NetAdmin 網管人 12月號/2023 第215期：醫療數位轉型資安扮桶箍 (電子書)

NT $ 180

封面故事
醫療數位轉型　資安扮桶箍
基於安全方能整合應用科技　等級責任/醫院評鑑收束規範
文◎余采霏

近幾年，醫療院所積極數位轉型，大幅運用新興科技以提供更好的服務品質，打造以病人為中心的全人照護，已成主流的趨勢發展方向，駭客攻擊卻也同比攀升，PwC發現在疫情期間，醫療服務機構與支付體系的資安事故有顯著增加；同時醫療數據外洩事件發生的頻率，與醫療體系在疫情期間採取的科技導向、遠距醫療服務之客戶體驗以及營運模式轉型成正比。

然而，根據歐盟網路安全局（ENISA）近期調查，儘管勒索軟體攻擊已佔總體網路安全事件的5成以上，但是只有27%的醫療院所擁有專門的勒索軟體防禦計畫。顯然，在積極打造智慧醫院的同時，資安風險已成醫療產業亟需重視的課題。

國內主管機關鑑於全球重大醫療資安事件頻傳，也早就針對醫療資安防護擬定法令規範並且推動落實，目前以資安責任A級的醫療機構要求最高，不過實務上卻也面臨不小挑戰，包含人力與能力不足、流程改變與因應、醫療物聯網（IoMT）安全課題，到如何擬定真正有效的資安防禦策略與作法，都是醫療院所正在面臨的困境，本期也將邀請業界專家，從法規面、實務面探討醫療數位轉型下的資安防禦之道。

專題報導
教戰守則出爐ZTA落地有譜
實踐零信任架構模型　建構現代化IT防護
文◎洪羿漣

當前數位化應用部署於動態的網路環境中，僅依靠傳統的邊界安全措施已經不再足夠。細粒度的訪問控制，以及即時的政策決策和執行，變得日益重要。這不僅包括對用戶身分的驗證和授權，還包括對設備的詳細審查，以零信任網路安全原則確保只有經過驗證和授權的實體能夠訪問或相互溝通運作。

近年來歐美各國相繼宣布將零信任網路安全納入國家戰略，台灣也不例外，數位發展部（簡稱數位部）推動的多項計畫中，即包含零信任架構（ZTA），預計優先推動A級公務機關導入。由此向外擴散，未來企業管理辦法中，零信任勢必將成為基本原則。問題是，根據NIST800-207文件提出的零信任框架範疇相當大，包含人、設備、資料、工作負載等，究竟該如何落實？對此，本土具備軟體研發能力的廠商，陸續提出相關方法與方案，幫助台灣企業與組織規畫與實踐零信任控管，以降低資安風險。

產業趨勢
導入生成式AI六大考量　組織技術管理缺一不可
GenAI帶來創新優化　兼顧必要面向才有實際效益

文◎朱師右（資策會MIC資深產業分析師）
生成式AI正迅速為企業帶來創新和優化的無窮可能。在客戶服務中心中使用AI自動提供智慧回答，或透過AI創作出充滿深度與個人化色彩的文章，這些都是生成式AI能力的展現。從效益角度，企業需認真評估AI是否真正提升了工作效率，是否能解決實際問題，或增進決策品質。此外，它也可能帶來如資訊安全與隱私安全等問題。可見，生成式AI的導入與評估是一個涉及技術效能、成本效益、風險管理，以及道德倫理等多面向的綜合考量。在此脈絡下，發展導入的策略變得尤為重要，因此，企業應從多種策略角度出發，考慮技術導入複雜性、相應的資訊安全，以及人才能力培養等問題。

深度觀點
國安級核心技術有哪些？　對岸關鍵專利或可參考
國家認定核心關鍵技術須受保護　分類符合需求方能落實
文◎陳宏志

先前研究曾提及，在數位經濟時代內，企業或組織的獲利已非單獨源於昔日生產要素，而有更多來自於技術（或科技）創新的貢獻，且對於國家或企業競爭力亦是如此。有鑑於技術之重要性不斷提升，如近年火熱的半導體產業，伴隨此一發展趨勢，各國政府從單一法律或行政管制，提升至政策或戰略層級，並搭配相關配套措施，俾利對國家重視之技術予以保護。

繼我國於2023年4月訂定並施行《國家核心關鍵技術認定辦法》與《政府機關（構）委託補助出資國家核心關鍵技術計畫認定辦法》外，中國大陸國家知識產權局（類似我國的智慧財產局）也於2023年9月發布《2023年關鍵數位技術專利分類體系》（关键数字技术专利分类体系(2023)）的通知。

不過，此一通知並未實質改變國際專利分類號（IPC）之分類，而是基於統計分析之需求，將中國大陸關鍵數位技術分為7類，包含：人工智慧、高階晶片、量子資訊、物聯網、區塊鏈、工業互聯網及元宇宙。

技術論壇
實戰vCenterServer8　建置分支據點熱備援管理
外點分權維運/總部集中管控　高可用性必要部署

文◎顧武雄

相信只要有在系統整合的資訊公司從事過工程師的工作，就會經常聽到客戶有單一登入的系統整合需求，而且這些客戶不限於企業、公家機關或是學校，幾乎稍有規模的各行各業IT環境都會這樣的需求。為何單一登入的整合需求如此眾多呢？主要是組織IT環境中長久以來累積的應用系統相當多，而且每一套系統通常都採用自家資料庫的認證機制，如此一來，使用者就必須牢記多套系統的帳號與密碼，若這些系統還有一些強制性的密碼原則，那麼對於用戶所造成的困擾可能更大。

過去為了解決單一登入的需求問題，許多IT部門會要求新應用系統的規格，必須支援ActiveDirectory或OpenLDAP的認證功能，如此便能大幅減少使用者需要牢記多組帳密的問題，不過這並無法解決主機端資源集中管理的問題，例如想要迅速完成ERP與CRM的資源配置異動。

如今系統開發應用設計的範圍相當廣泛，若只是解決單一登入的管理問題，肯定無法滿足大型企業的IT架構設計，因此必須把過去、現在以及未來的應用系統，選擇全部部署在以虛擬化平台為基礎的雲架構中，這樣一來無論應用系統是選擇運行在虛擬機器（VM）或容器（Container）中，IT人員都可以輕易地進行資源的集中化調配。

技術論壇
免費體驗HCI超融合叢集　實作資料中心防火牆
試用額度Azure訂閱學習SDN　軟體式架構阻東西向攻擊
文◎王偉任

在企業和組織的資料中心內，即便已經導入伺服器虛擬化和容器等現代化工作負載，倘若未整合SDN軟體定義網路環境，那麼對於內部網路惡意攻擊的防護能力勢必薄弱。主要原因在於，傳統的防火牆的運作機制為過濾及處理內部資料中心與網際網路之間的網路連線，也就是大家熟悉的「南-北」（North-South）向網路流量。

然而，隨著時間推移而不斷進化的惡意攻擊，一旦企業組織內部的資料中心只要有一台主機被攻陷進而開始感染鄰居主機時，此時傳統防火牆便無法阻擋這種「東-西」（East-West）向惡意攻擊類型。

在AzureStackHCI超融合環境中，一旦建構「資料中心防火牆」（DatacenterFirewall）功能後，管理人員便能針對虛擬化環境的工作負載，建構軟體式網路封包過濾機制。簡單來說，資料中心防火牆將會透過邏輯和虛擬網路當中的ACL存取控制清單進行網路封包過濾的目的。