医疗行业网络安全防护体系建设分析

◆苏悦洪 申志航 邢洪伟 麦子铭 李彬

医疗行业网络安全防护体系建设分析

◆苏悦洪 申志航 邢洪伟 麦子铭 李彬

（中山大学附属肿瘤医院 广东 510006）

本文首先对目前医疗机构网络信息安全的现状以及存在的安全问题等方面进行分析，接着从网络规划、主机与应用安全、安全管理中心、数据保护、日常运维管理等方面展开讨论分析，提出在建设过程中需要注意以及改进的问题。

医疗；网络区域规划；主机安全；安全管理中心；数据保护

1 安全现状分析

自2016年以来，我国发生了多起重大的安全事件，APT攻击、勒索病毒、挖矿木马等新型威胁层出不穷，攻防对抗不断升级。从安全厂商提供的监控报告中，我们可以发现，整个攻击手段逐步专业化、目标趋利化。

与互联网行业相比，医疗行业信息化发展还相对落后，安全防护整体较弱。一些非法分子对医疗行业的针对性攻击不断增加，导致医疗机构的网络安全风险升高，网络信息安全形势严峻。国家安全监管部门多次要求医疗机构要加强网络信息安全工作，部分医疗机构虽购置了相应的安全防护设备，但仍有部分医疗机构业务系统被黑客入侵，数据被加密勒索，导致无法正常运营。

2 黑客入侵方式

2.1 暴力破解

暴力破解是黑客入侵服务器最常用的手段，只需要通过自动化程序及爆破字典，便可对服务器或应用登录账户密码进行猜解爆破。在获得登录服务器或应用的权限后，再通过上传恶意程序或后门，即可获得服务器的控制权。

2.2 漏洞攻击

黑客通过利用软件应用或系统漏洞，对服务器进行入侵。目前主要存在的高危安全漏洞有命令执行漏洞如struts2漏洞、文件上传漏洞如WebLogic文件上传漏洞、0DAY漏洞。黑客通过这些漏洞即可在服务器上进行任意操作，相当于获得了操作服务器的权限。

2.3 Web攻击

黑客利用Web应用或者网站的逻辑错误来进行攻击。常见的有SQL注入，XSS跨站脚本，CC攻击等。

3 医疗机构主要存在的网络安全问题

3.1 终端安全检测不全面

在医疗机构中，由于终端类型多样化，杀毒、桌面管理、准入产品无法全覆盖，依然会有一定量的终端由于业务特殊性无法安装安全产品而不受管控，导致终端安全产品不能覆盖全面。一些黑客利用这些缺乏管控的终端，将其作为攻击的跳板，达到入侵的目的。

此外，部分终端的防病毒软件病毒库长期不更新，影响防病毒软件的检测能力。而部分防病毒软件虽具备基本的病毒行为分析能力，但对于一些新型且不断变种的病毒，也难以快速发现。

3.2 网络分区不合理，边界检测防护能力差

部分医疗机构网络分区混乱，未根据区域的重要程度进行划分；部分医疗机构虽进行区域划分，但区域边界未部署防护设备，威胁检测与响应等方面都存在严重不足，导致病毒和攻击在数据中心横向传播。

3.3 系统漏洞

目前大部分医疗机构的应用系统都运行了多年，其主机系统及应用软件版本通常比较低，而且程序代码开发不规范，通过扫描工具可监测出不少高危漏洞。面对这些漏洞，有一些无法修复，有一些修复后则会影响业务的稳定运行，导致这些漏洞长期存在。而正是这些漏洞的存在，成为不法分子或者病毒蠕虫的入侵口。

3.4 弱口令

为方便使用，操作系统、数据库、业务系统存在123456等容易被猜测的弱口令，黑客通过暴力破解即可入侵系统和业务。

3.5 服务器资产不清晰

随着医疗业务的扩展，服务器数量快速增加、上下线变化快，传统依靠人工台账的方式统计资产效率低、准确率低，对于服务器版本、应用、进程、端口等安全资产的变化掌控力低。服务器风险不可知，潜伏的安全风险无法实时感知。

3.6 对0day没有防护能力

0day是服务器安全的最大威胁，传统的防护策略依赖特征和安全规则，对于0day漏洞和新型恶意代码没有防护能力，一旦被发现0day漏洞，服务器入侵将在秒级完成。

3.7 缺乏快速定位问题的能力

部分医疗机构使用的安全防护系统具备恶意威胁发现的功能，但是缺乏溯源定位的能力，无法全面展示内部的威胁情况，从而妨碍信息运维人员快速发现和解决问题。

3.8 安全设备无法实现联动管理

医疗机构部署的安全产品各自为战，告警日志没有形成有效的资源整合。面对新型或者未知威胁攻击时，不同的安全设备无法联动响应，形成全面的防护。

4 安全防护体系建设分析

4.1 网络区域规划

为加强网络安全控制，应根据业务的用途、重要性将网络划分为不同的区域，并通过安全设备实现区域之间的访问控制和入侵检测防护。

正常情况下，可将网络划分为非安全区、半安全区、安全区、核心安全区四个区域：非安全区也可称为非信任区，如互联网区域，须通过防火墙设备进行隔离控制；半安全区是非安全区与安全区之间的过渡区域，对于无法按照单位安全管控要求安装安全软件的仪器设备，可放在独立的半安全区域并做好访问控制；安全区的安全级别较高，包括数据中心核心交换、业务测试区、次核心业务区；核心安全区安全级别最高，核心业务区都属于核心安全区，非安全区、半安全区不允许直接访问核心安全区。

在做好区域划分后，还应在各区域边界部署防火墙、IPS、防病毒网关等设备，实现网络访问控制和隔离，防止病毒木马的感染和横向扩散。

4.2 加强主机及应用安全

主机和应用的脆弱性会严重影响网络的安全性，甚至成为网络安全中的短板。因此，提前获悉主机和应用中存在的脆弱性信息，并采取补救措施或者做好应急预案，成为网络安全建设最基础、也是最核心的能力之一。实现对主机和应用的安全管理，应从事前加固、事中对抗、事后追溯等几方面加强，如图1所示。

图1 加强主机及应用安全

（1）事前加固。

①通过工具对主机资源信息进行细粒度收集，主动获取主机配置信息、应用、端口、进程、账户、计划任务等服务器关键资产，并基于收集到的信息资产，及时发现弱口令、漏洞、危险端口暴露、webshell等安全风险，定期进行安全自查，缩小黑客攻击面。

②加强主机及应用方面的用户身份识别。用户访问主机和应用系统时，主机和应用系统需具备对访问用户的身份识别功能，包含密码、key、生物信息等多种方式，当用户连续多次登录失败时，主机和系统应进行IP、账号锁定。

③做好用户访问权限的控制。主机和应用的不同用户设置分配不同的权限的账号，账号权限应按照最小化原则进行分配。用户权限应进行三权分立，如管理员用户不得具备业务人员、审计人员的权限，业务人员不得具备管理员、审计人员的权限。

④开启安全审计。主机和应用系统、数据库、网络设备均开启日志审计功能，审计日志不得少于6个月。

⑤做好入侵防护。主机需安装防病毒软件，并定期进行漏洞修复。

主机安装软件时，应遵循最小化原则，仅安装系统和应用运行所必需的软件；对于不需要使用的高危端口和服务，如共享端口、打印服务、DHCP服务，应及时关闭。

（2）事中对抗。

通过edr等防护工具实现网络层（服务器之间的微隔离、流量可视化）、系统层（系统加固、文件防篡改、应用权限控制、防端口扫描）、应用层（沙盒、防暴力破解）的一体化防护体系，防御漏洞利用、提权、爆破、东西向移动等黑客攻击，实现0day和新型恶意代码的检测和防护能力。

（3）事后追溯。

通过网络、服务器、安全设备等多种安全事件信息，综合分析黑客的攻击IP、攻击目标、操作手段、落地文件等，快速定位黑客入侵点和入侵轨迹。

4.3 建立安全管理中心

为实现统一管理、监控、审计、综合分析且协同防护，需划分独立的安全管理区域，建立安全管理中心，将防病毒系统、桌面准入系统、堡垒机、数据库审计、日志审计、态势感知、运维管理平台进行统一管理、监控、审计、综合分析。安全管理中心需按照以下目标进行建设：

（1）通过网络做好ACL访问控制，限制所有运维管理人员对服务器的访问必须通过管理中心堡垒机，由堡垒机进行集中管理、审计。

（2）对网络内各业务应用系统、安全设备、服务器、终端等设备的系统、应用或安全日志进行集中采集并进行范式化预处理，实现日志数据流进行的关联分析和数据分析，发现更复杂的、更具价值的威胁事件，协助管理人员进行追根溯源，绘制完整的事件画像。

（3）建立漏洞统一管理平台、网络防病毒控制台，实现主机漏洞修复和病毒防护的集中管理。

（4）建立安全感知平台，通过在园区汇聚区域、数据中心区域、网络边界区域等地方部署流量探针，实现对现网流量的全面检测，并将生成的网络日志与威胁日志上送至平台。平台利用探针上传的流量，实现对全网的网络攻击、横向威胁、资产脆弱性、内部违规操作进行检测与分析、展示，提升安全风险的及时发现能力，如图2所示。

图2 安全感知平台安全风险展示

4.4 加强数据保护

2019年至今，一系列数据安全法律法规和行业监管标准密集出台，将数据安全和个人信息保护提升到了立法层面。越来越多的政府、事业单位、运营商在法律法规的推动下，不断加强对内部数据的管理和保护。

（1）数据梳理

数据梳理是对单位内的数据资产进行全面清查，通过了解数据资产类型、分布、权限、使用情况等信息，构建数据资产目录的过程。数据资产梳理可以采用静态梳理技术，通过采用对IP地址和端口进行扫描的主动嗅探方式，用于形成敏感数据字典；同时再结合动态梳理技术，通过对网络流量进行协议分析的被动监测方式，形成敏感数据访问清单。使用这两种技术共同为后续的数据安全治理建设提供必要的基础信息。

（2）数据分类分级

为了在数据使用的方便性和数据的安全性之间做出平衡，促进数据安全能力建设，降本增效，需要对数据进行分类分级，实现数据的精细化安全管理。

数据分类分级基于数据的价值、敏感程度以及数据泄露后的影响后果等信息进行。目前医疗机构存在的主要有病人和科研数据、运维管理数据，按照数据敏感度由低到高可分为公开数据、普通数据、敏感数据、机密数据。确定分类标准后，再按照标准进行数据归类。

（3）数据访问控制

在医疗机构中，对业务数据的访问的人员一般分为两种：业务人员和运维管理人员。业务人员和运维管理人员对数据访问存在的风险有三方面：第一，有些业务人员和运维管理人员为了牟利，私自盗用、滥用系统数据；第二，运维管理人员由于工作疏忽，执行错误操作；第三，运维管理人员为了恶意报复，删除数据。

为防止和应对以上数据风险，应从以下几点做好数据访问控制：

①根据不同的用户身份设置不同的访问权限策略。

②用户对数据的访问过程要进行全面审计，判断数据访问过程是否符合所制定的安全策略。要对数据的安全访问情况进行深度评估，查看是否存在潜在的风险。

③动态识别用户操作行为，对于恶意行为应自动自断并告警。对于高风险操作，必须有双层审核机制，只有在通过审核情况下，才具备授予操作的权限。

（4）数据备份保护

数据备份是为防止数据不可用，而将生产数据保存到其他位置，以备在需要时重新恢复的一个过程。

根据数据和业务的分类分级，以及数据的恢复时间要求、数据丢失容忍度，对不同的数据要采用不同的数据备份策略，以满足不同级别的恢复要求。

备份介质需做好访问控制，避免被蠕虫病毒或者不法分子勒索加密。备份后的数据应定期进行有效性校验。

4.5 日常运维管理

一个单位的网络信息安全，需要通过多种不同功能的安全设备进行防护，也离不开安全管理人员的日常管理运维。作为一个合格的安全运维管理人员，至少应做到以下几点：

（1）资产清查。定期组织开展对全院信息系统、服务器的全面核查，全面掌控本单位资产使用状况，建立资产台账信息和落实资产对应的责任人，对没有使用的僵尸设备应及时关停。

（2）安全渗透。所有系统上线前，必须通过人工+工具的形式对系统进行非破坏性质的攻击测试，以期掌握系统的安全状况，确保不存在安全隐患后，才允许上线。对发布在互联网的门户网站、业务系统，应定期组织不同人员进行交叉渗透，做到主动发现、提前发现漏洞，避免被黑客入侵造成安全威胁。

（3）漏洞扫描。定期组织对在用核心信息资产的漏洞扫描，并将漏洞扫描数据与资产台账相关联，有顺序、有计划地对漏洞进行修复或屏蔽。

（4）基线要求。根据等保2.0的规范要求，制定主机操作系统及其上的数据库、中间件以及网络设备和安全设备的安全配置基线，定期通过人工检查+工具的方式进行检查，并根据检查的结果修改相应配置，从而提升系统自身的安全防御能力。

（5）数据恢复验证。定期检查备份数据的完整可用性，周期性进行备份数据的恢复演练，提高运维人员的应急能力。

5 总结

网络信息安全是一项任重道远、持之以恒的工作。前期建设考验的是安全管理人员的技术水平和规划能力，后期管理考验的是安全管理人员发现问题的敏锐、日常运维的耐心、对待安全问题的态度，以及不可松懈的责任心。

[1]傅钰.网络安全等级保护2.0下的安全体系建设[J]. 网络安全技术与应用，2018，212（8）：13-16.

[2]段永红.如何构建企业信息安全体系[J]. 科技视界期刊，2012.

[3]高员，黄晓昆，李秀伟. 等保2.0时代云计算安全要求及测评实践[J]. 信息安全研究，2018，4（11）：987-992.

[4]吴洪. SQL注入扫描系统的设计与实现[D]. 厦门大学, 2012.

[5]石秀峰. 数据安全治理的九大要素[EB/OL].http://www.360doc.com/content/20/0907/08/22849536_934352155.shtml.