醫(yī)院互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務的作用與實現(xiàn)

文 | 惠州市中心人民醫(yī)院 彭文強

隨著醫(yī)院信息化建設不斷深入以及互聯(lián)網(wǎng)+的快速發(fā)展，醫(yī)院越來越多的聯(lián)網(wǎng)信息系統(tǒng)通過互聯(lián)網(wǎng)技術向社會團體和患者個體提供服務，這些聯(lián)網(wǎng)信息系統(tǒng)為醫(yī)院和患者帶來便利的同時也成為了各種黑客組織、敵對勢力攻擊的目標，聯(lián)網(wǎng)信息系統(tǒng)一旦被黑客組織攻陷并加以利用，將會給醫(yī)院帶來業(yè)務收入損失、形象品牌損失、數(shù)據(jù)與財產(chǎn)損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國家安全。因此，發(fā)現(xiàn)、管理醫(yī)院互聯(lián)網(wǎng)邊界已成為信息安全的剛性需求。

一、醫(yī)院互聯(lián)網(wǎng)資產(chǎn)的安全風險

根據(jù)近幾年安全事件統(tǒng)計、分析發(fā)現(xiàn)：近年來聯(lián)網(wǎng)信息系統(tǒng)的網(wǎng)絡安全風險直線上升，并且聯(lián)網(wǎng)信息系統(tǒng)被惡意者攻擊利用后導致的損失都極其嚴重。

我們針對醫(yī)院網(wǎng)站等相關互聯(lián)網(wǎng)資產(chǎn)進行了模擬真實網(wǎng)絡攻擊，評估系統(tǒng)是否存在可被攻擊者利用的漏洞，同時對利用漏洞引發(fā)的風險損失嚴重程度進行評估，為制定相應的安全措施與解決方案提供實際的依據(jù)，問題列表如下：

目標系統(tǒng) 靶標類別 Ip地址 風險等級 漏洞類型 URL（可羅列） 數(shù)量XXXX醫(yī)院門戶網(wǎng)站（靶標）二類靶標 XXXX:86 高危 SQL注入1、 https://XXXX/Category/getInfo/id/662、http://XXXX:8XXXX/News/NewsInfo.aspx?Id=b3dcd6618e45 2高危 源碼泄露 https://XXXX/www.rar 1高危 弱口令 Admin/1 1高危 存儲型xss http://XXXX:86/UploXXXd9d33f01-54e2-4823-98ca-041bdca8eb26.pdf 1高危 反射型xss http://XXXX:86/Plugin/WebSite/Index.asp x?provinceId=630000&provinceName='-prompt(1)-'1高危 目錄遍歷 https://rczp.hzch.gd.cn:8089/ 1高危 sql注入+命令執(zhí)行=拿到服務器權限開啟內網(wǎng)滲透http://hzch.gd.cn:86/plugin/WebSite/ZXY_WebSite/News/NewsInfo.aspx?Id=-1* 1臺高危 redis數(shù)據(jù)庫權限192.1XXX 192. XXX XXX 192.1XXX 4高危 MSSQL數(shù)據(jù)庫權限 192.1XXX；192.1XXX 5高危 MYSQL數(shù)據(jù)庫權限 192.1XXX 1高危 SMB權限 192.168.XXX 192.168.XXX 192.168XXX 16高危 ftp未授權訪問192.168.XXX 192.168.XXX 192.XXX 3高危 WEB應用漏洞192.16XXX 193. XXX XXX 5

高危 攝像頭未授權訪問192.1XXX85:80 192.1XXX.217:80 192.XXX.236:80 192.XXX166:80 192.XXX15:80 192.168.1XXX 192.168.111.239:80 192. XXX:80 193. XXX228:80 192.168.1XXX16:80 XXX 18高危 RDP權限192.1XXX 192.XXX 192.16XXX 192.16XXX（不出網(wǎng)）192.16XXX6（不出網(wǎng)）192.16XXX 9臺高危 SSH權限一臺 192.16XXX 1臺

上述問題可以看出，雖然網(wǎng)絡安全形勢非常嚴峻，醫(yī)院對互聯(lián)網(wǎng)資產(chǎn)的風險也很重視，但是仍舊存在大量聯(lián)網(wǎng)系統(tǒng)漏洞暴露在互聯(lián)網(wǎng)側，黑客極易利用這些漏洞對醫(yī)院聯(lián)網(wǎng)系統(tǒng)進行破壞導致信息安全事件發(fā)生，說明醫(yī)院未全面掌握暴露在互聯(lián)網(wǎng)上的資產(chǎn)信息，包括：應用系統(tǒng)、域名、端口、服務、IP等。導致醫(yī)院的防御體系出現(xiàn)了盲區(qū)，成為整個網(wǎng)絡安全體系的重要短板。在這個真實案例中，我們看到醫(yī)院一方面在竭盡全力檢測、分析、抑制攻擊，而另一方面，新的攻擊卻從一些“陌生資產(chǎn)”如停車管理系統(tǒng)、攝像頭等源源不斷爆發(fā)出來。這些“陌生資產(chǎn)”就像黑洞一樣，平時不可見、無防備，關鍵時刻卻吸引了大量攻擊流量、造成整個防御體系的失效。

深入分析導致聯(lián)網(wǎng)信息系統(tǒng)風險嚴峻的原因，發(fā)現(xiàn)雖然各個醫(yī)院都在不斷的完善自己的安全防御體系以此來抵制各種可能發(fā)生的威脅事件，但是僅憑借安全防御體系被動防御還不足以保障聯(lián)網(wǎng)信息系統(tǒng)，還需要完善主動防御的互聯(lián)網(wǎng)資產(chǎn)狀態(tài)監(jiān)控能力，以此來實時發(fā)現(xiàn)醫(yī)院信息安全的防御體系存在的風險并及時進行整改，只有這樣才能體系化提高醫(yī)院信息整體安全。

二、醫(yī)院互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務的作用與實現(xiàn)方法

（一）做好安全規(guī)劃前的需求調研

安全規(guī)劃的前提是做好安全需求的調研，這其中，互聯(lián)網(wǎng)資產(chǎn)梳理是重要一環(huán)，原因是：信息安全保護的對象就是信息資產(chǎn)，沒有全面、精準的資產(chǎn)梳理，就沒有全面、有效的防御；同時，醫(yī)院面臨的主要風險之一就是互聯(lián)網(wǎng)接入帶來的外部威脅；所以，互聯(lián)網(wǎng)資產(chǎn)是醫(yī)院重要的風險點之一，也是安全防御的重點。

通過在安全需求調研階段，引入對互聯(lián)網(wǎng)資產(chǎn)暴露面的檢測，能夠幫助醫(yī)院全面了解自身互聯(lián)網(wǎng)資產(chǎn)現(xiàn)狀，有利于形成全面、有效的整體安全規(guī)劃，避免安全規(guī)劃出現(xiàn)明顯疏漏。

（二）通過互聯(lián)網(wǎng)資產(chǎn)及應用發(fā)現(xiàn)，進行資產(chǎn)梳理

根據(jù)《信息安全技術 信息安全風險評估規(guī)范》（GB/T 20984-2007）標準，完整的風險評估需要對資產(chǎn)、威脅、脆弱性進行全面梳理和評估，通常的資產(chǎn)梳理模式是依托于組織的臺賬進行，常常造成資產(chǎn)的遺漏，特別是暴露在互聯(lián)網(wǎng)上的資產(chǎn)遺漏隱患更大。通過在風險評估過程中，引入對互聯(lián)網(wǎng)資產(chǎn)暴露面的檢測，能夠有效解決這個問題，達到更好的風險評估效果。

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務通過數(shù)據(jù)挖掘和調研的方式確定醫(yī)院資產(chǎn)范圍，之后基于IP或域名，采用 WEB掃描技術、操作系統(tǒng)探測技術、端口的探測技術、服務探測技術、WEB爬蟲技術等各類探測技術，對醫(yī)院信息系統(tǒng)內的主機/服務器、安全設備、網(wǎng)絡設備、工控設備、WEB應用、中間件、數(shù)據(jù)庫、郵件系統(tǒng)和DNS系統(tǒng)等進行主動發(fā)現(xiàn)，并生成互聯(lián)網(wǎng)資產(chǎn)及應用列表，列表中不僅包括設備類型、域名、IP、端口，更可深入識別運行在資產(chǎn)上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）。

（三）繪制信息安全資產(chǎn)畫像

在資產(chǎn)及應用發(fā)現(xiàn)的基礎上，對醫(yī)院每個業(yè)務梳理分析，依據(jù)信息系統(tǒng)實際情況、業(yè)務特點、資產(chǎn)重要度等信息，結合信息安全的最佳實踐進行歸納，最終針對性地形成信息安全的專屬資產(chǎn)畫像，構建起醫(yī)院專屬的信息安全資產(chǎn)畫像。資產(chǎn)畫像構建完成后可根據(jù)域名、IP、端口、中間件、應用、技術架構、變更狀態(tài)、業(yè)務類型（自定義）等條件對資產(chǎn)進行查詢、統(tǒng)計，并能對資產(chǎn)進行周期變化監(jiān)控。

（四）信息安全主管部門對違規(guī)行為的監(jiān)管

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務能夠成為“信息安全管理體系”落地的有效抓手，可以幫助醫(yī)院的安全主管部門及時發(fā)現(xiàn)并取證違規(guī)上線行為，配合懲戒、整改措施，形成對違規(guī)行為的有效管控和震懾。

同時也可以利用互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務對監(jiān)管對象的互聯(lián)網(wǎng)資產(chǎn)暴露情況進行監(jiān)控和取證，滿足上級監(jiān)管部門的監(jiān)管要求。

（五）互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務大數(shù)據(jù)挖掘技術應用

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務的核心技術包括：網(wǎng)絡探測掃描、探測集群調度、交互協(xié)議識別、數(shù)據(jù)分析應用等。

網(wǎng)絡探測掃描：我們通過使用零拷貝技術，在操作系統(tǒng)層面減少不必要的數(shù)據(jù)拷貝，提升網(wǎng)絡發(fā)包效率。同時，因第三方技術如pf_ring zc、dpdk等對虛擬化環(huán)境不友好，選擇自研網(wǎng)卡驅動的技術路線，實現(xiàn)在同等條件下發(fā)包性能遠遠領先libpcap，只需少量機器即可完成對國內外IPv4地址空間端口探活工作。

探測集群調度：我們通過高效隨機化算法，提高任務分片的計算、還原效率，生成壓縮率極高的分片表示，降低節(jié)點獲取任務的交互次數(shù)、降低傳輸帶寬占用，并在合并后的較大網(wǎng)段區(qū)間內生成偽隨機序列，將連續(xù)的任務分散至不同節(jié)點。實現(xiàn)了高質量的隨機化調度策略，避免同一節(jié)點對單一IP/網(wǎng)段進行高頻掃描，降低掃描節(jié)點被防護設備封禁的概率。

交互協(xié)議識別：通過增加協(xié)議深度解析的服務，支持在互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)掃描主流程中，對特定的協(xié)議進行深度解析。也支持對指定目標范圍的資產(chǎn)，深度解析特定協(xié)議。并基于已知的協(xié)議分布和識別方式，通過策略算法，提升單端口多協(xié)議識別的命中率，均衡協(xié)議識別工作量與識別產(chǎn)出結果，力求盡可能覆蓋更多的端口/協(xié)議類型。

數(shù)據(jù)分析應用：保留傳統(tǒng)指紋方式，對指紋做精細化運營，兼容傳統(tǒng)觀念用戶場景。同時利用海量的測繪數(shù)據(jù)，結合機器學習技術進行分類、標注，生成網(wǎng)站分類預測模型。在指紋精細化運營的基礎上，結合網(wǎng)站分類預測模型，可以快速分析資產(chǎn)的關聯(lián)關系，在海量數(shù)據(jù)中找到相似資產(chǎn)，探索數(shù)據(jù)新價值。

三、我院實現(xiàn)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)的具體方法

（一）全面梳理醫(yī)院互聯(lián)網(wǎng)資產(chǎn)及應用暴露面

采用相關安全廠家的細粒度資產(chǎn)信息指紋庫，和雙方安全服務團隊同時通過“自研平臺”加“專家人工梳理”結合的方式，全面、精準地梳理出暴露在互聯(lián)網(wǎng)上的IT資產(chǎn)（設備類型、廠商、域名、IP、端口等），更可深入識別運行在資產(chǎn)上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）（如圖1）。資產(chǎn)發(fā)現(xiàn)和應用發(fā)現(xiàn)結合，全面、精準解決互聯(lián)網(wǎng)資產(chǎn)邊界盲區(qū)問題，打好安全防御的基礎（如圖2）。

圖2 互聯(lián)網(wǎng)資產(chǎn)及應用信息統(tǒng)計

（二）精準繪制互聯(lián)網(wǎng)醫(yī)院資產(chǎn)畫像

通過互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務，同時對探測到的互聯(lián)網(wǎng)節(jié)點進行多維度的搜索，快速定位符合條件的目標網(wǎng)絡節(jié)點，支持的信息搜索維度，包括但不限于：所屬區(qū)域、所屬組織、資產(chǎn)類型（自定義）、業(yè)務類型（自定義）、IP、端口、服務、域名、運行的操作系統(tǒng)類型、運行WEB應用的標題等，打造醫(yī)院網(wǎng)絡節(jié)點的詳細信息，完成醫(yī)院及各個分院區(qū)信息安全資產(chǎn)畫像的繪制（如圖3）。

圖3 醫(yī)院資產(chǎn)及業(yè)務類型分布圖

（三）動態(tài)監(jiān)控互聯(lián)網(wǎng)資產(chǎn)變化

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務可周期性檢查未知互聯(lián)網(wǎng)邊界資產(chǎn)，及時發(fā)現(xiàn)醫(yī)院IT資產(chǎn)的變更情況，幫助醫(yī)院動態(tài)監(jiān)控互聯(lián)網(wǎng)資產(chǎn)變化，及時發(fā)現(xiàn)并取證違規(guī)上線行為。（如圖4）

圖4 互聯(lián)網(wǎng)資產(chǎn)動態(tài)監(jiān)控圖

四、總結

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)是醫(yī)院信息安全的基礎和前提，要實現(xiàn)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)首先要確保選擇的合作安全產(chǎn)家或安全產(chǎn)品需具備國際領先的資產(chǎn)信息指紋庫，資產(chǎn)信息指紋庫是信息安全廠商基礎能力的體現(xiàn)，只有先識別資產(chǎn)信息，才能進行后續(xù)的信息安全評估、滲透及后續(xù)的防御工作。資產(chǎn)信息指紋庫涉及的資產(chǎn)類型、版本龐雜，而且是隨著軟硬件系統(tǒng)廠商的升級不斷變化，這就要求廠商具有很強的協(xié)議分析能力，以及持續(xù)跟蹤投入的能力。

其次要與合作廠家共同打造強大的安全服務團隊，醫(yī)院的合作安全廠家最好擁有良好的本地安服團隊、多梯次服務支持，用團隊的力量保障交付質量。要求合作安全廠家不僅擁有攻防能力的專家、大數(shù)據(jù)分析專家，針對攻防研究結合數(shù)據(jù)分析，適用于云計算、大數(shù)據(jù)時代的復雜安全環(huán)境，同時需要與醫(yī)院安全技術人員共同服務成長，落實具體的安全意識和措施。

最后合作的安全廠家必須具備精準的互聯(lián)網(wǎng)資產(chǎn)畫像能力，不同于傳統(tǒng)的互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務，與醫(yī)院合作的安全廠家不僅要做到基礎的互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)（精度到設備類型、廠商、域名、IP、端口等），而且精細到運行于資產(chǎn)之上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）；并且依托于大量的相關同行案例和不斷完善的知識庫體系，要求安全服務廠家或安全產(chǎn)品能夠做到對醫(yī)院互聯(lián)網(wǎng)資產(chǎn)精準的資產(chǎn)畫像，精準探測醫(yī)院互聯(lián)網(wǎng)暴露面。