【零信任落地案例】陆军军医大学第一附属医院零信任安全架构主要构成

1方案背景

陆军军医大学第一附属医院又名西南医院，是一所现代化综合性“三级甲等" 医院。近年来随着远程问诊、互联网医疗等新型服务模式的不断丰富，医院业务 相关人员、设备和数据的流动性增强。网络边界逐渐模糊化，导致攻击平面不断 扩大。医院信息化系统已经呈现出越来越明显的“零信任''化趋势。零信任时代 下的医院信息化系统，需要为这些不同类型的人员、设备提供统一的可信身份服 务，作为业务应用安全、设备接入安全、数据传输安全的信任基础。

2方案概述和应用场景

2. 1方案概述 本方案主要建设目标是为西南医院内外网建立一套基于“可信身份接入、可 信身份评估、以软件定义边界"的零信任安全体系，实现医院可信内部/外部人 员、可信终端设备、可信接入环境、资源权限安全。全面打破原有的内外网边界 使得业务交互更加便利，医疗网络更加开放、安全、便捷，为医院全内外网业务 协作提供安全网络环境保障。

根据对西南医院安全现状和需求分析，采用基于零信任安全架构的身份安全 解决方案，为医院构建零信任体系化的安全访问控制，满足医院内外部资源安全 可信诉求。总体架构设计如下：

​面向互联网医疗的应用场景，通过与可信终端安全引擎、零信任访问控制区 结合，为医院设备、医护人员和应用提供动态访问控制、持续认证、全流程传输 加密。

2.2陆军军医大学第一附属医院零信任安全架构主要构成

1. 终端安全引擎 在院内外公共主机、笔记本电脑、医疗移动设备等终端设备中，安装可信终 端安全引擎，由统一身份认证系统与院内资产管理系统对接，签发设备身份证书。 医院用户访问院内资源时，首先进行设备认证，确定设备信息和运行环境的可信， 通过认证后接入院内网络环境，自动跳转到用户身份认证服务。 院内资源访问过程中，引擎自动进行设备环境的信息收集、安全状态上报、 阻止异常访问等功能，通过收集终端信息，上报访问环境的安全状态，建立“医 护人员+医疗设备+设备环境"可信访问模型。

2. 零信任安全网关 为避免攻击者直接发现和攻击端口，在医院DMZ区部署零信任安全认证网关, 提供对外访问的唯一入口，采用先认证后访问的方式，把HIS、LIS、PACS等临 床应用系统隐藏在零信任网关后面，减少应用暴露面，从而减少安全漏洞、入侵 攻击、勒索病毒等传统安全威胁攻击面。 零信任安全网关与可信终端建立SSL网络传输数据加密通道，提供零信任全 流程可信安全支撑（代码签名、国密SSL安全通信、密码应用服务等），确保通 信双方数据的机密性、完整性，防止数据被监听获取，保证数据隐私安全。

3. 安全控制中心 安全控制中心分为访问策略评估服务和统一身份认证服务两个部分。统一身 份认证模块对接入的医院用户、医疗终端设备、医疗应用资源、访问策略进行集 中化管理。访问策略评估服务对医院用户账号、终端、资源接入进行访问策略进 行评估和管理，并对接入医院用户和医疗设备进行角色授权与验证，实现基于院 内用户及设备的基础属性信息以及登录时间、登录位置、网络等环境属性做细粒 度授权，基于风险评估和分析，提供场景和风险感知的动态授权，并持续进行身 份和被访问资源的权限认证。

4. 安全基础设施中心 本零安全基础设施中心分为证书服务模块和签名服务模块两个部分。证书服 务模块主要是针对医院用户、医疗终端设备进行证书签发，保证用户和设备的合 法性。签名服务模块主要针对安全控制中心和零信任网关在传输、存储过程中的 数据进行签名操作，保证数据的完整性、可追溯以及抗抵赖性。

3优势特点和应用价值

3. 1应用价值

1. 用户管理方面价值 解决医院当前面对医疗访问群体多样化的问题，建立统一的身份管理，减轻 了运维成本。

2. 设备管理方面价值 将医疗设备进了统一管理，保障了设备接入的安全管控，对接入设备进行了 有效的身份鉴别。

3. 权限管控价值

1） 隐藏医疗应用系统，无权限用户不可视也无法连接；对有权限的业务系 统可连接但无法知悉真实应用地址，减少黑客攻击暴露面。

2） 以访问者身份为基础进行最小化按需授权，避免权限滥用。

4. 访问安全价值

1） 采用了 “用户+设备+环境"多重认证方式，即保证了认证的安全，还不 影响用户使用体验。

2） 通过感知环境状态，进行持续认证，随时自动处理各种突发安全风险， 时刻防护医院业务系统。

5. 数据安全价值

1） 进行了全链路信道安全，消除了医疗数据传输安全风险。

2） 对患者数据进行了隐私保护，解决了数据内部泄露问题。

3. 2优势特点

1. 围绕设备证书建立设备信任体系 在传统数字证书框架中，增加针对设备信任的评估环节，以设备证书作为零 信任安全体系的基石。

2. 自动化授权体系 零信任访问控制区建立的一整套自动化授权体系，可根据用户属性、用户行 为、终端环境、访问流量等多维度数据，自动对用户权限进行实时变更，从而保 障内部系统安全性。

3. 基于设备信任最小化攻击平面 在任何网络连接建立时，首先进行设备认证，能够有效阻止非法设备的连接、 嗅探、漏洞扫描等恶意行为，既能最小化系统的暴露平面，又可以灵活适应一人 多设备、多人共用设备、物联网设备等不同场景。

4. 以信任的持续评估驱动用户认证 通过信任的持续评估驱动认证机制的动态调整，根据动态的信任评估结果反 馈调整用户认证机制。

5. 海量的应用加密通道支撑 逻辑虚拟化技术的深入推进，支持海量的应用加密通道。 通过SSL多实例技术，实现同一台设备上支持多个SSL服务，实例之间通过 密码卡实现密钥物理隔离。 基于高性能网络协议栈，实现海量的TCP/SSL连接支持，通过算法和代码流 程的优化，不断提高每秒新建连接数。 吞吐率、并发连接数和每秒新建连接数等网关指标做到业界领先

4经验总结

在项目的实施阶段，首先要明确医疗内部和外部的访问者身份，实现医院人 员的统一身份管理。在此阶段，需要对内外部用户身份目录进行梳理，由于医院 系统用户涉及医生、患者、临聘人员、其他医疗机构人员等多方用户，所以需要 整合多部门的用户信息，保证用户信息的实时性、同步性和一致性。另外，由于 医院业务系统数据存储方式多样，项目组根据不同业务系统数据结构编写了大量 针对性的数据清洗脚本，进行身份数据统一收集、清洗、整理、加密。

其次，对医院信息科进行调研，将需要接入医院网络进行应用数据传输的医 疗终端及手持设备，如：PC、智能手机、平板以及患者随身佩戴的小型监测设备 等物联网设备信息收集汇总和统一管理。由于医院没有资产管理系统，未对设备 进行统一管理，为此数字认证临时开发了一套在线设备信任凭证在线签发系统， 自助采集设备基本信息、自助签发下载设备信任凭证。另外，在集成可信终端安全引擎和终端模块前，针对医院各类终端存在时间跨度久且种类繁多的特点，在 各类、各版本操作系统进行多次软件兼容性测试等工作，解决与医院各类终端适 配问题。

然后，集成医院现有的各类业务系统，接入零信任网关，通过API代理统一 对外提供服务。医院物理场所开放、网络多样，各类网络基础设施的物理安全无 法统一保障，在院内各医疗服务网络出口前端部署应用安全网关后，为传输的业 务数据进行加密保护，有效防止攻击者窃取、篡改、插入或删除敏感数据。

最后，通过分析医院的访问需求，制定可信的安全策略，管控访问内容和访 问权限。在可信身份服务的基础上综合评估设备安全风险、访问行为频率、以及 发生访问请求的时间地点等因素，进行持续风险评估和动态授权，保障各项医疗 服务被医院各类用户同时访问的安全性。在制定安全策略时，遵循“动态最小权 限"原则，结合医院实际业务需求，通细粒度的动态访问控制，应对医院诊疗业 务中的精细化安全管理风险。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）