劉翰騰

摘要：智慧醫(yī)院建設(shè)中主要面臨網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)攻擊者通過醫(yī)院本身的漏洞，展開各種網(wǎng)絡(luò)攻擊行為。醫(yī)院存儲并積累了大量個人信息、診療數(shù)據(jù)等，具有極高的價值。因此醫(yī)院要注重應(yīng)用安全態(tài)勢感知技術(shù)，構(gòu)建起完善的網(wǎng)絡(luò)安全防護體系，以應(yīng)對來自各方面的挑戰(zhàn)與威脅。該研究首先對智慧醫(yī)院安全態(tài)勢感知系統(tǒng)及其功能進行概述，然后分析了安全態(tài)勢感知在智慧醫(yī)院信息安全中的具體應(yīng)用，最后對安全態(tài)勢感知技術(shù)的應(yīng)用效果進行分析。

關(guān)鍵詞：安全態(tài)勢感知；智慧醫(yī)院；信息安全

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2023）13-0085-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）

受網(wǎng)絡(luò)攻擊行為的影響，醫(yī)院信息安全面臨著巨大的威脅。雖然很多醫(yī)院安裝有安全設(shè)備與軟件，然而也有很多攻擊直接繞過防護入侵醫(yī)院內(nèi)部，導(dǎo)致醫(yī)院重要機密信息泄漏，給醫(yī)院資產(chǎn)帶來巨大威脅。醫(yī)院現(xiàn)在引入網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，能夠幫助醫(yī)院安全管理員快速查找隱藏在網(wǎng)絡(luò)中的安全攻擊威脅，提前處理惡意攻擊行為，實現(xiàn)對受害目標(biāo)、攻擊源頭等精準(zhǔn)定位，也能對入侵方式、攻擊者信息等完成判斷與溯源。因此，智慧醫(yī)院建設(shè)中要充分應(yīng)用態(tài)勢感知技術(shù)，從源頭上消滅網(wǎng)絡(luò)安全風(fēng)險隱患，降低醫(yī)院損失，維護信息安全。

1 智慧醫(yī)院安全態(tài)勢感知系統(tǒng)概述

近年來，黑客攻擊從傳統(tǒng)帶有惡作劇與技術(shù)炫耀性質(zhì)逐步向利益化、商業(yè)化轉(zhuǎn)變。在這些威脅中，尤其是以高級持續(xù)性惡意攻擊（APT 攻擊）為代表的新威脅，更是讓醫(yī)院防不勝防。隨著高級威脅的不斷演進，攻擊后導(dǎo)致的檢測成本增高，事件影響變大，業(yè)界對安全威脅檢測防御的思路發(fā)生了巨大變化，認(rèn)識到需要從過去單一設(shè)備、單一方法、只關(guān)注防御轉(zhuǎn)變?yōu)闄z測、防御、響應(yīng)為一體的自適應(yīng)防護體系，圍繞攻擊鏈進行整體安全可視。

智慧醫(yī)院安全態(tài)勢感知系統(tǒng)具體運行方式為：一是通過探針收集各項數(shù)據(jù)，在全網(wǎng)內(nèi)完成大數(shù)據(jù)采集；二是加強安全事件檢測，根據(jù)掌握的數(shù)據(jù)檢測網(wǎng)絡(luò)安全事件，并評估當(dāng)前網(wǎng)絡(luò)安全態(tài)勢；三是對態(tài)勢進行預(yù)測和溯源。在安全事件檢測中針對出現(xiàn)的各種重大安全事件，能夠通過預(yù)測與溯源的方式，同時有效聯(lián)動各種安全事件處置系統(tǒng)；四是對態(tài)勢實現(xiàn)可視化，將網(wǎng)絡(luò)態(tài)勢感知各部分情況直觀呈現(xiàn)出來。

中山大學(xué)附屬第一醫(yī)院部署了新一代態(tài)勢感知系統(tǒng)，該系統(tǒng)部署只需要4臺服務(wù)器（主機），包括1臺安裝了可視化、采集器和流探針服務(wù)的主機，3臺安裝了集群控制、存儲檢測和數(shù)據(jù)分發(fā)服務(wù)的主機。安裝了可視化、采集器和流探針服務(wù)的主機會采集各區(qū)域日志服務(wù)器和安全設(shè)備的日志，收集互聯(lián)網(wǎng)出口和各關(guān)鍵區(qū)域出口的流量。

2 智慧醫(yī)院安全態(tài)勢感知系統(tǒng)功能

2.1 全網(wǎng)資產(chǎn)與訪問關(guān)系可視化

對智慧醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)資產(chǎn)進行自動識別與列表展示，在界面呈現(xiàn)資產(chǎn)開放端口、可登錄Web后臺等信息。對智慧醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)對象訪問關(guān)系進行圖形可視化展示，分為用戶對業(yè)務(wù)、業(yè)務(wù)對業(yè)務(wù)、業(yè)務(wù)與互聯(lián)網(wǎng)等關(guān)系，展示并提供搜索[1]。對業(yè)務(wù)全部訪問關(guān)系進行展示，包括有無違規(guī)、被攻擊、被登錄、對外攻擊等內(nèi)容，并根據(jù)失陷、高危、低危等級訪問源、訪問目的，通過多種顏色進行標(biāo)識。安全管理員能夠快速有效識別網(wǎng)絡(luò)內(nèi)各種訪問關(guān)系及其為業(yè)務(wù)帶來的影響，并找出其中有無用戶、資產(chǎn)等出現(xiàn)失陷與可疑等情況。

2.2 醫(yī)院態(tài)勢感知數(shù)據(jù)處理流程

中山大學(xué)附屬第一醫(yī)院的態(tài)勢感知系統(tǒng)，基于大數(shù)據(jù)技術(shù)和智能分析的威脅檢測體系，基于檢測、防御、響應(yīng)一體化解決方案，協(xié)助醫(yī)院更快、更準(zhǔn)確地檢測黑客入侵攻擊行為，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進行預(yù)測和預(yù)警，從而減少網(wǎng)絡(luò)安全事件對醫(yī)院造成的損失。

2.2.1 整體數(shù)據(jù)流架構(gòu)

2.2.2 數(shù)據(jù)采集

數(shù)據(jù)采集包括日志采集和原始流量采集。日志采集器負(fù)責(zé)日志采集，日志采集流程包括日志接收、日志分類、日志格式化和日志轉(zhuǎn)發(fā)。流探針負(fù)責(zé)原始流量采集，流量采集流程包括流量采集、協(xié)議解析、文件還原和流量元數(shù)據(jù)上報等功能。流探針采用旁路部署方式，用于接收分光器或鏡像端口發(fā)送的原始網(wǎng)絡(luò)流量。流探針對流量進行分析、提取特征信息發(fā)送給對應(yīng)的大數(shù)據(jù)安全平臺和FireHunter進行安全檢測，流探針本身不對醫(yī)院的網(wǎng)絡(luò)產(chǎn)生影響。

2.2.3 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理負(fù)責(zé)對采集器上報的歸一化日志和流探針上報的流量元數(shù)據(jù)進行格式化處理，補充相關(guān)的上下文信息（包括用戶、地理位置和區(qū)域），并將格式化后的數(shù)據(jù)發(fā)布到分布式總線。

2.2.4 數(shù)據(jù)存儲

分布式存儲負(fù)責(zé)對格式化后的數(shù)據(jù)進行存儲，針對不同類型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進行分類存儲，分布式存儲的數(shù)據(jù)主要用于威脅檢測和威脅可視化[1]?？紤]到可靠性和高并發(fā)性能的要求，分布式存儲的數(shù)據(jù)保存在多個檢測/存儲節(jié)點，并且可以按需擴展存儲節(jié)點。

分布式索引負(fù)責(zé)對關(guān)鍵的格式化數(shù)據(jù)建立索引，為可視化調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。分布式索引采用了多實例自適應(yīng)的索引技術(shù)和時間片抽取的分層索引結(jié)構(gòu)，索引數(shù)據(jù)保存在多個檢測/存儲節(jié)點，提供了高可靠性和高并發(fā)索引能力，支持按需彈性擴展索引。

2.2.5 數(shù)據(jù)分析

數(shù)據(jù)分析包含AI分析與關(guān)聯(lián)分析。AI分析包含WEB異常檢測、郵件異常檢測、C&C異常檢測、隱蔽通道檢測等檢測功能。關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。關(guān)聯(lián)分析采用了高性能的流計算引擎，關(guān)聯(lián)分析引擎直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當(dāng)多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認(rèn)為它們之間存在對應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。

2.2.6 數(shù)據(jù)呈現(xiàn)

數(shù)據(jù)呈現(xiàn)包含態(tài)勢管理、事件管理、威脅報告、響應(yīng)編排等整體功能，對安全事故整體的呈現(xiàn)。

2.3 全局視角風(fēng)險態(tài)勢感知

態(tài)勢感知系統(tǒng)根據(jù)失陷主機、安全事件、業(yè)務(wù)資產(chǎn)脆弱性等進行分析，綜合評價智慧醫(yī)院網(wǎng)絡(luò)安全態(tài)勢情況，有利于安全管理員了解情況后完成安全決策分析，通過Word、PDF文檔等方式將風(fēng)險業(yè)務(wù)、風(fēng)險用戶、安全事件以及建議等導(dǎo)出。安全管理員獲得具體報告后，便于落實后續(xù)應(yīng)對方法。

3 安全態(tài)勢感知在智慧醫(yī)院信息安全中的應(yīng)用

3.1 結(jié)合態(tài)勢感知，整合網(wǎng)內(nèi)安全設(shè)備

態(tài)勢感知系統(tǒng)日益先進，不僅通過探針獲取流量對網(wǎng)絡(luò)安全態(tài)勢進行分析，也能與部署在網(wǎng)內(nèi)各項安全設(shè)備進行聯(lián)動，讓孤立安全設(shè)備產(chǎn)生合力，提高網(wǎng)絡(luò)安全事件響應(yīng)速度[2]。目前，態(tài)勢感知系統(tǒng)聯(lián)動處置能力表現(xiàn)為：一是聯(lián)動IPS系統(tǒng)、邊界防火墻，能自動下發(fā)策略，拒絕惡意域名與IP；二是聯(lián)動終端安全軟件EDR系統(tǒng)，動態(tài)監(jiān)測用戶終端與服務(wù)器，針對勒索病毒、惡意軟件等能采取微隔離措施，切斷惡意病毒傳播鏈條，有力保護虛擬機和終端的安全；三是聯(lián)動上網(wǎng)行為管理設(shè)備，支持上網(wǎng)策略自動調(diào)整，能有效阻隔惡意流量?？梢?，以態(tài)勢感知為核心建立網(wǎng)絡(luò)安全防護系統(tǒng)，能夠保證智慧醫(yī)院信息安全。

3.2 建設(shè)便攜化網(wǎng)絡(luò)安全運維管理

當(dāng)態(tài)勢感知系統(tǒng)查找出風(fēng)險隱患后，安全運維人員能快速找到責(zé)任人，完成運維系統(tǒng)工單模塊問題下發(fā)，確保及時處理，實現(xiàn)網(wǎng)絡(luò)安全問題閉環(huán)管理目標(biāo)。系統(tǒng)告警后，第三方安全服務(wù)團隊完成大數(shù)據(jù)分析，若確有安全事件，醫(yī)院安全工程師將歸屬責(zé)任系統(tǒng)、責(zé)任人等確定下來，在微信公眾號中同步更新信息。責(zé)任工程師接收工單后確認(rèn)與復(fù)現(xiàn)，解決風(fēng)險問題[3]。如此一來，可以實現(xiàn)運維流程便攜化與可視化，通過微信公眾號等平臺，能及時了解資源告警情況、安全事件工單處理情況，保證安全運維效率。由于智慧醫(yī)院建設(shè)中提高了對網(wǎng)絡(luò)安全關(guān)注度，相關(guān)設(shè)備不僅數(shù)量較多，也存在品牌異構(gòu)現(xiàn)象，增加了信息部門日常運維壓力。對此要采用專業(yè)安全運維系統(tǒng)統(tǒng)一監(jiān)控與配置管理，讓智慧醫(yī)院在資源、業(yè)務(wù)、用戶等方面達(dá)到統(tǒng)一管理與智能聯(lián)動目的。

3.3 根據(jù)態(tài)勢感知分析結(jié)果，建立安全服務(wù)體系

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)收集數(shù)據(jù)后進行分析與整理，利用漏洞、威脅和資產(chǎn)等多維度展示安全問題與脆弱性資產(chǎn)，并發(fā)出告警。在智慧醫(yī)院建設(shè)中主要面臨信息化人才不足、網(wǎng)絡(luò)安全素養(yǎng)有待提升等問題，要想處理各種信息安全問題，需要提高網(wǎng)絡(luò)安全服務(wù)技術(shù)能力[4]。建設(shè)內(nèi)容為：一是風(fēng)險評估。態(tài)勢感知系統(tǒng)發(fā)現(xiàn)脆弱性資產(chǎn)后，必須完成一次全面安全風(fēng)險評估，形成相應(yīng)報告；二是基線核查。從等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全基線規(guī)定出發(fā)，加強態(tài)勢感知分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和中間件等安全基線檢查，完成安全加固處理；三是協(xié)助滲透測試。根據(jù)黑客攻擊方式，在可控條件下，對智慧醫(yī)院Web應(yīng)用或端口進行模擬攻擊，讓態(tài)勢感知警報漏洞信息得到驗證。四是重保支持。醫(yī)院網(wǎng)絡(luò)、網(wǎng)站等設(shè)施在運行中必須不間斷進行安全保障；五是網(wǎng)絡(luò)安全技能培訓(xùn)。由專家參與，培訓(xùn)內(nèi)容包括安全運維、安全代碼編寫和安全意識等。

3.4 多方聯(lián)動，解決院內(nèi)資產(chǎn)管理問題

從智慧醫(yī)院最普遍黑客攻擊方式可知，內(nèi)部網(wǎng)絡(luò)管理漏洞需要引起關(guān)注，若是被他人利用，將帶來不可估量的后果[5]。態(tài)勢感知系統(tǒng)對主機安全軟件下發(fā)EDR策略，具體如表1。這樣能夠讓問題主機得到微隔離處理，既保護了智慧醫(yī)院重要數(shù)據(jù)不出現(xiàn)泄漏，也避免病毒橫向傳播。

3.5 科學(xué)設(shè)置流量探針

流量探針主要是旁路掛載的流量鏡像設(shè)備，可以將全網(wǎng)流量收集起來，提供給態(tài)勢感知完成大數(shù)據(jù)分析，發(fā)揮著數(shù)據(jù)源作用[6]。要將探針設(shè)置在合理位置，才有利于態(tài)勢感知系統(tǒng)更好地運行，具體要求為：第一，統(tǒng)一監(jiān)測。VPC內(nèi)部以及VPC之間流量檢測和分析，與云邊界安全能力配合，實現(xiàn)政務(wù)云全域流量檢測和防護能力。第二，統(tǒng)一分析。利用智能檢測引擎和關(guān)聯(lián)分析引擎發(fā)現(xiàn)云內(nèi)云外高級威脅事件，從全攻擊鏈角度還原攻擊路徑及安全態(tài)勢。第三，保障業(yè)務(wù)。全面分析惡意流量同時不占用租戶網(wǎng)絡(luò)的出口帶寬，多種流量處理機制，保障租戶業(yè)務(wù)的正常運行。

4 安全態(tài)勢感知技術(shù)應(yīng)用效果分析

通常來說，若是多個終端沒有一起發(fā)生問題，智慧醫(yī)院管理員很難察覺內(nèi)網(wǎng)中的攻擊，而借助安全態(tài)勢感知系統(tǒng)，可以及時查找出網(wǎng)絡(luò)中的攻擊行為，確定攻擊程度，提前處理網(wǎng)絡(luò)中的病毒，避免發(fā)生大規(guī)模中毒問題。通過應(yīng)用安全態(tài)勢感知技術(shù)，在流量采集分析過程中，平臺能夠及時發(fā)出告警，包括嘗試入侵未能成功等[7]。處理時采用防火墻限制外來供給者IP訪問、更新補丁、查殺內(nèi)網(wǎng)僵尸主機等[8]。智慧醫(yī)院應(yīng)用態(tài)勢感知技術(shù)，讓安全管理員可以更加精準(zhǔn)預(yù)防與查殺網(wǎng)絡(luò)中的風(fēng)險與威脅，避免病毒攻擊引起重大損失，有效保障了智慧醫(yī)院信息安全。

5 結(jié)束語

總之，根據(jù)新等保3.0對網(wǎng)絡(luò)攻擊檢測與分析要求，將態(tài)勢感知技術(shù)應(yīng)用于智慧醫(yī)院構(gòu)建中，能有效應(yīng)對各種未知新型網(wǎng)絡(luò)攻擊與APT攻擊。在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)支持下，能夠讓智慧醫(yī)院由以往被動防護逐步轉(zhuǎn)變?yōu)橹鲃臃烙?，在原有防范的基礎(chǔ)上，更側(cè)重檢測與響應(yīng)。未來態(tài)勢感知技術(shù)將與新一代防火墻、殺毒軟件等安全設(shè)備軟件進行聯(lián)動，構(gòu)建更加強大的主動式防御體系，讓智慧醫(yī)院信息安全得到可靠保障。

參考文獻(xiàn)：

[1] 盧熙.醫(yī)院網(wǎng)絡(luò)安全入侵防御系統(tǒng)研究與設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（2）：124-126.

[2] 莫禹鈞，黃捷，潘愈嘉.基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御系統(tǒng)設(shè)計與實現(xiàn)[J].醫(yī)學(xué)信息學(xué)雜志，2020，41（3）：60-63.

[3] 胡建平，郝惠英，何祺，等.衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)探討[J].中國衛(wèi)生信息管理雜志，2019，16（1）：4-8.

[4] 莫禹鈞，潘愈嘉，黃捷.醫(yī)院網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建[J].醫(yī)學(xué)信息學(xué)雜志，2018，39（12）：25-28.

[5] 馮國斌，劉艷亭，郭敬鵬，等.基于網(wǎng)絡(luò)安全等級保護制度2.0標(biāo)準(zhǔn)的醫(yī)院態(tài)勢感知平臺建設(shè)實踐[J].中國數(shù)字醫(yī)學(xué)，2020，15（11）：135-138.

[6] 潘愈嘉，陸丹艷.以網(wǎng)絡(luò)態(tài)勢感知平臺為核心的醫(yī)院局域網(wǎng)安全運維實踐[J].中國數(shù)字醫(yī)學(xué)，2020，15（12）：10-13.

[7] 石湯沐.醫(yī)院網(wǎng)絡(luò)安全態(tài)勢感知平臺構(gòu)建與應(yīng)用[J].信息系統(tǒng)工程，2020（12）：58-59.

[8] 黃捷，潘愈嘉，莫禹鈞.淺析醫(yī)院物聯(lián)網(wǎng)安全風(fēng)險及防護體系的建立[J].中國數(shù)字醫(yī)學(xué)，2021，16（5）：111-114.

【通聯(lián)編輯：代影】