医院互联网大门“洞开”,阜外医院赵韡谈如何筑牢信息安全防线

作者:谭啸 发布时间:2019-11-13
浏览次数:
主题演讲 —— 赵韡互联网信息安全防护》


医院互联网大门“洞开”,安全威胁与日俱增


2018年4月以来,国家“互联网+医疗健康”与国家信息安全相关最新政策陆续出台,“互联网+医疗健康”如雨后春笋般蓬勃发展,这些业务的开展确实给老百姓带来很多获得感,但同时也出现了网络安全方面的很多问题。


赵韡谈道,国家卫生健康委发布的“医院智慧服务分级评价标准体系(4S标准)”包括5个类别17个评估项目,覆盖诊前、诊中、诊后全业务流程,这就需要将医院现有的各类业务向互联网延伸,实现线上线下的无缝连接。以阜外医院目前提供的患者服务为例,挂号、付费功能就要与HIS系统连接,排队提示需要使用院内的排队叫号系统推送的数据,报告查询需要直接调阅PACS、LIS等系统生成的报告;在线门诊服务中的开药、问诊等环节更是需要直接调用电子病历系统的功能服务。


“在这样的环境下,互联网大门已经打开,安全威胁与日俱增。内外网数据已经打通,所有来自互联网的攻击已严重威胁内网业务连续性和数据安全。医院的互联网业务越开放,安全威胁越大。”赵韡表示,在传统的业务模式下,医院的业务网络是封闭的,与外界进行物理隔离,但这样的方式已经越来越不适应现在的需要。


当前,医院已成为勒索病毒重灾区。根据2018年《医疗行业勒索病毒专题报告》,全国三甲医院中有247家医院检出了勒索病毒。经济发达地区是重灾区,广东地区是最高危的。一方面,病毒传播者不断增加病毒的可传播性和隐蔽性,经常是在很短时间内就进行病毒版本的更新,比如短短两个月就更新了4个版本,导致安全软件无法及时报毒;另一方面,在互联网时代,随着移动医疗、AI医疗、电子病历等数字化应用的普及,给这些病毒打开了方便之门。


换位思考:从攻击者视角看


要解决网络安全问题,首先应该换个角度。从攻击者视角看,黑客攻击医院一般有两种方式:一是社工,黑客到医院里面来;二是互联网模式。

赵韡谈道,互联网模式最常见的攻击路径是:首先寻找攻击入口,主要是寻找漏洞、系统薄弱环节,通过植入木马等手段进行突破。一切存在弱点的信息系统都是突破点。

第二,突破之后会向医院互联网业务进行横向渗透,控制主机、系统,获取信息,控制薄弱点。

第三,进行纵向突破,突破到医院内网核心业务系统,造成业务中断,甚至获取核心数据。

当然,上述这些步骤是医院进行了一定的防范后的,如果没有防范,黑客就直接到最后一步了。然后要考虑,医院系统在面临这样的攻击时,最容易产生问题的环节有哪些,赵韡谈到了如下这些信息安全薄弱点,如:弱口令攻击、互联网上泄露敏感信息被利用、专网非法外联通道攻击,比如某医生有个科研课题或合作,把自己的笔记本接入医院网络。

四是老旧资产跳板攻击,比如员工退休了,他以前管的项目就没人管了,变成僵尸系统,没人维护也没人使用,但它是一个很重要的跳板,而且这样的系统往往有很多漏洞。

类似的信息安全弱点还有很多,如:未修复漏洞攻击、邮箱敏感文件攻击、服务器普遍零防御攻击、网络缺乏细粒度隔离措施、供应链攻击、互联网VPN接入暴露、手机App攻击等。

安全防护第一步:知己


所谓“知己知彼,百战不殆”。赵韡强调,关键是“知己”,要了解自己的情况。

从安全防护的角度来看,第一步要做的就是查清信息资产:有什么样的信息系统,是否都在用?有多少服务器,都开放了什么端口?服务器上安装了什么软件,都是什么版本?信息系统开发用的什么开发框架?后台如何登录?是否存在弱口令?有没有和其他机构存在网络连接?信息系统都是哪家开发的?什么时候投入使用的?有没有维护服务?有没有僵尸系统存在?有没有远程维护方式?等等。这些都是从服务层这个角度去看的。

然后进行详细的资产梳理,包括五个方面:一是云扫描,模拟攻击者从互联网上对自己进行扫描,梳理互联网暴露面;二是域名检查,检查自己医院都注册过什么域名,排查所有一、二级域名;三是内部扫描,假设攻击者已进入内部网络,从内部进行扫描;四是漏洞扫描,明确所有系统的版本号,是否存在较严重的漏洞;五是渗透测试,模拟攻击,检查信息系统的漏洞。

赵韡建议:“如果有条件,大家最好每年都做一做模拟攻击,你找的人水平越高,攻进来的可能性越高。我们进行信息安全防范,防的是整个面,但黑客只要攻击一个点就好了,所以我们还是要经常性地做一下渗透测试。”

部署和建立防御体系


“纵深防御来源于战争,比如中华门-瓮城,有第一道、第二道、第三道防御门,还有最后的防御防线。”赵韡表示,可以基于这样的思路,建立网络安全的纵深防御体系,针对不同位置的安全域防护特点采用不同的安全防护手段,实现纵深防御。建好防御体系后,还要做一些其他技术性处理。


1.蜜罐系统。中国古代战争有“围城必阙”的理论,围城如果全部包围的话,里面的人必定输死反抗,所以围城要围三面、留一面,让其逃跑,跑出来之后在远处进行狙击。对应在网络安全方面,就是要建立“蜜罐系统”:建立各种各样的假目标,主动暴露弱点,诱使攻击方实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段增强实际系统的安全防护能力。


2.态势感知。通过态势感知的一些工具,利用大数据技术实时分析网络流量,可以从大量数据中寻找蛛丝马迹,找到攻击行为,及时发现报警。“现阶段黑客与以前不一样了,以前的黑客是炫技,证明他水平高;现在是来偷东西的,悄无声息地在后台放一个小程序,把数据拿走,你还不知道。所以需要利用感知设备。”赵韡说。


3.安全加固。包括:安全设备登录控制、最小授权原则、弱口令检查和漏洞修复等。


4.系统渗透测试。前提条件是你已经建立起了防御体系,之后进行渗透测试。赵韡谈到了马奇诺防线,二战时法国为了防止德国的进攻,花巨资建立了非常完善的马奇诺防线,结果德军没打这个防线,从阿尔卑斯山绕道过来,法国一下子就被打败了。“再多的防护设备也有可能因百密一疏而被绕过,一定要请专业黑客攻击一下试试,看是否有小道可以包抄。”赵韡认为,“渗透测试可以最大程度模拟攻击思路,寻找程序漏洞。”


5.源代码泄露检查。很多系统的源代码被泄露,比如开发人员离职之后,把源代码公布出去,这样就把系统本身的一些问题暴露在互联网下。要定期对所有外包开发公司、信息中心技术人员进行安全意识培训,定期检查重点源代码托管平台代码泄露情况。


6.安全意识培训。这是管理方面的,是对全员的。比如:不随意打开陌生邮件及附件,不在邮箱或网盘中存储敏感信息,不向不明身份人员提供系统账号密码,不允许无关人员进入办公场所等。这是物理安防,相关的安全意识需要进行培训和培养。


7.现场布防。医院是公共场所,任何人可随意出入,现场防护难度很大。对黑客来讲,社工是很容易的手段,如:接入WIFI、拔线直接进内网。所以,要对现场进行布防,包括WIFI、暴露的网口,都是最容易攻击的资源。


Wi–Fi防护手段包括:最小授权原则;使用强口令;绑定MAC、隐藏SSID;随时维护无线AP安装位置,发现异常立即定位。拔线防护手段包括:最小授权原则;自助机、导诊屏等公共场所的设备要将网口遮蔽在设备箱体内,并及时上锁;利用网络准入控制,防止非法接入;部署蜜罐网口,非法接入立即报警。


加强医院所有员工的安全意识,团结一切可以团结的力量,形成统一战线。保安、保洁、护工、引导员、志愿者、护士、医生都是安全监督员,发现可疑人员立即上前盘查,并及时上报信息中心。


前一段时间,阜外医院组织组织了重大的攻防项目,扛住了20多天的攻击,取得了比较好的成绩。赵韡说:“我们最害怕的是从社工进来的,而不是从互联网进来的。当前各医院的漏洞非常多,专业的黑客半天就能攻到核心系统中,医疗行业信息安全的管理和技术水平在所有行业里面算是很低的。”


8.应急处置。所有应急的基础是资产清单梳理,一旦发生问题,能够精准快速定位,判断事态影响程度,及时向领导汇报;找准攻击源,利用网络阻断器第一时间阻断攻击IP;快速导出系统日志,保存攻击证据;熟悉应急预案,按照预案能准确处置事件。


平常多流汗,战时少流血。赵韡强调,“要定期查看预案的可操作性,是否与当时情况符合,现在变化非常快,最好一季度检查一次,半年做一次调整,每年两次应急演练,而且应急预案绝不能是手工的。”


四个结合


最后,赵韡提纲挈领,将医院互联网信息安全防护总结为“四个结合”。

一是平时和战时相结合以随时接受网络安全严峻挑战为目标,高质量地做好日常的网络安全保障工作,一定要在平时注意各方面的防控。

二是业务与安全相结合不能光顾着往前跑,还要把衣服穿好。

三是技术与管理相结合“很多人认为,应用了技术手段网络就安全了。其实不然,应用技术手段后更不安全了。”赵韡解释说:“因为不应用技术手段时出了问题是能力不行,而应用技术手段后再出问题则是玩忽职守。”所以,赵韡强烈建议,技术手段一定要与管理同时抓。

四是服务与保障相结合网络安全、数据安全和隐私保护是智慧服务的基础保障,一切患者服务都应建立在安全保障的基础上。



本文转载自HIT专家网,南湖论坛演讲内容。


更多医疗信息相关书籍请点击此处查看