基于数字认证的零信任安全架构在医疗领域的应用

零信任安全架构在医疗领域的应用
方案背景

某医院,是一所现代化综合性“三级甲等”医院 。近年来随着远程问诊、互联网医疗等新型服务模式的不断丰富,医院业务相关人员、设备和数据的流动性增强。网络边界逐渐模糊化,导致攻击平面不断扩大。医院信息化系统已经呈现出越来越明显的“零信任”化趋势。零信任时代下的医院信息化系统,需要为这些不同类型的人员、设备提供统一的可信身份服务,作为业务应用安全、设备接入安 全、数据传输安全的信任基础。

方案概述和应用场景
方案概述本方案主要建设目标是为医院内外网建立一套基于“可信身份接入、可信身份评估、以软件定义边界”的零信任安全体系,实现医院可信内部/外部人员、可信终端设备、可信接入环境、资源权限安全。全面打破原有的内外网边界使得业务交互更加便利,医疗网络更加开放、安全 、便捷 ,为医院全内外网业务协作提供安全 网络环境保障。

根据对医院安全现状和需求分析,采用基于零信任安全架构的身份安全解决方案,为医院构建零信任体系化的安全访问控制,满足医院内外部资源安全 可信诉求。
面向互联网医疗的应用场景,通过与可信终端安全引擎、零信任安全防护体系核心组件、零信任安全防护体系支撑组件结合,为医院设备、医护人员和应用提供动态访问控制、持续认证、全流程传输加密。陆军军医大学第一附属医院零信任安全架构主要构成产品:

终端安全引擎
在院内外公共主机、笔记本电脑、医疗移动设备等终端设备中,安装可信终端安全引擎,由统一设备管理系统与院内资产管理系统对接,签发设备身份证书。医院用户访问院内资源时,首先进行设备认证,确定设备信息和运行环境的可信,通过认证后接入院内网 络环境,自动跳转到用户身份认证服务。

院内资源访问过程中,引擎自动进行设备环境的信息收集、安全状态上报、阻止异常访问等功能,通过收集终端信息,上报访问环境的安全状态,建立 “医护人员+医疗设备+ 设备环境”可信访问模型。

零信任安全网关

为避免攻击者直接发现和攻击端口,在医院DMZ 区部署零信任安全认证网关,提供对外访问的唯一入口,采用先认证后访问的方式,把HIS、LIS、PACS等临床应用系统隐藏在零信任网关后面,减少应用暴露面,从而减少安全漏洞、入侵攻击、勒索病毒等传统 安全威胁攻击面。

零信任安全网关与可信终端建立SSL 网络传输数据加密通道,提供零信任全流程可信安全支撑(代码签名、国密SSL 安全通信、密码应用服务等),确保通信双方数据的机密 性、完整性,防止数据被监听获取,保证数据隐私安全。

安全策略决策服务

安全 策略 决策 服务对医院用户账号、终端 、资源接入进行访问策略评估和管理,并对接入医院用户和医疗设备进行角色授权与验证,实现基于院内用户及设备的基础属性信息以及登录时间、登录位置、网络等环境属性做细粒度授权,基于风险评估和分析,提供场景和风险感知的动态授权,并持续进行身份和被访问资源的权限认证。统一身份信任管理
统一身份信任管理分为 统一身份管理模块、统一设备管理模块、统一资源管理模块、统一威胁情报管理模块四个部分。统一身份管理模块实现用户面向各业务系统的统一身份访问 ,解决信息化系统集中管理难、用户使用不便、认证授权不安全等问题。统一设备管理模块提供面向各类终端设备的统一管理、身份核验以及终端环境检测、终端接入应用安全管理等功能。统一资源管理模块提供对资源的可信签名和资源的统一管理等功能。统一威胁情报管理模块可实现对网络流量实时监控,用户行为收集分析,终端设备漏洞扫描及服务端设备运行环境和运行状态安全监控,并针对重大事件进行主动告警等功能。密码基础设施

密码 基础设施分为证书服务模块、密码服务模块和实名核验服务模块 三个部分。证书服务模块主要是针对医院用户、医疗终端设备进行证书签发,保证用户和设备的合法性。密码 服务模块主要针对统一身份信任管理和零信任安全 网关在传输、存储过程中的数据进行签名操作,保证数据的完整性、可追溯以及抗抵赖性。实名核验服务模块 用于证书签发时对用户身份的核验工作,保障用户身份的真实性。

优势 特点和应用价值:

应用价值

1) 用户管理方面价值

解决医院当前面对医疗访问群体多样化的问题,建立统一的身份管理,减轻了运维成本。 2) 设备管理方面价值

将医疗设备进了统一管理,保障了设备接入的安全管控,对接入设备进行了有效的身份 鉴别。

3) 权限管控价值

(1)隐藏医疗应用系统,无权限用户不可视也无法连接;对有权限的业务系统可连接 但无法知悉真实应用地址,减少黑客攻击暴露面。

(2)以访问者身份为基础进行最小化按需授权,避免权限滥用。

4) 访问安全价值

(1)采用了“用户+设备+环境”多重认证方式,即保证了认证的安全,还不影响用户 使用体验。

(2)通过感知环境状态,进行持续认证,随时自动处理各种突发安全风险,时刻防护 医院业务系统。

5) 数据安全价值

(1)进行了全链路信道安全,消除了医疗数据传输安全风险。

(2)对患者数据进行了隐私保护,解决了数据内部泄露问题。

** 优势特点**

1) 围绕设备证书建立设备信任体系

在传统数字证书框架中,增加针对设备信任的评估环节,以设备证书作为零信任安全体 系的基石。

2) 自动化授权体系

零信任访问控制区建立的一整套自动化授权体系,可根据用户属性、用户行为、终端环 境、访问流量等多维度数据,自动对用户权限进行实时变更,从而保障内部系统安全性。

3) 基于设备信任最小化攻击平面

在任何网络连接建立时,首先进行设备认证,能够有效阻止非法设备的连接、嗅探 、漏洞扫描等恶意行为,既能最小化系统的暴露平面,又可以灵活适应一人多设备、多人共 用设备、物联网设备等不同场景。

4) 以信任的持续评估驱动用户认证

通过信任的持续评估驱动认证机制的动态调整,根据动态的信任评估结果反馈调整用户 认证机制。

5) 海量的应用加密通道支撑

逻辑虚拟化技术的深入推进,支持海量的应用加密通道。

(1)通过SSL 多实例技术,实现同一台设备上支持多个SSL 服务,实例之间通过密码 卡实现密钥物理隔离。

(2)基于高性能网络协议栈,实现海量的TCP/SSL连接支持,通过算法和代码流程的 优化,不断提高每秒新建连接数。

(3)吞吐率、并发连接数和每秒新建连接数等网关指标做到业界领先

经验总结:

在项目的实施阶段,首先要明确医疗内部和外部的访问者身份,实现医院人员的统一身份管理。在此阶段,需要对内外部用户身份目录进行梳理,由于医院系统用户涉及医生、患者 、临聘人员、其他医疗机构人员等多方用户,所以需要整合多部门的用户信息,保证用户信息的实时性、同步性和一致性。另外,由于医院业务系统数据存储方式多样,项目组根据不同业务系统数据结构编写了大量针对性的数据清洗脚本,进行身份数据统 一收集、清洗、整理、加密。

其次 ,对医院信息科进行调研,将需要接入医院网络进行应用数据传输的医疗终端及手持设备,如:PC、智能手机、平板以及患者随身佩戴的小型监测设备等物联网设备信息收集汇总和统一管理。由于医院没有资产管理系统,未对设备进行统一管理,为此数字认证临时开发了一套在线设备信任凭证在线签发系统,自助采集设备基本信息、自助签发下载设备信任凭证。另外 ,在集成可信终端安全引擎模块 前,针对医院各类终端存在时间跨度久且种类繁多的特点,在各类、各版本操作系统进行多次软件兼容性测试等工 作,解决与医院各类终端适配问题。
然后 ,集成医院现有的各类业务系统,接入零信任安全 网关 ,通过API 代理统一对外提供服务。医院物理场所开放、网络多样,各类网络基础设施的物理安全无法统一保障,在院内各医疗服务网络出口前端部署应用安全网关后,为传输的业务数据进行加密保护, 有效防止攻击者窃取、篡改、插入或删除敏感数据。

最后 ,通过分析医院的访问需求,制定可信的安全策略,管控访问内容和访问权限。在可信身份服务的基础上综合评估设备安全风险、访问行为频率、以及发生访问请求的时间地点等因素,进行持续风险评估和动态授权,保障各项医疗服务被医院各类用户同时访问的安全性。在制定安全策略时,遵循 “动态最小权限”原则 ,结合医院实际业务需 求,通细粒度的动态访问控制,应对医院诊疗业务中的精细化安全管理风险。

你可能感兴趣的:(安全架构,安全)