馬曉亮

(重慶醫(yī)科大學(xué)附屬第一醫(yī)院 重慶 400016)

隨著互聯(lián)網(wǎng)與傳統(tǒng)醫(yī)療行業(yè)結(jié)合，形成了互聯(lián)網(wǎng)+醫(yī)療的新型服務(wù)模式，醫(yī)療行業(yè)網(wǎng)絡(luò)平臺的復(fù)雜性、開放性和應(yīng)用環(huán)境多樣性等原因?qū)е箩t(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風險更加復(fù)雜，專門針對醫(yī)療行業(yè)的勒索病毒和APT攻擊也較一般行業(yè)更加激烈[1].

平國樓等人[2]對常見的網(wǎng)絡(luò)攻擊模型進行了分析和比對，從攻擊者視角對傳統(tǒng)攻擊模型和現(xiàn)代攻擊模型進行介紹，利用攻擊指標、概率框架、賦值方法和求解方法對網(wǎng)絡(luò)攻擊模型進行分析；王松等人[3]通過問卷調(diào)查等統(tǒng)計方法，對2016—2018年的二級以上的39家醫(yī)療機構(gòu)進行網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查和分析，調(diào)查出醫(yī)療機構(gòu)面臨的網(wǎng)絡(luò)安全風險和原因；羅森林等人[4]對4種常見對抗演練模式進行問題總結(jié)和分析，提出雙角色多級別模型及演練策略和方法.

本文通過對網(wǎng)絡(luò)攻擊殺傷鏈模型、MITRE ATT&CK和免費開源安全技術(shù)進行研究，以醫(yī)療機構(gòu)網(wǎng)絡(luò)安全攻防實戰(zhàn)為應(yīng)用場景，利用免費開源軟件對網(wǎng)絡(luò)攻擊的各階段進行分析和防護，利用開源和免費的網(wǎng)絡(luò)安全技術(shù)構(gòu)建醫(yī)療機構(gòu)網(wǎng)絡(luò)安全體系，提升網(wǎng)絡(luò)系統(tǒng)的安全防護能力和防護水平，對于提高醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全性具有現(xiàn)實意義.

1 網(wǎng)絡(luò)威脅模型分析

網(wǎng)絡(luò)威脅模式是根據(jù)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊案例，在總結(jié)攻擊所采用的技術(shù)基礎(chǔ)上，將攻擊階段進行抽象劃分，并將各階段所采用的技術(shù)手段進行總結(jié)，形成通用的知識庫和攻擊模型.

1.1 網(wǎng)絡(luò)攻擊殺傷鏈模型

如圖1所示，網(wǎng)絡(luò)殺傷鏈(cyber-kill-chain)是由美國洛克希德-馬丁公司提出的用于描述網(wǎng)絡(luò)攻擊全流程周期的模型[5]，“殺傷鏈”這個概念源自軍事領(lǐng)域，目的是為了描述攻擊環(huán)節(jié)的“發(fā)現(xiàn)目標、定位目標、跟蹤目標、瞄準目標、打擊目標和達成目標”6個階段模型[6].

網(wǎng)絡(luò)攻擊殺傷鏈模型將網(wǎng)絡(luò)滲透分解為7個階段[7]，如表1所示，在網(wǎng)絡(luò)攻擊殺傷鏈模型的每個階段有對應(yīng)的特征用于識別攻擊，所以該模型可以被用來識別和防御網(wǎng)絡(luò)攻擊.

圖1 網(wǎng)絡(luò)殺傷鏈攻擊模型

表1 網(wǎng)絡(luò)殺傷鏈各階段分解

1.2 MITRE ATT&CK框架

ATT&CK(adversarial tactics, techniques, and common knowledge)框架是由MITRE提出的網(wǎng)絡(luò)攻擊策略和技術(shù)模型，通過攻擊者視角觀察真實世界的網(wǎng)絡(luò)攻擊技術(shù)[8]，ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎(chǔ)上，發(fā)展起來的一套更加詳細攻擊行為知識庫和模型，列舉了攻擊各階段的12種策略：初始訪問、程序執(zhí)行、持續(xù)化、權(quán)限提升、防御規(guī)避、訪問憑證、信息發(fā)現(xiàn)、橫向移動、信息收集、命令控制、信息滲出和影響，每項策略對應(yīng)該階段和策略所需要的技術(shù)，策略對應(yīng)的技術(shù)隨著網(wǎng)絡(luò)攻擊形式的發(fā)展和變化不斷增加，對應(yīng)知識的內(nèi)容也會隨著顯示攻擊技術(shù)的發(fā)展而更新.

1.3 行業(yè)典型網(wǎng)絡(luò)攻擊類型

根據(jù)中國信息通信研究院《2019年健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報告》顯示，由于資金投入不足和缺乏安全建設(shè)經(jīng)驗，導(dǎo)致健康醫(yī)療行業(yè)主要面臨勒索病毒和數(shù)據(jù)泄露的風險，根據(jù)本次觀測，發(fā)現(xiàn)1 029家單位存在僵尸網(wǎng)絡(luò)和蠕蟲病毒等惡意軟件，136家單位受到勒索病毒的影響，在嚴峻的網(wǎng)絡(luò)威脅現(xiàn)實和國家法律法規(guī)的強制要求下，整個行業(yè)的網(wǎng)絡(luò)安全保障水平亟需提高[1].

1) 信息泄露

在2019年，新加坡衛(wèi)生部門的艾滋病登記處的14 000多名HIV病毒感染者的登記信息被泄露；黑客通過非授權(quán)訪問UConn的員工電子郵件賬號，獲取了326 000名患者的敏感信息；印度的一家政府醫(yī)療機構(gòu)服務(wù)器泄露了1 250萬份相關(guān)孕婦的記錄；美國醫(yī)療收集機構(gòu)(AMCA)由于數(shù)據(jù)庫授權(quán)訪問漏洞，導(dǎo)致未經(jīng)授權(quán)訪問數(shù)據(jù)庫泄露約2 000萬人醫(yī)療數(shù)據(jù)；新西蘭的一個醫(yī)療機構(gòu)Compass Health發(fā)生100萬人的個人數(shù)據(jù)泄露，包括姓名、出生日期、種族和地址[9].根據(jù)卡巴斯基實驗室的研究人員發(fā)現(xiàn)，越來越多的高級可持續(xù)威脅組織開始將注意力和攻擊方向轉(zhuǎn)到醫(yī)療行業(yè)，竊取藥物配方、商業(yè)信息和統(tǒng)方信息.2019年，公安機關(guān)破獲多起醫(yī)藥代表通過筆記本電腦連接自助機網(wǎng)線或無線網(wǎng)絡(luò)等近源攻擊方式入侵醫(yī)院服務(wù)器、從醫(yī)院盜取大量“統(tǒng)方”數(shù)據(jù)的案件.

2) 勒索病毒

根據(jù)美國電信巨頭Verzion的2019年度數(shù)據(jù)泄露報告顯示，醫(yī)療行業(yè)是勒索病毒威脅的主要目標，獲取經(jīng)濟利益是對醫(yī)療行業(yè)入侵的主要目的，有高達75%的入侵是為了獲取財富而進行的，病案和藥物成為數(shù)據(jù)泄露的核心內(nèi)容，病案和藥物占泄露數(shù)據(jù)量的79%[10]，勒索病毒和挖礦病毒成為2019年的主流威脅[11].

3) 醫(yī)療設(shè)備攻擊

在2014年,安全研究人員Billy Rios發(fā)現(xiàn)Hospira出售的LifeCare PCA藥物輸液泵有多處安全漏洞，在RSA2018大會上，黑客在醫(yī)生毫不知情地情況下控制醫(yī)療泵系統(tǒng)；2018年3月13日，美國國土安全部發(fā)布美國通用電氣醫(yī)療公司的醫(yī)療造影產(chǎn)品存在安全漏洞，可能允許攻擊者獲取設(shè)備訪問權(quán)和篡改數(shù)據(jù)；2019年，以色列本·古里安大學(xué)和索卡大學(xué)的研究人員發(fā)現(xiàn)黑客可以修改CT等醫(yī)療影響設(shè)備的掃描結(jié)果.研究人員通過安全漏洞控制醫(yī)院輸液泵和麻醉劑等設(shè)備，控制輸液和藥物的分配量，對醫(yī)療設(shè)備的攻擊可能嚴重危害患者生命安全.

4) APT高級可持續(xù)攻擊

高級可持續(xù)攻擊(advanced persistent threat, APT)是一種針對特定目標進行有計劃和組織地長期持久攻擊方式，如圖2所示，高級可持續(xù)攻擊至少具備以下4個特點：

① 攻擊有嚴密的組織；

② 特定目標和清晰的目的；

③ 采用各種手段反復(fù)滲透的行動；

④ 掌握高超的隱藏和逃逸技術(shù).

圖2 高級可持續(xù)攻擊流程

5) 行業(yè)網(wǎng)絡(luò)管理存在安全風險

缺少完善的醫(yī)療行業(yè)網(wǎng)絡(luò)安全標準，在金融行業(yè)有專門支付卡行業(yè)(PCI)數(shù)據(jù)安全標準(簡稱PCI-DSS)和支付應(yīng)用程序(PA)數(shù)據(jù)安全標準(簡稱PA-DSS)等行業(yè)標準[12]；缺乏統(tǒng)一的網(wǎng)絡(luò)接入規(guī)范，網(wǎng)絡(luò)接入部門多、結(jié)構(gòu)復(fù)雜、邊界模糊等問題，導(dǎo)致網(wǎng)絡(luò)邊界防護與數(shù)據(jù)交互存在風險；網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)人員匱乏；網(wǎng)絡(luò)安全理念和防護手段落后；網(wǎng)絡(luò)安全培訓(xùn)和應(yīng)急響應(yīng)機制不完善.

2 免費開源軟件的技術(shù)優(yōu)勢

針對醫(yī)療行業(yè)面臨的大量風險和網(wǎng)絡(luò)安全政策強制要求背景下，充分利用開源軟件可以有效地解決醫(yī)療機構(gòu)在網(wǎng)絡(luò)安全建設(shè)和運行過程遇到的大量困難，在不大幅度增加資金投入的情況下，使用國內(nèi)外免費開源安全軟件和威脅情報系統(tǒng)，可以與現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備形成互補，也可以彌補因資金和政策等原因無法采購的網(wǎng)絡(luò)安全產(chǎn)品，在使用開源系統(tǒng)過程中，也可以培養(yǎng)和鍛煉本單位的網(wǎng)絡(luò)安全隊伍.

國內(nèi)外的開源安全軟件幾乎涵蓋商業(yè)網(wǎng)絡(luò)安全軟件的各個種類，開源安全軟件還包括大量的漏洞利用程序，但因為開源軟件多為英語界面或命令行工具，在安裝、配置和使用上對技術(shù)人員的要求較高，一直被網(wǎng)絡(luò)安全專業(yè)人員和黑客所使用，很少被行業(yè)用戶所掌握和使用.盡管免費開源軟件有使用門檻高、功能少和缺少技術(shù)支持等諸多缺點，但應(yīng)用開源軟件也有很多優(yōu)勢：

1) 免費開源安全軟件常被攻擊者使用，由于武器的不均等常常導(dǎo)致攻防失衡，充分利用免費開源安全軟件，可以基本實現(xiàn)攻守裝備的平衡.

2) 避免使用盜版軟件帶來的法律風險，符合國家軟件正版化政策.

3) 研究開源安全軟件不但可以彌補單位現(xiàn)有商業(yè)安全設(shè)備的不足，優(yōu)化網(wǎng)絡(luò)安全產(chǎn)品的規(guī)劃和布局，將有限的資金用在“刀刃”上，購買性價比最高、單位最需要和效果最好的設(shè)備，從而提高單位網(wǎng)絡(luò)安全防御能力.

4) 通過對軟件源代碼和特征庫的研究，深入理解網(wǎng)絡(luò)安全的設(shè)計思想及攻擊思路，有助于提高單位網(wǎng)絡(luò)安全專業(yè)人才隊伍的攻防能力，對現(xiàn)有開源軟件的二次開發(fā)或自定義插件實現(xiàn)商業(yè)網(wǎng)絡(luò)安全產(chǎn)品無法達的目的.

5) 免費開源安全軟件常被用于網(wǎng)絡(luò)攻擊、蠕蟲病毒或勒索病毒的傳播，合理地運用免費開源安全軟件可以模擬黑客攻擊和病毒攻擊，相當于定期進行風險評估和漏洞緩解[13].

3 安全防護體系設(shè)計

中國古代兵法有云：“知己知彼,百戰(zhàn)不殆”，網(wǎng)絡(luò)防御體系也是一場網(wǎng)絡(luò)空間的戰(zhàn)爭，通過ATT&CK模型描述的攻擊技術(shù)達到知彼，我們運用開源技術(shù)進行滲透測試，模擬網(wǎng)絡(luò)攻擊全面掌握網(wǎng)絡(luò)信息系統(tǒng)的漏洞和弱點達到知己的目的，然后根據(jù)尋找攻擊和防守的差距，在攻擊的各階段進行防御工作，有針對性地開展漏洞修復(fù)、配置優(yōu)化和系統(tǒng)加固，設(shè)置誘導(dǎo)信息將攻擊者引導(dǎo)到錯誤方向.如圖3所示，反殺傷鏈分為6個階段：探測防護、網(wǎng)絡(luò)防御、入侵檢測、主機防御、主機檢測和威脅情報.

圖3 基于攻擊模型的分階段防御體系

4 免費開源安全防護體系實現(xiàn)

網(wǎng)絡(luò)安全建設(shè)符合《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)《中華人民共和國密碼法》和《網(wǎng)絡(luò)安全等級保護條例》等國家法律法規(guī)，網(wǎng)絡(luò)的安全防護系統(tǒng)能夠有效地抵御各種攻擊系統(tǒng)，各項安全防護策略可以有效地保護系統(tǒng)和數(shù)據(jù)的安全.

4.1 探測防護

對目標進行偵察是網(wǎng)絡(luò)攻擊前的準備工作，如表2所示，攻擊者對特定IP地址主機或某一段范圍的主機進行掃描，發(fā)現(xiàn)存活主機、開放端口、軟件版本信息和存在安全漏洞，根據(jù)網(wǎng)絡(luò)偵察階段發(fā)現(xiàn)的可利用信息，有針對性地對開放的端口和安全漏洞進行攻擊.2019年12月2日至2020年1月30日，安恒信息風暴中心對全國醫(yī)療衛(wèi)生行業(yè)1 500余個網(wǎng)站進行實時監(jiān)測分析，發(fā)現(xiàn)存在網(wǎng)絡(luò)安全風險漏洞的網(wǎng)站占比約10%，150家網(wǎng)站中存在高危漏洞，占比約67.94%.作為網(wǎng)絡(luò)安全防守方的醫(yī)療機構(gòu)網(wǎng)絡(luò)安全人員，應(yīng)該在網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)、測試、運行和維護過程中，及時發(fā)現(xiàn)系統(tǒng)信息泄露、開放的端口和安全漏洞，通過關(guān)閉不需要端口、控制必要開放端口訪問范圍、修改軟件旗標和版本信息等方式，達到欺騙攻擊者或?qū)⒐粽吖舴较蛞蚱缤緦崿F(xiàn)對主機的偵察防護的目的[14].

表2 免費開源漏洞檢測軟件

1) 綜合漏洞管理

綜合漏洞管理系統(tǒng)具有豐富主機發(fā)現(xiàn)、漏洞掃描、基線核查和漏洞管理等企業(yè)級功能，可以對網(wǎng)絡(luò)安全漏洞進行全生命周期的安全管理，在控制面板上可以顯示網(wǎng)絡(luò)整體的風險指數(shù)和排行榜，管理人員可以通過控制面板和評估報告直觀地掌握風險情況.

2) 應(yīng)用程序掃描

Arachni，W3af，Taipan，OWASP ZAP是4款比較典型的開源Web應(yīng)用漏洞掃描程序，其中OWASP ZAP和W3af帶有GUI界面，Taipan是基于命令行操作的，Arachni是基于B/S結(jié)構(gòu)通過瀏覽器進行訪問.

3) 端口服務(wù)掃描

網(wǎng)絡(luò)探測和安全審計命令行工具，可以發(fā)現(xiàn)一個網(wǎng)段中存活的主機、開放的端口和運行的網(wǎng)絡(luò)服務(wù)信息，可以通過網(wǎng)絡(luò)數(shù)據(jù)包中的特征值分析對應(yīng)服務(wù)的版本信息和各種防火墻信息.

4) 滲透測試軟件

滲透測試軟件是集成化的漏洞驗證和模擬黑客攻擊系統(tǒng)，常被用來進行滲透測試工作，我們可以使用它內(nèi)置的軟件驗證漏洞掃描發(fā)現(xiàn)的漏洞是否存在及危害程度.

4.2 網(wǎng)絡(luò)防御

如表3所示，網(wǎng)絡(luò)防御是通過攔截攻擊、通信隔離、流量過濾、端口防護和限制訪問等方式在網(wǎng)絡(luò)層面上進行防御，對非授權(quán)訪問和惡意網(wǎng)絡(luò)流量進行攔截，實現(xiàn)按需求開放和訪問的安全域的劃分，減少端口、服務(wù)、資源和數(shù)據(jù)對訪問端的直接暴露機會，確保將網(wǎng)絡(luò)安全風險降到最低點.

表3 免費開源網(wǎng)絡(luò)防御軟件

1) 網(wǎng)絡(luò)隔離和流量過濾

利用交換機和路由器等網(wǎng)絡(luò)設(shè)備劃分VLAN，根據(jù)不同的業(yè)務(wù)需要和安全等級要求劃分安全域、建立DMZ等方式對服務(wù)器進行隔離，設(shè)置交換機MAC與IP地址綁定，可以大大降低非法終端利用自助機和門診部等對外部位網(wǎng)絡(luò)非法接入的風險，網(wǎng)絡(luò)設(shè)備中的訪問控制列表可以限制非授權(quán)終端訪問網(wǎng)絡(luò)，降低接觸式的近源攻擊可能性.

2) Web應(yīng)用防火墻

Web應(yīng)用防火墻(Web application firewall, WAF)是一種工作在應(yīng)用層對Web應(yīng)用系統(tǒng)進行防護的應(yīng)用防火墻系統(tǒng).WAF可以有效防護SQL注入、XSS攻擊、CSRF攻擊、命令注入、信息泄露和文件上傳等攻擊進行防護，還提供了網(wǎng)站靜態(tài)網(wǎng)頁的緩存等功能，用于優(yōu)化和加快網(wǎng)站的訪問速度，向用戶提供詳盡的日志信息和豐富的報表功能，日志信息中詳細記錄了設(shè)備的管理日志，以及對Web服務(wù)器的訪問日志、攻擊日志和篡改日志，一旦服務(wù)器日志因攻擊被破壞，WAF中的日志可以完整分析用戶訪問和攻擊流程.

3) 數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是用來對數(shù)據(jù)庫管理系統(tǒng)進行防護的安全系統(tǒng)，能夠攔截非授權(quán)訪問，抵御SQL注入等針對數(shù)據(jù)庫的攻擊，一般情況下部署在靠近數(shù)據(jù)庫服務(wù)器一側(cè)或直接部署在數(shù)據(jù)庫服務(wù)器上，根據(jù)配置策略實現(xiàn)IP地址、端口和時間等條件進行訪問控制.MySQL等數(shù)據(jù)庫管理系統(tǒng)內(nèi)置權(quán)限管理命令可以配置完成IP地址、用戶賬號和數(shù)據(jù)表等訪問授權(quán)，非授權(quán)訪問的IP將被攔截.

4.3 入侵檢測

入侵檢測是邊界網(wǎng)絡(luò)防御體系后的第2道防線，相當于內(nèi)部網(wǎng)絡(luò)的一個監(jiān)控記錄系統(tǒng)，如表4所示，能夠根據(jù)網(wǎng)絡(luò)流量、行為和日志分析出入侵行為，可以根據(jù)預(yù)警信息及時發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)攻擊，通過日志和記錄還原網(wǎng)絡(luò)攻擊完整過程，可以作為分析網(wǎng)絡(luò)攻擊和事后取證的依據(jù).

1) 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(intrusion detection system)是由傳感器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫組成，傳感器是入侵檢測的事件發(fā)生器，負責采集網(wǎng)絡(luò)流量數(shù)據(jù)并傳送事件分析器，事件分析器將網(wǎng)絡(luò)流量數(shù)據(jù)進行分析得到分析結(jié)果，響應(yīng)單元根據(jù)分析結(jié)果進行報警、切斷網(wǎng)絡(luò)連接和定位攻擊者等響應(yīng)行為，將整個過程記錄在事件數(shù)據(jù)庫[15].

2) 運維審計系統(tǒng)

運維審計系統(tǒng)(俗稱堡壘機)實現(xiàn)了遠程管理的單點登錄，簡化了遠程管理賬號和權(quán)限管理的工作，提供了遠程運維管理所需要的單點登錄、集中賬號管理、集中身份認證、集中資源訪問授權(quán)、集中訪問管理和集中操作審計，建立集中和主動的安全管控模式，降低了賬號泄露、數(shù)據(jù)非法下載和網(wǎng)絡(luò)攻擊風險.

3) 日志分析系統(tǒng)

操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫管理系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等軟硬件系統(tǒng)會在運行時產(chǎn)生大量的日志數(shù)據(jù)，按照《網(wǎng)絡(luò)安全法》要求日志至少要保留6個月以上，但是目前的部分路由器、交換機和網(wǎng)絡(luò)安全設(shè)備受到存儲空間的限制，往往達不到要求，更不具備日志審計分析功能，通過搭建Syslog日志收集服務(wù)器，將大量分散設(shè)備的異構(gòu)日志進行高效采集、統(tǒng)一管理和集中存儲，可以滿足等保合規(guī)性要求，為安全事件事后取證、攻擊朔源和漏洞修復(fù)提供依據(jù).通過開源系統(tǒng)實現(xiàn)日志采集、分析和存儲功能，對日志進行全維度、跨設(shè)備、細粒度的關(guān)聯(lián)分析，對日志數(shù)據(jù)進行數(shù)據(jù)挖掘分析，發(fā)現(xiàn)日志和事件間的潛在關(guān)聯(lián)關(guān)系，形成可視化的日志報表，可以為醫(yī)療機構(gòu)管理人員提供全局的網(wǎng)絡(luò)安全視角.

4) 蜜罐

蜜罐是一種專門部署在網(wǎng)絡(luò)中用來欺騙攻擊者的系統(tǒng)，引誘攻擊者或計算機病毒向系統(tǒng)發(fā)起攻擊，可以對攻擊行為、攻擊代碼進行捕獲和分析.通過蜜罐可以掌握攻擊者采用的攻擊手段和漏洞，蜜罐系統(tǒng)內(nèi)置的控制臺和日志系統(tǒng)能夠完整詳細地記錄攻擊過程，及時發(fā)現(xiàn)內(nèi)網(wǎng)的威脅和存在的安全隱患.

表4 免費入侵檢測軟件

4.4 主機防御

如表5所示，主機防御是對攻擊者進入核心信息系統(tǒng)的最后一道防線，攻擊者通過跳板或者使用其他手段繞過網(wǎng)絡(luò)防御手段，將攻擊負載投送到主機上運行，執(zhí)行SQL語句、Shellcode、Downloader、JS文件和系統(tǒng)命令等操作，能夠成功檢測到攻擊代碼、阻止代碼執(zhí)行和攔截惡意行為是防御的關(guān)鍵.

1) 系統(tǒng)防火墻

根據(jù)主機開放業(yè)務(wù)的需求，添加開放的端口、端口類型和IP地址范圍等防火墻規(guī)則，可以有效地控制服務(wù)器開放的端口數(shù)量和開放范圍，對于無訪問權(quán)限的主機相當于服務(wù)器在網(wǎng)絡(luò)中隱身，大大提高了服務(wù)器的安全性.

2) 終端安全響應(yīng)系統(tǒng)

終端安全響應(yīng)系統(tǒng)(endpoint detection and response, EDR)是一種基于主機的安全事件偵測和防護響應(yīng)系統(tǒng)，針對終端服務(wù)器的攻擊進行威脅檢測和響應(yīng)，安裝在主機的Web應(yīng)用防護可以通過主動防御和行為檢測對WAF起到很好的補充作用.中小網(wǎng)站防護系統(tǒng)還提供云WAF功能，能夠通過修改DNS解析的CNAME隱藏服務(wù)器真實IP地址，利用云WAF過濾網(wǎng)絡(luò)流量后發(fā)送到回源IP，實現(xiàn)對Web應(yīng)用系統(tǒng)的云WAF防護.

3) 主機入侵防御系統(tǒng)

主機入侵防御系統(tǒng)(host intrusion prevent system, HIPS)是一種不完全依賴特征庫的主機防御系統(tǒng)，通過主動防御機制對系統(tǒng)關(guān)鍵的監(jiān)控和防護，根據(jù)程序的行為分析判斷是否為惡意軟件，可以提供至少3種類型的防御：應(yīng)用程序防御體系(application defend)、注冊表防御體系(registry defend)和文件防御體系(file defend).

表5 免費開源漏洞檢測軟件

4.5 主機檢測

如表6所示，主機檢測是在服務(wù)器上利用安全檢測軟件對主機上的WebShell、后門和網(wǎng)頁掛馬等惡意代碼進行檢測，一般分為定期日常檢測、關(guān)鍵時期檢測和異常事后檢測，定期日常檢測和關(guān)鍵時期檢測主要是為了定期對主機的安全性進行評估的工作，異常事后檢測是發(fā)生網(wǎng)絡(luò)攻擊后的一種調(diào)查取證和惡意代碼消除過程.

1) WebShell專殺檢測

WebShell是使用ASP，ASPX，PHP，JSP等Web開發(fā)語言編寫的Web網(wǎng)頁后門程序，單獨存放在Web文件目錄中或嵌入到其他網(wǎng)頁文件中，通過瀏覽器或客戶端程序連接Web服務(wù)端口訪問WebShell文件URL地址，可以在服務(wù)器端執(zhí)行命令、上傳文件和文件訪問等遠程操作，由于WebShell不需要單獨開放端口，直接通過開放的服務(wù)端口訪問，很難通過防火墻等邊界防護設(shè)備發(fā)現(xiàn)和攔截通信[16].

2) ARK分析工具

ARK(Anti-RootKit)是反RootKit工具的簡稱，主要用來分析系統(tǒng)的RootKit、后門和病毒等惡意代碼的工具，提供系統(tǒng)內(nèi)核級分析功能，能夠?qū)ο到y(tǒng)中的端口、進程、自啟動項、內(nèi)核信息、各類鉤子和主引導(dǎo)記錄等內(nèi)容進行細致深入的行為判斷及特征分析，通過數(shù)字簽名驗證及云檢測判定文件的可信任度，可以在虛擬機中運行可疑程序，通過ARK工具的監(jiān)測功能詳細分析程序執(zhí)行過程中的危險行為、調(diào)用的函數(shù)、訪問的文件、建立的網(wǎng)絡(luò)連接和下載的文件等動態(tài)行為過程.

3) 逆向分析工具

對于捕獲的攻擊代碼、病毒、RootKit和后門等惡意程序往往進行了免殺處理，常規(guī)的殺毒軟件無法檢測到，我們可以通過逆向分析方法進行惡意代碼分析，判斷可疑程序是否為惡意代碼、惡意代碼具體的執(zhí)行流程和攻擊目的，通常采用動態(tài)行為分析、動態(tài)代碼調(diào)試和靜態(tài)代碼分析3種，分析目標程序編寫語言、加殼種類、編譯器信息.FireEye發(fā)布的FLARE VM是集成化的逆向工具箱，可以用來惡意軟件分析、逆向工程、事件響應(yīng)和取證調(diào)查，集成了反匯編器、調(diào)試器、反編譯器、靜態(tài)分析工具、動態(tài)分析工具、開發(fā)工具、漏洞評估和網(wǎng)絡(luò)分析工具等.能夠通過調(diào)試和靜態(tài)代碼分析解除惡意代碼的保護外殼，分析惡意代碼的執(zhí)行流程、傳播機制和破壞行為等惡意行為，有助于消除安全隱患、修復(fù)系統(tǒng)和清除殘留的釋放文件.

4.6 威脅分析和情報系統(tǒng)

威脅分析和情報系統(tǒng)通過介紹網(wǎng)絡(luò)安全人員日常工作中經(jīng)常使用的在線文件分析和威脅情報系統(tǒng)，如表7所示，列舉了常用的威脅分析和情報系統(tǒng)，運用沙箱、大數(shù)據(jù)技術(shù)和威脅情報網(wǎng)絡(luò)等新技術(shù)，解決文件鑒定和情報研判問題.通過沙箱系統(tǒng)觀察程序運行結(jié)果和具體惡意行為，威脅情報系統(tǒng)可以查詢到APT、網(wǎng)絡(luò)威脅和僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)攻擊相關(guān)情報內(nèi)容.

表7 免費威脅分析和情報系統(tǒng)

5 結(jié)束語

本文從醫(yī)療機構(gòu)面臨的安全風險和網(wǎng)絡(luò)安全建設(shè)困境出發(fā)，結(jié)合網(wǎng)絡(luò)安全攻擊策略和技術(shù)知識庫，基于大量的開源和免費軟件技術(shù)，探討如何構(gòu)建一整套的開源網(wǎng)絡(luò)安全防護體系和開源技術(shù)實現(xiàn)方案，表8為攻防技術(shù)在各攻擊與防御階段的對抗效果分析，通過站在攻擊者視角觀察網(wǎng)絡(luò)安全漏洞和防護弱點，從攻擊者攻擊思路出發(fā)，逆向分析和封堵網(wǎng)絡(luò)安全防護盲區(qū)，以“授人以漁”的思路，提供整體網(wǎng)絡(luò)安全防御策略和各策略所使用到實現(xiàn)技術(shù)的軟件，將常用的免費開源網(wǎng)絡(luò)安全軟件作了簡單介紹，確保醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全建設(shè)達到合規(guī)、有效和安全的目的，應(yīng)用開源解決方案全面提升醫(yī)療行業(yè)網(wǎng)絡(luò)安全水平，降低醫(yī)療機構(gòu)面臨和遭受的網(wǎng)絡(luò)安全風險.

表8 開源軟件在安全體系中的應(yīng)用效果分析