HIT专家网
来源:HIT专家网 编辑整理:谭啸
“当前,各大医院,尤其是基层医院,对信息化业务的重视程度远远高于对信息安全的重视程度。很多单位还在沿用传统模式的网络安全架构来进行互联网业务,把原来封闭的业务网络暴露在互联网上,这样的业务风险是非常大的。”10月19日,在HIT专家网主办的2019年南湖HIT论坛上,国家心血管病中心主任助理兼信息管理和监测评价处处长、中国医学科学院阜外医院院长助理兼信息中心主任赵韡博士发表主题演讲,题为《互联网信息安全防护》。
医院互联网大门“洞开”,安全威胁与日俱增
2018年4月以来,国家“互联网+医疗健康”与国家信息安全相关最新政策陆续出台,“互联网+医疗健康”如雨后春笋般蓬勃发展,这些业务的开展确实给老百姓带来很多获得感,但同时也出现了网络安全方面的很多问题。
赵韡谈道,国家卫健委发布的“医院智慧服务分级评价标准体系(4S标准)”包括5个类别17个评估项目,覆盖诊前、诊中、诊后全业务流程,这就需要将医院现有的各类业务向互联网延伸,实现线上线下的无缝连接。以阜外医院目前提供的患者服务为例,挂号、付费功能就要与HIS系统连接,排队提示需要使用院内的排队叫号系统推送的数据,报告查询需要直接调阅PACS、LIS等系统生成的报告;在线门诊服务中的开药、问诊等环节更是需要直接调用电子病历系统的功能服务。
“在这样的环境下,互联网大门已经打开,安全威胁与日俱增。内外网数据已经打通,所有来自互联网的攻击已严重威胁内网业务连续性和数据安全。医院的互联网业务越开放,安全威胁越大。”赵韡表示,在传统的业务模式下,医院的业务网络是封闭的,与外界进行物理隔离,但这样的方式已经越来越不适应现在的需要。
当前,医院已成为勒索病毒重灾区。根据2018年《医疗行业勒索病毒专题报告》,全国三甲医院中有247家医院检出了勒索病毒。经济发达地区是重灾区,广东地区是最高危的。一方面,病毒传播者不断增加病毒的可传播性和隐蔽性,经常是在很短时间内就进行病毒版本的更新,比如短短两个月就更新了4个版本,导致安全软件无法及时报毒;另一方面,在互联网时代,随着移动医疗、AI医疗、电子病历等数字化应用的普及,给这些病毒打开了方便之门。
换位思考:从攻击者视角看
要解决网络安全问题,首先应该换个角度。从攻击者视角看,黑客攻击医院一般有两种方式:一是社工,黑客到医院里面来;二是互联网模式。
赵韡谈道,互联网模式最常见的攻击路径是:首先寻找攻击入口,主要是寻找漏洞、系统薄弱环节,通过植入木马等手段进行突破。一切存在弱点的信息系统都是突破点。
第二,突破之后会向医院互联网业务进行横向渗透,控制主机、系统,获取信息,控制薄弱点。
第三,进行纵向突破,突破到医院内网核心业务系统,造成业务中断,甚至获取核心数据。
当然,上述这些步骤是医院进行了一定的防范后的,如果没有防范,黑客就直接到最后一步了。然后要考虑,医院系统在面临这样的攻击时,最容易产生问题的环节有哪些,赵韡谈到了如下这些信息安全薄弱点,如:弱口令攻击、互联网上泄露敏感信息被利用、专网非法外联通道攻击,比如某医生有个科研课题或合作,把自己的笔记本接入医院网络。
四是老旧资产跳板攻击,比如员工退休了,他以前管的项目就没人管了,变成僵尸系统,没人维护也没人使用,但它是一个很重要的跳板,而且这样的系统往往有很多漏洞。
类似的信息安全弱点还有很多,如:未修复漏洞攻击、邮箱敏感文件攻击、服务器普遍零防御攻击、网络缺乏细粒度隔离措施、供应链攻击、互联网VPN接入暴露、手机App攻击等。
安全防护第一步:知己
所谓“知己知彼,百战不殆”。赵韡强调,关键是“知己”,要了解自己的情况。
从安全防护的角度来看,第一步要做的就是查清信息资产:有什么样的信息系统,是否都在用?有多少服务器,都开放了什么端口?服务器上安装了什么软件,都是什么版本?信息系统开发用的什么开发框架?后台如何登录?是否存在弱口令?有没有和其他机构存在网络连接?信息系统都是哪家开发的?什么时候投入使用的?有没有维护服务?有没有僵尸系统存在?有没有远程维护方式?等等。这些都是从服务层这个角度去看的。
然后进行详细的资产梳理,包括五个方面:一是云扫描,模拟攻击者从互联网上对自己进行扫描,梳理互联网暴露面;二是域名检查,检查自己医院都注册过什么域名,排查所有一、二级域名;三是内部扫描,假设攻击者已进入内部网络,从内部进行扫描;四是漏洞扫描,明确所有系统的版本号,是否存在较严重的漏洞;五是渗透测试,模拟攻击,检查信息系统的漏洞。
赵韡建议:“如果有条件,大家最好每年都做一做模拟攻击,你找的人水平越高,攻进来的可能性越高。我们进行信息安全防范,防的是整个面,但黑客只要攻击一个点就好了,所以我们还是要经常性地做一下渗透测试。”
部署和建立防御体系
“纵深防御来源于战争,比如中华门-瓮城,有第一道、第二道、第三道防御门,还有最后的防御防线。”赵韡表示,可以基于这样的思路,建立网络安全的纵深防御体系,针对不同位置的安全域防护特点采用不同的安全防护手段,实现纵深防御。建好防御体系后,还要做一些其他技术性处理。
1.蜜罐系统。中国古代战争有“围城必阙”的理论,围城如果全部包围的话,里面的人必定输死反抗,所以围城要围三面、留一面,让其逃跑,跑出来之后在远处进行狙击。对应在网络安全方面,就是要建立“蜜罐系统”:建立各种各样的假目标,主动暴露弱点,诱使攻击方实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段增强实际系统的安全防护能力。
2.态势感知。通过态势感知的一些工具,利用大数据技术实时分析网络流量,可以从大量数据中寻找蛛丝马迹,找到攻击行为,及时发现报警。“现阶段黑客与以前不一样了,以前的黑客是炫技,证明他水平高;现在是来偷东西的,悄无声息地在后台放一个小程序,把数据拿走,你还不知道。所以需要利用感知设备。”赵韡说。
3.安全加固。包括:安全设备登录控制、最小授权原则、弱口令检查和漏洞修复等。
4.系统渗透测试。前提条件是你已经建立起了防御体系,之后进行渗透测试。赵韡谈到了马奇诺防线,二战时法国为了防止德国的进攻,花巨资建立了非常完善的马奇诺防线,结果德军没打这个防线,从阿尔卑斯山绕道过来,法国一下子就被打败了。“再多的防护设备也有可能因百密一疏而被绕过,一定要请专业黑客攻击一下试试,看是否有小道可以包抄。”赵韡认为,“渗透测试可以最大程度模拟攻击思路,寻找程序漏洞。”
5.源代码泄露检查。很多系统的源代码被泄露,比如开发人员离职之后,把源代码公布出去,这样就把系统本身的一些问题暴露在互联网下。要定期对所有外包开发公司、信息中心技术人员进行安全意识培训,定期检查重点源代码托管平台代码泄露情况。
6.安全意识培训。这是管理方面的,是对全员的。比如:不随意打开陌生邮件及附件,不在邮箱或网盘中存储敏感信息,不向不明身份人员提供系统账号密码,不允许无关人员进入办公场所等。这是物理安防,相关的安全意识需要进行培训和培养。
7.现场布防。医院是公共场所,任何人可随意出入,现场防护难度很大。对黑客来讲,社工是很容易的手段,如:接入WIFI、拔线直接进内网。所以,要对现场进行布防,包括WIFI、暴露的网口,都是最容易攻击的资源。
Wi–Fi防护手段包括:最小授权原则;使用强口令;绑定MAC、隐藏SSID;随时维护无线AP安装位置,发现异常立即定位。拔线防护手段包括:最小授权原则;自助机、导诊屏等公共场所的设备要将网口遮蔽在设备箱体内,并及时上锁;利用网络准入控制,防止非法接入;部署蜜罐网口,非法接入立即报警。
加强医院所有员工的安全意识,团结一切可以团结的力量,形成统一战线。保安、保洁、护工、引导员、志愿者、护士、医生都是安全监督员,发现可疑人员立即上前盘查,并及时上报信息中心。
前一段时间,阜外医院组织组织了重大的攻防项目,扛住了20多天的攻击,取得了比较好的成绩。赵韡说:“我们最害怕的是从社工进来的,而不是从互联网进来的。当前各医院的漏洞非常多,专业的黑客半天就能攻到核心系统中,医疗行业信息安全的管理和技术水平在所有行业里面算是很低的。”
8.应急处置。所有应急的基础是资产清单梳理,一旦发生问题,能够精准快速定位,判断事态影响程度,及时向领导汇报;找准攻击源,利用网络阻断器第一时间阻断攻击IP;快速导出系统日志,保存攻击证据;熟悉应急预案,按照预案能准确处置事件。
平常多流汗,战时少流血。赵韡强调,“要定期查看预案的可操作性,是否与当时情况符合,现在变化非常快,最好一季度检查一次,半年做一次调整,每年两次应急演练,而且应急预案绝不能是手工的。”
四个结合
最后,赵韡提纲挈领,将医院互联网信息安全防护总结为“四个结合”。
一是平时和战时相结合。以随时接受网络安全严峻挑战为目标,高质量地做好日常的网络安全保障工作,一定要在平时注意各方面的防控。
二是业务与安全相结合。不能光顾着往前跑,还要把衣服穿好。
三是技术与管理相结合。“很多人认为,应用了技术手段网络就安全了。其实不然,应用技术手段后更不安全了。”赵韡解释说:“因为不应用技术手段时出了问题是能力不行,而应用技术手段后再出问题则是玩忽职守。”所以,赵韡强烈建议,技术手段一定要与管理同时抓。
四是服务与保障相结合。网络安全、数据安全和隐私保护是智慧服务的基础保障,一切患者服务都应建立在安全保障的基础上。
想加入HIT专家网专业交流群吗?请添加“HIT专家网”小助手微信好友
(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)
【责任编辑:孙鹏】
评论前必须登录!
注册