Mkjones10/cybr550-nm-enterprise-security

# Northwestern Medicine — 企业网络安全项目 **CYBR 550 | Maxine Jones | 2026年4月–5月** 为 Northwestern Medicine 打造的一套面向真实生产环境的企业网络安全项目的四项渐进式作业。Northwestern Medicine 是芝加哥地区最大的医疗系统之一，拥有 11 个医院院区、200 多个门诊站点以及超过 33,000 名员工。 每项作业均直接建立在前一项的基础之上，最终形成涵盖资产管理、网络隔离、分层安全控制和事件响应的完整架构。 ## 目录 - [项目概述](#project-overview) - [作业 1 — Axonius 资产管理](#assignment-1--axonius-enterprise-asset-management-proposal) - [作业 2 — 网络架构](#assignment-2--enterprise-network-architecture-purdue-model) - [作业 3 — 安全控制](#assignment-3--security-controls--defense-strategy) - [作业 4 — 事件响应](#assignment-4--incident-response-playbook-ransomware) - [架构差距分析](#architecture-gap-analysis) - [合规性对齐](#compliance-alignment) - [工具与技术](#tools--technologies-referenced) - [仓库结构](#repository-structure) ## 项目概述 Northwestern Medicine 运营着中西部最复杂的医疗 IT 环境之一。该网络横跨位于芝加哥 Galter Pavilion 的本地数据中心、通过托管 MPLS WAN 互连的五个卫星医院院区、不断扩展的远程医疗平台、Microsoft Azure Government 云环境，以及庞大的生物医学和 OT 设备群（包括输液泵、病人监护仪、影像系统和楼宇管理基础设施）。 本项目应用了用于工业控制系统隔离的 Purdue Model（针对医疗保健环境进行了适配），将 Northwestern Medicine 的临床系统、企业 IT、生物医学设备和云基础设施在逻辑和物理上划分为六个独立的安全区域。每一项设计决策都基于这样一个原则：在医疗保健环境中，网络安全故障不仅是数据泄露——它更是对患者护理交付和安全的直接威胁。 ### 组织概况 | 属性 | 详情 | |-----------|--------| | 医院 | 11 个院区 | | 门诊站点 | 200+ | | 员工 | 33,000+ | | 主数据中心 | 芝加哥 Galter Pavilion (Tier III, N+1) | | WAN | 托管 MPLS，每个站点 100 Mbps – 1 Gbps | | 云 | Microsoft Azure Government | | 云连接 | Azure ExpressRoute 10 Gbps | | EHR 平台 | Epic (Hyperdrive) | | 安全区域 | 6 个（基于适配后的 Purdue Model） | ## 作业 1 — Axonius 企业资产管理提案 ### 问题陈述 Northwestern Medicine 的安全工具在运营中各自为政。CrowdStrike、Cisco ISE、Azure AD、Qualys、Intune 和 ServiceNow 各自维护独立的资产记录，它们之间没有自动化的关联。这种碎片化的环境视图导致了四种明确的风险状况： - **缺乏资产可见性** — 网络中存在哪些设备没有唯一的真实数据源 - **影子 IT 和无人管理的设备** — 网络中存在的设备没有安全代理、无合规状态且无所有者 - **安全工具在孤岛中运行** — 分析师在发生事件时需要在工具之间手动切换，增加了响应时间 - **攻击面不断扩大** — 不断增长的生物医学设备群、远程访问的扩展以及云采用使得资产增加的速度超过了能够被跟踪的速度 ### 提议的解决方案：Axonius Axonius 被提议作为网络安全资产管理平台，作为 Northwestern Medicine 所有环境的统一清单层。Axonius 并非替代现有工具，而是通过 API 适配器连接到它们，并将它们的资产数据聚合到每台设备单一关联的记录中——将端点、身份、网络、云和漏洞数据整合到一个视图中。 **工作原理：** 1. 适配器连接器从 CrowdStrike、Cisco ISE、Azure AD、Qualys、Intune 和 ServiceNow 拉取资产数据 2. 数据被关联和去重，形成统一的资产清单 3. 随着设备状态的变化，清单会实时持续更新 4. 当设备不符合合规要求时，Enforcement Center 操作可触发自动响应——隔离、通知或工单处理 **在本架构中的部署：** - Axonius 主机：`10.1.30.50` (VLAN 30 — SOC 区域) - 聚合来自所有六个 Purdue Model 区域的资产数据 - 将丰富的资产上下文提供给 Splunk SIEM 用于关联告警 - 将合规状态提供给 Cisco ISE NAC 用于动态隔离决策 ### 商业价值 | 收益 | 详情 | |---------|--------| | 统一的资产清单 | 跨 7+ 安全工具的单一关联记录 | | 实时可见性 | 随着设备状态变化持续更新 | | 更快的事件响应 | SOC 分析师无需手动切换即可获取完整的资产上下文 | | 合规性支持 | 满足 NIST SP 800-66、HIPAA、ISO 27001 资产清单要求 | | 影子 IT 检测 | 标记出存在于网络但未被安全工具覆盖的设备 | ### 成本估算 | 部署规模 | 预计年度成本 | |----------------|-----------------------| | 小型 | ~$50,000 | | 中型（典型） | ~$90,000 | | 大型企业 | $300,000+ | 定价基于订阅模式。提供 30 天试用。 ## 作业 2 — 企业网络架构 (Purdue Model) ### 设计理念 该网络架构以用于工业控制系统隔离的 Purdue Model 为基础，并针对医疗保健环境进行了适配，将 Northwestern Medicine 的临床系统、企业 IT、生物医学和 OT 设备以及云基础设施在逻辑和物理上隔离开来。这种隔离的目标是： - 减少 Northwestern Medicine 的攻击面 - 支持符合 HIPAA、NIST SP 800-66 和 HICP 的监管合规性 - 在发生入侵时限制横向移动 - 将高价值资产——Epic EHR、PACS、生物医学设备——与一般企业流量隔离 每个区域都分配了专用的 IP 子网、VLAN 范围和符合 Zero Trust 隔离与最小权限原则的安全控制。 ### 区域架构 #### 区域 5 — 外部 / 互联网（不受信任） **公共 IP 空间：165.124.x.x** 不受信任的边界。所有外部实体在与内部系统进行任何流量交互之前，都必须通过此区域。 | 实体 | 访问方法 | |--------|--------------| | 远程临床医生 | ZTNA / Ivanti Connect，强制执行 MFA | | 远程医疗患者 | NM Virtual Visit (Zoom)，TLS 1.3 + MFA | | 第三方供应商 | Epic/GE/Siemens 支持，PAM + 有时效的访问权限 | | 患者门户 | MyNM (Epic MyChart)，WAF + HTTPS | | ISP / BGP | ATT / Comcast，双宿主 WAN | 所有入站和出站流量在到达区域 4 之前，都会经过配置了 IPS、URL 过滤、SSL 检查和反恶意软件的 Palo Alto NGFW HA 对。 #### 区域 4 — DMZ / 屏蔽子网 **10.0.0.0/24 | VLAN 10** 互联网和内部系统之间的受控缓冲区。双供应商防火墙策略（Palo Alto + Cisco Firepower）减少了对单一供应商的依赖并提高了检测覆盖率。 | 组件 | 详情 | |-----------|---------| | Palo Alto NGFW | PA-5450 HA 对，深度包检测，App-ID + User-ID — `10.0.0.1 / 10.0.0.2` | | F5 BIG-IP WAF | OWASP 规则集，API 网关 (HL7/FHIR)，TLS 终止 — `10.0.0.10` | | Cisco Firepower IPS | 内联阻断模式，Snort 3 特征码，SSL 解密 — `10.0.0.20` | | Zscaler ZTNA | 零信任代理，仅限应用级访问，无横向移动 — `10.0.0.30` | #### 区域 3 — 企业 IT / 公司网络 **10.1.0.0/16 | VLANs 20–50** Northwestern Medicine 的企业 IT 环境。所有企业治理、身份验证和设备合规功能均源自此区域。来自所有其他区域的日志都会转发到此处，用于集中事件响应和监控。 | 系统 | 详情 | |--------|---------| | 身份 / IAM | MS Azure AD，Okta SSO + MFA，CyberArk PAM — VLAN 20，`10.1.20.0/24` | | SOC / SIEM | Splunk Enterprise，CrowdStrike EDR，Axonius 资产管理 — VLAN 30，`10.1.30.0/24` | | 管理系统 | MS 365 / Teams，Workday HR / 财务，员工工作站 (~4,000 台主机) — VLAN 40，`10.1.40.0/22` | | 核心交换 / Wi-Fi | Cisco Catalyst 9000，Cisco ISE NAC，Cisco Meraki Wi-Fi — VLAN 50，`10.1.50.0/24` | #### 区域 2 — 临床网络 / EHR 系统 **10.2.0.0/16 | VLANs 60–90** 支持直接患者护理的关键临床系统。流量受到严格控制与监控，以在维持临床操作所需的低延迟和高可用性的同时，强制执行 ePHI 保护要求。 | 系统 | 详情 | |--------|---------| | Epic EHR 集群 | Epic Hyperdrive，RBAC + 审计日志，PHI 采用 AES-256 加密 — VLAN 60，`10.2.60.0/23` | | 远程医疗平台 | NM Virtual Visit，Zoom for Healthcare，端到端加密会话 — VLAN 70，`10.2.70.0/24` | | PACS / 影像 | Sectra PACS，MRI/CT/X-ray 数据，仅限 DICOM 协议 — VLAN 80，`10.2.80.0/24` | | 临床工作站 | 护士 / 医生站 (~1,200 台主机)，智能卡 + MFA，CrowdStrike EDR — VLAN 90，`10.2.90.0/23` | #### 区域 1 — 生物医学 / OT / IoT **10.3.0.0/16 | VLANs 100–140 | 接近 Air-gap** 支持患者护理和设施运营的生物医学、OT 和 IoT 设备。这些设备通常运行无法修补的专有或旧版操作系统，因此隔离——而非修补——是主要的安全控制手段。 | 设备类别 | 详情 | |----------------|---------| | 输液泵 | Baxter / BD Alaris，旧版固件，NAC 隔离，无 EHR 直连 — VLAN 100 | | 病人监护仪 | Philips IntelliVue，生命体征遥测，只读数据源，加密 HL7 — VLAN 110 | | 影像设备 | Siemens MRI/CT，仅通过 DICOM 连接 PACS，Win10 LTSC 补丁，隔离子网 — VLAN 120 | | OT / BMS / HVAC | Siemens Desigo CC，空气/电力/电梯，Purdue L1 隔离，无 IT 交叉 — VLAN 130 | | IoT / 智能设备 | 智能病床，RTLS 资产追踪器，徽章/读卡器，由 Cisco ISE NAC 强制控制 — VLAN 140 | #### 区域 0 — 物理基础设施 + 云 **Galter Pavilion 数据中心 + 卫星机房 | Azure Gov: 172.16.0.0/16** 支撑所有其他区域的物理基础设施和云服务。 **本地物理设施：** | 组件 | 详情 | |-----------|---------| | Galter 数据中心 | Tier III，N+1 冗余 | | UPS / 发电机 | 72 小时柴油，APC UPS | | 徽章 / 生物识别 | HID 读卡器，Mantrap（防尾随双门闸机） | | CCTV / 环境传感器 | 温度，湿度，水浸 | **Microsoft Azure Government 云 (172.16.0.0/16)：** | 服务 | 详情 | |---------|---------| | Epic 云 / HIE | Azure Health Data Svc，FHIR API 网关，静态 AES-256 加密，传输中 TLS 1.3 — `172.16.10.0/24` | | 备份 / DR | Azure Site Recovery，不可变 Blob 存储，异地冗余 (美国东部)，RTO 4小时 / RPO 1小时 — `172.16.20.0/24` | | 云 SIEM / SOAR | Splunk Cloud，MS Sentinel，SOAR 自动化，威胁情报 (ISAC) — `172.16.30.0/24` | | 远程医疗 SaaS | Zoom for Healthcare，已签署 HIPAA BAA，端到端加密，会话记录 — `172.16.40.0/24` | 连接性：Azure ExpressRoute 10 Gbps，私有对等互连，SOC2 / HIPAA BAA 已签署。 多院区拓扑 所有院区通过托管 MPLS WAN 互连（每个站点 100 Mbps – 1 Gbps）： - Prentice Women's Hospital - Bluhm Cardiovascular Institute - Lake Forest Hospital - Delnor Hospital - Kishwaukee Hospital ## 作业 3 — 安全控制与防御策略 ### 核心安全原则 本设计中的每一项架构决策都基于五个原则。在医疗保健环境中，这些不是可选的最佳实践——破坏 Epic EHR 或维持生命的生物医学设备的泄露是直接危及患者安全的事件。 #### Zero Trust (ZT) 默认情况下，任何用户、设备或应用程序都不被信任，无论其网络位置如何。每个访问请求都必须经过身份验证、授权和持续验证。 *在本设计中的应用：* 每次登录使用 Okta SSO + MFA · Zscaler ZTNA 取代 VPN · CyberArk 对供应商和管理员强制执行零持久权限 #### Least Privilege (LP) 每个用户、系统和应用程序仅被授予执行其功能所需的最小访问权限。 *在本设计中的应用：* Epic EHR 上的 RBAC 按角色限制 PHI 访问 · ZTNA 仅授予应用级访问权限 · 供应商凭据在工单关闭时失效 · 区域 1 设备无法直接访问 EHR #### Segmentation (SG) 网络被划分为具有受控通信路径的隔离区域，因此一个区域的受损无法自动蔓延。 *在本设计中的应用：* 六个具有专用 VLAN 和子网的 Purdue Model 区域 · 每个区域边界都有内部防火墙 · 区域 1 生物医学设备接近 Air-gap #### Defense in Depth (DD) 部署多层重叠的安全控制，以便在一层失效时，其他层仍能到位以检测、遏制或阻止威胁。 *在本设计中的应用：* NGFW → IPS → ZTNA → 隔离 FW → NAC → EDR → SIEM — 攻击者必须独立突破每一层 #### Visibility Everywhere (VE) 安全团队对所有区域（本地和云端）的每个资产、会话和事件保持持续感知——不留盲点。 *在本设计中的应用：* Axonius 跨所有 VLAN 的统一清单 · Splunk 聚合来自所有区域的日志 · Sentinel 将云告警转发到本地 SOC · 集成 H-ISAC 威胁情报 ### 分层安全控制 #### 网络安全 | 控制措施 | 详情 | |---------|---------| | Palo Alto NGFW HA | 位于区域 5/4 边界的 PA-5450 对 | | Cisco Firepower IPS | 内联阻断，Snort 3 特征码 | | F5 BIG-IP WAF | OWASP 规则 + FHIR/HL7 API 网关 | | Zscaler ZTNA | 应用级访问，无横向移动 | | Cisco Catalyst 9000 + ISE NAC | 端口级强制执行 | | 微隔离 | 在所有 Purdue Model 区域之间实施 | | 双供应商防火墙 | Palo Alto + Cisco — 无单一供应商风险 | #### 端点安全 | 控制措施 | 详情 | |---------|---------| | CrowdStrike Falcon EDR | 覆盖所有企业 + 临床端点 | | SCCM + Intune + JAMF | 补丁管理，设备合规性 | | Cisco ISE NAC | 网络访问前的设备状态检查 | | Axonius | 跨所有 VLAN 的持续资产盘点 | | 智能卡 + MFA | 覆盖所有临床工作站 | | 旧版生物医学设备隔离 | 区域 1 VLAN | | 被动 NDR | 无代理监控 OT/IoT | #### 身份与访问 | 控制措施 | 详情 | |---------|---------| | Azure AD + Okta SSO | 企业身份 | | MFA | 强制用于所有远程访问 + 供应商会话 | | CyberArk PAM | 特权 + 供应商会话录制 | | Epic EHR 上的 RBAC | 按角色限制的 PHI 访问 | | 有时效的供应商凭据 | 通过 CyberArk 管理，工单关闭时失效 | | 条件访问策略 | 要求检查设备状态 | | 零持久权限 | 覆盖所有第三方账户 | #### 监控与检测 | 控制措施 | 详情 | |---------|---------| | Splunk SIEM | 本地日志聚合，覆盖所有区域 | | Microsoft Sentinel | 云 SIEM + SOAR 自动化 | | Axonius | 实时资产状态 + 安全缺口告警 | | H-ISAC 威胁情报 | 集成到 SIEM 中 | | 云遥测 | Azure 数据通过 ExpressRoute 转发至本地 SOC | ### 风险分析 | 严重程度 | 风险 | 缓解措施 | |----------|------|-----------| | 高 | 勒索软件横向移动 | 微隔离 + ISE NAC 将波及范围限制在一个 VLAN 内；区域 1 Air-gap 阻止了向 OT 的跳板攻击 | | 高 | 供应商凭据被盗 | ZTNA 仅授予应用访问权限；CyberArk 记录会话并在工单关闭时自动撤销权限 | | 高 | 通过 EHR 窃取 PHI | RBAC 按角色限制 PHI 访问；Splunk SIEM 对异常的 Epic 访问模式发出告警 | | 高 | 命令与控制 (C2) 回连 | NGFW + IPS 检查所有出站流量；Zscaler 代理阻止未经授权的 C2 通信 | | 中 | 未受管理 / 影子 IoT 设备 | Cisco ISE NAC 隔离不合规设备；Axonius 实时标记未知设备 | | 中 | 旧版生物医学设备漏洞利用 | 区域 1 隔离 + ACL + 被动 NDR；控制手段是遏制，而非修补 | ### 关键执行点 | 边界 | 控制措施 | 功能 | |----------|---------|----------| | Z5 → Z4 | Palo Alto NGFW | 首次检查；默认拒绝所有流量 | | Z4 DMZ | IPS + WAF + ZTNA | 威胁检测，API 安全，供应商代理 | | Z4 → Z3 | 内部 FW | 强执行 DMZ 和企业 IT 之间的信任边界 | | Z3 → Z2 | 隔离 FW | 保护临床区域免受企业区域影响 | | Z2 → Z1 | 微隔离 FW + NAC | 将生物医学设备与临床 IT 隔离 | | Z3 SOC | Splunk + Sentinel | 来自所有区域的集中日志聚合 | | 云 | ExpressRoute + Defender | 私有连接，云端 EDR + SIEM | ### 设计权衡 | 决策 | 权衡 | |----------|-----------| | ZTNA 对比 VPN | 复杂性更高，但消除了单个受损 VPN 凭据导致的全网暴露风险 | | 双供应商防火墙 | 增加了运营开销，但消除了单一供应商风险并提高了检测覆盖率 | | 区域 1 无代理 | 端点可见性较低，通过被动 NDR、NAC 隔离和 Axonius 追踪来弥补 | | ExpressRoute 代替公共互联网 | 成本较高，但 PHI 永远不会穿越不受信任的网络 | | 非仅边界信任 | 需管理的工具更多，但在外部防火墙被绕过时显著减小了波及范围 | ## 作业 4 — 事件响应 playbook：勒索软件 ### 事件概述 **场景：** 企业 IT 区域（区域 3）的一名员工打开了钓鱼邮件附件，在 VLAN 40（管理系统，`10.1.40.0/22`）的管理工作站上执行了勒索软件 payload。恶意软件开始加密本地文件，并尝试通过 SMB 在约 4,000 台主机的大规模子网中进行横向移动。CrowdStrike Falcon EDR 率先进行了初始检测，随后 Splunk SIEM 和 Cisco ISE NAC 在几分钟内产生了确证信号。 **关键边界：** 位于 `10.2.0.0/16` 的区域 3 → 区域 2 隔离防火墙决定了此事件是仅作为一次 IT 恢复事件，还是升级为影响 Epic EHR、PACS 和约 1,200 台临床工作站的临床系统中断——并引发相关的 HIPAA 违规责任。 ### 检测与可见性 多个重叠的检测系统在初始执行后的几分钟内产生独立的信号，反映了作业 3 中纵深防御的设计。 | 系统 | 检测信号 | |--------|----------------| | CrowdStrike Falcon EDR | 识别恶意进程树（Office 文档 → PowerShell/cmd → 大规模文件重命名）；生成高严重性告警 | | Splunk SIEM (`10.1.30.10`) | 关联大量文件修改事件、异常的 SMB 连接尝试以及不寻常的身份验证活动 | | Cisco ISE NAC | 识别来自先前合规设备的异常 SMB 连接尝试；标记状态违规；触发交换机端口隔离 | | Axonius (`10.1.30.50`) | 瞬间调出受影响设备在所有集成数据源中的完整资产配置文件 | | Palo Alto NGFW + Zscaler ZTNA | 记录并阻断出站 C2 回连尝试 | | 隔离 FW (Z3 → Z2) | 在 Splunk 中为任何跨区域通信尝试生成拒绝日志，确认未触及临床网络 | ### 响应 playbook #### 阶段 1 — 初始分诊 - 在升级告警之前，确认 CrowdStrike 高严重性告警和 Splunk 关联告警是否关联到 `10.1.40.x` 上的同一源 IP - 从 Axonius 调取受影响设备的完整资产记录：主机名、分配的用户、VLAN 位置、已安装的代理、最后已知的合规状态 - 检查 Splunk 中过去 24 小时的端点活动：身份验证日志、到相邻主机的 SMB 连接尝试、被 Palo Alto NGFW 标记的出站流量 - 查询 Splunk，寻找过去 30-60 分钟内 `10.1.40.x` 中显示出类似进程行为或文件加密指标的其他设备 - 如果确认有多于一台主机受到影响，立即升级给事件响应负责人并通知 CISO #### 阶段 2 — 遏制 - 在受感染的工作站上激活 CrowdStrike Falcon 网络隔离，切断所有网络通信，同时保留主机用于取证分析 - 如果 CrowdStrike 隔离不可用，指示网络团队通过 Cisco ISE NAC 在 Cisco Catalyst 9000 上禁用设备交换机端口 - 通过 Splunk 防火墙拒绝日志验证，区域 3 → 区域 2 隔离防火墙是否已阻断所有朝向 `10.2.0.0/16` 的横向移动尝试 - 查询 Axonius，寻找 VLAN 40 中所有与受感染用户共享凭据或反映近期有该身份验证记录的设备；立即禁用相关的 Azure AD 账户 - 如果受感染用户拥有特权访问权限，指示 CyberArk PAM 团队轮换并撤销所有相关凭据，并终止活动的特权会话 #### 阶段 3 — 调查 - 在对设备进行重装镜像之前，通过 CrowdStrike Falcon 远程取证收集内存映像和取证磁盘副本 - 检查 Splunk 以获取完整的横向移动路径：恶意软件尝试连接哪些主机，哪些连接成功了，哪些被 ISE NAC 或隔离防火墙阻断 - 调取 Microsoft 365 电子邮件日志，以识别原始钓鱼邮件，确定其是否被转发到其他设备，并识别收到相同邮件的其他员工 - 检查 Palo Alto NGFW 出站日志，查看在遏制之前是否有任何成功的 C2 回连——如果回连成功，则将事件范围升级，以包含潜在的数据窃取 - 检查 Azure AD 登录日志，查看受感染账户的异常身份验证活动，包括对 M365 服务或 SharePoint 的访问 #### 阶段 4 — 沟通 - 在确认勒索软件活动后的第一个小时内通知 CISO 和 IT 领导层——不要因为等待完整的范围确定而延迟 - 如果任何临床系统受到波及或 PHI 面临潜在风险，请通知首席医疗官，并根据 45 C.F.R. § 164.306 启动 HIPAA 违规评估 - 协调网络团队、SOC 和 IAM 团队并行工作——有效遏制需要这三方同时参与 - 在 ServiceNow 中开启正式的事件工单，并持续记录所有行动、决策和相关人员的时间线 #### 阶段 5 — 恢复 - 使用 SCCM 和 Intune 从最近经过验证的干净备份中恢复受影响的工作站，它们支持无需物理接触的远程重装镜像 - 要求 Cisco ISE NAC 对任何恢复的设备在重新连接网络之前执行全面的状态检查，确认其已完全修补并运行最新的 CrowdStrike Falcon 代理 - 仅在感染载体被完全解决、MFA 在干净设备上重新注册、且受影响用户完成针对性的钓鱼防范审查后，才重新启用受感染的 Azure AD 账户 - 对整个 VLAN 40 进行后续的 Axonius 扫描，查找存在受损迹象、缺少代理或存在合规性漏洞的剩余设备 - 在 Splunk ServiceNow 中记录完整的事件时间线、从检测到遏制的耗时、所有受影响的资产以及经验教训 ### 事后反思 该架构表现良好。三个独立的检测信号（CrowdStrike、Splunk、ISE NAC）在初始感染后的几分钟内被触发。区域 3 → 区域 2 隔离防火墙被证明是整个架构中最关键的患者安全控制措施——如果没有它，此事件将从一次 IT 恢复事件升级为可能影响 Epic EHR 和 1,200 台临床工作站的 HIPAA 违规事件。 ## 架构差距分析 | 差距 | 风险等级 | 影响 | 建议 | |-----|-----------|--------|----------------| | VLAN 40 内部扁平化（约 4,000 台主机） | 高 | 勒索软件可在子网内的工作站间传播，直到区域级别的隔离发挥作用 | 在 VLAN 40 上实施 VLAN 内微隔离，使工作站无法在明确批准的流量路径之外直接通信 | | 缺乏电子邮件附件沙箱 | 高 | 恶意 payload 在任何检测层触发之前到达端点，只能被动遏制而非主动预防 | 在 M365 层部署 Microsoft Defender for Office 365 附件沙箱，在端点执行前拦截 payload | | 区域 1 EDR 覆盖空白 | 中 | 旧版生物医学设备无法运行安全代理，降低了最高风险设备类别的端点可见性 | 当前缓解措施：被动 NDR + NAC 隔离 + Axonius 追踪；评估为最高关键性设备引入硬件安全模块 | ## 合规性对齐 | 框架 | 在本设计中的应用 | |-----------|---------------------------| | HIPAA 安全规则 (45 C.F.R. § 164.306) | 区域隔离，PHI 加密 (AES-256)，访问控制，审计日志，违规通知程序 | | NIST SP 800-66 Rev. 2 | 跨所有区域的管理、物理和技术安全防护措施的实施 | | HICP (HHS 405(d)) | 电子邮件保护，端点保护，访问管理，网络隔离，事件响应 | | ISA/IEC 62443 (Purdue Model) | 区域 1 中用于 OT/生物医学设备隔离的区域和管道模型 | ## 涉及的工具与技术 ### 安全运营 `CrowdStrike Falcon EDR` `Splunk Enterprise` `Microsoft Sentinel` `Axonius` `H-ISAC Threat Intel` ### 网络安全 `Palo Alto NGFW (PA-5450)` `Cisco Firepower IPS` `F5 BIG-IP WAF` `Zscaler ZTNA` `Cisco ISE NAC` `Cisco Catalyst 9000` `Cisco Meraki Wi-Fi` ### 身份与访问 `Microsoft Azure Active Directory` `Okta SSO` `CyberArk PAM` `Microsoft Intune` ### 端点与设备管理 `SCCM` `JAMF` `Qualys` ### 临床系统 `Epic EHR (Hyperdrive)` `Sectra PACS` `Zoom for Healthcare` `Siemens MRI/CT` `Philips IntelliVue` `Baxter / BD Alaris` `Siemens Desigo CC` ### 云与基础设施 `Microsoft Azure Government` `Azure ExpressRoute` `Azure Site Recovery` `Azure Health Data Services` `Microsoft Defender for Cloud` `ServiceNow` ## 仓库结构 ``` cybr550-nm-enterprise-security/ ├── README.md ├── Assignment-1-Axonius/ │ └── Maxine_Jones_Enterprise_Assignment_1.pdf ├── Assignment-2-Network-Architecture/ │ ├── Maxine_Jones_Assignment_2_CYBR_550.pdf │ ├── northwestern_medicine_network_map.jpg │ └── northwestern_medicine_security_overlay.svg ├── Assignment-3-Security-Overlay/ │ └── Maxine_Jones_Assignment_3_CYBR_550.pdf ├── Assignment-4-Incident-Response/ │ └── Maxine_Jones_Assignment_4_CYBR_550.pdf └── Executive-Summary/ └── NM_CYBR550_Executive_Summary.pptx ``` ## 参考文献 - American Hospital Association. (2025). *Cybersecurity and the healthcare sector.* https://www.aha.org/cybersecurity - Cybersecurity and Infrastructure Security Agency. (2024). *#StopRansomware guide.* https://www.cisa.gov/stopransomware - International Society of Automation. (n.d.). *ISA-95: Enterprise-Control System Integration.* https://www.isa.org - National Institute of Standards and Technology. (2024). *Implementing the HIPAA Security Rule (SP 800-66 Rev. 2).* https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.pdf - U.S. Department of Health and Human Services. (2023). *Health Industry Cybersecurity Practices (HICP).* https://405d.hhs.gov/Documents/HICP-Main-508.pdf - U.S. Department of Health and Human Services. (2023). *HIPAA Security Rule: 45 C.F.R. § 164.306.* https://www.ecfr.gov/current/title-45/subtitle-A/subchapter-C/part-164/subpart-C *为 CYBR 550 — 企业网络安全编制。所有网络设计、IP 寻址和工具配置均为用于课程作业的学术演示。*

标签：CYBR 550, MPLS广域网, Northwestern Medicine, OT安全, PE 加载器, 人工智能安全, 企业安全架构, 勒索软件应急响应, 医疗IT, 医疗网络安全, 医院网络安全, 占用监测, 合规性, 安全控制策略, 工业控制系统安全, 微软Azure, 普渡模型, 架构差距分析, 生物医疗设备安全, 端点安全, 网络安全项目, 网络隔离, 补丁管理, 资产管理, 零信任安全