晚清时期曾国藩带领湘军抵御攻击时,运用的策略很简单,概括起来就六个字:“结硬寨,打呆仗”。军队每到一处,都要先构筑防御工事,安营扎寨,挖长壕,修高墙,高墙外再挖深沟,直到有把握把营寨护住,然后再配合火器攻击来犯之敌。
这种结寨打仗、以守为攻的策略,应用到网络安全领域也是如此。安全建设同样要打好基础,层层设防,特别是在当下的数字经济大潮中,数字化转型正受到企业高度重视,但企业更多聚焦向客户提供价值,常常忽视了安全因素的重要性。事实上,企业能否前瞻性思考,构建起完善的安全防护,决定着企业整个数字化转型的进程。
随着数据泄露、恶意软件和漏洞数量的增长,企业开始意识到缺乏安全的数字化转型将让自身面临更大的风险。同时安全态势时刻变化、日新月异,安全是一项持续性工作。因此,本期《对话数字中国》以“数字化转型,筑牢「安全」基石”为主题,节目中至顶科技CEO兼总编辑高飞与和睦家医疗IT副总裁邢建宾、和睦家医疗信息安全经理楚春鹏、IBM大中华区安全业务总经理叶明展开对话,共同探讨了数字经济时代,企业应如何筑牢数字化转型的「安全」基石。
数据流到哪,哪就可能有安全问题
随着企业数字化不断深入,企业把更多的业务、系统和数据云化,数据流通变得更加频繁,但同时也为企业的网络信息安全带来了新的挑战。据统计,2021年全球网络相关犯罪金额达到6万亿美元,每次数据泄露事件平均为公司带来的损失高达424万美元。安全问题成为企业数字化转型途中最令人担忧的问题。
从行业角度看,不同行业数字化转型时,对安全的要求和侧重有所不同。其中医疗作为关系国计民生的重要产业,智能化是必然的发展趋势,“十四五”规划中也明确了数字经济对医疗健康产业升级的作用。同时医疗信息系统掌握了大量个人信息,一旦泄露将会造成不可估量的后果。因此,医疗相比其他行业对数据安全的要求更高,面临的监管也更加严格。
过去几年,和睦家一直在拥抱数字技术的应用和创新,探索智慧医院模式。比如建立统一的CRM管理平台,实现客户全生命周期的数字化运营,打造个性化患者服务,为节省等待时间,患者可以自助预约到分钟级的就诊时间等。
在利用数字化为医疗服务提供便利的同时,和睦家也面临着多重监管的合规要求。邢建宾表示,除了《网络安全法》、《数据安全法》、《个人信息保护法》,以及今年8月卫健委出台的《医疗卫生机构网络安全管理办法》,和睦家还需要满足一些行业要求,比如电子病历管理办法等,这对和睦家的IT系统提出了更高的挑战。
“很多时候我们在想,怎样才能在数字化转型的同时做好数据安全治理,做好安全体系,要如何构建一个安全运营中心来支撑我们整体的业务发展。”
安全运营中心,为业务与数据上一把锁
建设安全运营中心可以让企业实现业务信息系统的持续安全运营,对于和睦家而言,一方面要满足合规要求,另一方面和睦家在安全上投入了大量费用和设备,包括边际安全、入侵检测、IPS、防火墙、行为检测,以及各种系统、杀毒软件、服务器防护和用户端防护等,但由于条目太多,产生的海量数据仅靠人力根本分析不过来,既浪费时间,也没有效果。
因此和睦家认识到,需要一个更强大的安全事件和安全问题的分析平台,能够把数据可视化、可分析,把真正受到关注的问题找出来,甚至能做一些自动化处理,在这样的情况下,和睦家开始了安全运营中心的选型。
“安全运营中心要适用于和睦家现有的安全体系,既能满足合规要求又符合业务的可持续发展。”楚春鹏表示,在针对IBM Security QRadar SIEM测试过程中,和睦家主要看重三个指标,首先是对日志的采集和分析能力;第二是当SIEM(安全信息和事件管理)平台接入大量日志时的分析能力,平台算力是否会下降;第三是产品的内置规则,用例是否丰富,产品自带的用例能否帮助企业解决一些现有问题或是未发现的问题。
通过前期调研以及对各项指标的测试,IBM QRadar的产品能力与和睦家的需求非常契合。“当时接入日志测试时很快就产生了分析结果,并且QRadar集成了非常丰富的用例,很多是我们可以拿出来直接使用的。通过SIEM平台,病人在不同地方的看病数据,可以通过和睦家的系统统一上传到平台上,使得医生能够看到完整的电子病历记录,实时了解患者就诊状况。”楚春鹏说道。
在安全运营中心的具体建设上,和睦家主要分了三个阶段。
第一个阶段是进行资产可视化,把日志和流量接入进来,做立体化的流量覆盖,包括网络边界的流量,企业内网流量和重要服务器之间的流量。然后通过QRadar内置的流量分析功能,和睦家实现了流量的内到内、内到外,以及外到内的可视化。
第二个阶段是做告警风险可视化,通过模块化的告警仪表板,和睦家把全国各地医院发现的风险,通过QRadar组件,做了一个大屏展示,这样就可以看到各个院区的风险情况,一旦收到提醒,能及时通知对应院区的IT负责人接入处理,另外也可以通过优化用例去解决一些已知问题。
第三个阶段目前还在建设中,楚春鹏表示目标是实现安全运营中心的自动化,在发现威胁时,可以进行智能化和自动化处理。
数字化转型途中,筑牢安全“硬寨”
对于IBM与和睦家的合作,叶明认为,这是零信任的安全防护体系在医疗行业的一个优秀实践。“零信任”是基于持续验证,永不信任的理念,即不信任系统里的任何个人、任何设备、任何应用,而是通过CIO和企业相关授权进行认证和分析。
比如IBM可以实现多因子认证,用户需要提供密码和至少一个认证因子或至少提供两个认证因子,才能访问网站、应用程序或网络。由于破解多个认证因子比单独破解密码更难,因此可以更好地保护企业免受未经授权的访问。叶明说道,在医疗行业,当某个账户频繁访问某些人的个人信息,甚至对这些信息进行修改备份,拷贝到本地的时候,可能就会有报警提示。
目前和睦家已经完成了一期安全体系建设,对于未来的数据治理和安全规划,邢建宾表示,下一步计划将现在的主动监测被动防御,转变为主动防御的方式。比如当有漏洞编号但未出现特征时,通过一些算法和规则找出问题,将入侵检测、入侵防护,以及防火墙联动起来,直接去更改相应的规则进行阻断。
而且和睦家希望未来在敏感数据加密和敏感数据脱敏上,做出更好的解决方案。积极拥抱互联网,对未来医疗行业发展中可能遇到的问题进行前瞻性考虑,比如可穿戴设备的安全问题。最后,无论是为患者服务还是内部办公,核心应用上云所涉及到的云安全,也是和睦家未来要考虑的方向。
为了支撑以上安全业务的发展,楚春鹏对安全运营中心接下来的工作,提出了三个方向。第一,希望将QRadar里的用户行为分析功能,与和睦家内部的系统日志进行对接,从而发现更多用户层面的风险。第二,通过这些威胁建模或风险框架,来验证和睦家现有安全运营中心规则的有效性,通过不断优化、改进和自动化编排,完善安全运营中心的能力,将投入回报率最大化。第三,希望将和睦家的安全运营经验,无论是使用经验还是产品体会,总结出来共享给医疗行业的其他同行。
而“携手共创”也正是IBM今年的品牌宣言。叶明表示,想要借助QRadar统一平台,实现智能化响应,自动化防护,仅靠一家厂商的力量远远不够,IBM希望与和睦家以及所有合作伙伴一些携手共创。
安全是一场无止境的攻防战,只要有新的业务拓展,就会产生新的数据安全挑战,因此企业只有建立起完善的安全体系,才能从容应对所有已知和未知的风险。在数字化转型过程中,筑牢安全基石,“结硬寨”,方能进可攻、退可守,无论怎么“过招”,都能立于不败之地。