nCompass 为医疗行业信息安全穿上“铠甲”

一、行业警示

新医改背景下，国家从战略高度将信息化建设定义为深化医药卫生体制改革的“四梁八柱”之一，不断出台推动医院信息化发展的政策和举措，为医院信息化建设注入强劲动力。

医院数据涉及个人健康隐私，利益面广泛，往往是黑客觊觎的“大金库”。近年来国内外新闻上不乏某医院系统被植入升级版勒索病毒后瘫痪；某信息系统遭受黑客攻击，导致系统大面积瘫痪、院内诊疗流程无法正常运转的新闻。随着国家及行业层面对信息安全重视程度越来越高，医院防患于未然的意识和能力均得到了大幅度提升，但仍然会出现因为信息管理人员的疏忽或者安全意识缺乏，导致医院信息系统“中招”。

2020 年 10 月 3 日，美国阿拉巴马州一名 9 个月大的女婴意外死亡后，孩子的母亲对婴儿出生的医院提起诉讼，声称医院没有披露其网络系统被攻击导致护理调配异常，最终造成了婴儿死亡的后果。这一事件再次表明，网络攻击的影响后果不仅仅是数据、财产、声誉的损失，甚至会造成生命的损失。

2020 年 4 月 29 日，北京一家医疗机构的新冠病毒检测相关数据被黑客以 4 比特币的价格公开售卖，被出售的数据包括 150MB 的实验室研究成果以及检测技术源代码等。

2022 年 4 月 28 日北京健康宝遭遇 Rippr 黑客团伙攻击。

以上事件说明，医疗行业的数据安全已不容小视，须引起医疗信息行业高度重视。

二、行业痛点

稳定性及故障预警要求高

医院信息系统，尤其是核心系统，都是 7×24 小时全年不能停机的，最大的维护时间窗只有半小时左右，否则就会影响患者排队就医。业务的特殊性决定了对网络连续性的要求以及对网络安全的保障程度要求较高。

现有安全产品瓶颈与不足——防火墙

防火墙作为边缘安全设备，医院部署的防火墙，域内存在大量不合理及宽泛的安全策略，近年来国家对防火墙宽泛策略有明确等保要求，需要快速找出不合理策略，收敛宽泛、无效策略，但是人工梳理难度大，且无法验证对现有业务影响，开启对应策略的日志又会严重消耗性能且不够灵活。运维团队面对防火墙策略现状束手无策，策略维护加重了运维负担。另外，医院需要对防火墙进行配置变更时，人工配置容易失误，比如产生防火墙原端口映射配置未删除及策略下发错误严重影响医院就诊的问题。安全事件发生后，院方希望第一时间自动过滤出事件相关的防火墙策略，然而策略配置还是防火墙自身问题所导致，由于缺乏数据支持难以判断。

日志管理及审计设备

医院的数据中心运营着大量医疗系统，日常运维监控需要对医疗系统和信息审计进行日志收集，部分医院有自己的日志管理平台，但展示效果不灵活，对分布的 WAF 节点和众多的安全事件，也难以做到统一便捷的展示，不能结合异常期间的流量数据做到根因定位，无法对高频攻击做到统计分析，不利于医院做后续针对性的防护。

安全代理设备

基于医院业务性能扩展及安全考虑，医院的大量负载设备采用的全代理模式通常会对客户端地址进行源地址转换，因此存在转换前后通讯进行关联的难题，另外，医疗系统与调度平台之间的映射关系难以梳理，对攻击路径溯源和人工排查造成较大阻碍。

泛洪攻击流量难以回溯和定位

当医院网络面临 DDoS 类攻击时，如果查看该网卡的发包数在快速增加，导致损耗大量的网络带宽，引起网络堵塞，就会造成广播风暴。传统的 NPM 由于广播攻击流量和包数巨大难以做到正常的解析和回溯。

DNS 安全缺乏防护手段

医院业务系统大部分采用域名方式对外提供服务，因此容易遭受基于主机耗尽型的 DNS 攻击（DNS query Flooding），攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络上根本不存在的域名，被攻击的 DNS 服务器在接收到域名解析请求时首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定数量就会造成 DNS 服务器解析域名超时，影响正常的域名业务访问。由于缺乏防护和异常访问统计手段，导致这类问题的事后处理被动，效率较低。

三、智维数据解决方案

智维数据基于多年智能分析领域和医疗行业运维服务的经验积累，对上述医疗行业安全痛点有如下实现方案：

流量分析 0 影响

通过网络旁路镜像的方式，7*24 小时实时采集数据中心关键网络节点及防火墙前后的网络流量。对现有网络、应用不产生任何影响的前提下对流量进行精细化分析检查。

防火墙性能 0 影响

支持多种方式定时获取防火墙策略，如 FTP、API、文件上传等，无需开启防火墙会话日志，通过获取流量+配置，实现流量与配置关联，在不影响性防火墙性能的情况下，为策略提供流量支撑。

多源数据统一接入管理

智维数据基于自身平台化灵活架构支持多源数据接入，包括各类医疗系统日志和审计日志的集中收集和解析，可灵活精确地实现多个平台联动和对接，通过主动获取与被动接收两种方式来对接各平台数据（包括 Kafka、syslog、socket 等）的数据，并接入到平台内置数据库，可实现日志的统一展示和管理。

异常业务路径画像

智维数据可基于负载设备的 API 接口获取设备配置信息，基于配置信息+流量数据，动态、可视化展现完整的业务系统网络路径。基于业务访问日志对于部分异步的业务进行数据流缝合，实现访问关系的溯源。

【上图为demo数据演示】

智能化分析

智维数据产品内置多种智能算法及 200 多种场景的智能分析知识库，当指标出现异常时，系统自动进行根因分析帮助运维人员更快的感知故障、分析故障，同时赋能运维人员数据预测、变化分析等能力。

四、使用场景

防火墙策略优化 &故障早发现

防火墙是一种特殊编程的路由器，它作为医院网络的第一道防线，维护大量冗余策略，会占用自身性能，另外，也需要满足等保 2.0 要求。智维数据基于防火墙前后端流量和配置信息，通过配置梳理和流量验证，快速有效地进行策略收敛，不影响防火墙性能，满足合规检查要求，快速消除防火墙策略隐患。

同时，智维数据支持对医院内的流量数据自动定期智能化巡检。通过异常数据和特征值，发现域内存在的安全隐患，包括：高危端口扫描、冰蝎、挂马、弱口令等明显存在安全隐患特征值的数据。

封堵验证及监控

如何验证下发的安全策略是否存在漏洞或者真实生效往往是医院头疼的问题。智维数据基于真实流量旁路采集的方式，监控实时数据，支持对已经封禁的 IP 和业务进行真实效果验证，若数据表格中出现有流量封禁名单中的 IP 即可主动发出告警，并支持根因定位分析，可明确问题导致的原因，如策略配置问题或安全设备异常等。

DNS 攻击溯源及处置

智维数据支持对 DNS 设备进行深度监测，可针对医院 DNS 服务器和 53 端口对院内 DNS 服务器全面解析和监控，可及时监测到 DNS 当前访问量及响应时间是否异常，并根据异常响应码和访问成功率进行根因定位。基于告警和可视化，快速定位异常 DNS 攻击来源及异常请求，通知医院安全人员进行处置。

异常安全事件完全回溯定位

智维数据全流量分析平台可以获取全网流量，包括医院出口及内网。平台的业务画像功能可基于历史行为基线，发现新增的异常访问。与 CMDB 数据相结合，可针对内网出现的新增访问进行二次的检测，对异常访问实现主动监控。

智维数据支持基于流量特征及负载设备日志两种方案对异步的业务进行灵活自动关联数据流缝合，实现访问关系的溯源，可针对攻击经过的负载设备进行回溯分析。同时智维数据基于防火墙前后端流量和配置信息，可通过 AI 算法智能化检测经过防火墙的业务流量。实时感知业务异常并定位与事件相关的 IP 和策略。快速判断异常 Deny 行为及攻击入口，并给出安全风险提示。

基于日志和流量数据，对攻击源、地理位置、攻击类型、攻击方法等多种维度进行统计分析，将终端日志与流量路径进行关联，并针对防御策略制定提供数据支撑。

从流量、代理映射、资产、配置、日志、设备状态等多层面全方位智能分析，实现安全异常事件精准发现。

ARP 广播风暴攻击

从实际经验来看，90%以上的网络广播风暴是病毒所致。智维数据拥有专门针对广播风暴攻击的高性能探针，通过 Trunk 口方式收集数据，只接收广播、组播、单播泛洪的流量。并且由于产品的采集口使用混杂模式，还可避免接口环路的风险。能快速处理分析当前广播域的 ARP 攻击来源及产生告警，并且支持将告警数据推送至第三方处置平台实现故障自愈。

无专家值守

智维数据基于多年的 IT 运维经验，将常见故障的分析思路通过 Python 脚本预制在系统中，当出现告警事件、隐患事件或人工需要分析时，系统可自动获取事件相关数据，并进行智能分析，输出分析报告，简洁易懂。

支持 Syslog、邮件、短信、微信等告警通知形式。

五、总 结

安全是医疗行业信息化部门极其重视的部分，本文为智维数据在安全层面的技术方案分享，除文中展示的场景外，智维数据还支持基于流量及安全事件特征进行定制化的数据溯源、分析和展示。

更多医疗行业运维场景及其他行业安全管控案例敬请垂询。