呂登峰,王 珊

（甘肅省人民醫(yī)院，甘肅 蘭州 730000）

1 概述

我國醫(yī)院信息化最近幾年快速的發(fā)展，在“互聯(lián)網(wǎng)+醫(yī)療健康”模式發(fā)展的推動下，醫(yī)院信息化建設朝著平臺化、微服務化、智能化方向邁進，信息化建設已經(jīng)成為現(xiàn)代醫(yī)院發(fā)展的重要支撐，推動著智慧醫(yī)院和平安醫(yī)院的建設，使醫(yī)療服務向更加便捷、智能的方向發(fā)展[1]。在醫(yī)院信息化發(fā)展和快速普及的大趨勢下，網(wǎng)絡使用量迅速增加，流量以爆炸式的增長。大量的網(wǎng)絡設備、安全設備、終端設備等硬件及軟件部署在醫(yī)院網(wǎng)絡中，同時也為不法分子創(chuàng)造了網(wǎng)絡安全突破口，使醫(yī)院信息系統(tǒng)面臨更加嚴峻的網(wǎng)絡安全挑戰(zhàn)，網(wǎng)絡攻擊的方式更加隱蔽，傳統(tǒng)的攻擊方式不再是唯一的攻擊方式，諸如勒索病毒、APT(Advanced Persistent Threat)等新型的攻擊會頻繁的出現(xiàn)在當今網(wǎng)絡攻擊中。

傳統(tǒng)的網(wǎng)絡安全防護是通過特征庫匹配等方式來阻止網(wǎng)絡攻擊，攻擊日志和數(shù)據(jù)存儲在本地安全設備，大部分設備只對特定的協(xié)議、特定的端口或者是特定數(shù)據(jù)包過濾，不會對數(shù)據(jù)包在網(wǎng)絡中關聯(lián)關系做分析，對發(fā)生的網(wǎng)絡安全事件無法追溯、反查。

面對醫(yī)院飛速發(fā)展和網(wǎng)絡安全面臨問題，傳統(tǒng)的網(wǎng)絡安全防護方式不足以防護全部的網(wǎng)絡攻擊和威脅，需要有能夠基于全網(wǎng)流量分析的網(wǎng)絡安全措施，從多維度的海量數(shù)據(jù)，進行自動化挖掘與云端關聯(lián)分析，提前洞悉各種安全威脅，實現(xiàn)安全的統(tǒng)一管理和分析，構建高效智能的安全管理環(huán)境。全流量分析能夠實現(xiàn)外部安全風險與內部安全威脅、行為的實時監(jiān)控、分析及處置，并聯(lián)合威脅情報，對威脅追蹤溯源[2]。全流量分析平臺利用人工智能技術，識別異常流量、異常協(xié)議及主機異常行為，監(jiān)控網(wǎng)絡資產(chǎn)狀況、網(wǎng)絡流量狀況，可以實現(xiàn)追蹤威脅源頭[3]，是一種全面、先進的檢測網(wǎng)絡攻擊的方式。

2 全流量采集系統(tǒng)部署

甘肅省人民醫(yī)院內部的局域網(wǎng)環(huán)境十分復雜，醫(yī)院信息系統(tǒng)是運行在醫(yī)院專網(wǎng)上，同時通過網(wǎng)絡安全設備與互聯(lián)網(wǎng)相連的外網(wǎng)部分，提供互聯(lián)網(wǎng)服務，有運行醫(yī)院信息系統(tǒng)相關的各類專網(wǎng)的混合部分。本院使用奇安信天眼全流量探針分析平臺作為流量采集分析工具，將全院內外網(wǎng)核心交換機及匯聚交換機的流量鏡像到分析平臺，分析平臺將存儲全部流量，作為分析的基礎數(shù)據(jù)。天眼平臺通過基于人工智能自學習的自動化數(shù)據(jù)處理技術對海量樣本進行挖掘，能夠找到惡意軟件的內在規(guī)律，能對未來相當長時期的惡意軟件技術做出前瞻性預測，實現(xiàn)不更新即可識別大量新型惡意軟件目的，有效解決了大部分未知惡意程序的發(fā)現(xiàn)問題，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的[4]。通過人工智能結合大數(shù)據(jù)知識以及攻擊者的多個維度特征，還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風格和不同攻擊原理的同源木馬程序，惡意服務器（C&C）等，通過全貌特征“跟蹤”攻擊者，持續(xù)的發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準確性[5]。

3 醫(yī)院信息系統(tǒng)安全狀況分析及防范措施

3.1 數(shù)據(jù)采集與分析

本院終端數(shù)量達到2300 臺，選擇30d 全流量數(shù)據(jù)，總共采集到威脅告警數(shù)據(jù)876953 條，其中網(wǎng)頁漏洞利用44061 條，威脅情報告警4879 條，網(wǎng)絡攻擊828013 條，webshell 上傳0 條。從以上數(shù)據(jù)可以得出，醫(yī)院信息系統(tǒng)存在網(wǎng)絡攻擊的風險較高，網(wǎng)頁漏洞利用攻擊的風險不容忽視，威脅情報告警必須關注，不存在webshell 上傳的風險。

對采集到的以上數(shù)據(jù)進行歸類、分析、分組、篩選、匯總、加工處理剔除部分冗余數(shù)據(jù)，將從另外一個維度統(tǒng)計分析獲得如下表數(shù)據(jù)，見表1。

表1 各類攻擊數(shù)據(jù)統(tǒng)計表 （單位：條）

通過上表數(shù)據(jù)可以看出，醫(yī)院信息系統(tǒng)主要存在的安全風險是橫向攻擊，外部攻擊和外聯(lián)攻擊雖然存在，但對醫(yī)院信息系統(tǒng)不構成威脅。上面結論和醫(yī)院信息系統(tǒng)大部分業(yè)務運行在專網(wǎng)，部分業(yè)務運行在互聯(lián)網(wǎng)的狀況相吻合，以上數(shù)據(jù)只有在全流量數(shù)據(jù)分析的基礎上可以獲得，傳統(tǒng)的單個安全設備無法獲得全網(wǎng)的威脅狀況數(shù)據(jù)，充分說明全流量分析在網(wǎng)絡安全威脅發(fā)現(xiàn)中具有獨特的優(yōu)勢。

進一步對全流量分析發(fā)現(xiàn)醫(yī)院信息系統(tǒng)中存在遭受木馬、蠕蟲病毒、APT 攻擊而被攻擊者控制的主機，通過平臺分析這些受攻擊主機的威脅等級情況，判斷主機處于攻擊的那個階段，即失陷、可疑、正常等，發(fā)現(xiàn)醫(yī)院信息系統(tǒng)中存在失陷主機。

3.2 醫(yī)院信息系統(tǒng)存在的安全風險

通過對奇安信天眼全流量探針分析平臺提供的數(shù)據(jù)分析可以發(fā)現(xiàn)，本院信息系統(tǒng)存在較大的安全風險，主要有以下幾個方面的安全風險。

（1）醫(yī)院信息系統(tǒng)雖然和互聯(lián)網(wǎng)存在業(yè)務，同時會訪問互聯(lián)網(wǎng)上業(yè)務，因此，個別主機存在木馬外聯(lián)情況，但不存在人為的webshell 攻擊等主動攻擊行為。

（2）醫(yī)院信息系統(tǒng)部分業(yè)務暴露在互聯(lián)網(wǎng)，因此會受到來自互聯(lián)的網(wǎng)絡攻擊，但由于部署了相關的網(wǎng)絡安設備，配置了安全策略，因此，來自互聯(lián)網(wǎng)的網(wǎng)絡攻擊威脅全部拒絕，但存在配置策略不完善情況。

（3）醫(yī)院信息內部專網(wǎng)上存在大量橫向攻擊，通過進一步的分析發(fā)現(xiàn)，這些安全風險來自下面幾個方面：業(yè)務系統(tǒng)上線沒有考慮到網(wǎng)絡安全導致在使用過程中會暴露安全隱患；操作系統(tǒng)沒有打補丁，存在安全漏洞；部分主機員工私自使用移動存儲介質，導致主機感染木馬病毒；運維人員對部分主機沒有安裝殺毒軟件，導致主機感染病毒無法清除，成為“肉雞”；安全設備策略配置不嚴謹導致安全設備部分功能沒有發(fā)揮作用。

（4）醫(yī)院信息系統(tǒng)中存在橫向攻擊，存在失陷主機，對醫(yī)院信息系統(tǒng)網(wǎng)絡中的其他主機不斷的發(fā)送攻擊，利用操作系統(tǒng)存在的漏洞，連續(xù)的發(fā)送攻擊數(shù)據(jù)包和蠕蟲病毒。

3.3 醫(yī)院信息安全防范措施

通過分析發(fā)現(xiàn)醫(yī)院信息系統(tǒng)中存在的安全風險，需要針對這些發(fā)現(xiàn)的安全威脅進行安全防護，主要從以下幾個方面做安全防范[6，7]，包括提高技術水平和規(guī)范管理等方面。

（1）所有主機必須安裝殺毒軟件，并且經(jīng)常更新殺毒軟件特征庫，使其保持最新的版本，并定期開展殺毒工作。

（2）加強網(wǎng)絡邊界安全防護，網(wǎng)絡安全設備按照規(guī)范管理，配置恰當?shù)牟呗?，以最小原則配置端口、服務、策略等，加強安全設備自身安全管理，安全設備特征庫及時更新。

（3）醫(yī)院信息系統(tǒng)上線嚴格按照安全相關的規(guī)章制度執(zhí)行，杜絕弱口令，審計軟件系統(tǒng)是否存在SQL 注入漏洞，防止應用程序出現(xiàn)邏輯性錯誤，確保上線信息系統(tǒng)的安全性。

（4）對主機尤其是服務器，需要定期打安全補丁，及時關注官方通報的0day 漏洞。

（5）所有主機按照醫(yī)院網(wǎng)絡安全管理辦法管理，杜絕私自使用移動存儲介質，防止病毒通過移動存儲介質傳播。

（6）對失陷主機做威脅清除處理，從操作系統(tǒng)到應用軟件管控，從終端準入管控到使用，全面排查存在的安全隱患。

（7）全院宣傳網(wǎng)絡安全知識，加強員工網(wǎng)絡安全意識的培訓，全體員工參與網(wǎng)絡安全的建設。

4 總結

本文使用奇安信天眼全流量分析平臺對本院信息系統(tǒng)中存在的安全威脅分析，發(fā)現(xiàn)了傳統(tǒng)設備無法直接發(fā)現(xiàn)的安全風險，提出適合未來本院信息系統(tǒng)的安全防范策略，將醫(yī)院信息系統(tǒng)安全建設由被動防御變?yōu)橹鲃影踩\行維護，從而提高了信息系統(tǒng)的安全防護水平，降低了網(wǎng)絡安全事件的發(fā)生，同時也表明全流量分析在網(wǎng)絡安全風險發(fā)現(xiàn)中具有明顯優(yōu)勢。