企业动态

“如果没有清晰的数字指标，我始终对集团整体的终端安全状况是模糊的。不知道脆弱点有多少，安全风险是增加了还是降低了。” 深圳市南山区医疗集团总部智慧健康部徐部长谈到。“尤其是社区健康中心比医院系统更加开放，攻击面更广，安全运营的挑战更为严峻。”

图：深圳南山区医疗集团

中央在支持深圳建设先行示范区的《意见》中明确指出，深圳要打造民生幸福标杆，其中就包括“病有良医”。在深圳南山区委区政府的强力推动下，南山区医疗集团着力打造“病有良医”和“重基层、强社康”的医改标杆。

自2020年伊始，南山区医疗集团从终端开始强化网络安全建设，通过部署奇安信天擎终端安全管理系统，解决了社区健康中心终端在开放网络环境下面临的安全问题，通过奇安信终端安全运营平台的关联分析与全面展示，为常态化、数字化的终端安全运营奠定了坚实的基础。

“1+C+N”模式树立医改标杆，也带来更复杂的安全挑战

“南山医改是大手笔，经验值得推广。”

2020年10月，南山区医疗集团作为广东省唯一代表，在国家卫健委召开的全国分级诊疗制度和医联体建设工作推进大会上，向全国分享了医改先进经验，获得了国家卫健委领导的高度评价。

近年来，作为深圳市南山区委卫生工委领导，由深圳市南山区卫生健康局举办的事业单位，南山区医疗集团抓住医改机遇，在基层医改道路上不断探索，体制机制上实现创新，并首创“1+C+N”医疗集团整合模式。

其中“1”为南山区医疗集团总部；“C”为集团成员单位；“N”为辖区其他高水平医疗机构。集团各社康中心定位于“基层”，组成医院定位于“高地”，区医疗集团作为连接“基层”与“高地”之“彩虹”，科学规划和布局区域医疗资源配置，建立引导公立医院主动下沉资源与社康中心分工协作机制，打造现代化智能化高水平医疗集团。

“1+C+N”模式为社区健康中心打造了很好的标杆典范，推动了医疗资源的下沉，但同时也给网络安全带来了空前挑战。

首先是地域分散，管理维护难度高。社区健康中心或处于城市核心区，或处于偏远地区，交通非常不便。“以前的医院信息化平台，因为设备比较集中，打补丁相对容易。但社区健康中心非常分散，打补丁是一个非常困难的事情。”深圳市南山区医疗集团总部智慧健康部徐部长表示，“举个例子来说，南山医疗下辖的某一个社区健康中心，位于一个海岛上，只有2-3个医生值班。如果IT或者安全人员为它打一次补丁，仅申请上船就需要1天，往返更需要2-3天。”

其次是内外边界模糊，攻击面广。“我们和医院信息化最大的不同在于，医院的内网是封闭的，而社区健康中心的网络是开放的，这就意味着我们要承受更广攻击面。” 徐部长谈到。“我们的业务系统全部支持内外双线访问，所有的终端既要访问外网即公共互联网，又需要访问内网，如医院信息管理系统（HIS）、商贸系统等等。而且接入网络方式包括了VPN、专线、光纤接入等等各种类型，很难界定清晰的内外边界。”

第三是终端情况非常复杂。社区健康中心业务分散，终端安全防护难度更大。并且在“1+C+N”的N个成员单位中，大多数社康中心是后期整合进来的，也有部分单位为新建。“这些成员单位的信息化水平参差不齐，设备型号不一，有些业务系统很老，打印机程序甚至是10年前的系统。由于终端情况非常复杂，很难对它们进行统一的管理和系统的安全防护。”

总体来看，南山医疗集团作为社区健康中心，同样具有HIS(医院信息系统)、PACS(医学影像系统)、LIS(医院检验系统)、 CIS (临床信息系统)、GMIS (局域医疗卫生服务体系)等业务平台，在信息化水平和复杂度上，不亚于传统医院。由于全面向外部公网开放，网络安全面临的风险方面比医院有过之而无不及，建立下沉到各个末梢环节的终端安全运行体系势在必行。

集中管理全网终端 打造“指挥中心”让终端安全可视、可管、可控

在网络安全建设方面，南山医疗集团信息中心确立了“三步走”的原则：第一步是构建可视化的终端安全管理，实现全局管控；第二步是实施零信任解决方案，缩小暴露面；第三步是实现“人+工具+数据”的实战化安全运营能力。

2020年初，南山医疗集团信息中心启动了体系化网络安全建设的第一步：采用奇安信天擎终端安全管理系统（简称天擎），构建“体系化防御、数字化运营”能力，实现对全区所有终端的一体化安全管理，大幅降低终端安全管理复杂度，并通过预防、防护、检测、响应的闭环防御能力，有效防御各种已知、未知安全威胁；同时采用奇安信终端安全运营平台（简称：安运平台），依托奇安信丰富的威胁情报和奇安信天擎的终端安全数据，对终端安全态势进行深入的关联分析和清晰的效果呈现，并通过指标化的运营方法和完整的威胁轨迹分析不断优化调整安全策略，确保终端安全能力持续有效。

通过奇安信天擎和安运平台的实施，南山医疗集团在终端安全方面取得了以下阶段性成果。

首先是让整个终端安全变得数字化、可量化。如果没有清晰的目标和明确的衡量方法，终端安全管理很难真正做到位。通过奇安信天擎和安运平台，南山医疗集团可以实时掌握全网终端的安全指标，包括安装率、正常率、实名率、基线合规率、病毒扫描执行率、病毒处置成功率、病毒风险终端比率、漏洞风险终端比率等，并基于这些可量化的指标与整体终端安全目标的偏离程度，及时调整安全策略，实现切实有效的终端安全运营。

图：终端安全运营概况

其次是让漏洞补丁管理变得简单、高效。漏洞是万恶之源，是病毒和攻击的最佳载体，但补丁又不能随便打，也很难及时将其安装到位，所以对于医疗行业的安全管理人员来说，漏洞补丁管理一直是复杂繁琐、让人头痛的事情。通过奇安信天擎和安运平台，南山医疗集团能够第一时间掌握全网终端的漏洞分布情况，并基于安全策略和处置优先级，给终端及时打上经过奇安信安全团队测试的最新补丁，还可以通过自动化编排技术实现补丁的多次分批安装，有效控制补丁兼容性问题可能给终端带来的运行风险。

图：终端安全画像

第三是让病毒防御变得有效、闭环。新威胁采用的攻击手段、推出的数量和质量正不断升级，如果缺乏有效的防御手段，它们必将造成更大范围、更长时间的破坏。通过奇安信天擎和安运平台，南山医疗集团实现了对病毒攻击的闭环防御，即预防、防护、检测、响应，在有效防御各种已知未知病毒攻击的同时，还能清晰掌握全网终端的病毒防御态势，包括病毒仍感染次数、感染次数、中毒终端分布、仍感染终端比率排行、查杀趋势等，甚至追溯展示病毒在内网的感染历史与趋势。
“多种天擎数据源支持是安运平台的重要优势。”徐部长谈到：“它从十四大维度全面揭示终端安全威胁情况，让我们真正构建了终端安全的‘指挥中心’。”

未发生大型攻击事件 零信任和安全运营将成未来目标

得益于天擎强大的防病毒、漏洞和补丁管理等能力，自项目实施以来，深圳南山医疗未出现大型病毒入侵、数据泄露、系统被攻击等事件，有效保障了各个业务系统的稳定运行。

下一步，南山医疗计划采用目前全球领先的零信任安全建设方案，遵循“先验证后连接”的零信任理念，基于最小权限原则，对合法的用户和终端开放访问权限，极大缩小安全风险的暴露面和攻击面，显著提高黑客攻击门槛，最大限度的解决接入、访问、数据的安全问题。

对于未来，深圳南山医疗计划与安全公司合作，安排专业的安全人员驻场运营全区医疗信息化的安全、提供规划建议、做实战化的攻防和渗透，提高南山医疗集团信息化在极端情况下的实战防守能力，预计2021年年底完成。通过这些规划和建设，最终实现安全状态通过专业工具可视化，安全建设专人运营，安全问题专家处理，达到检查不被通报、日常不被攻击的效果，保障南山区医疗信息化系统长期、稳定运行。

奇安信天擎终端安全管理系统是中国政企5000万终端的信赖之选，通过“体系化防御、数字化运营”方法，帮助政企客户准确识别、保护和监管终端，并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务，真正构建持续有效的终端安全能力。