劉恒宇

(南寧市第一人民醫(yī)院 南寧 530022)

1 引言

2015年國務(wù)院發(fā)布《關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見》，提出要將互聯(lián)網(wǎng)創(chuàng)新成果與經(jīng)濟社會各領(lǐng)域深度融合，包括健康醫(yī)療行業(yè)。隨著“互聯(lián)網(wǎng)+”模式在醫(yī)療領(lǐng)域快速發(fā)展，醫(yī)療數(shù)據(jù)及患者信息泄露、黑客攻擊醫(yī)院信息系統(tǒng)事件時有發(fā)生，對患者、醫(yī)院造成不良影響及經(jīng)濟損失。傳統(tǒng)基于邏輯邊界的防護體系主要采用內(nèi)外網(wǎng)物理隔離，但隨著互聯(lián)網(wǎng)醫(yī)院興起，預(yù)約、支付、病情咨詢、查閱報告向線上模式發(fā)展，內(nèi)網(wǎng)數(shù)據(jù)需傳送至互聯(lián)網(wǎng)，內(nèi)網(wǎng)服務(wù)器直接與互聯(lián)網(wǎng)關(guān)聯(lián)，傳統(tǒng)防護模式失效，可能導(dǎo)致內(nèi)網(wǎng)感染木馬病毒、服務(wù)器被不法分子操控等網(wǎng)絡(luò)安全問題。在此背景下出現(xiàn)的零信任架構(gòu)可重新構(gòu)建基于身份和訪問控制的邏輯邊界[1]?！傲阈湃渭軜?gòu)”的核心理念是在局域網(wǎng)內(nèi)部的人員、網(wǎng)絡(luò)設(shè)備、服務(wù)器、軟件系統(tǒng)互相不可信，對待安全問題不能劃定一個區(qū)域后再進行防護，容易造成特定區(qū)域內(nèi)某個安全防護級別不夠，最后導(dǎo)致整個安全體系崩潰。傳統(tǒng)基于邏輯邊界的防護體系大多采用劃分區(qū)域的規(guī)劃模式，大致分為內(nèi)部服務(wù)器區(qū)、內(nèi)部客戶端區(qū)、隔離區(qū)(Demilitarized Zone，DMZ)、外部客戶端區(qū)，見圖1?！盎ヂ?lián)網(wǎng)+”進入到醫(yī)療行業(yè)后，處于內(nèi)部服務(wù)器區(qū)的信息需要和外部客戶端進行交互，且交互程度隨互聯(lián)網(wǎng)發(fā)展越來越深，內(nèi)部網(wǎng)絡(luò)開放程度也越來越大，傳統(tǒng)邏輯邊界逐漸模糊。

圖1 傳統(tǒng)基于邏輯邊界的防護體系

2 “互聯(lián)網(wǎng)+醫(yī)療”安全問題分析

2.1 互聯(lián)網(wǎng)網(wǎng)頁防護缺失

2.1.1 概述 “互聯(lián)網(wǎng)+醫(yī)療”模式必須具有面向互聯(lián)網(wǎng)的網(wǎng)頁，如果網(wǎng)頁平臺搭建未經(jīng)網(wǎng)絡(luò)安全公司專業(yè)檢測，網(wǎng)絡(luò)安全性達(dá)不到要求，則易受黑客等不法分子攻擊。黑客等通過攻擊可獲取網(wǎng)站最高權(quán)限甚至控制整臺網(wǎng)頁服務(wù)器，造成較大安全問題。

2.1.2 存在問題 “互聯(lián)網(wǎng)+醫(yī)療”向基層醫(yī)院普及，部分醫(yī)院網(wǎng)站屬于“裸奔”狀態(tài)，從互聯(lián)網(wǎng)到內(nèi)網(wǎng)設(shè)備之間無安全設(shè)備架設(shè)，甚至網(wǎng)頁后臺和WEB服務(wù)器的基本安全設(shè)置不符合信息安全等級保護要求，存在問題包括：后臺管理密碼復(fù)雜度低、服務(wù)器直接連接互聯(lián)網(wǎng)、互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址暴露高危端口、操作系統(tǒng)不打安全補丁、網(wǎng)頁后臺代碼設(shè)計不考慮安全問題、網(wǎng)頁存在注入漏洞、后臺數(shù)據(jù)庫未進行備份等。

2.1.3 應(yīng)對措施 黑客攻擊主要目的為竊取數(shù)據(jù)信息。各類醫(yī)療數(shù)據(jù)關(guān)乎民生，目前醫(yī)療數(shù)據(jù)上報國家衛(wèi)健委、各級衛(wèi)生單位間數(shù)據(jù)互聯(lián)互通、各行業(yè)間大數(shù)據(jù)對接都需經(jīng)過互聯(lián)網(wǎng)平臺，應(yīng)使用數(shù)據(jù)加密、脫敏技術(shù)等手段防止不法分子從中監(jiān)聽或者違規(guī)收集信息。

2.2 管理端口被暴力破解

近年來“勒索病毒”橫掃全球，黑客利用其攻破服務(wù)器強行加密數(shù)據(jù)庫和核心文件后勒索錢財[2]。木馬病毒利用服務(wù)器漏洞進行端口掃描，入侵不經(jīng)防護直接接入互聯(lián)網(wǎng)的服務(wù)器。醫(yī)療機構(gòu)如有前置機暴露在公網(wǎng)，則內(nèi)網(wǎng)終端可能會感染木馬病毒被黑客遠(yuǎn)程控制?！盎ヂ?lián)網(wǎng)+醫(yī)療”業(yè)務(wù)上線初期，網(wǎng)站實施人員為了方便遠(yuǎn)程維護基本都會要求暴露管理端口在互聯(lián)網(wǎng)上，無形中為黑客打開“后門”。黑客通過暴力破解直接可獲得服務(wù)器最高權(quán)限，控制整臺服務(wù)器。前置機被攻破之后黑客可能對內(nèi)網(wǎng)進行二次掃描，對同區(qū)域內(nèi)其他服務(wù)器群進行攻擊從而攻破更多服務(wù)器，造成極其嚴(yán)重的安全問題。

2.3 內(nèi)網(wǎng)安全防護不到位

傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全架構(gòu)認(rèn)為內(nèi)網(wǎng)是安全的，通過防火墻、Web應(yīng)用防護系統(tǒng)(Web Application Firewall，WAF)，入侵防御系統(tǒng)(Intrusion Prevention System，IPS)等邊界安全產(chǎn)品網(wǎng)絡(luò)出口進行重重防護而忽略內(nèi)網(wǎng)安全。前文所述兩種攻破方式都是在安全邊界之外的進攻。隨著網(wǎng)絡(luò)安全日益受到重視、Web防護和安全管理制度日益健全，由從外部進入的可能性降低，但內(nèi)網(wǎng)安全隱患凸顯。醫(yī)療行業(yè)業(yè)務(wù)系統(tǒng)較多，除醫(yī)院信息管理系統(tǒng)、檢驗信息管理系統(tǒng)、影像管理系統(tǒng)等類核心業(yè)務(wù)系統(tǒng)外，會在內(nèi)部環(huán)境搭建子系統(tǒng)或輔助系統(tǒng)。如果系統(tǒng)運營商服務(wù)水平不達(dá)標(biāo)、實施人員身份權(quán)限管理不恰當(dāng)將會導(dǎo)致各系統(tǒng)安全系數(shù)下降，一旦子系統(tǒng)服務(wù)器被木馬程序攻擊，黑客能遠(yuǎn)程在內(nèi)網(wǎng)持續(xù)掃描其他服務(wù)器漏洞[3]并避過所有安全設(shè)備防護，將造成極大的內(nèi)網(wǎng)安全威脅。

3 應(yīng)用零信任架構(gòu)應(yīng)對安全問題

3.1 基本原則及架構(gòu)

零信任架構(gòu)核心觀點是“假定內(nèi)部用戶并不比外部用戶可信”，包括4項基本原則：驗證用戶、驗證設(shè)備、限制訪問與權(quán)限、自適應(yīng)[4]。零信任架構(gòu)安全模型為身份認(rèn)證提供了邏輯清晰的管理策略。重點在保護內(nèi)部網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)和各類基礎(chǔ)設(shè)施的信息安全。零信任架構(gòu)并不是單純隔離，可應(yīng)用在不同邏輯分層下，需隔離認(rèn)證環(huán)境均可采用，見圖2。

圖2 零信任架構(gòu)

3.2 設(shè)備間訪問控制與權(quán)限

3.2.1 概述 醫(yī)療子系統(tǒng)和醫(yī)療設(shè)備間需要建立緊密的互聯(lián)互通，且醫(yī)療行業(yè)面向患者開放，不是完全封閉的內(nèi)部系統(tǒng)，需要進行大量數(shù)據(jù)交互以支持系統(tǒng)正常運作。其中互聯(lián)互通安全問題較重要。對此零信任架構(gòu)可起到較好防護作用。

3.2.2 防護方法 在某個醫(yī)療子系統(tǒng)和醫(yī)療設(shè)備間建立互不信任機制，對用戶身份進行認(rèn)證。如條件允許可使用多因子身份驗證確保用戶身份真實性。同時認(rèn)證設(shè)備，對醫(yī)院公共主機、筆記本電腦、移動設(shè)備均需制定基于設(shè)備身份的訪問控制策略，以最小化權(quán)限設(shè)置，只允許授信終端訪問內(nèi)部網(wǎng)絡(luò)[5]。針對對外公共主機應(yīng)限定訪問時間段，避免在安全人員人手不足的時間段發(fā)生網(wǎng)絡(luò)攻擊。

3.2.3 實施方案和過程 (1)拆解傳統(tǒng)的內(nèi)外網(wǎng)隔離方式。不再按各類區(qū)域進行劃分，每個終端獨立按照統(tǒng)一模板進行安全基線核查，針對客戶端采用終端準(zhǔn)入系統(tǒng)，符合安全基線的終端才能連入網(wǎng)絡(luò)，控制非法終端連入。(2)服務(wù)器之間互聯(lián)采用最小化原則配置。啟用默認(rèn)拒絕的防火墻策略，僅允許管理員授權(quán)的端口及IP地址進行互聯(lián)，任何未授權(quán)數(shù)據(jù)包應(yīng)在網(wǎng)絡(luò)層面默認(rèn)拒絕，禁用服務(wù)器之間不必要的互聯(lián)，降低木馬病毒橫向擴展的可能性。(3)盡量采用不同廠家的防火墻設(shè)備。在同一數(shù)據(jù)鏈路上采用兩種廠家的安全設(shè)備，防止同一區(qū)域內(nèi)使用同一安全廠家產(chǎn)品可能存在相同漏洞的情況出現(xiàn)，避免黑客或病毒輕易穿透防護直接攻擊到服務(wù)器。(4)網(wǎng)絡(luò)地址轉(zhuǎn)換方式。醫(yī)療信息出口較其他企事業(yè)單位多，且與醫(yī)保、衛(wèi)健委、藥品物流、銀行等部門連通，因此防火墻出口應(yīng)盡量使用網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)方式進行互聯(lián)，以隱藏內(nèi)部網(wǎng)絡(luò)的路由拓?fù)?，控制外部對院?nèi)網(wǎng)絡(luò)的訪問。(5)網(wǎng)絡(luò)傳輸數(shù)據(jù)加密?；ヂ?lián)網(wǎng)前置機搭建WebServer時所采用網(wǎng)頁應(yīng)采用加密的超文本傳輸安全協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)方式進行搭建，對網(wǎng)絡(luò)傳輸數(shù)據(jù)加密，以有效防止數(shù)據(jù)被監(jiān)聽獲取，保證數(shù)據(jù)隱私安全。(6)運維人員應(yīng)使用虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)連接內(nèi)網(wǎng)。每名運維人員應(yīng)該擁有不同賬號，權(quán)限控制其僅能維護的服務(wù)器，VPN采用多因子認(rèn)證技術(shù)登錄，如手機短信+賬號密碼的方式識別運維人員身份。(7)內(nèi)部服務(wù)器終端遠(yuǎn)程賬戶管理應(yīng)使用堡壘機。服務(wù)器原始賬號密碼原則上不告知外部公司運維人員，應(yīng)由堡壘機統(tǒng)一管理并分配運維人員賬號，同時開啟操作審計，禁止高危操作或越權(quán)操作。

3.3 動態(tài)監(jiān)測網(wǎng)絡(luò)中可能存在的威脅

3.3.1 防護方法 隨著信息化程度逐漸提高，各種設(shè)備都部署到網(wǎng)絡(luò)中，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，需要將“便衣警察”式的監(jiān)控探針安插在關(guān)鍵鏈路及內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、DMZ網(wǎng)絡(luò)、安全審計網(wǎng)絡(luò)等不同環(huán)境中，以及時發(fā)現(xiàn)違規(guī)操作。黑客或木馬病毒需要經(jīng)長期嗅探、嘗試、爆破才能成功入侵系統(tǒng)或者網(wǎng)絡(luò)，因此在原有網(wǎng)絡(luò)架構(gòu)中架設(shè)探針服務(wù)器可進行網(wǎng)絡(luò)實時監(jiān)控，對網(wǎng)絡(luò)高危嗅探動作進行預(yù)警，提示網(wǎng)絡(luò)安全人員進行人為干預(yù)，見圖3。

圖3 架設(shè)探針服務(wù)器進行網(wǎng)絡(luò)實時監(jiān)控

3.3.2 主要實施方案和過程 (1)在核心交換機或下一代防火墻上建立網(wǎng)絡(luò)鏡像口。該條鏈路為數(shù)據(jù)必經(jīng)之路，從中能夠獲取直觀流量信息，全網(wǎng)收集流量數(shù)據(jù)后對常規(guī)應(yīng)用服務(wù)流量進行標(biāo)記并存入探針流量數(shù)據(jù)服務(wù)器。(2)安裝威脅預(yù)警分析服務(wù)器。分析探針流量數(shù)據(jù)并匯總已標(biāo)記的應(yīng)用數(shù)據(jù)，通過互聯(lián)網(wǎng)大數(shù)據(jù)平臺特征庫進行數(shù)據(jù)匹配，從而分析流量是否符合惡意攻擊進而進行記錄和報警。(3)部署下一代防火墻聯(lián)動平臺。主動控制其安全策略，接收來自安全威脅分析服務(wù)器的報警，按照管理人員預(yù)先配置的處置流程下發(fā)安全策略，實現(xiàn)探針和防火墻的實時聯(lián)動，進行主動防御。(4)流量探針。不僅可標(biāo)記網(wǎng)絡(luò)攻擊流量，還能標(biāo)記數(shù)據(jù)庫、網(wǎng)頁瀏覽及應(yīng)用協(xié)議流量，經(jīng)預(yù)警分析服務(wù)器收集由人工進行二次分析，可為運維人員進行應(yīng)用層面預(yù)警，應(yīng)及時修改應(yīng)用代碼防止漏洞被利用。隨著安全設(shè)備發(fā)展，部分產(chǎn)品已應(yīng)用人工智能技術(shù)進行防護，利用人工智能的學(xué)習(xí)能力自動對安全設(shè)備下發(fā)策略，自動阻斷攻擊源，配合人工配置，能夠高精度識別正常和非法行為，在保證正常業(yè)務(wù)不中斷的情況下阻斷網(wǎng)絡(luò)中的非法行為。

4 結(jié)語

互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，安全防護有待進一步加強。使用零信任網(wǎng)絡(luò)安全架構(gòu)，使原本封閉環(huán)境內(nèi)的資源得以安全共享并及時發(fā)現(xiàn)高危漏洞，提高防控程度，避免原本安全區(qū)域內(nèi)某個節(jié)點被攻破后整個區(qū)域都陷入風(fēng)險狀態(tài)的情況?！盎ヂ?lián)網(wǎng)+醫(yī)療”模式在提高醫(yī)療信息化水平的同時，為患者提供方便快捷的醫(yī)療服務(wù)，但應(yīng)重視信息安全，需要一套成熟且能夠應(yīng)對未來“互聯(lián)網(wǎng)+”趨勢下逐漸進化的架構(gòu)。零信任架構(gòu)將成為未來網(wǎng)絡(luò)安全流行架構(gòu)之一，網(wǎng)絡(luò)安全將進入全新時代。