文 | 惠州市中心人民醫(yī)院 彭文強(qiáng)

隨著醫(yī)院信息化建設(shè)不斷深入以及互聯(lián)網(wǎng)+的快速發(fā)展，醫(yī)院越來(lái)越多的聯(lián)網(wǎng)信息系統(tǒng)通過(guò)互聯(lián)網(wǎng)技術(shù)向社會(huì)團(tuán)體和患者個(gè)體提供服務(wù)，這些聯(lián)網(wǎng)信息系統(tǒng)為醫(yī)院和患者帶來(lái)便利的同時(shí)也成為了各種黑客組織、敵對(duì)勢(shì)力攻擊的目標(biāo)，聯(lián)網(wǎng)信息系統(tǒng)一旦被黑客組織攻陷并加以利用，將會(huì)給醫(yī)院帶來(lái)業(yè)務(wù)收入損失、形象品牌損失、數(shù)據(jù)與財(cái)產(chǎn)損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國(guó)家安全。因此，發(fā)現(xiàn)、管理醫(yī)院互聯(lián)網(wǎng)邊界已成為信息安全的剛性需求。

一、醫(yī)院互聯(lián)網(wǎng)資產(chǎn)的安全風(fēng)險(xiǎn)

根據(jù)近幾年安全事件統(tǒng)計(jì)、分析發(fā)現(xiàn)：近年來(lái)聯(lián)網(wǎng)信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)直線上升，并且聯(lián)網(wǎng)信息系統(tǒng)被惡意者攻擊利用后導(dǎo)致的損失都極其嚴(yán)重。

我們針對(duì)醫(yī)院網(wǎng)站等相關(guān)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行了模擬真實(shí)網(wǎng)絡(luò)攻擊，評(píng)估系統(tǒng)是否存在可被攻擊者利用的漏洞，同時(shí)對(duì)利用漏洞引發(fā)的風(fēng)險(xiǎn)損失嚴(yán)重程度進(jìn)行評(píng)估，為制定相應(yīng)的安全措施與解決方案提供實(shí)際的依據(jù)，問(wèn)題列表如下：

目標(biāo)系統(tǒng) 靶標(biāo)類別 Ip地址 風(fēng)險(xiǎn)等級(jí) 漏洞類型 URL（可羅列） 數(shù)量XXXX醫(yī)院門戶網(wǎng)站（靶標(biāo)）二類靶標(biāo) XXXX:86 高危 SQL注入1、 https://XXXX/Category/getInfo/id/662、http://XXXX:8XXXX/News/NewsInfo.aspx?Id=b3dcd6618e45 2高危 源碼泄露 https://XXXX/www.rar 1高危 弱口令 Admin/1 1高危 存儲(chǔ)型xss http://XXXX:86/UploXXXd9d33f01-54e2-4823-98ca-041bdca8eb26.pdf 1高危 反射型xss http://XXXX:86/Plugin/WebSite/Index.asp x?provinceId=630000&provinceName='-prompt(1)-'1高危 目錄遍歷 https://rczp.hzch.gd.cn:8089/ 1高危 sql注入+命令執(zhí)行=拿到服務(wù)器權(quán)限開(kāi)啟內(nèi)網(wǎng)滲透http://hzch.gd.cn:86/plugin/WebSite/ZXY_WebSite/News/NewsInfo.aspx?Id=-1* 1臺(tái)高危 redis數(shù)據(jù)庫(kù)權(quán)限192.1XXX 192. XXX XXX 192.1XXX 4高危 MSSQL數(shù)據(jù)庫(kù)權(quán)限 192.1XXX；192.1XXX 5高危 MYSQL數(shù)據(jù)庫(kù)權(quán)限 192.1XXX 1高危 SMB權(quán)限 192.168.XXX 192.168.XXX 192.168XXX 16高危 ftp未授權(quán)訪問(wèn)192.168.XXX 192.168.XXX 192.XXX 3高危 WEB應(yīng)用漏洞192.16XXX 193. XXX XXX 5

高危 攝像頭未授權(quán)訪問(wèn)192.1XXX85:80 192.1XXX.217:80 192.XXX.236:80 192.XXX166:80 192.XXX15:80 192.168.1XXX 192.168.111.239:80 192. XXX:80 193. XXX228:80 192.168.1XXX16:80 XXX 18高危 RDP權(quán)限192.1XXX 192.XXX 192.16XXX 192.16XXX（不出網(wǎng)）192.16XXX6（不出網(wǎng)）192.16XXX 9臺(tái)高危 SSH權(quán)限一臺(tái) 192.16XXX 1臺(tái)

上述問(wèn)題可以看出，雖然網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻，醫(yī)院對(duì)互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn)也很重視，但是仍舊存在大量聯(lián)網(wǎng)系統(tǒng)漏洞暴露在互聯(lián)網(wǎng)側(cè)，黑客極易利用這些漏洞對(duì)醫(yī)院聯(lián)網(wǎng)系統(tǒng)進(jìn)行破壞導(dǎo)致信息安全事件發(fā)生，說(shuō)明醫(yī)院未全面掌握暴露在互聯(lián)網(wǎng)上的資產(chǎn)信息，包括：應(yīng)用系統(tǒng)、域名、端口、服務(wù)、IP等。導(dǎo)致醫(yī)院的防御體系出現(xiàn)了盲區(qū)，成為整個(gè)網(wǎng)絡(luò)安全體系的重要短板。在這個(gè)真實(shí)案例中，我們看到醫(yī)院一方面在竭盡全力檢測(cè)、分析、抑制攻擊，而另一方面，新的攻擊卻從一些“陌生資產(chǎn)”如停車管理系統(tǒng)、攝像頭等源源不斷爆發(fā)出來(lái)。這些“陌生資產(chǎn)”就像黑洞一樣，平時(shí)不可見(jiàn)、無(wú)防備，關(guān)鍵時(shí)刻卻吸引了大量攻擊流量、造成整個(gè)防御體系的失效。

深入分析導(dǎo)致聯(lián)網(wǎng)信息系統(tǒng)風(fēng)險(xiǎn)嚴(yán)峻的原因，發(fā)現(xiàn)雖然各個(gè)醫(yī)院都在不斷的完善自己的安全防御體系以此來(lái)抵制各種可能發(fā)生的威脅事件，但是僅憑借安全防御體系被動(dòng)防御還不足以保障聯(lián)網(wǎng)信息系統(tǒng)，還需要完善主動(dòng)防御的互聯(lián)網(wǎng)資產(chǎn)狀態(tài)監(jiān)控能力，以此來(lái)實(shí)時(shí)發(fā)現(xiàn)醫(yī)院信息安全的防御體系存在的風(fēng)險(xiǎn)并及時(shí)進(jìn)行整改，只有這樣才能體系化提高醫(yī)院信息整體安全。

二、醫(yī)院互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)的作用與實(shí)現(xiàn)方法

（一）做好安全規(guī)劃前的需求調(diào)研

安全規(guī)劃的前提是做好安全需求的調(diào)研，這其中，互聯(lián)網(wǎng)資產(chǎn)梳理是重要一環(huán)，原因是：信息安全保護(hù)的對(duì)象就是信息資產(chǎn)，沒(méi)有全面、精準(zhǔn)的資產(chǎn)梳理，就沒(méi)有全面、有效的防御；同時(shí)，醫(yī)院面臨的主要風(fēng)險(xiǎn)之一就是互聯(lián)網(wǎng)接入帶來(lái)的外部威脅；所以，互聯(lián)網(wǎng)資產(chǎn)是醫(yī)院重要的風(fēng)險(xiǎn)點(diǎn)之一，也是安全防御的重點(diǎn)。

通過(guò)在安全需求調(diào)研階段，引入對(duì)互聯(lián)網(wǎng)資產(chǎn)暴露面的檢測(cè)，能夠幫助醫(yī)院全面了解自身互聯(lián)網(wǎng)資產(chǎn)現(xiàn)狀，有利于形成全面、有效的整體安全規(guī)劃，避免安全規(guī)劃出現(xiàn)明顯疏漏。

（二）通過(guò)互聯(lián)網(wǎng)資產(chǎn)及應(yīng)用發(fā)現(xiàn)，進(jìn)行資產(chǎn)梳理

根據(jù)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）標(biāo)準(zhǔn)，完整的風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)、威脅、脆弱性進(jìn)行全面梳理和評(píng)估，通常的資產(chǎn)梳理模式是依托于組織的臺(tái)賬進(jìn)行，常常造成資產(chǎn)的遺漏，特別是暴露在互聯(lián)網(wǎng)上的資產(chǎn)遺漏隱患更大。通過(guò)在風(fēng)險(xiǎn)評(píng)估過(guò)程中，引入對(duì)互聯(lián)網(wǎng)資產(chǎn)暴露面的檢測(cè)，能夠有效解決這個(gè)問(wèn)題，達(dá)到更好的風(fēng)險(xiǎn)評(píng)估效果。

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)通過(guò)數(shù)據(jù)挖掘和調(diào)研的方式確定醫(yī)院資產(chǎn)范圍，之后基于IP或域名，采用 WEB掃描技術(shù)、操作系統(tǒng)探測(cè)技術(shù)、端口的探測(cè)技術(shù)、服務(wù)探測(cè)技術(shù)、WEB爬蟲(chóng)技術(shù)等各類探測(cè)技術(shù)，對(duì)醫(yī)院信息系統(tǒng)內(nèi)的主機(jī)/服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、工控設(shè)備、WEB應(yīng)用、中間件、數(shù)據(jù)庫(kù)、郵件系統(tǒng)和DNS系統(tǒng)等進(jìn)行主動(dòng)發(fā)現(xiàn)，并生成互聯(lián)網(wǎng)資產(chǎn)及應(yīng)用列表，列表中不僅包括設(shè)備類型、域名、IP、端口，更可深入識(shí)別運(yùn)行在資產(chǎn)上的中間件、應(yīng)用、技術(shù)架構(gòu)的詳細(xì)情況（類型、版本、服務(wù)名稱等）。

（三）繪制信息安全資產(chǎn)畫像

在資產(chǎn)及應(yīng)用發(fā)現(xiàn)的基礎(chǔ)上，對(duì)醫(yī)院每個(gè)業(yè)務(wù)梳理分析，依據(jù)信息系統(tǒng)實(shí)際情況、業(yè)務(wù)特點(diǎn)、資產(chǎn)重要度等信息，結(jié)合信息安全的最佳實(shí)踐進(jìn)行歸納，最終針對(duì)性地形成信息安全的專屬資產(chǎn)畫像，構(gòu)建起醫(yī)院專屬的信息安全資產(chǎn)畫像。資產(chǎn)畫像構(gòu)建完成后可根據(jù)域名、IP、端口、中間件、應(yīng)用、技術(shù)架構(gòu)、變更狀態(tài)、業(yè)務(wù)類型（自定義）等條件對(duì)資產(chǎn)進(jìn)行查詢、統(tǒng)計(jì)，并能對(duì)資產(chǎn)進(jìn)行周期變化監(jiān)控。

（四）信息安全主管部門對(duì)違規(guī)行為的監(jiān)管

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)能夠成為“信息安全管理體系”落地的有效抓手，可以幫助醫(yī)院的安全主管部門及時(shí)發(fā)現(xiàn)并取證違規(guī)上線行為，配合懲戒、整改措施，形成對(duì)違規(guī)行為的有效管控和震懾。

同時(shí)也可以利用互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)對(duì)監(jiān)管對(duì)象的互聯(lián)網(wǎng)資產(chǎn)暴露情況進(jìn)行監(jiān)控和取證，滿足上級(jí)監(jiān)管部門的監(jiān)管要求。

（五）互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)大數(shù)據(jù)挖掘技術(shù)應(yīng)用

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)的核心技術(shù)包括：網(wǎng)絡(luò)探測(cè)掃描、探測(cè)集群調(diào)度、交互協(xié)議識(shí)別、數(shù)據(jù)分析應(yīng)用等。

網(wǎng)絡(luò)探測(cè)掃描：我們通過(guò)使用零拷貝技術(shù)，在操作系統(tǒng)層面減少不必要的數(shù)據(jù)拷貝，提升網(wǎng)絡(luò)發(fā)包效率。同時(shí)，因第三方技術(shù)如pf_ring zc、dpdk等對(duì)虛擬化環(huán)境不友好，選擇自研網(wǎng)卡驅(qū)動(dòng)的技術(shù)路線，實(shí)現(xiàn)在同等條件下發(fā)包性能遠(yuǎn)遠(yuǎn)領(lǐng)先libpcap，只需少量機(jī)器即可完成對(duì)國(guó)內(nèi)外IPv4地址空間端口探活工作。

探測(cè)集群調(diào)度：我們通過(guò)高效隨機(jī)化算法，提高任務(wù)分片的計(jì)算、還原效率，生成壓縮率極高的分片表示，降低節(jié)點(diǎn)獲取任務(wù)的交互次數(shù)、降低傳輸帶寬占用，并在合并后的較大網(wǎng)段區(qū)間內(nèi)生成偽隨機(jī)序列，將連續(xù)的任務(wù)分散至不同節(jié)點(diǎn)。實(shí)現(xiàn)了高質(zhì)量的隨機(jī)化調(diào)度策略，避免同一節(jié)點(diǎn)對(duì)單一IP/網(wǎng)段進(jìn)行高頻掃描，降低掃描節(jié)點(diǎn)被防護(hù)設(shè)備封禁的概率。

交互協(xié)議識(shí)別：通過(guò)增加協(xié)議深度解析的服務(wù)，支持在互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)掃描主流程中，對(duì)特定的協(xié)議進(jìn)行深度解析。也支持對(duì)指定目標(biāo)范圍的資產(chǎn)，深度解析特定協(xié)議。并基于已知的協(xié)議分布和識(shí)別方式，通過(guò)策略算法，提升單端口多協(xié)議識(shí)別的命中率，均衡協(xié)議識(shí)別工作量與識(shí)別產(chǎn)出結(jié)果，力求盡可能覆蓋更多的端口/協(xié)議類型。

數(shù)據(jù)分析應(yīng)用：保留傳統(tǒng)指紋方式，對(duì)指紋做精細(xì)化運(yùn)營(yíng)，兼容傳統(tǒng)觀念用戶場(chǎng)景。同時(shí)利用海量的測(cè)繪數(shù)據(jù)，結(jié)合機(jī)器學(xué)習(xí)技術(shù)進(jìn)行分類、標(biāo)注，生成網(wǎng)站分類預(yù)測(cè)模型。在指紋精細(xì)化運(yùn)營(yíng)的基礎(chǔ)上，結(jié)合網(wǎng)站分類預(yù)測(cè)模型，可以快速分析資產(chǎn)的關(guān)聯(lián)關(guān)系，在海量數(shù)據(jù)中找到相似資產(chǎn)，探索數(shù)據(jù)新價(jià)值。

三、我院實(shí)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)的具體方法

（一）全面梳理醫(yī)院互聯(lián)網(wǎng)資產(chǎn)及應(yīng)用暴露面

采用相關(guān)安全廠家的細(xì)粒度資產(chǎn)信息指紋庫(kù)，和雙方安全服務(wù)團(tuán)隊(duì)同時(shí)通過(guò)“自研平臺(tái)”加“專家人工梳理”結(jié)合的方式，全面、精準(zhǔn)地梳理出暴露在互聯(lián)網(wǎng)上的IT資產(chǎn)（設(shè)備類型、廠商、域名、IP、端口等），更可深入識(shí)別運(yùn)行在資產(chǎn)上的中間件、應(yīng)用、技術(shù)架構(gòu)的詳細(xì)情況（類型、版本、服務(wù)名稱等）（如圖1）。資產(chǎn)發(fā)現(xiàn)和應(yīng)用發(fā)現(xiàn)結(jié)合，全面、精準(zhǔn)解決互聯(lián)網(wǎng)資產(chǎn)邊界盲區(qū)問(wèn)題，打好安全防御的基礎(chǔ)（如圖2）。

圖2 互聯(lián)網(wǎng)資產(chǎn)及應(yīng)用信息統(tǒng)計(jì)

（二）精準(zhǔn)繪制互聯(lián)網(wǎng)醫(yī)院資產(chǎn)畫像

通過(guò)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)，同時(shí)對(duì)探測(cè)到的互聯(lián)網(wǎng)節(jié)點(diǎn)進(jìn)行多維度的搜索，快速定位符合條件的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)，支持的信息搜索維度，包括但不限于：所屬區(qū)域、所屬組織、資產(chǎn)類型（自定義）、業(yè)務(wù)類型（自定義）、IP、端口、服務(wù)、域名、運(yùn)行的操作系統(tǒng)類型、運(yùn)行WEB應(yīng)用的標(biāo)題等，打造醫(yī)院網(wǎng)絡(luò)節(jié)點(diǎn)的詳細(xì)信息，完成醫(yī)院及各個(gè)分院區(qū)信息安全資產(chǎn)畫像的繪制（如圖3）。

圖3 醫(yī)院資產(chǎn)及業(yè)務(wù)類型分布圖

（三）動(dòng)態(tài)監(jiān)控互聯(lián)網(wǎng)資產(chǎn)變化

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)可周期性檢查未知互聯(lián)網(wǎng)邊界資產(chǎn)，及時(shí)發(fā)現(xiàn)醫(yī)院IT資產(chǎn)的變更情況，幫助醫(yī)院動(dòng)態(tài)監(jiān)控互聯(lián)網(wǎng)資產(chǎn)變化，及時(shí)發(fā)現(xiàn)并取證違規(guī)上線行為。（如圖4）

圖4 互聯(lián)網(wǎng)資產(chǎn)動(dòng)態(tài)監(jiān)控圖

四、總結(jié)

互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)是醫(yī)院信息安全的基礎(chǔ)和前提，要實(shí)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)首先要確保選擇的合作安全產(chǎn)家或安全產(chǎn)品需具備國(guó)際領(lǐng)先的資產(chǎn)信息指紋庫(kù)，資產(chǎn)信息指紋庫(kù)是信息安全廠商基礎(chǔ)能力的體現(xiàn)，只有先識(shí)別資產(chǎn)信息，才能進(jìn)行后續(xù)的信息安全評(píng)估、滲透及后續(xù)的防御工作。資產(chǎn)信息指紋庫(kù)涉及的資產(chǎn)類型、版本龐雜，而且是隨著軟硬件系統(tǒng)廠商的升級(jí)不斷變化，這就要求廠商具有很強(qiáng)的協(xié)議分析能力，以及持續(xù)跟蹤投入的能力。

其次要與合作廠家共同打造強(qiáng)大的安全服務(wù)團(tuán)隊(duì)，醫(yī)院的合作安全廠家最好擁有良好的本地安服團(tuán)隊(duì)、多梯次服務(wù)支持，用團(tuán)隊(duì)的力量保障交付質(zhì)量。要求合作安全廠家不僅擁有攻防能力的專家、大數(shù)據(jù)分析專家，針對(duì)攻防研究結(jié)合數(shù)據(jù)分析，適用于云計(jì)算、大數(shù)據(jù)時(shí)代的復(fù)雜安全環(huán)境，同時(shí)需要與醫(yī)院安全技術(shù)人員共同服務(wù)成長(zhǎng)，落實(shí)具體的安全意識(shí)和措施。

最后合作的安全廠家必須具備精準(zhǔn)的互聯(lián)網(wǎng)資產(chǎn)畫像能力，不同于傳統(tǒng)的互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)服務(wù)，與醫(yī)院合作的安全廠家不僅要做到基礎(chǔ)的互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)（精度到設(shè)備類型、廠商、域名、IP、端口等），而且精細(xì)到運(yùn)行于資產(chǎn)之上的中間件、應(yīng)用、技術(shù)架構(gòu)的詳細(xì)情況（類型、版本、服務(wù)名稱等）；并且依托于大量的相關(guān)同行案例和不斷完善的知識(shí)庫(kù)體系，要求安全服務(wù)廠家或安全產(chǎn)品能夠做到對(duì)醫(yī)院互聯(lián)網(wǎng)資產(chǎn)精準(zhǔn)的資產(chǎn)畫像，精準(zhǔn)探測(cè)醫(yī)院互聯(lián)網(wǎng)暴露面。