莫禹鈞 黃 捷 潘愈嘉

(貴港市人民醫(yī)院 貴港 537100)

1 引言

近年來隨著“互聯(lián)網(wǎng)+醫(yī)療”的快速發(fā)展和業(yè)務(wù)數(shù)字化轉(zhuǎn)型，醫(yī)院信息網(wǎng)絡(luò)安全顯得越來越重要。越來越多的醫(yī)療業(yè)務(wù)向公眾、各級(jí)衛(wèi)生健康委員會(huì)、第3方組織等開放，但同時(shí)信息開放程度的加大、網(wǎng)絡(luò)邊界的模糊化以及黑客攻擊的產(chǎn)業(yè)化使得網(wǎng)絡(luò)安全事件較以往成指數(shù)級(jí)增長(zhǎng)。面對(duì)頻發(fā)的安全事件，如網(wǎng)站篡改、被掛黑色鏈接、竊取數(shù)據(jù)、漏洞利用、僵尸網(wǎng)絡(luò)和勒索病毒等，傳統(tǒng)安全防御體系的設(shè)備和產(chǎn)品已不能應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅攻擊[1]。傳統(tǒng)安全防護(hù)體系有3個(gè)弊端：一是醫(yī)院內(nèi)部網(wǎng)絡(luò)未實(shí)現(xiàn)全局性的安全感知與可視功能；二是缺乏有效檢測(cè)各類攻擊的手段，無(wú)法應(yīng)對(duì)潛入內(nèi)部的高級(jí)威脅；三是缺乏對(duì)威脅影響的評(píng)估。通過構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)[2]可以幫助網(wǎng)絡(luò)安全管理員及時(shí)發(fā)現(xiàn)潛在的攻擊威脅，但需要人工響應(yīng)，無(wú)法保證時(shí)效性。而基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)[3-4]可通過設(shè)備間的聯(lián)動(dòng)使系統(tǒng)主動(dòng)處理部分威脅，無(wú)需人工干預(yù)，響應(yīng)快，極大提高時(shí)效性和準(zhǔn)確性。

2 系統(tǒng)架構(gòu)

2.1 下一代防火墻 (Application Firewall, AF)

防火墻是網(wǎng)絡(luò)邊界的一道必備防線，但傳統(tǒng)防火墻關(guān)注重點(diǎn)在于防護(hù)內(nèi)部網(wǎng)絡(luò)在被外部攻擊時(shí)不被入侵，無(wú)法預(yù)知事前風(fēng)險(xiǎn)和檢測(cè)、響應(yīng)事后影響，從業(yè)務(wù)風(fēng)險(xiǎn)的生命周期看，僅具備事中防護(hù)是不完整的。而且傳統(tǒng)防火墻基于已知特征只工作在L2～4層，無(wú)法應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，故本系統(tǒng)選用下一代防火墻，也稱智慧防火墻，技術(shù)架構(gòu),見圖1。其能夠在事前自動(dòng)識(shí)別醫(yī)院內(nèi)部服務(wù)器與開放端口以及漏洞、弱密碼等，同時(shí)判斷識(shí)別出醫(yī)院內(nèi)部資產(chǎn)是否有對(duì)應(yīng)的安全防護(hù)策略及其有效性。下一代防火墻在事中防御方面融合多種安全技術(shù)，為L(zhǎng)2～7層提供完整的安全防御系統(tǒng)，同時(shí)通過防火墻內(nèi)部模塊之間的聯(lián)動(dòng)封鎖和其他安全設(shè)備或軟件聯(lián)動(dòng)、策略智能聯(lián)動(dòng)等安全聯(lián)動(dòng)形式加強(qiáng)整個(gè)網(wǎng)絡(luò)安全防御系統(tǒng)的時(shí)效性和有效性。下一代防火墻具有檢測(cè)事后影響和快速響應(yīng)技術(shù)，即使在黑客入侵后也可幫助醫(yī)院網(wǎng)絡(luò)安全管理員及時(shí)發(fā)現(xiàn)惡意行為，如醫(yī)院內(nèi)部僵尸主機(jī)對(duì)外發(fā)起的惡意行為檢測(cè)、篡改網(wǎng)頁(yè)、植入黑鏈和Webshell后門檢測(cè)等，快速生成并推送警報(bào)事件，協(xié)助管理員進(jìn)行及時(shí)的響應(yīng)處置。

圖1 下一代防火墻技術(shù)架構(gòu)

2.2 上網(wǎng)行為管理(Access Control, AC)

在“互聯(lián)網(wǎng)+醫(yī)療”推進(jìn)之前貴港市人民醫(yī)院外網(wǎng)和內(nèi)網(wǎng)為物理隔離，外網(wǎng)對(duì)于醫(yī)院業(yè)務(wù)的影響幾乎為零，通過移動(dòng)終端自助支付醫(yī)療費(fèi)用和云膠片等業(yè)務(wù)不斷開展的過程中，內(nèi)網(wǎng)和外網(wǎng)改為邏輯隔離，外網(wǎng)在業(yè)務(wù)中發(fā)揮重要作用，其穩(wěn)定性和安全性越來越重要。本系統(tǒng)將AC部署在外網(wǎng)出口、防火墻和外網(wǎng)核心交換機(jī)之間，用于管控外網(wǎng)資產(chǎn)。AC根據(jù)需要進(jìn)行帶寬管理，保證核心用戶、業(yè)務(wù)所需的上網(wǎng)帶寬，限制其他無(wú)關(guān)業(yè)務(wù)對(duì)帶寬資源的占用，同時(shí)對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行管控，例如禁止醫(yī)務(wù)人員在院內(nèi)終端進(jìn)行與業(yè)務(wù)、學(xué)習(xí)無(wú)關(guān)的事宜，分時(shí)段限制看視頻、聽音樂等，實(shí)現(xiàn)員工崗位工作與上網(wǎng)權(quán)限的匹配。此外AC可通過內(nèi)容過濾、管理控制文件和郵件發(fā)送行為等為對(duì)外發(fā)布信息進(jìn)行把控，對(duì)醫(yī)院網(wǎng)絡(luò)中的異常流量和用戶行為及時(shí)生成警報(bào)，日志保留在數(shù)據(jù)中心，風(fēng)險(xiǎn)智能報(bào)表發(fā)現(xiàn)潛在的泄密和被攻擊用戶，實(shí)現(xiàn)事前預(yù)防、事中攔截、事后溯源。另外對(duì)于已中毒的終端，AC會(huì)檢測(cè)內(nèi)部終端和外部網(wǎng)絡(luò)間的異常流量，自動(dòng)阻斷并發(fā)起報(bào)警，加強(qiáng)醫(yī)院局域網(wǎng)安全。

2.3 終端檢測(cè)響應(yīng)平臺(tái)(Endpoint Detection and Response, EDR)

終端安全解決方案，由端點(diǎn)安全軟件和管理平臺(tái)軟件兩個(gè)部分組成。EDR統(tǒng)一對(duì)終端進(jìn)行資產(chǎn)管理、合規(guī)檢查和安全體檢，管理支持微隔離的訪問控制策略，能夠一鍵隔離和處理安全事件以及對(duì)歷史行為數(shù)據(jù)的可追溯性分析、遠(yuǎn)程協(xié)助取證調(diào)查分析。端點(diǎn)軟件具有防病毒、防火墻隔離、入侵防御和數(shù)據(jù)收集上報(bào)、一鍵式處理安全事件等功能。EDR以內(nèi)部終端資產(chǎn)為中心，具備精準(zhǔn)、持續(xù)的檢測(cè)能力，協(xié)同響應(yīng)幫助醫(yī)院網(wǎng)絡(luò)安全管理員快速、準(zhǔn)確處理問題。終端檢測(cè)響應(yīng)平臺(tái)技術(shù)架構(gòu)，見圖2。

圖2 終端檢測(cè)響應(yīng)平臺(tái)技術(shù)架構(gòu)

2.4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)(Security Information Perception, SIP)

展示內(nèi)網(wǎng)業(yè)務(wù)和流量，持續(xù)檢測(cè)內(nèi)部攻擊、異常和違規(guī)操作行為，使用威脅情報(bào)、機(jī)器學(xué)習(xí)、流量監(jiān)測(cè)等核心技術(shù)高效識(shí)別潛在的攻擊和威脅，利用可視化平臺(tái)實(shí)時(shí)展現(xiàn)醫(yī)院內(nèi)部網(wǎng)絡(luò)安全情況[5]，及時(shí)發(fā)現(xiàn)內(nèi)部違規(guī)人員和外部黑客，從而解決安全問題。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)由3個(gè)部分組成：威脅情報(bào)、潛伏威脅探針(STA)和安全感知平臺(tái)(SIS)。威脅情報(bào)是通過云平臺(tái)獲取的、來自互聯(lián)網(wǎng)大數(shù)據(jù)分析成果的云端威脅情報(bào)庫(kù)，與SIS對(duì)接，SIS通過實(shí)時(shí)接收來自威脅情報(bào)的數(shù)據(jù)增加威脅識(shí)別效率和準(zhǔn)確率。STA通過旁路部署在核心交換機(jī)，通過網(wǎng)絡(luò)流量鏡像獲取醫(yī)院內(nèi)部網(wǎng)絡(luò)全流量，提取有效數(shù)據(jù)上報(bào)到SIS。SIS接收威脅情報(bào)和STA數(shù)據(jù)后進(jìn)行分析處理，提供檢索支持、生成告警和可視化界面。

3 系統(tǒng)實(shí)現(xiàn)

3.1 接入拓?fù)?/h3>

基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)接入拓?fù)?，見圖3。用于業(yè)務(wù)的內(nèi)網(wǎng)與辦公的外網(wǎng)是邏輯隔離，將下一代防火墻(AF)和上網(wǎng)行為管理(AC)部署在外網(wǎng)邊界，終端安全軟件部署在所有內(nèi)網(wǎng)終端，終端檢測(cè)響應(yīng)管理平臺(tái)接入內(nèi)網(wǎng)服務(wù)器區(qū)，潛伏威脅探針的兩個(gè)采集口分別接入外網(wǎng)和內(nèi)網(wǎng)核心交換機(jī)，通過網(wǎng)絡(luò)鏡像獲取核心交換機(jī)和匯聚交換機(jī)之間的所有流量，網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)和潛伏威脅探針的管理口都接入外網(wǎng)服務(wù)器區(qū)，SIS和STA之間通過管理口傳輸數(shù)據(jù)。

圖3 基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)接入拓?fù)?/p>

3.2 技術(shù)架構(gòu)(圖4)

技術(shù)架構(gòu)4個(gè)部分并不是簡(jiǎn)單的疊加、單獨(dú)運(yùn)行，而是一個(gè)整體系統(tǒng)，相互聯(lián)動(dòng)、共同防御。傳統(tǒng)網(wǎng)絡(luò)安全體系獲取到的只是各個(gè)安全產(chǎn)品碎片化的攻擊日志信息，以統(tǒng)計(jì)報(bào)表展示，不能結(jié)合醫(yī)院業(yè)務(wù)分析內(nèi)部資產(chǎn)安全狀態(tài)，而本系統(tǒng)中SIS數(shù)據(jù)來源除威脅情報(bào)和STA外，還有來自防火墻采集的外部和內(nèi)部網(wǎng)絡(luò)間流量數(shù)據(jù)、EDR采集的服務(wù)器和PC上的有效數(shù)據(jù)以及通過syslog標(biāo)準(zhǔn)格式收集的第3方設(shè)備日志，保證數(shù)據(jù)來源的精準(zhǔn)性和廣泛性。SIS是整個(gè)系統(tǒng)安全的核心，是檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)分析平臺(tái)，以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模、失陷主機(jī)檢測(cè)、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)、威脅、攻擊與異常流量可視化、業(yè)務(wù)弱點(diǎn)與防御體系薄弱評(píng)估等，幫助網(wǎng)絡(luò)安全管理員及時(shí)發(fā)現(xiàn)和定位威脅。SIS分別與AF、AC、EDR進(jìn)行聯(lián)動(dòng)。SIS與AF聯(lián)動(dòng)可以在安全事件發(fā)生后將某主機(jī)或外網(wǎng)IP作為源或目的進(jìn)行封鎖，即禁止主機(jī)發(fā)生外聯(lián)行為，也可以配置訪問控制策略以更加靈活的方式對(duì)主機(jī)進(jìn)行隔離封鎖。SIS和AC聯(lián)動(dòng)主要有彈窗提醒、凍結(jié)賬號(hào)兩個(gè)功能，彈窗提醒功能適用于某個(gè)終端IP發(fā)生安全事件后提醒該終端在線用戶存在的風(fēng)險(xiǎn)。凍結(jié)賬號(hào)功能適用于發(fā)生安全事件后對(duì)此IP上的在線用戶進(jìn)行凍結(jié)，防止風(fēng)險(xiǎn)擴(kuò)展。SIS和EDR聯(lián)動(dòng)，在發(fā)生安全事件后可直接對(duì)主機(jī)進(jìn)行隔離或封鎖。

圖4 基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)技術(shù)架構(gòu)

4 應(yīng)用效果

貴港市人民醫(yī)院在2018年構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)了精準(zhǔn)預(yù)防與查殺，但是感知平臺(tái)的數(shù)據(jù)來源僅限于威脅探針在核心交換機(jī)上通過鏡像獲取，缺少外部和內(nèi)部網(wǎng)絡(luò)之間的流量數(shù)據(jù)和內(nèi)部終端數(shù)據(jù)，仍然不夠全面。建立基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)，有助于網(wǎng)絡(luò)安全管理員更加全面而準(zhǔn)確地了解醫(yī)院網(wǎng)絡(luò)中存在的威脅與攻擊。此外由于網(wǎng)絡(luò)威脅攻擊時(shí)刻存在，僅靠網(wǎng)絡(luò)安全管理員持續(xù)觀察，無(wú)法及時(shí)響應(yīng)，而通過本系統(tǒng)中各部分的聯(lián)動(dòng)響應(yīng)能及時(shí)自動(dòng)處置部分威脅攻擊，防止其快速擴(kuò)散。

5 結(jié)語(yǔ)

本系統(tǒng)采用多個(gè)安全設(shè)備和軟件，融合多種安全技術(shù)，為醫(yī)院業(yè)務(wù)提供全流程的防護(hù)，包括事前對(duì)醫(yī)院內(nèi)部資產(chǎn)風(fēng)險(xiǎn)預(yù)知、策略有效性檢測(cè)，事中提供各種安全防御手段，事后對(duì)網(wǎng)絡(luò)持續(xù)檢測(cè)以及快速響應(yīng)機(jī)制，將全過程中所有相關(guān)信息通過多種方式展現(xiàn)給醫(yī)院網(wǎng)絡(luò)安全管理員。系統(tǒng)為醫(yī)院內(nèi)部網(wǎng)絡(luò)提供全程保護(hù)、可視及自動(dòng)聯(lián)動(dòng)處置。通過設(shè)備間的聯(lián)動(dòng)自動(dòng)處置威脅，結(jié)合人工處理，極大提高響應(yīng)威脅的時(shí)效性和精準(zhǔn)度。等保2.0的正式發(fā)布對(duì)網(wǎng)絡(luò)安全提出更高要求，本系統(tǒng)能滿足等保2.0對(duì)通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境以及管理中心安全等方面的要求，標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全主動(dòng)式防御系統(tǒng)已經(jīng)建成。