摘 要: 医院信息系统安全问题导致业务停滞,对社会秩序和公共利益造成严重损害,引起患者不满,激化医患矛盾,带来负面社会影响。因此医院信息安全意识日益增强,对信息安全高度重视,部署了各类软、硬件安全产品,如IPS、IDS、WAF、网闸、态势感知等。但近年来随着信息技术发展,黑客攻击变得更加隐秘,通过利用零日漏洞、发送钓鱼电邮等手段,可非法获取管理员权限。因此一些旧的防护手段很难有效防范黑客攻击,严重的可造成敏感数据泄露、丢失等严重信息安全问题。通过对此类新兴安全威胁的研究,提出了充分发挥现有安全产品效用的安全策略,以及未来在医院信息系统运维,信息安全建设中可采取的措施,降低安全风险以保障医院信息系统安全稳定运行。
关键词 : 零日漏洞;社工攻击;弱口令,安全策略;
医院信息安全关系到百姓民生,在医院信息系统建设发展中应充分利用现有资源做好信息安全,不断提升安全保障能力[1]。“互联网+医疗健康”带来了前所未有的便捷和效率,与此同时医院也面临史无前例的安全威胁[2],例如:(1)因业务发展需要,内部网络和互联网间已无法做到真正的物理隔离;(2)联网设备多且密集,短板效应显着;(3)信息系统多、接口多,零日(Oday)漏洞多;(4)黑客攻击;(5)事后溯源难;(6)过度依赖第三方公司和安全软硬件等等。为了有效应对上述信息安全相关问题,保障医院信息安全,根据日常运维和信息安全建设中的实践经验,提出了以下具体应对措施。
1 、终端安全措施
目前医院普遍都有防火墙和网闸设备,这类边界设备能防范从外部到内部的非法访问[3],但如有人在医院内网终端上使用无线网卡等设备接入互联网,医院的边界防护也就形同虚设了。因此首要解决医院的联网设备多且密集,内部网络和互联网边界模糊,短板效应显着的问题。为消除此类安全隐患,非授权人员不得访问院区内网或外网。运用终端准入控制系统封禁移动存储和无线网卡,定位新接入设备所在位置,在确认授权前阻断任何新设备接入网络。内、外网终端要同等管理,都必须安装EDR,并结合态势感知或终端准入,防范APT攻击曲线入侵内网服务器区域。EDR产品具备病毒查杀、病毒防护、应急响应、信息防泄密、员工上网行为管理、主机安全常规设置等基本功能。EDR联动态势感知等威胁情报系统可防范挖矿、勒索、DDo S,查杀病毒木马、webshell、rootkit,及时发现可疑操作、异常登录、账号风险、暴力破解等问题。另外,若此类系统在内网部署一定要定期进行离线升级,以应对新的信息安全威胁。
日常工作发现终端面临的很多威胁,一般只需要升级或打补丁就可以消除,比如Linux上的CVE漏洞和Windows WSUS上的KB漏洞,特别是一些高危漏洞或RCE漏洞[4]。但是,打补丁升级操作繁琐,频繁打补丁费事费力风险高,且存在兼容性、造成宕机等风险。并且医院应用场景需要信息系统提供高可用,高稳定性的服务,因此为避免系统或应用在升级中出错影响业务运营,内网服务器升级一般相对滞后,特别是老旧服务器或系统长期不打补丁或升级,导致一些“老”漏洞对于医院来说都是零日漏洞。通过安装虚拟补丁设备可应对这个问题,虚拟补丁设备可识别和拦截利用漏洞攻击的行为,不直接修改被保护的软硬件资源就能防御利用漏洞的非法攻击。
终端部署时应采用Linux或Windows等系统的安全配置最佳实践。以Windows服务器为例,账户策略要开启密码策略和账户锁定策略,前者是密码复杂度要求,后者是当尝试输入密码超过设定次数后在指定的一段时间内锁定账号防止暴力破解,开启这两项策略就可降低网络攻击成功率。为事后溯源需要,开启本地审核登录事件,对成功和失败的操作都要审计。如非必要一定要关闭共享文件夹,重要的应用服务器、数据库服务器要做好数据备份,虚拟机在关机重启或升级前一定要做快照或者确认已做备份,防止服务器重启或升级后宕机影响业务。
2 、防黑客攻击措施
黑客攻击目标一般是取得内网终端系统的控制权限[5],例如通过钓鱼攻击引诱目标人物点击钓鱼链接,访问钓鱼页面进而窃取其账号和密码。黑客会在攻击前做大量信息收集工作,利用“中间件+开源程序+WEB服务组件”的各种已知漏洞,取得医院内网入口权限[6]。比如伪装成厂商工程师混入医院或厂商内部的QQ群或微信群,了解目标应用是基于哪种中间件开发的,以便利用Tomcat,weblogic,Struts2等中间件的漏洞获取入口权限。此外,有的厂商使用开源代码,虽然加快了应用软件开发的速度,但也存在安全隐患,黑客会经常在开源代码分享网站如Git Hub中查找泄露的各类敏感文件及账号密码信息等。
网络攻击中黑客常用分布式扫描器等软件进行端口扫描,获取终端返回的banner信息,从而获得端口下对应的服务及版本号。表1是黑客经常利用的服务和对应的默认端口,如非必须开启都建议关闭。
黑客在突破边界网络进入内网后开始内网渗透,内网渗透可以简单分为横向渗透和纵向渗透,黑客通过非法查看历史命令记录,截获远程桌面链接账号密码,利用第三方服务软件如Mysql,orcale,Mssql等,发现并获取敏感账号和密码,IP地址和服务器配置,进而获取OA、HR等重要信息系统的访问权限等。因此,内网渗透的实质和关键是信息收集,通过非法取得系统权限获取更多信息,分析信息取得更多权限,如此不断迭代最终取得目标系统的最高权限。如果目标系统存在0day漏洞就更加容易被突破,0day漏洞从类型上基本覆盖web、网络、操作系统、应用软件等方方面面层出不穷[7]。医院的应用软件系统如HIS、LIS、EMR等一般都是外包厂商开发的,而这些外包开发者开发的软件若存在开源程序、中间件、数据库注入等漏洞,黑客只需利用前期侦查获取的相关信息就可轻易取得系统权限。因此新业务系统,包括测试系统上线前一定要走审查流程,必须通过第三方信息安全测评,只有取得信息安全测评报告后才允许上线。
表1 高危服务和默认端口
面对黑客利用0day漏洞进行攻击,一些在内网中部署的基于黑名单的安全设备包括WAF类、态势感知类、IDS类、IPS类等,若没有及时升级就不能发现威胁。所以这类设备一定要经常进行离线升级,终端应对0day攻击可使用EDR管理后台设置白名单策略,阻断无关进程启动和危险命令执行,同时利用全量日志分析系统进行精准溯源封堵攻击IP地址,日常及时升级或打补丁防患未然。
3、 信息安全建设中的措施
医院信息科围绕“事前排查”、“事中监控”、“事后溯源”全过程做好信息安全工作[8],应对安全威胁不能只靠临时大量关停等权宜之计,要在根源上排查漏洞加固系统。针对漏洞隐患不要指望短时间内通过购买一次服务突击排查就可以完全解决,必须常态化开展对内网既有的漏洞、弱口令、病毒、木马等进行专项整治。明确防护边界,加强重点区域防护,细化网络访问规则,限制终端病毒扩散区域,为事后分析溯源保存好日志记录。
信息安全建设不能依赖孤立的安全设备。例如:IPS可自动分析全部访问流量,一旦发现异常特征可加黑名单封堵攻击源地址,但是我们在实践过程中发现,即便有IPS等安全设备也会出现中病毒、木马的情况。因此除了收敛边界,加强边界防御外,也要重视内网区域分割和防护策略。例如临时上线测试的系统可能存在安全风险,这些系统虽然只是短时间上线测试,但却可能威胁到整个业务系统安全。
针对医院日常办公与业务应用特点,分区防护建立防御纵深,防止外围边界被突破后,整个办公或业务系统完全暴露。因此内网架构应分区域,比如设立互联网接入区、互联网服务器区、核心交换区、医疗区域平台区、安全管理区等。构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。办公外网与内网通过防火墙、网闸等设备进行隔离和数据交换,对所有网络边界从内向外流出信息进行过滤和审计,降低通过网络泄露信息的风险,实现区域边界访问控制安全。通过入侵检测等设备,实现通信网络安全。通过统一信任管理系统、堡垒主机、网管系统、日志审计、数据库审计、安全审计设备,对内部网段间共享数据、数据库操作行为、终端行为进行全年审计满足事后溯源需要,降低内部终端信息泄露风险,实现整体计算环境安全。最后通过安全管理平台,实现安全情况的整体集中管控。
面向今后的业务发展,整体规划信息安全建设,将已有的安全设施纳入信息安全保障体系中,减少重复安全投资,提高安全保障能力和效果,对网络,主机,应用和数据等全方位防护。通过部署安全运维管理平台利用人工智能、大数据技术等新技术实时收集分析EDR终端、边界防火墙及网络探针、蜜罐获取的数据和日志,实时监控内网端口状态,可视化展现每个端口服务运行情况,应用的版本以及存在的漏洞或攻击情况等。EDR终端、边界防火墙等亦能接收系统下发的策略自动处置安全风险,如查杀恶意程序,封堵攻击流量等,提升对抗已知、未知威胁的能力,降低设备感染木马病毒的风险,提高运维工作效率。此外,高度重视集中管理平台自身的安全管理,如机房动环监控系统,域控,堡垒机,各类客户端安全防护系统的管理后台等。以杀毒软件管理后台为例,黑客一旦攻陷平台,可借助平台功能下发木马程序到客户端,给所有安装该杀软客户端的终端系统安装恶意软件。
4 、日常运维安全策略
日常运维过程当中,第三方工程师经常需要登陆堡垒机或者VPN访问内网,这类系统通常是黑客攻击首选目标,为防止VPN或堡垒机的账号被盗用,不能用弱口令,更不能出现多个设备都使用完全相同弱口令的情况[9]。如表1所示,黑客常见攻击利用方式中出现最多的就是弱口令,所以一定要尽可能使用多因素认证登录。
虽然黑客攻击在日常运维中并不常见,但以防万一,在内网中部署蜜罐系统吸引攻击流量,帮助用户及时发现终端上的安全问题。日常运维使用安全管理平台,将蜜罐、堡垒机、数据库和OSS对象存储等各类日志接入到全量日志分析系统,保证ATT&CK覆盖率,自动化攻击溯源,通过图分析技术、SOAR归纳总结相关安全事件和场景提升安全分析效率。使用大屏实时监控安全状态,建立完善的工单系统,发现问题及时解决,并以安全质量周报回报安全处置结果。
5 、讨论
本研究分析了当前医院面临的安全威胁,有针对性地提出了终端安全措施,防黑客攻击措施,日常运维安全策略,以及信息安全建设中的措施,实践可操作性强,效果好。例如关闭高危端口、及时升级补丁、提升登录密码复杂度、开启病毒实时查杀、定期进行渗透测试等,简单做到几点就能避免大部分安全风险问题。
社会工程攻击已成为黑客攻击的主要手段之一,他们不依赖纯技术手段攻击,而是从人入手,比如假借系统维护名义,冒充第三方工程师骗取系统账号和密码,混入客户技术支持群窃取敏感信息等。所以在提供账号密码前一定要仔细核实对方身份,系统的账号密码一定要定期更换。院内要加强宣教,编纂“信息安全知识FAQ”或“数据终端设备SOP”等手册在院内普及信息安全的知识,常态化组织新、老员工结合案例分析掌握信息安全新动态,强化人员的信息安全意识做到警钟长鸣,防范社工攻击。因为账号、密码一旦泄露,无论安全技术多严密,信息安全也无法保障。
参考文献
[1]戴林医院网络安全体系建设的实践与探索[J].江苏卫生事业管理, 2020,31(11):1490-92.
[2]李先锋等保2.0对医院信息安全管理的新要求探讨[J]江苏卫生事业管理, 2020,313)-344-347.
[3]孙晖智慧医院背景下医院信息化建设存在的问题及对策[I]江苏卫生事业管理, 2021,32(5):640-642.
[4]陈明.医院网络公众服务安全问题分析与防护设计[J].中国卫生信息管理杂志, 2021,18(1):106-110.
[5]陆婷娟.医院网络安全实行终端准入管理的探析[J] .中国数字医, 2021,16(2):113-116.
[6]卿立银大数据技术在医院信息系统安全中应用的可行性分析[J]电脑知识与技术, 2020,35(16):25-26.
[7]杨胜.医院信息安全等级保护的整改实践[J]计算机与网络, 2020 ,46(22):54.
[8]魏帅岭基于三级等级保护的医院信息安全体系建设与评估[J]中国医疗设备,2020,35(11):142-145.
[9]刘晶新形势下公立医院互联网医院发展的机遇与挑战[J].江苏卫生事业管理, 2020,31(11):1397-1400.
