【零信任落地案例】陆军军医大学第一附属医院零信任安全架构主要构成

1方案背景

陆军军医大学第一附属医院又名西南医院，是一所现代化综合性“三级甲等" 医院。近年来随着远程问诊、互联网医疗等新型服务模式的不断丰富，医院业务相关人员、设备和数据的流动性增强。网络边界逐渐模糊化，导致攻击平面不断扩大。医院信息化系统已经呈现出越来越明显的“零信任''化趋势。零信任时代下的医院信息化系统，需要为这些不同类型的人员、设备提供统一的可信身份服务，作为业务应用安全、设备接入安全、数据传输安全的信任基础。

2方案概述和应用场景

2. 1方案概述本方案主要建设目标是为西南医院内外网建立一套基于“可信身份接入、可信身份评估、以软件定义边界"的零信任安全体系，实现医院可信内部/外部人员、可信终端设备、可信接入环境、资源权限安全。全面打破原有的内外网边界使得业务交互更加便利，医疗网络更加开放、安全、便捷，为医院全内外网业务协作提供安全网络环境保障。

根据对西南医院安全现状和需求分析，采用基于零信任安全架构的身份安全解决方案，为医院构建零信任体系化的安全访问控制，满足医院内外部资源安全可信诉求。总体架构设计如下：

面向互联网医疗的应用场景，通过与可信终端安全引擎、零信任访问控制区结合，为医院设备、医护人员和应用提供动态访问控制、持续认证、全流程传输加密。

2.2陆军军医大学第一附属医院零信任安全架构主要构成

1. 终端安全引擎在院内外公共主机、笔记本电脑、医疗移动设备等终端设备中，安装可信终端安全引擎，由统一身份认证系统与院内资产管理系统对接，签发设备身份证书。医院用户访问院内资源时，首先进行设备认证，确定设备信息和运行环境的可信，通过认证后接入院内网络环境，自动跳转到用户身份认证服务。院内资源访问过程中，引擎自动进行设备环境的信息收集、安全状态上报、阻止异常访问等功能，通过收集终端信息，上报访问环境的安全状态，建立“医护人员+医疗设备+设备环境"可信访问模型。

2. 零信任安全网关为避免攻击者直接发现和攻击端口，在医院DMZ区部署零信任安全认证网关, 提供对外访问的唯一入口，采用先认证后访问的方式，把HIS、LIS、PACS等临床应用系统隐藏在零信任网关后面，减少应用暴露面，从而减少安全漏洞、入侵攻击、勒索病毒等传统安全威胁攻击面。零信任安全网关与可信终端建立SSL网络传输数据加密通道，提供零信任全流程可信安全支撑（代码签名、国密SSL安全通信、密码应用服务等），确保通信双方数据的机密性、完整性，防止数据被监听获取，保证数据隐私安全。

3. 安全控制中心安全控制中心分为访问策略评估服务和统一身份认证服务两个部分。统一身份认证模块对接入的医院用户、医疗终端设备、医疗应用资源、访问策略进行集中化管理。访问策略评估服务对医院用户账号、终端、资源接入进行访问策略进行评估和管理，并对接入医院用户和医疗设备进行角色授权与验证，实现基于院内用户及设备的基础属性信息以及登录时间、登录位置、网络等环境属性做细粒度授权，基于风险评估和分析，提供场景和风险感知的动态授权，并持续进行身份和被访问资源的权限认证。

4. 安全基础设施中心本零安全基础设施中心分为证书服务模块和签名服务模块两个部分。证书服务模块主要是针对医院用户、医疗终端设备进行证书签发，保证用户和设备的合法性。签名服务模块主要针对安全控制中心和零信任网关在传输、存储过程中的数据进行签名操作，保证数据的完整性、可追溯以及抗抵赖性。

3优势特点和应用价值

3. 1应用价值

1. 用户管理方面价值解决医院当前面对医疗访问群体多样化的问题，建立统一的身份管理，减轻了运维成本。

2. 设备管理方面价值将医疗设备进了统一管理，保障了设备接入的安全管控，对接入设备进行了有效的身份鉴别。

3. 权限管控价值

1）隐藏医疗应用系统，无权限用户不可视也无法连接；对有权限的业务系统可连接但无法知悉真实应用地址，减少黑客攻击暴露面。

2）以访问者身份为基础进行最小化按需授权，避免权限滥用。

4. 访问安全价值

1）采用了 “用户+设备+环境"多重认证方式，即保证了认证的安全，还不影响用户使用体验。

2）通过感知环境状态，进行持续认证，随时自动处理各种突发安全风险，时刻防护医院业务系统。

5. 数据安全价值

1）进行了全链路信道安全，消除了医疗数据传输安全风险。

2）对患者数据进行了隐私保护，解决了数据内部泄露问题。

3. 2优势特点

1. 围绕设备证书建立设备信任体系在传统数字证书框架中，增加针对设备信任的评估环节，以设备证书作为零信任安全体系的基石。

2. 自动化授权体系零信任访问控制区建立的一整套自动化授权体系，可根据用户属性、用户行为、终端环境、访问流量等多维度数据，自动对用户权限进行实时变更，从而保障内部系统安全性。

3. 基于设备信任最小化攻击平面在任何网络连接建立时，首先进行设备认证，能够有效阻止非法设备的连接、嗅探、漏洞扫描等恶意行为，既能最小化系统的暴露平面，又可以灵活适应一人多设备、多人共用设备、物联网设备等不同场景。

4. 以信任的持续评估驱动用户认证通过信任的持续评估驱动认证机制的动态调整，根据动态的信任评估结果反馈调整用户认证机制。

5. 海量的应用加密通道支撑逻辑虚拟化技术的深入推进，支持海量的应用加密通道。通过SSL多实例技术，实现同一台设备上支持多个SSL服务，实例之间通过密码卡实现密钥物理隔离。基于高性能网络协议栈，实现海量的TCP/SSL连接支持，通过算法和代码流程的优化，不断提高每秒新建连接数。吞吐率、并发连接数和每秒新建连接数等网关指标做到业界领先

4经验总结

在项目的实施阶段，首先要明确医疗内部和外部的访问者身份，实现医院人员的统一身份管理。在此阶段，需要对内外部用户身份目录进行梳理，由于医院系统用户涉及医生、患者、临聘人员、其他医疗机构人员等多方用户，所以需要整合多部门的用户信息，保证用户信息的实时性、同步性和一致性。另外，由于医院业务系统数据存储方式多样，项目组根据不同业务系统数据结构编写了大量针对性的数据清洗脚本，进行身份数据统一收集、清洗、整理、加密。

其次，对医院信息科进行调研，将需要接入医院网络进行应用数据传输的医疗终端及手持设备，如：PC、智能手机、平板以及患者随身佩戴的小型监测设备等物联网设备信息收集汇总和统一管理。由于医院没有资产管理系统，未对设备进行统一管理，为此数字认证临时开发了一套在线设备信任凭证在线签发系统，自助采集设备基本信息、自助签发下载设备信任凭证。另外，在集成可信终端安全引擎和终端模块前，针对医院各类终端存在时间跨度久且种类繁多的特点，在各类、各版本操作系统进行多次软件兼容性测试等工作，解决与医院各类终端适配问题。

然后，集成医院现有的各类业务系统，接入零信任网关，通过API代理统一对外提供服务。医院物理场所开放、网络多样，各类网络基础设施的物理安全无法统一保障，在院内各医疗服务网络出口前端部署应用安全网关后，为传输的业务数据进行加密保护，有效防止攻击者窃取、篡改、插入或删除敏感数据。

最后，通过分析医院的访问需求，制定可信的安全策略，管控访问内容和访问权限。在可信身份服务的基础上综合评估设备安全风险、访问行为频率、以及发生访问请求的时间地点等因素，进行持续风险评估和动态授权，保障各项医疗服务被医院各类用户同时访问的安全性。在制定安全策略时，遵循“动态最小权限"原则，结合医院实际业务需求，通细粒度的动态访问控制，应对医院诊疗业务中的精细化安全管理风险。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集终稿（无水印版）