醫(yī)療行業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)分析

◆蘇悅洪 申志航 邢洪偉 麥子銘 李彬

醫(yī)療行業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)分析

◆蘇悅洪 申志航 邢洪偉 麥子銘 李彬

（中山大學(xué)附屬腫瘤醫(yī)院 廣東 510006）

本文首先對目前醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全的現(xiàn)狀以及存在的安全問題等方面進(jìn)行分析，接著從網(wǎng)絡(luò)規(guī)劃、主機(jī)與應(yīng)用安全、安全管理中心、數(shù)據(jù)保護(hù)、日常運(yùn)維管理等方面展開討論分析，提出在建設(shè)過程中需要注意以及改進(jìn)的問題。

醫(yī)療；網(wǎng)絡(luò)區(qū)域規(guī)劃；主機(jī)安全；安全管理中心；數(shù)據(jù)保護(hù)

1 安全現(xiàn)狀分析

自2016年以來，我國發(fā)生了多起重大的安全事件，APT攻擊、勒索病毒、挖礦木馬等新型威脅層出不窮，攻防對抗不斷升級。從安全廠商提供的監(jiān)控報(bào)告中，我們可以發(fā)現(xiàn)，整個(gè)攻擊手段逐步專業(yè)化、目標(biāo)趨利化。

與互聯(lián)網(wǎng)行業(yè)相比，醫(yī)療行業(yè)信息化發(fā)展還相對落后，安全防護(hù)整體較弱。一些非法分子對醫(yī)療行業(yè)的針對性攻擊不斷增加，導(dǎo)致醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)升高，網(wǎng)絡(luò)信息安全形勢嚴(yán)峻。國家安全監(jiān)管部門多次要求醫(yī)療機(jī)構(gòu)要加強(qiáng)網(wǎng)絡(luò)信息安全工作，部分醫(yī)療機(jī)構(gòu)雖購置了相應(yīng)的安全防護(hù)設(shè)備，但仍有部分醫(yī)療機(jī)構(gòu)業(yè)務(wù)系統(tǒng)被黑客入侵，數(shù)據(jù)被加密勒索，導(dǎo)致無法正常運(yùn)營。

2 黑客入侵方式

2.1 暴力破解

暴力破解是黑客入侵服務(wù)器最常用的手段，只需要通過自動(dòng)化程序及爆破字典，便可對服務(wù)器或應(yīng)用登錄賬戶密碼進(jìn)行猜解爆破。在獲得登錄服務(wù)器或應(yīng)用的權(quán)限后，再通過上傳惡意程序或后門，即可獲得服務(wù)器的控制權(quán)。

2.2 漏洞攻擊

黑客通過利用軟件應(yīng)用或系統(tǒng)漏洞，對服務(wù)器進(jìn)行入侵。目前主要存在的高危安全漏洞有命令執(zhí)行漏洞如struts2漏洞、文件上傳漏洞如WebLogic文件上傳漏洞、0DAY漏洞。黑客通過這些漏洞即可在服務(wù)器上進(jìn)行任意操作，相當(dāng)于獲得了操作服務(wù)器的權(quán)限。

2.3 Web攻擊

黑客利用Web應(yīng)用或者網(wǎng)站的邏輯錯(cuò)誤來進(jìn)行攻擊。常見的有SQL注入，XSS跨站腳本，CC攻擊等。

3 醫(yī)療機(jī)構(gòu)主要存在的網(wǎng)絡(luò)安全問題

3.1 終端安全檢測不全面

在醫(yī)療機(jī)構(gòu)中，由于終端類型多樣化，殺毒、桌面管理、準(zhǔn)入產(chǎn)品無法全覆蓋，依然會有一定量的終端由于業(yè)務(wù)特殊性無法安裝安全產(chǎn)品而不受管控，導(dǎo)致終端安全產(chǎn)品不能覆蓋全面。一些黑客利用這些缺乏管控的終端，將其作為攻擊的跳板，達(dá)到入侵的目的。

此外，部分終端的防病毒軟件病毒庫長期不更新，影響防病毒軟件的檢測能力。而部分防病毒軟件雖具備基本的病毒行為分析能力，但對于一些新型且不斷變種的病毒，也難以快速發(fā)現(xiàn)。

3.2 網(wǎng)絡(luò)分區(qū)不合理，邊界檢測防護(hù)能力差

部分醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)分區(qū)混亂，未根據(jù)區(qū)域的重要程度進(jìn)行劃分；部分醫(yī)療機(jī)構(gòu)雖進(jìn)行區(qū)域劃分，但區(qū)域邊界未部署防護(hù)設(shè)備，威脅檢測與響應(yīng)等方面都存在嚴(yán)重不足，導(dǎo)致病毒和攻擊在數(shù)據(jù)中心橫向傳播。

3.3 系統(tǒng)漏洞

目前大部分醫(yī)療機(jī)構(gòu)的應(yīng)用系統(tǒng)都運(yùn)行了多年，其主機(jī)系統(tǒng)及應(yīng)用軟件版本通常比較低，而且程序代碼開發(fā)不規(guī)范，通過掃描工具可監(jiān)測出不少高危漏洞。面對這些漏洞，有一些無法修復(fù)，有一些修復(fù)后則會影響業(yè)務(wù)的穩(wěn)定運(yùn)行，導(dǎo)致這些漏洞長期存在。而正是這些漏洞的存在，成為不法分子或者病毒蠕蟲的入侵口。

3.4 弱口令

為方便使用，操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)存在123456等容易被猜測的弱口令，黑客通過暴力破解即可入侵系統(tǒng)和業(yè)務(wù)。

3.5 服務(wù)器資產(chǎn)不清晰

隨著醫(yī)療業(yè)務(wù)的擴(kuò)展，服務(wù)器數(shù)量快速增加、上下線變化快，傳統(tǒng)依靠人工臺賬的方式統(tǒng)計(jì)資產(chǎn)效率低、準(zhǔn)確率低，對于服務(wù)器版本、應(yīng)用、進(jìn)程、端口等安全資產(chǎn)的變化掌控力低。服務(wù)器風(fēng)險(xiǎn)不可知，潛伏的安全風(fēng)險(xiǎn)無法實(shí)時(shí)感知。

3.6 對0day沒有防護(hù)能力

0day是服務(wù)器安全的最大威脅，傳統(tǒng)的防護(hù)策略依賴特征和安全規(guī)則，對于0day漏洞和新型惡意代碼沒有防護(hù)能力，一旦被發(fā)現(xiàn)0day漏洞，服務(wù)器入侵將在秒級完成。

3.7 缺乏快速定位問題的能力

部分醫(yī)療機(jī)構(gòu)使用的安全防護(hù)系統(tǒng)具備惡意威脅發(fā)現(xiàn)的功能，但是缺乏溯源定位的能力，無法全面展示內(nèi)部的威脅情況，從而妨礙信息運(yùn)維人員快速發(fā)現(xiàn)和解決問題。

3.8 安全設(shè)備無法實(shí)現(xiàn)聯(lián)動(dòng)管理

醫(yī)療機(jī)構(gòu)部署的安全產(chǎn)品各自為戰(zhàn)，告警日志沒有形成有效的資源整合。面對新型或者未知威脅攻擊時(shí)，不同的安全設(shè)備無法聯(lián)動(dòng)響應(yīng)，形成全面的防護(hù)。

4 安全防護(hù)體系建設(shè)分析

4.1 網(wǎng)絡(luò)區(qū)域規(guī)劃

為加強(qiáng)網(wǎng)絡(luò)安全控制，應(yīng)根據(jù)業(yè)務(wù)的用途、重要性將網(wǎng)絡(luò)劃分為不同的區(qū)域，并通過安全設(shè)備實(shí)現(xiàn)區(qū)域之間的訪問控制和入侵檢測防護(hù)。

正常情況下，可將網(wǎng)絡(luò)劃分為非安全區(qū)、半安全區(qū)、安全區(qū)、核心安全區(qū)四個(gè)區(qū)域：非安全區(qū)也可稱為非信任區(qū)，如互聯(lián)網(wǎng)區(qū)域，須通過防火墻設(shè)備進(jìn)行隔離控制；半安全區(qū)是非安全區(qū)與安全區(qū)之間的過渡區(qū)域，對于無法按照單位安全管控要求安裝安全軟件的儀器設(shè)備，可放在獨(dú)立的半安全區(qū)域并做好訪問控制；安全區(qū)的安全級別較高，包括數(shù)據(jù)中心核心交換、業(yè)務(wù)測試區(qū)、次核心業(yè)務(wù)區(qū)；核心安全區(qū)安全級別最高，核心業(yè)務(wù)區(qū)都屬于核心安全區(qū)，非安全區(qū)、半安全區(qū)不允許直接訪問核心安全區(qū)。

在做好區(qū)域劃分后，還應(yīng)在各區(qū)域邊界部署防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制和隔離，防止病毒木馬的感染和橫向擴(kuò)散。

4.2 加強(qiáng)主機(jī)及應(yīng)用安全

主機(jī)和應(yīng)用的脆弱性會嚴(yán)重影響網(wǎng)絡(luò)的安全性，甚至成為網(wǎng)絡(luò)安全中的短板。因此，提前獲悉主機(jī)和應(yīng)用中存在的脆弱性信息，并采取補(bǔ)救措施或者做好應(yīng)急預(yù)案，成為網(wǎng)絡(luò)安全建設(shè)最基礎(chǔ)、也是最核心的能力之一。實(shí)現(xiàn)對主機(jī)和應(yīng)用的安全管理，應(yīng)從事前加固、事中對抗、事后追溯等幾方面加強(qiáng)，如圖1所示。

圖1 加強(qiáng)主機(jī)及應(yīng)用安全

（1）事前加固。

①通過工具對主機(jī)資源信息進(jìn)行細(xì)粒度收集，主動(dòng)獲取主機(jī)配置信息、應(yīng)用、端口、進(jìn)程、賬戶、計(jì)劃任務(wù)等服務(wù)器關(guān)鍵資產(chǎn)，并基于收集到的信息資產(chǎn)，及時(shí)發(fā)現(xiàn)弱口令、漏洞、危險(xiǎn)端口暴露、webshell等安全風(fēng)險(xiǎn)，定期進(jìn)行安全自查，縮小黑客攻擊面。

②加強(qiáng)主機(jī)及應(yīng)用方面的用戶身份識別。用戶訪問主機(jī)和應(yīng)用系統(tǒng)時(shí)，主機(jī)和應(yīng)用系統(tǒng)需具備對訪問用戶的身份識別功能，包含密碼、key、生物信息等多種方式，當(dāng)用戶連續(xù)多次登錄失敗時(shí)，主機(jī)和系統(tǒng)應(yīng)進(jìn)行IP、賬號鎖定。

③做好用戶訪問權(quán)限的控制。主機(jī)和應(yīng)用的不同用戶設(shè)置分配不同的權(quán)限的賬號，賬號權(quán)限應(yīng)按照最小化原則進(jìn)行分配。用戶權(quán)限應(yīng)進(jìn)行三權(quán)分立，如管理員用戶不得具備業(yè)務(wù)人員、審計(jì)人員的權(quán)限，業(yè)務(wù)人員不得具備管理員、審計(jì)人員的權(quán)限。

④開啟安全審計(jì)。主機(jī)和應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備均開啟日志審計(jì)功能，審計(jì)日志不得少于6個(gè)月。

⑤做好入侵防護(hù)。主機(jī)需安裝防病毒軟件，并定期進(jìn)行漏洞修復(fù)。

主機(jī)安裝軟件時(shí)，應(yīng)遵循最小化原則，僅安裝系統(tǒng)和應(yīng)用運(yùn)行所必需的軟件；對于不需要使用的高危端口和服務(wù)，如共享端口、打印服務(wù)、DHCP服務(wù)，應(yīng)及時(shí)關(guān)閉。

（2）事中對抗。

通過edr等防護(hù)工具實(shí)現(xiàn)網(wǎng)絡(luò)層（服務(wù)器之間的微隔離、流量可視化）、系統(tǒng)層（系統(tǒng)加固、文件防篡改、應(yīng)用權(quán)限控制、防端口掃描）、應(yīng)用層（沙盒、防暴力破解）的一體化防護(hù)體系，防御漏洞利用、提權(quán)、爆破、東西向移動(dòng)等黑客攻擊，實(shí)現(xiàn)0day和新型惡意代碼的檢測和防護(hù)能力。

（3）事后追溯。

通過網(wǎng)絡(luò)、服務(wù)器、安全設(shè)備等多種安全事件信息，綜合分析黑客的攻擊IP、攻擊目標(biāo)、操作手段、落地文件等，快速定位黑客入侵點(diǎn)和入侵軌跡。

4.3 建立安全管理中心

為實(shí)現(xiàn)統(tǒng)一管理、監(jiān)控、審計(jì)、綜合分析且協(xié)同防護(hù)，需劃分獨(dú)立的安全管理區(qū)域，建立安全管理中心，將防病毒系統(tǒng)、桌面準(zhǔn)入系統(tǒng)、堡壘機(jī)、數(shù)據(jù)庫審計(jì)、日志審計(jì)、態(tài)勢感知、運(yùn)維管理平臺進(jìn)行統(tǒng)一管理、監(jiān)控、審計(jì)、綜合分析。安全管理中心需按照以下目標(biāo)進(jìn)行建設(shè)：

（1）通過網(wǎng)絡(luò)做好ACL訪問控制，限制所有運(yùn)維管理人員對服務(wù)器的訪問必須通過管理中心堡壘機(jī)，由堡壘機(jī)進(jìn)行集中管理、審計(jì)。

（2）對網(wǎng)絡(luò)內(nèi)各業(yè)務(wù)應(yīng)用系統(tǒng)、安全設(shè)備、服務(wù)器、終端等設(shè)備的系統(tǒng)、應(yīng)用或安全日志進(jìn)行集中采集并進(jìn)行范式化預(yù)處理，實(shí)現(xiàn)日志數(shù)據(jù)流進(jìn)行的關(guān)聯(lián)分析和數(shù)據(jù)分析，發(fā)現(xiàn)更復(fù)雜的、更具價(jià)值的威脅事件，協(xié)助管理人員進(jìn)行追根溯源，繪制完整的事件畫像。

（3）建立漏洞統(tǒng)一管理平臺、網(wǎng)絡(luò)防病毒控制臺，實(shí)現(xiàn)主機(jī)漏洞修復(fù)和病毒防護(hù)的集中管理。

（4）建立安全感知平臺，通過在園區(qū)匯聚區(qū)域、數(shù)據(jù)中心區(qū)域、網(wǎng)絡(luò)邊界區(qū)域等地方部署流量探針，實(shí)現(xiàn)對現(xiàn)網(wǎng)流量的全面檢測，并將生成的網(wǎng)絡(luò)日志與威脅日志上送至平臺。平臺利用探針上傳的流量，實(shí)現(xiàn)對全網(wǎng)的網(wǎng)絡(luò)攻擊、橫向威脅、資產(chǎn)脆弱性、內(nèi)部違規(guī)操作進(jìn)行檢測與分析、展示，提升安全風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)能力，如圖2所示。

圖2 安全感知平臺安全風(fēng)險(xiǎn)展示

4.4 加強(qiáng)數(shù)據(jù)保護(hù)

2019年至今，一系列數(shù)據(jù)安全法律法規(guī)和行業(yè)監(jiān)管標(biāo)準(zhǔn)密集出臺，將數(shù)據(jù)安全和個(gè)人信息保護(hù)提升到了立法層面。越來越多的政府、事業(yè)單位、運(yùn)營商在法律法規(guī)的推動(dòng)下，不斷加強(qiáng)對內(nèi)部數(shù)據(jù)的管理和保護(hù)。

（1）數(shù)據(jù)梳理

數(shù)據(jù)梳理是對單位內(nèi)的數(shù)據(jù)資產(chǎn)進(jìn)行全面清查，通過了解數(shù)據(jù)資產(chǎn)類型、分布、權(quán)限、使用情況等信息，構(gòu)建數(shù)據(jù)資產(chǎn)目錄的過程。數(shù)據(jù)資產(chǎn)梳理可以采用靜態(tài)梳理技術(shù)，通過采用對IP地址和端口進(jìn)行掃描的主動(dòng)嗅探方式，用于形成敏感數(shù)據(jù)字典；同時(shí)再結(jié)合動(dòng)態(tài)梳理技術(shù)，通過對網(wǎng)絡(luò)流量進(jìn)行協(xié)議分析的被動(dòng)監(jiān)測方式，形成敏感數(shù)據(jù)訪問清單。使用這兩種技術(shù)共同為后續(xù)的數(shù)據(jù)安全治理建設(shè)提供必要的基礎(chǔ)信息。

（2）數(shù)據(jù)分類分級

為了在數(shù)據(jù)使用的方便性和數(shù)據(jù)的安全性之間做出平衡，促進(jìn)數(shù)據(jù)安全能力建設(shè)，降本增效，需要對數(shù)據(jù)進(jìn)行分類分級，實(shí)現(xiàn)數(shù)據(jù)的精細(xì)化安全管理。

數(shù)據(jù)分類分級基于數(shù)據(jù)的價(jià)值、敏感程度以及數(shù)據(jù)泄露后的影響后果等信息進(jìn)行。目前醫(yī)療機(jī)構(gòu)存在的主要有病人和科研數(shù)據(jù)、運(yùn)維管理數(shù)據(jù)，按照數(shù)據(jù)敏感度由低到高可分為公開數(shù)據(jù)、普通數(shù)據(jù)、敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)。確定分類標(biāo)準(zhǔn)后，再按照標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)歸類。

（3）數(shù)據(jù)訪問控制

在醫(yī)療機(jī)構(gòu)中，對業(yè)務(wù)數(shù)據(jù)的訪問的人員一般分為兩種：業(yè)務(wù)人員和運(yùn)維管理人員。業(yè)務(wù)人員和運(yùn)維管理人員對數(shù)據(jù)訪問存在的風(fēng)險(xiǎn)有三方面：第一，有些業(yè)務(wù)人員和運(yùn)維管理人員為了牟利，私自盜用、濫用系統(tǒng)數(shù)據(jù)；第二，運(yùn)維管理人員由于工作疏忽，執(zhí)行錯(cuò)誤操作；第三，運(yùn)維管理人員為了惡意報(bào)復(fù)，刪除數(shù)據(jù)。

為防止和應(yīng)對以上數(shù)據(jù)風(fēng)險(xiǎn)，應(yīng)從以下幾點(diǎn)做好數(shù)據(jù)訪問控制：

①根據(jù)不同的用戶身份設(shè)置不同的訪問權(quán)限策略。

②用戶對數(shù)據(jù)的訪問過程要進(jìn)行全面審計(jì)，判斷數(shù)據(jù)訪問過程是否符合所制定的安全策略。要對數(shù)據(jù)的安全訪問情況進(jìn)行深度評估，查看是否存在潛在的風(fēng)險(xiǎn)。

③動(dòng)態(tài)識別用戶操作行為，對于惡意行為應(yīng)自動(dòng)自斷并告警。對于高風(fēng)險(xiǎn)操作，必須有雙層審核機(jī)制，只有在通過審核情況下，才具備授予操作的權(quán)限。

（4）數(shù)據(jù)備份保護(hù)

數(shù)據(jù)備份是為防止數(shù)據(jù)不可用，而將生產(chǎn)數(shù)據(jù)保存到其他位置，以備在需要時(shí)重新恢復(fù)的一個(gè)過程。

根據(jù)數(shù)據(jù)和業(yè)務(wù)的分類分級，以及數(shù)據(jù)的恢復(fù)時(shí)間要求、數(shù)據(jù)丟失容忍度，對不同的數(shù)據(jù)要采用不同的數(shù)據(jù)備份策略，以滿足不同級別的恢復(fù)要求。

備份介質(zhì)需做好訪問控制，避免被蠕蟲病毒或者不法分子勒索加密。備份后的數(shù)據(jù)應(yīng)定期進(jìn)行有效性校驗(yàn)。

4.5 日常運(yùn)維管理

一個(gè)單位的網(wǎng)絡(luò)信息安全，需要通過多種不同功能的安全設(shè)備進(jìn)行防護(hù)，也離不開安全管理人員的日常管理運(yùn)維。作為一個(gè)合格的安全運(yùn)維管理人員，至少應(yīng)做到以下幾點(diǎn)：

（1）資產(chǎn)清查。定期組織開展對全院信息系統(tǒng)、服務(wù)器的全面核查，全面掌控本單位資產(chǎn)使用狀況，建立資產(chǎn)臺賬信息和落實(shí)資產(chǎn)對應(yīng)的責(zé)任人，對沒有使用的僵尸設(shè)備應(yīng)及時(shí)關(guān)停。

（2）安全滲透。所有系統(tǒng)上線前，必須通過人工+工具的形式對系統(tǒng)進(jìn)行非破壞性質(zhì)的攻擊測試，以期掌握系統(tǒng)的安全狀況，確保不存在安全隱患后，才允許上線。對發(fā)布在互聯(lián)網(wǎng)的門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)，應(yīng)定期組織不同人員進(jìn)行交叉滲透，做到主動(dòng)發(fā)現(xiàn)、提前發(fā)現(xiàn)漏洞，避免被黑客入侵造成安全威脅。

（3）漏洞掃描。定期組織對在用核心信息資產(chǎn)的漏洞掃描，并將漏洞掃描數(shù)據(jù)與資產(chǎn)臺賬相關(guān)聯(lián)，有順序、有計(jì)劃地對漏洞進(jìn)行修復(fù)或屏蔽。

（4）基線要求。根據(jù)等保2.0的規(guī)范要求，制定主機(jī)操作系統(tǒng)及其上的數(shù)據(jù)庫、中間件以及網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全配置基線，定期通過人工檢查+工具的方式進(jìn)行檢查，并根據(jù)檢查的結(jié)果修改相應(yīng)配置，從而提升系統(tǒng)自身的安全防御能力。

（5）數(shù)據(jù)恢復(fù)驗(yàn)證。定期檢查備份數(shù)據(jù)的完整可用性，周期性進(jìn)行備份數(shù)據(jù)的恢復(fù)演練，提高運(yùn)維人員的應(yīng)急能力。

5 總結(jié)

網(wǎng)絡(luò)信息安全是一項(xiàng)任重道遠(yuǎn)、持之以恒的工作。前期建設(shè)考驗(yàn)的是安全管理人員的技術(shù)水平和規(guī)劃能力，后期管理考驗(yàn)的是安全管理人員發(fā)現(xiàn)問題的敏銳、日常運(yùn)維的耐心、對待安全問題的態(tài)度，以及不可松懈的責(zé)任心。

[1]傅鈺.網(wǎng)絡(luò)安全等級保護(hù)2.0下的安全體系建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018，212（8）：13-16.

[2]段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界期刊，2012.

[3]高員，黃曉昆，李秀偉. 等保2.0時(shí)代云計(jì)算安全要求及測評實(shí)踐[J]. 信息安全研究，2018，4（11）：987-992.

[4]吳洪. SQL注入掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 廈門大學(xué), 2012.

[5]石秀峰. 數(shù)據(jù)安全治理的九大要素[EB/OL].http://www.360doc.com/content/20/0907/08/22849536_934352155.shtml.