重大疫情背景下醫(yī)療數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)研究

◆田由輝

(江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 江蘇 211168)

2019年12 月新型冠狀病毒肺炎疫情爆發(fā)以來，我國投入大量的人力物力抗戰(zhàn)疫情，大量醫(yī)療物資、醫(yī)療隊(duì)伍支援疫區(qū)抗擊病毒。在抗戰(zhàn)疫情期間，有某些網(wǎng)絡(luò)黑客組織對醫(yī)療機(jī)構(gòu)發(fā)起定向攻擊，攻擊者精心利用新冠肺炎疫情相關(guān)題材做誘餌文檔，如“新型冠狀病毒感染引起的肺炎的診斷和預(yù)防措施”、“武漢旅行信息收集申請表”等，進(jìn)而通過相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域成為最大受害者，這種襲擊可能造成的損害，一旦得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個人乃至企業(yè)政府等各機(jī)構(gòu)的信息安全[1]。

在重大疫情防控攻堅(jiān)戰(zhàn)的關(guān)鍵時(shí)期，醫(yī)療數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)建設(shè)提出更高要求，醫(yī)療機(jī)構(gòu)運(yùn)行的各個系統(tǒng)（HIS、PACS、LIS、醫(yī)保系統(tǒng)），系統(tǒng)之間實(shí)現(xiàn)無縫鏈接。醫(yī)療機(jī)構(gòu)不僅要滿足高效的內(nèi)部自動化辦公需求，還要對外網(wǎng)的通訊暢通。因?yàn)獒t(yī)療機(jī)構(gòu)的信息系統(tǒng)需要連接外網(wǎng)、醫(yī)保專網(wǎng)、第三方機(jī)構(gòu)支付機(jī)構(gòu)等，所以保護(hù)醫(yī)療機(jī)構(gòu)信息系統(tǒng)中的數(shù)據(jù)及應(yīng)用安全顯得尤為重要。

1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

1.1 遠(yuǎn)程辦公安全問題

新冠肺炎疫情防控期間可以說是我國數(shù)字化時(shí)代最大規(guī)模的一次集體遠(yuǎn)程辦公。大規(guī)模的遠(yuǎn)程辦公可能帶來一系列隱私和數(shù)據(jù)安全隱患。

（1）安全隱患來源于員工的安全意識不足。在遠(yuǎn)程辦公環(huán)境下，員工脫離了企業(yè)的安全邊界，從外部互聯(lián)網(wǎng)環(huán)境訪問和處理任何能夠維持正常工作的賬戶、文檔或數(shù)據(jù)。個人電腦、WiFi、郵件、甚至攝像頭、U盤等都可能存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，且員工無法做到安全事件的及時(shí)發(fā)現(xiàn)、及時(shí)處置。

（2）安全隱患來源于遠(yuǎn)程辦公安全防護(hù)手段不到位。特殊時(shí)期，大量遠(yuǎn)程工作人員經(jīng)常會使用公共WiFi，例如機(jī)場休息室、酒店、咖啡店甚至鄰居網(wǎng)絡(luò)，醫(yī)療數(shù)據(jù)安全受攻面成幾何級數(shù)放大。然而，缺乏可靠的安全接入平臺，沒有VPN、堡壘機(jī)等基礎(chǔ)安全手段。一旦開展互聯(lián)網(wǎng)辦公，接入和傳輸通道均存在較高風(fēng)險(xiǎn)。

1.2 云環(huán)境安全問題

疫情防控是一項(xiàng)復(fù)雜和艱巨的工作，從病毒研究和疫苗研制、從新建隔離醫(yī)療機(jī)構(gòu)到各地上線疫情防控平臺，都需要大量的IT資源支撐，而云計(jì)算在疫情防控IT資源供給方面扮演了極為重要的角色。2020年1月26日，中國電信向“火神山”醫(yī)療機(jī)構(gòu)交付云資源，為 HIS、PACS 等核心系統(tǒng)部署提供計(jì)算與存儲能力，實(shí)現(xiàn)火神山醫(yī)療機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)上云。

在云環(huán)境中，大部分應(yīng)用的是虛擬化技術(shù)，通過對資源的整合和利用，更好地進(jìn)行業(yè)務(wù)系統(tǒng)的應(yīng)用。但是這些虛擬化環(huán)境存在新的問題，對于傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機(jī)流量。檢測所有通過虛擬機(jī)的數(shù)據(jù)分組，組織所有未經(jīng)批準(zhǔn)的連接和允許對數(shù)據(jù)分組進(jìn)行更深層次的檢查，確保虛擬機(jī)間部分通信的安全，但是對于虛擬機(jī)之間的攻擊流量的特殊性，使用虛擬化的網(wǎng)絡(luò)流量分析已經(jīng)無法解決這樣的問題。

1.3 新安全威脅問題

高級持續(xù)性威脅（簡稱APT，也是這次疫情網(wǎng)絡(luò)攻擊的方式）是一種新的網(wǎng)絡(luò)安全威脅。它可以繞過各種傳統(tǒng)安全檢測防護(hù)措施，通過精心偽裝、定點(diǎn)攻擊、長期潛伏、持續(xù)滲透等方式，伺機(jī)竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報(bào)的攻擊方式[3]。

一般的殺毒軟件可以解決已知木馬、病毒，但是對于這種APT的攻擊卻無法防護(hù)，APT的攻擊采用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。這種不斷的攻擊者采用不同的方式，進(jìn)行滲透到網(wǎng)絡(luò)內(nèi)部，然后潛伏，不斷去收集各種信息，直到盜取到重要情報(bào)。這些新型的攻擊和威脅主要針對大型企業(yè)、國家重要的基礎(chǔ)設(shè)施或者具有核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施很難有效應(yīng)對APT攻擊。

2 網(wǎng)絡(luò)安全防護(hù)思路

2.1 建設(shè)思維

疾控部門和醫(yī)療機(jī)構(gòu)是傳染病疫情防控的主力軍，新技術(shù)在傳染病疫情防控工作中的應(yīng)用和普及，有望提升疾控部門和醫(yī)療機(jī)構(gòu)的疫情防控能力，提高疫情防控工作效率，降低受到疫情感染的風(fēng)險(xiǎn)。對于疾控部門和醫(yī)療機(jī)構(gòu)，一方面應(yīng)該鼓勵和支持新技術(shù)在傳染病疫情防控工作中的應(yīng)用，創(chuàng)新思路，勇于接受和嘗試新技術(shù)廣和應(yīng)用；另一方面，應(yīng)充分重視新技術(shù)應(yīng)用過程中的網(wǎng)絡(luò)和數(shù)據(jù)安全問題，積極做好網(wǎng)絡(luò)和數(shù)據(jù)安全防護(hù)措施。

（1）由于傳統(tǒng)等保建設(shè)思路是按照基本要求進(jìn)行差距分析，強(qiáng)調(diào)信息系統(tǒng)的各個技術(shù)控制點(diǎn)的單一防護(hù)措施，而且主要是以安全產(chǎn)品的特征碼和規(guī)則庫進(jìn)行防護(hù)，缺少把控動態(tài)安全的能力，新思路如下：

①基于等保被動防御，增強(qiáng)情報(bào)能力，風(fēng)險(xiǎn)防患于未然；②改變傳統(tǒng)等保的單兵作戰(zhàn)，安全態(tài)勢感知與防御協(xié)同聯(lián)動，提升防護(hù)效率，降低運(yùn)維成本[8]。

（2）信息系統(tǒng)的防護(hù)能力需要從多個維度進(jìn)行提升，不僅依靠本地化的安全設(shè)備，同時(shí)需要動態(tài)的安全情報(bào)；有發(fā)現(xiàn)才有防護(hù)，有防護(hù)就會生效，基于安全新認(rèn)知擴(kuò)大防護(hù)的概念；多維度本地防護(hù)體系的建立，結(jié)合云端安全大數(shù)據(jù)產(chǎn)生威脅情報(bào)，可形成針對性的智能等保生態(tài)防護(hù)圈。

①預(yù)警能力。利用云端的威脅情報(bào)，互聯(lián)網(wǎng)安全眾測，態(tài)勢感知能力，賦予信息系統(tǒng)預(yù)警的能力，能夠從海量的安全大數(shù)據(jù)中精確判斷攻擊行為，提前保護(hù)信息系統(tǒng)的安全。

②防護(hù)能力。將等級保護(hù)的安全技術(shù)控制措施，通過新技術(shù)產(chǎn)品進(jìn)行替代并增強(qiáng)，同時(shí)結(jié)合云防護(hù)的能力，將整體的信息系統(tǒng)防護(hù)能力提升。

③溯源能力。利用威脅情報(bào)與本地全量數(shù)據(jù)進(jìn)行整合，通過可視化分析技術(shù)，快速定位安全風(fēng)險(xiǎn)，形成智能的安全管理中心。

2.2 “云+端+邊界+聯(lián)動”新安全體系

云和端的聯(lián)動計(jì)算、軟件定義網(wǎng)絡(luò)、基于WEB的規(guī)模化IT和基于風(fēng)險(xiǎn)的安全和自保護(hù)系統(tǒng)，且大數(shù)據(jù)安全分析將會是下一代安全平臺的核心。利用云安全系統(tǒng)和云計(jì)算能力，形成安全設(shè)備的最強(qiáng)大腦，無限擴(kuò)展設(shè)備的已知威脅感知能力，使設(shè)備不再面臨升級后防御的現(xiàn)狀，實(shí)時(shí)進(jìn)行最新威脅的檢測。通過對各種原始安全數(shù)據(jù)的收集，利用大數(shù)據(jù)分析能力，形成有價(jià)值的威脅情報(bào)，使靜態(tài)數(shù)據(jù)成為智能數(shù)據(jù)，利用聯(lián)動機(jī)制，使網(wǎng)絡(luò)中的終端安全系統(tǒng)、邊界安全系統(tǒng)、過程防御系統(tǒng)具有軟硬件共同協(xié)同、終端邊界聯(lián)合防御的能力，使整個網(wǎng)絡(luò)具有自防護(hù)能力。

采取對邊界網(wǎng)絡(luò)流量的全流量的感知和分析，來發(fā)現(xiàn)邊界威脅。實(shí)時(shí)對終端的文件與通信進(jìn)行安全監(jiān)控，利用云端威脅感知數(shù)據(jù)來發(fā)現(xiàn)終端威脅。不管是內(nèi)部網(wǎng)絡(luò)產(chǎn)生的威脅，還是外部帶來的威脅，采用聯(lián)動接口和邊界、終端的檢查結(jié)果，以及云端的威脅態(tài)勢感知數(shù)據(jù)分析能力，實(shí)現(xiàn)對整個網(wǎng)絡(luò)威脅的聯(lián)合感知和聯(lián)合防御。將三者有機(jī)統(tǒng)一起來，通過安全管理和大數(shù)據(jù)分析技術(shù)，將所有技術(shù)進(jìn)行統(tǒng)一的融合和管理，利用大平臺形成立體式的管理。

3 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)

3.1 總體網(wǎng)絡(luò)安全架構(gòu)

根據(jù)醫(yī)療機(jī)構(gòu)信息系統(tǒng)的業(yè)務(wù)功能、特點(diǎn)及各業(yè)務(wù)系統(tǒng)的安全需求，將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)接入?yún)^(qū)、外網(wǎng)接入?yún)^(qū)、邊界接入?yún)^(qū)、內(nèi)網(wǎng)辦公區(qū)、運(yùn)維管理區(qū)、內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)、外網(wǎng)辦公區(qū)、外網(wǎng)業(yè)務(wù)區(qū)。向電信運(yùn)營商申請互聯(lián)網(wǎng)接入專線，組建醫(yī)療機(jī)構(gòu)外部辦公局域網(wǎng)。為構(gòu)建一個強(qiáng)壯、有效的網(wǎng)絡(luò)安全防護(hù)體系，按照等級保護(hù)三級的標(biāo)準(zhǔn)，在分析醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)存在的問題后，在核心業(yè)務(wù)區(qū)和關(guān)鍵業(yè)務(wù)服務(wù)器群前端部署防火墻來解決來自外部和內(nèi)部對服務(wù)器的威脅攻擊，包括：蠕蟲病毒攻擊、應(yīng)用層的攻擊等安全威脅；在核心交換區(qū)部署入侵檢測設(shè)備，實(shí)時(shí)記錄來自內(nèi)部或外部的威脅攻擊源；管理維護(hù)區(qū)域部署日志審計(jì)系統(tǒng)，收集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的安全日志已掌控全網(wǎng)的安全威脅狀況；內(nèi)部和外部的運(yùn)維人員操作過程中的日志審計(jì)工作通過運(yùn)維審計(jì)系統(tǒng)進(jìn)行審計(jì)和權(quán)限的控制，避免出現(xiàn)越權(quán)操作行為；在業(yè)務(wù)服務(wù)器區(qū)部署數(shù)據(jù)庫審計(jì)系統(tǒng)，可以實(shí)時(shí)審計(jì)數(shù)據(jù)庫當(dāng)前運(yùn)行操作狀態(tài)；全網(wǎng)的應(yīng)用系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備，通過安全管理平臺關(guān)聯(lián)分析技術(shù)，收集整個網(wǎng)絡(luò)的安全現(xiàn)狀，管理員隨時(shí)解整個系統(tǒng)中任意設(shè)備和信息系統(tǒng)的運(yùn)行狀況。

醫(yī)療機(jī)構(gòu)接入互聯(lián)網(wǎng)業(yè)務(wù)，將互聯(lián)網(wǎng)接入的安全建設(shè)也進(jìn)行部署，邊界處通過防火墻、流量控制、上網(wǎng)行為管理對外網(wǎng)區(qū)域進(jìn)行防護(hù)和審計(jì)。外聯(lián)用戶通過過網(wǎng)閘后訪問SSL VPN的方式進(jìn)行認(rèn)證接入，保證數(shù)據(jù)安全隔離及傳輸?shù)陌踩煽?。在外網(wǎng)和內(nèi)網(wǎng)之間通過部署網(wǎng)閘產(chǎn)品實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，在外網(wǎng)業(yè)務(wù)讀取內(nèi)網(wǎng)數(shù)據(jù)的時(shí)候達(dá)到安全可靠。針對內(nèi)網(wǎng)的用戶上網(wǎng)和外部客戶訪問內(nèi)部的應(yīng)用程序的可用性方面保障，在內(nèi)外網(wǎng)之間部署物理隔離網(wǎng)閘產(chǎn)品，在保證內(nèi)網(wǎng)數(shù)據(jù)安全的前提下，實(shí)現(xiàn)外網(wǎng)業(yè)務(wù)對內(nèi)網(wǎng)數(shù)據(jù)的訪問。

3.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處理

（1）終端預(yù)警

針對信息系統(tǒng)使用單位的終端所感染的僵尸、木馬、蠕蟲、病毒進(jìn)行有效發(fā)現(xiàn)與感知，通過云端搜集到的本單位互聯(lián)網(wǎng)終端所感染的病毒木馬等數(shù)據(jù)以及所掌握的惡意代碼樣本數(shù)據(jù)，結(jié)合本地流量樣本、主機(jī) IP等信息，可以發(fā)現(xiàn)本單位終端的病毒與木馬，并清晰繪制出本區(qū)域的感染范圍等威脅態(tài)勢。

（2）大數(shù)據(jù)處理

通過DNS解析記錄、WHOIS信息、樣本信息、文件行為日志等內(nèi)容，在云端搜集與安全相關(guān)的數(shù)據(jù)，并針對所有這些信息使用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、重沙箱集群、關(guān)聯(lián)分析等分析手段，PB級的搜索引擎的全網(wǎng)抓取數(shù)據(jù)、可視化的分析數(shù)據(jù)，以及其他多個維度的互聯(lián)網(wǎng)大數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和歷史檢索，再結(jié)合一個專家運(yùn)營團(tuán)隊(duì)不斷通過不同的攻擊思路挖掘大量數(shù)據(jù)[4]。掌握發(fā)現(xiàn)國內(nèi)最多的 APT攻擊組織信息、并不斷地跟蹤相關(guān)信息，經(jīng)過人工確認(rèn)和同時(shí)依賴于海量數(shù)據(jù)對攻擊背景做出準(zhǔn)確和充足的判定。

3.3 響應(yīng)恢復(fù)

為更好地保障信息系統(tǒng)運(yùn)行過程的安全風(fēng)險(xiǎn)，一旦出現(xiàn)緊急安全問題，應(yīng)急響應(yīng)是緊急處理問題，對發(fā)現(xiàn)的問題進(jìn)行分析。應(yīng)急響應(yīng)服務(wù)的工作內(nèi)容如下：

（1）準(zhǔn)備：基于威脅建立一組合理的防御及控制措施、資源與流程等；

（2）檢測：確認(rèn)安全事件狀態(tài)，并開展檢查、分析、評估與備份等操作；

（3）抑制：組建基于威脅的防護(hù)/控制策略；

（4）根除：網(wǎng)絡(luò)安全事件被抑制之后，查出攻擊來源和分析原因，并根除；

（5）恢復(fù)：遭到破壞的信息系統(tǒng)和相關(guān)數(shù)據(jù)進(jìn)行恢復(fù)到常用狀態(tài)；

（6）跟蹤：恢復(fù)完數(shù)據(jù)后，進(jìn)行事件回顧和總結(jié)經(jīng)驗(yàn)，完善應(yīng)急策略。

4 結(jié)束語

在新型冠狀病毒肺炎抗戰(zhàn)疫情下，本文分析疫情防控中存在的網(wǎng)絡(luò)安全問題，基于新的防護(hù)思路，在新技術(shù)領(lǐng)域的技術(shù)優(yōu)勢方面，充分挖掘新技術(shù)在傳染病疫情防控領(lǐng)域的應(yīng)用空間和應(yīng)用價(jià)值，利用新技術(shù)為疫情防控工作提供更為有力的武器。提高安全意識，建立安全機(jī)制，完善防護(hù)手段，落實(shí)安全責(zé)任，保障新技術(shù)在疫情防控工作中的安全應(yīng)用，對疫情防控和部署有重要意義。