)絡(luò)安全等級保護為底線,結(jié)合本單位實際制定恰當(dāng)?shù)陌踩呗?,確保安全策略執(zhí)行到位,并適時對其進行優(yōu)化。

網(wǎng)絡(luò)安全實踐

筆者所在山東大學(xué)齊魯醫(yī)院是國家衛(wèi)建委直管醫(yī)院,是山東大學(xué)的直屬附屬醫(yī)院,目前有濟南中心院區(qū)、濟南東院區(qū)、青島院區(qū)三個院區(qū)。其中濟南兩個院區(qū)職工近6000人,日門急診量峰值1.4萬人次。2016年以來,筆者從意識、人才、技術(shù)、管理、運維五個方面開展網(wǎng)絡(luò)安全工作,取得了一些成效,2020年醫(yī)院被山東省信息網(wǎng)絡(luò)安全協(xié)會評為“新冠肺炎疫情信息安全先進集體”。

?1.網(wǎng)絡(luò)安全意識培養(yǎng)

一定要站在“三元世界”的高度認(rèn)識網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全不只要面對網(wǎng)絡(luò)空間內(nèi)部的攻擊,還將面臨來自物理世界和人類社會的攻擊,比如自然災(zāi)害、物理攻擊和破壞、社會工程學(xué)攻擊等。

醫(yī)院主要領(lǐng)導(dǎo)、分管網(wǎng)絡(luò)安全與信息化的領(lǐng)導(dǎo)、信息部門負(fù)責(zé)人的網(wǎng)絡(luò)安全意識是重中之重,可以結(jié)合各級網(wǎng)絡(luò)安全檢查的時機進行網(wǎng)絡(luò)安全意識宣貫,2019年國家衛(wèi)健委下發(fā)的《關(guān)于落實衛(wèi)生健康行業(yè)網(wǎng)絡(luò)信息與數(shù)據(jù)安全責(zé)任的通知》,也是很好的網(wǎng)絡(luò)安全意識培養(yǎng)教材。另外,每年要定期進行全員的網(wǎng)絡(luò)安全意識培訓(xùn),如果結(jié)合國家網(wǎng)絡(luò)安全宣傳周進行效果更佳。

?2.網(wǎng)絡(luò)安全人才培養(yǎng)

一個單位擁有自己的網(wǎng)絡(luò)安全人才至關(guān)重要,首先可以做到在日常網(wǎng)絡(luò)安全工作中有較清晰的思路,幫助單位少走彎路;其次是如果遇到突發(fā)網(wǎng)絡(luò)安全事件,可以自主進行應(yīng)急處置,為單位贏得寶貴的時間,將損失降至低;另外,如果遇到較大規(guī)模的網(wǎng)絡(luò)安全事件,平時靠得住的網(wǎng)絡(luò)安全服務(wù)商能否第一時間響應(yīng)您的需求還是未知數(shù)。

為加強網(wǎng)絡(luò)安全人才培養(yǎng),筆者采取了以下措施:首先是帶頭學(xué)習(xí)網(wǎng)絡(luò)安全知識,考取網(wǎng)絡(luò)安全認(rèn)證;其次是多方籌措經(jīng)費,派出技術(shù)人員進行脫產(chǎn)培訓(xùn);第三是鼓勵同事們考取軟考信息安全工程師證書;第四是定期對全院兼職網(wǎng)絡(luò)安全管理員進行培訓(xùn)。

經(jīng)過幾年的努力,信息部門內(nèi)部形成了較為濃厚的網(wǎng)絡(luò)安全學(xué)習(xí)氛圍,人才培養(yǎng)方面也取得了豐碩的成果,新增CISSP一名、CISP四名、信息安全工程師三名、BSI信息安全管理體系內(nèi)審員二十八名。

網(wǎng)絡(luò)安全方面的認(rèn)證很多,筆者認(rèn)為英國標(biāo)準(zhǔn)協(xié)會(BSI)組織的信息安全管理體系內(nèi)審員認(rèn)證比較適合網(wǎng)絡(luò)安全意識培養(yǎng);中國信息安全產(chǎn)品測評認(rèn)證中心實施的國家認(rèn)證注冊信息安全專業(yè)人員(CISP)權(quán)威性較強;人力資源和社會保障部、工業(yè)和信息化部組織的計算機技術(shù)與軟件專業(yè)技術(shù)資格(水平)考試中的信息安全工程師考試,考試費用低,證書終生有效,是性價比極高的選擇;國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)2組織的注冊信息系統(tǒng)安全專家(CISSP)認(rèn)證可謂是“網(wǎng)紅級”的信息安全認(rèn)證,國際知名度較高。

?3.網(wǎng)絡(luò)安全管理體系

醫(yī)院成立了書記、院長為主任的網(wǎng)絡(luò)安全與信息化委員會,委員會辦公室設(shè)在信息網(wǎng)絡(luò)中心,由分管院長牽頭負(fù)責(zé);信息網(wǎng)絡(luò)中心設(shè)置了專職的網(wǎng)絡(luò)安全管理員,其他職能處室和業(yè)務(wù)科室分別設(shè)置兼職的網(wǎng)絡(luò)安全管理員;醫(yī)院設(shè)置了由外聘專家組成的顧問委員會。

醫(yī)院的整體安全策略由信息網(wǎng)絡(luò)中心起草,網(wǎng)絡(luò)安全與信息化委員會在顧問委員會的幫助下對安全策略進行評審和審批,審批通過后的安全策略通報院內(nèi)外相關(guān)人員知曉;經(jīng)費保障方面,得益于網(wǎng)絡(luò)安全意識的增強,醫(yī)院網(wǎng)絡(luò)安全經(jīng)費從2016年的80萬元逐年增加到2020年的303萬元,每年網(wǎng)絡(luò)安全投入占信息化投入的10%以上;制度建設(shè)方面,依據(jù)等保測評標(biāo)準(zhǔn),借鑒其他單位經(jīng)驗,在網(wǎng)絡(luò)安全服務(wù)商的協(xié)助下,新增、修訂了網(wǎng)絡(luò)安全管理制度幾十項。

?4.網(wǎng)絡(luò)安全技術(shù)體系

談到網(wǎng)絡(luò)安全技術(shù)體系,目前可根據(jù)信任模型分為兩大類,一類基于邊界信任模型,另一類基于零信任模型。邊界信任模型,就是明確什么是可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境,什么是不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境,并在這兩者之間建立“城墻”,從而保證不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境無法在攜帶威脅信息的情況下,訪問到可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境的信息;而零信任模型認(rèn)為默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)中的任何設(shè)備和區(qū)域,而是應(yīng)該通過基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任體系,對訪問進行“信任授權(quán)”,并且這種授權(quán)和信任應(yīng)當(dāng)是動態(tài)的,即“信任授權(quán)”應(yīng)當(dāng)基于訪問實時地進行評估與變換。

目前我們搭建了基于邊界信任的技術(shù)防護體系:物理層面部署了門禁系統(tǒng)、動環(huán)監(jiān)測、物理隔離網(wǎng)絡(luò),并且在數(shù)據(jù)中心選址過程中充分考慮物理安全;網(wǎng)絡(luò)層面部署了安全隔離網(wǎng)閘、下一代防火墻、VPN、準(zhǔn)入控制、全網(wǎng)安全感知、入侵檢測防護、流量回溯分析等;主機層面部署了堡壘主機、漏洞掃描、基線核查、殺毒軟件、日志分析等;終端層面部署了終端準(zhǔn)入、殺毒軟件,并注意每臺都進行基線配置;應(yīng)用層面部署了應(yīng)用防火墻、防篡改系統(tǒng)、應(yīng)用雙活、雙因子認(rèn)證、數(shù)字證書認(rèn)證等;數(shù)據(jù)層面采取了數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)雙活、數(shù)據(jù)備份、數(shù)據(jù)庫防護、數(shù)據(jù)庫審計等措施;物聯(lián)網(wǎng)安全方面,高度關(guān)注網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)攝像頭、桌面路由器這種啞終端的安全,定位導(dǎo)航、輸液監(jiān)控、嬰兒防盜等系統(tǒng)的安全問題還需要進一步深入研究,另外放射設(shè)備的安全也不容忽視。

?5.網(wǎng)絡(luò)安全運維體系

我們建立了運維管理中心,網(wǎng)絡(luò)安全運維工作納入運維管理中心統(tǒng)一調(diào)度,中心主要進行信息資產(chǎn)管理、監(jiān)控告警、事件響應(yīng)、工單管理、運維審計等;高度重視應(yīng)急響應(yīng),建立應(yīng)急預(yù)案,定期進行應(yīng)急培訓(xùn)和演練,根據(jù)演練情況對應(yīng)急預(yù)案進行持續(xù)改進;嘗試開展安全審計工作,針對全院的信息資產(chǎn)賬號、認(rèn)證、授權(quán)和行為進行審計,并對信息部門內(nèi)部人員的行為進行審計;購買網(wǎng)絡(luò)安全服務(wù),主要是定期進行全環(huán)境風(fēng)險評估、對重點系統(tǒng)進行全天候監(jiān)測預(yù)警、定期進行全系統(tǒng)滲透測試、等保測評、重保任務(wù)等專項服務(wù)。

總結(jié)與展望

在物理世界、人類社會和網(wǎng)絡(luò)空間構(gòu)成的“三元世界”中,網(wǎng)絡(luò)安全工作應(yīng)該牢牢抓住意識、人才、管理、技術(shù)、運維這五個方面,其中意識是根本、人才是關(guān)鍵、管理是保障、技術(shù)是抓手、運維是基礎(chǔ)。

展望十四五,筆者認(rèn)為各單位的安全策略將向更防護演進,由基礎(chǔ)安全防護邁向安全防護、主動防護;各單位的網(wǎng)絡(luò)安全隊伍將向?qū)I(yè)化演進,除培養(yǎng)自己的網(wǎng)絡(luò)安全人才之外,購買專業(yè)人員駐場可能成為更常見的選擇;各單位的技術(shù)防護體系將向零信任模型演進,基于零信任模型的網(wǎng)絡(luò)安全產(chǎn)品將迎來高速增長期。

后思考一個問題,從“三元世界”的角度思考問題有什么好處呢?筆者認(rèn)為首先它回答了為什么要重視網(wǎng)絡(luò)安全與信息化的問題,從“兩元世界”邁向“三元世界”,網(wǎng)絡(luò)安全與信息化是必由之路;其次它可以幫助我們透過現(xiàn)象看本質(zhì),近年來各種概念、名詞層出不窮,數(shù)據(jù)化、信息化、數(shù)字化、智能化、數(shù)字孿生、數(shù)字化轉(zhuǎn)型等等,究其根本,都是為實現(xiàn)“三元世界”融合發(fā)展而生;第三,它將帶給從業(yè)人員前所未有的參與感、責(zé)任感、成就感、榮譽感,提振整個行業(yè)的自信心。您覺得呢?歡迎您留言參與討論!

作者簡介

王磊  山東大學(xué)齊魯醫(yī)院信息網(wǎng)絡(luò)中心副主任

信息系統(tǒng)項目管理師,信息安全工程師,數(shù)據(jù)庫工程師,(ISC)2注冊信息系統(tǒng)安全專家,BSI信息安全管理體系(ISO 27001)內(nèi)審員,數(shù)據(jù)中心規(guī)劃設(shè)計工程師。兼任山東省健康管理協(xié)會醫(yī)院信息化分會副主任委員,中國人體健康科技促進會醫(yī)院信息化管理專業(yè)委員會常務(wù)委員,山東電子學(xué)會人工智能與網(wǎng)絡(luò)安全專業(yè)技術(shù)委員會常務(wù)委員,山東省研究型醫(yī)院協(xié)會信息化與互聯(lián)網(wǎng)醫(yī)療分會常務(wù)委員。