零信任助力医疗机构化解数字化转型下的安全挑战
- 作者:
- 来源:中国数字医学
- 发布时间:2021-12-29 10:45
零信任助力医疗机构化解数字化转型下的安全挑战
【概要描述】全球数字化转型以及云、大、物、移技术发展,正加速医疗机构的IT环境与网络边界的多元化变革。传统以安全域划分、边界防护的安全体系面临失效。
- 作者:
- 来源:中国数字医学
- 发布时间:2021-12-29 10:45
全球数字化转型以及云、大、物、移技术发展,正加速医疗机构的IT环境与网络边界的多元化变革。传统以安全域划分、边界防护的安全体系面临失效。在此背景下,多系统、多账户、多接入方式,跨域部署等在信息化管理层面带来了管理效率下降及成本增加等问题,尤其面对日益严峻的内、外部威胁,医疗结构面临安全性无法有效保障的挑战。
当前,由于攻击方式的改变,使得传统基于网络边界的安全防护模式逐渐失去原有的价值。在此种新形势下,为了有效应对改变,医疗机构必须不断地分析和评估其内部资产与业务功能的风险,并制定防护措施。这些控制措施既要确保可信访问的通达,又需要提供对网络攻击的有效防御。但医疗机构在建立信息化时,也常常遇到如下方面的问题。
1.账号和权限管理成本高且存在重大安全隐患
医疗机构常常拥有纷繁复杂的业务系统,且分布在不同的网络环境中。管理员面对不同岗位的入离调转,需要在各个业务系统中去管理更新账号状态,完全靠手工,维护成本高,效率低。众多系统的访问权限和运维权限也无法集中管理,这就容易导致权限管理混乱。临时人员或者离职人员的账号、权限如果不能及时回收,也会留下非常大的安全隐患。
2.认证混乱无法集中管理
医疗机构中,各个业务系统由于建设时期和厂商不同,对安全性考量也参差不齐。系统间认证各自独立,无法有效集中管理,弱口令屡禁不止,身份盗用、仿冒无法识别。不同部门的普通员工、运维人员、第三方人员,访问时间、访问方式、网络等各异,采用一种认证方式也无法适应不同场景下对不同认证强度的要求。
3.暴露面大且跨域多系统无统一入口多次认证体验差
医疗机构各个业务系统,部分直接映射到公网,部分远程访问时通过VPN,需提前对外开发端口,一旦VPN拨入内网,系统无异于直接暴露,因此整体暴露面大,安全风险高。医务人员业务访问无统一入口,运维管理人员也需要在多个管理域中切换,当信息管理员同时具备业务访问和运维权限时,更是需要在业务访问和管理域入口来回切换,需要多次认证,体验差而且导致工作效率低下。
4.无法集中审计和展示
医务人员的业务访问,以及多个管理域的运维操作,无法集中审计,统计报表也无法集中展示。管理员需要多个系统间切换,无法有效关联,发现异常。
医疗机构网络安全建设痛点分析
结合医疗机构业务痛点,应重点围绕以下方面开展网络安全建设工作。
1.提供统一的主从账号管理能力,包含主账号生命周期管理、主从账号绑定、状态同步、僵尸和幽灵账号发现等。
2.提供认证策略集中管理和场景化自定义能力,包括提供可自定义的多因子认证,以及根据用户角色、访问时间、所在地理位置、所在网络等场景元素定义认证方式和认证强度。
3.通过SDP技术的先验证再连接,SPA单包授权、动态端口等机制实现组织的网络和应用的全面隐藏,可有效收敛组织的攻击暴露面。
4.提高终端设备的安全性,作为访问应用和数据的属性,全面收集终端环境数据,为零信任提供终端环境感知数据,同时还可以实现终端可信访问代理和终端身份认证。
5.具备动态细粒度的授权控制能力。提供对终端、用户、应用的主客体访问的动态、细粒度化的授权控制。结合业务场景以及业务敏感程度,提供多层级可选的控制粒度、
6.用户和实体行为分析,通过对网络上流量和各种日志的采集、存储、分析,实现持续的设备安全状态和用户安全评估。
7.根据实时用户和实体分析的结果,以及其他安全设备的检测,可以得到访问的信任关系评估结果,动态调整访问策略,向具有阻断能力的安全组件下发指令。实现自动化响应。
零信任夯实医疗机构网络安全保障体系
结合医疗机构业务痛点以及需求分析,绿盟科技提供的零信任安全解决方案,基于用户实际业务的实际需求,融合双向流量加密mTLS、软件定义边界SDP、单包授权SPA、多因素认证MFA等技术,提升用户业务系统的安全访问和控制能力,缩小攻击暴露面,精细化身份管理和特权账号的访问权限控制,并实现日志审计和事件溯源,充分夯实用户网络安全保障体系基础。
该方案包含统一身份管理平台UIP, 安全认证网关SAG(SDP),终端安全管理平台、分析和控制平台多个部分。其中,UIP负责全员账号、权限、认证、审计、业务和资产的统一管理,并提供统一门户;SAG可有效隐藏暴露面,实现细粒度的业务访问控制以及数据上报。终端安全管理平台,面向终端赋予更安全的准入策略、更精准的环境感知信息,更细致的微隔离策略以及更快速的响应处置能力。零信任分析和控制平台通过持续网络安全数据,进行实时风险和信任评估,一旦系统受到外部攻击、健康状态出现偏离,可动态访问控制策略,多组件深度联动、持续保障系统运行在稳定、可靠的安全状态。
全方位提升医疗机构网络安全能力
1.网络、业务全面隐藏
基于UDP的SPA技术,只验证,不响应,采用先认证后访问的方式,动态开放端口,确保始终具有可信条件的对象才能访问受控允许的资源。
2.智能化分析识别
借助大数据引擎的强大算法,智能化完成用户建模和行为分析,基于信任评估模型,识别安全风险。
3.动态安全能力管控
摒弃静态访问控制规则,持续进行风险和信任的评估、基于评估结果,动态调整访问策略。
4.全方位降本提效
整合内外网访问,统一入口,统一管理,节约管理、运维、人员成本,提高办公访问效率,提高员工工作效率。
责任编辑:亦欣
免责声明:本网注重分享,并不意味着赞同本文观点或证实内容的真实性,请仅做参考。著作权归原作者所有,在此向原作者表示感谢。除非无法确认,本网都会注明作者及来源。如有版权异义请及时告知。
