行業(yè)警報

在新醫(yī)改背景下服務(wù)器運維，國家從戰(zhàn)略高度將信息化建設(shè)確定為深化醫(yī)藥衛(wèi)生體制改革的“四梁八柱”之一。力量。

醫(yī)院數(shù)據(jù)涉及個人健康隱私，興趣廣泛。它往往是黑客覬覦的“大金庫”。近年來，國內(nèi)外有不少消息稱，某醫(yī)院系統(tǒng)被植入升級版勒索病毒后癱瘓；某信息系統(tǒng)遭到黑客攻擊，導(dǎo)致系統(tǒng)大規(guī)模癱瘓，住院診療過程無法正常運行。隨著國家和行業(yè)層面對信息安全的日益重視，醫(yī)院防患于未然的意識和能力得到了極大的提升。但由于信息管理人員的疏忽或安全意識的缺失，醫(yī)院信息系統(tǒng)遭到“打擊”。

2020 年 10 月 3 日，美國阿拉巴馬州一名 9 個月大的女嬰意外死亡后，孩子的母親向嬰兒出生的醫(yī)院提起訴訟，聲稱該醫(yī)院未能披露其網(wǎng)絡(luò)系統(tǒng)被攻擊導(dǎo)致護理部署異常，最終導(dǎo)致嬰兒死亡。這一事件再次表明，網(wǎng)絡(luò)攻擊的影響不僅是數(shù)據(jù)、財產(chǎn)、名譽的損失，甚至是生命的損失。

以上事件表明，醫(yī)療行業(yè)的數(shù)據(jù)安全不容小覷，醫(yī)療信息行業(yè)必須高度重視。

二、行業(yè)痛點

1、高穩(wěn)定性和故障預(yù)警要求

醫(yī)院信息系統(tǒng)，尤其是核心系統(tǒng)，不能全年24/7停機，最長維護時間窗口只有半小時左右，否則會影響患者排隊就醫(yī)。業(yè)務(wù)的特殊性決定了對網(wǎng)絡(luò)連續(xù)性和網(wǎng)絡(luò)安全保障程度的更高要求。

2、現(xiàn)有安全產(chǎn)品瓶頸和防火墻不足

作為邊緣安全設(shè)備，部署在醫(yī)院的防火墻在域內(nèi)存在大量不合理且寬泛的安全策略。近年來，國家對廣義防火墻政策的保護有了明確的要求。需要快速找出不合理的政策，收斂寬泛且無效，但人工排序困難，對現(xiàn)有業(yè)務(wù)的影響無法驗證。打開對應(yīng)策略的日志會嚴重消耗性能，不靈活。運維團隊面對防火墻策略的現(xiàn)狀束手無策，策略維護增加了運維的負擔。另外，當醫(yī)院需要更改防火墻的配置時，手動配置容易出錯，如防火墻原有端口映射配置刪除失敗、策略下發(fā)錯誤等，嚴重影響醫(yī)院的治療。 安全事件發(fā)生后，醫(yī)院希望盡快自動過濾掉與事件相關(guān)的防火墻策略。但是策略配置是防火墻本身造成的，由于缺乏數(shù)據(jù)支持服務(wù)器運維，很難判斷。

3、日志管理和審計設(shè)備

醫(yī)院的數(shù)據(jù)中心運行著大量的醫(yī)療系統(tǒng)。日常運維監(jiān)控需要對醫(yī)療系統(tǒng)進行日志采集和信息審計。有些醫(yī)院有自己的日志管理平臺，但展示效果不靈活。分布式WAF節(jié)點眾多，安全事件也難以統(tǒng)一、便捷地展示。無法結(jié)合異常時期的流量數(shù)據(jù)定位根因，無法對高頻攻擊進行統(tǒng)計分析，不利于醫(yī)院后續(xù)針對性防護。

4、安全代理設(shè)備

基于醫(yī)院業(yè)務(wù)性能擴展和安全考慮，醫(yī)院大量負載設(shè)備采用的全代理模式通常對客戶端地址進行源地址轉(zhuǎn)換，因此存在關(guān)聯(lián)通信的問題。轉(zhuǎn)換后。此外，醫(yī)療系統(tǒng)與調(diào)度平臺之間的映射關(guān)系難以理清，極大地阻礙了攻擊路徑的可追溯性和人工排查。

5、洪水攻擊流量難以追蹤定位

當醫(yī)院網(wǎng)絡(luò)面臨DDoS攻擊時，如果網(wǎng)卡發(fā)送的數(shù)據(jù)包數(shù)量快速增加，會消耗大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞，從而引發(fā)廣播風暴。由于廣播攻擊流量和數(shù)據(jù)包數(shù)量巨大，傳統(tǒng)的 NPM 難以進行正常的解析和回溯。

6、DNS 安全缺乏保護方法

醫(yī)院的大部分業(yè)務(wù)系統(tǒng)都使用域名對外提供服務(wù)，因此容易受到基于主機耗盡的 DNS 攻擊（DNS 查詢）。攻擊方式是向被攻擊服務(wù)器發(fā)送大量域名解析請求，通常請求解析的域名是隨機生成的域名或者網(wǎng)絡(luò)上根本不存在的域名。當被攻擊的DNS服務(wù)器收到域名解析請求時，首先會檢查服務(wù)器上是否有相應(yīng)的緩存。如果找不到，并且域名無法直接在服務(wù)器解析時，DNS服務(wù)器會遞歸地向其上級DNS服務(wù)器查詢域名信息。域名解析的過程給服務(wù)器帶來了很大的負載。如果每秒的域名解析請求數(shù)超過一定數(shù)量，DNS服務(wù)器會超時解析域名，影響正常的域名業(yè)務(wù)訪問。由于缺乏保護和異常訪問統(tǒng)計，此類問題的后處理是被動且低效的。

三、智能數(shù)據(jù)解決方案

基于多年在醫(yī)療行業(yè)智能分析和運維服務(wù)領(lǐng)域的經(jīng)驗，智微數(shù)據(jù)針對上述醫(yī)療行業(yè)安全痛點有以下實施方案：

1、流量分析 0 影響

通過網(wǎng)絡(luò)旁路鏡像，7*24小時實時采集數(shù)據(jù)中心關(guān)鍵網(wǎng)絡(luò)節(jié)點和防火墻前后的網(wǎng)絡(luò)流量。對流量進行精細分析和檢查，而不會對現(xiàn)有網(wǎng)絡(luò)和應(yīng)用程序產(chǎn)生任何影響。

2、防火墻性能 0 影響

支持FTP、API、文件上傳等多種方式定時獲取防火墻策略，無需打開防火墻會話日志，通過獲取流量+配置，實現(xiàn)流量與配置的關(guān)聯(lián)，不影響性能防火墻，為提供流量支持。

3、多源數(shù)據(jù)統(tǒng)一訪問管理

Data基于自有的基于平臺的靈活架構(gòu)支持多源數(shù)據(jù)訪問，包括對各種醫(yī)療系統(tǒng)日志和審計日志的集中收集和分析，可以靈活準確地實現(xiàn)多平臺的聯(lián)動和連接。被動接收兩種方式連接各個平臺的數(shù)據(jù)（包括Kafka，等），連接平臺內(nèi)置的數(shù)據(jù)庫，可以實現(xiàn)日志的統(tǒng)一展示和管理。

4、異常業(yè)務(wù)路徑畫像

智能數(shù)據(jù)可以基于負載設(shè)備的API接口獲取設(shè)備配置信息，并根據(jù)配置信息+流量數(shù)據(jù)動態(tài)、直觀的展示業(yè)務(wù)系統(tǒng)的完整網(wǎng)絡(luò)路徑?；跇I(yè)務(wù)訪問日志，對部分異步業(yè)務(wù)的數(shù)據(jù)流進行拼接，實現(xiàn)訪問關(guān)系的可追溯。

[上圖為demo數(shù)據(jù)演示]

5、智能分析

智能數(shù)據(jù)產(chǎn)品內(nèi)置多種智能算法和200多個場景的智能分析知識庫。當指標異常時，系統(tǒng)自動進行根因分析，幫助運維人員更快地感知和分析故障，同時分配故障。能夠為運維人員進行數(shù)據(jù)預(yù)測和變化分析。

四、使用場景

1、防火墻策略優(yōu)化和早期故障檢測

防火墻是經(jīng)過特殊編程的路由器。作為醫(yī)院網(wǎng)絡(luò)的第一道防線，它維護著大量的冗余策略，這將占據(jù)自身的性能。另外，還需要滿足.0的要求。 Smart Data根據(jù)防火墻的前后端流量和配置信息，通過配置排序和流量校驗，快速有效地進行策略收斂，不影響防火墻性能，滿足合規(guī)檢查要求，快速消除防火墻隱患政策風險。

同時，智微數(shù)據(jù)支持對醫(yī)院交通數(shù)據(jù)進行自動、定期智能巡檢。通過異常數(shù)據(jù)和特征值，發(fā)現(xiàn)域內(nèi)潛在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱密碼等存在明顯安全隱患的數(shù)據(jù)。

2、阻塞驗證和監(jiān)控

如何驗證發(fā)布的安全策略是否存在漏洞或是否真正有效，往往是醫(yī)院頭疼的問題。智微數(shù)據(jù)基于實時流量繞行采集監(jiān)控實時數(shù)據(jù)，支持對封禁IP和服務(wù)的實效驗證。如果數(shù)據(jù)表的流量禁止列表中有IP，可以主動告警，支持root-based支持。通過定位分析，可以明確問題的原因，比如策略配置問題或者安全設(shè)備異常。

3、DNS 攻擊溯源與處理

智能數(shù)據(jù)支持DNS設(shè)備深度監(jiān)控，可全面分析監(jiān)控醫(yī)院DNS服務(wù)器和53端口。根因定位和訪問成功率?；诟婢涂梢暬焖俣ㄎ划惓NS攻擊和異常請求的來源，并通知醫(yī)院安全人員進行處理。

4、異常安全事件完成追溯定位

智能數(shù)據(jù)全流量分析平臺可獲取全網(wǎng)流量，包括醫(yī)院出口和內(nèi)網(wǎng)。平臺的業(yè)務(wù)畫像功能可以根據(jù)歷史行為基線檢測新的異常訪問。結(jié)合CMDB數(shù)據(jù)，可對內(nèi)網(wǎng)新增訪問進行二次檢測，實現(xiàn)異常訪問的主動監(jiān)控。

智能維度數(shù)據(jù)支持基于流量特征和負載設(shè)備日志對異步服務(wù)進行靈活、自動的關(guān)聯(lián)數(shù)據(jù)流拼接，實現(xiàn)訪問關(guān)系的可追溯性，以及對攻擊經(jīng)過的負載設(shè)備的回溯分析。同時，基于防火墻的前后端流量和配置信息，智微數(shù)據(jù)可以通過AI算法智能檢測通過防火墻的業(yè)務(wù)流量。實時感知業(yè)務(wù)異常以及事件相關(guān)IP和策略的位置?？焖倥袛喈惓５腄eny行為和攻擊入口，并給出安全風險提示。

基于日志和流量數(shù)據(jù)，對攻擊源、地理位置、攻擊類型、攻擊方式等多個維度進行統(tǒng)計分析，將終端日志與流量路徑關(guān)聯(lián)，為防御策略制定提供數(shù)據(jù)支持。

從流量、代理映射、資產(chǎn)、配置、日志、設(shè)備狀態(tài)等全方位智能分析，實現(xiàn)對異常安全事件的精準檢測。

5、ARP廣播風暴攻擊

從實踐經(jīng)驗來看，90%以上的互聯(lián)網(wǎng)廣播風暴都是由病毒引起的。智微數(shù)據(jù)擁有專為廣播風暴攻擊設(shè)計的高性能探針。它通過中繼端口收集數(shù)據(jù)，僅接收廣播、多播和單播泛洪流量。并且由于產(chǎn)品的采集口采用混雜模式，也可以避免接口環(huán)路的風險。可快速處理分析當前廣播域的ARP攻擊來源并生成告警，支持將告警數(shù)據(jù)推送到第三方處理平臺，實現(xiàn)自愈。

6、沒有專家值班

智能數(shù)據(jù)基于多年的IT運維經(jīng)驗，通過腳本在系統(tǒng)中預(yù)制常見故障的分析思路。當需要報警事件、隱藏事件或人工分析時，系統(tǒng)可自動獲取事件相關(guān)數(shù)據(jù)，并進行智能分析，輸出分析報告，簡潔易懂。

支持、郵件、短信、微信等報警通知形式

總結(jié)

安全是醫(yī)療行業(yè)信息技術(shù)部門極其重要的一部分。本文分享了智微數(shù)據(jù)在安全層面的技術(shù)解決方案。除了文中展示的場景，智微數(shù)據(jù)還支持自定義流量和安全事件特征。數(shù)據(jù)可追溯、分析和呈現(xiàn)。

更多醫(yī)療行業(yè)運維場景及其他行業(yè)安全管控案例，請聯(lián)系我們。