行業(yè)警報(bào)

在新醫(yī)改背景下服務(wù)器運(yùn)維，國(guó)家從戰(zhàn)略高度將信息化建設(shè)確定為深化醫(yī)藥衛(wèi)生體制改革的“四梁八柱”之一。力量。

醫(yī)院數(shù)據(jù)涉及個(gè)人健康隱私，興趣廣泛。它往往是黑客覬覦的“大金庫(kù)”。近年來(lái)，國(guó)內(nèi)外有不少消息稱(chēng)，某醫(yī)院系統(tǒng)被植入升級(jí)版勒索病毒后癱瘓；某信息系統(tǒng)遭到黑客攻擊，導(dǎo)致系統(tǒng)大規(guī)模癱瘓，住院診療過(guò)程無(wú)法正常運(yùn)行。隨著國(guó)家和行業(yè)層面對(duì)信息安全的日益重視，醫(yī)院防患于未然的意識(shí)和能力得到了極大的提升。但由于信息管理人員的疏忽或安全意識(shí)的缺失，醫(yī)院信息系統(tǒng)遭到“打擊”。

2020 年 10 月 3 日，美國(guó)阿拉巴馬州一名 9 個(gè)月大的女?huà)胍馔馑劳龊?，孩子的母親向嬰兒出生的醫(yī)院提起訴訟，聲稱(chēng)該醫(yī)院未能披露其網(wǎng)絡(luò)系統(tǒng)被攻擊導(dǎo)致護(hù)理部署異常，最終導(dǎo)致嬰兒死亡。這一事件再次表明，網(wǎng)絡(luò)攻擊的影響不僅是數(shù)據(jù)、財(cái)產(chǎn)、名譽(yù)的損失，甚至是生命的損失。

以上事件表明，醫(yī)療行業(yè)的數(shù)據(jù)安全不容小覷，醫(yī)療信息行業(yè)必須高度重視。

二、行業(yè)痛點(diǎn)

1、高穩(wěn)定性和故障預(yù)警要求

醫(yī)院信息系統(tǒng)，尤其是核心系統(tǒng)，不能全年24/7停機(jī)，最長(zhǎng)維護(hù)時(shí)間窗口只有半小時(shí)左右，否則會(huì)影響患者排隊(duì)就醫(yī)。業(yè)務(wù)的特殊性決定了對(duì)網(wǎng)絡(luò)連續(xù)性和網(wǎng)絡(luò)安全保障程度的更高要求。

2、現(xiàn)有安全產(chǎn)品瓶頸和防火墻不足

作為邊緣安全設(shè)備，部署在醫(yī)院的防火墻在域內(nèi)存在大量不合理且寬泛的安全策略。近年來(lái)，國(guó)家對(duì)廣義防火墻政策的保護(hù)有了明確的要求。需要快速找出不合理的政策，收斂寬泛且無(wú)效，但人工排序困難，對(duì)現(xiàn)有業(yè)務(wù)的影響無(wú)法驗(yàn)證。打開(kāi)對(duì)應(yīng)策略的日志會(huì)嚴(yán)重消耗性能，不靈活。運(yùn)維團(tuán)隊(duì)面對(duì)防火墻策略的現(xiàn)狀束手無(wú)策，策略維護(hù)增加了運(yùn)維的負(fù)擔(dān)。另外，當(dāng)醫(yī)院需要更改防火墻的配置時(shí)，手動(dòng)配置容易出錯(cuò)，如防火墻原有端口映射配置刪除失敗、策略下發(fā)錯(cuò)誤等，嚴(yán)重影響醫(yī)院的治療。 安全事件發(fā)生后，醫(yī)院希望盡快自動(dòng)過(guò)濾掉與事件相關(guān)的防火墻策略。但是策略配置是防火墻本身造成的，由于缺乏數(shù)據(jù)支持服務(wù)器運(yùn)維，很難判斷。

3、日志管理和審計(jì)設(shè)備

醫(yī)院的數(shù)據(jù)中心運(yùn)行著大量的醫(yī)療系統(tǒng)。日常運(yùn)維監(jiān)控需要對(duì)醫(yī)療系統(tǒng)進(jìn)行日志采集和信息審計(jì)。有些醫(yī)院有自己的日志管理平臺(tái)，但展示效果不靈活。分布式WAF節(jié)點(diǎn)眾多，安全事件也難以統(tǒng)一、便捷地展示。無(wú)法結(jié)合異常時(shí)期的流量數(shù)據(jù)定位根因，無(wú)法對(duì)高頻攻擊進(jìn)行統(tǒng)計(jì)分析，不利于醫(yī)院后續(xù)針對(duì)性防護(hù)。

4、安全代理設(shè)備

基于醫(yī)院業(yè)務(wù)性能擴(kuò)展和安全考慮，醫(yī)院大量負(fù)載設(shè)備采用的全代理模式通常對(duì)客戶端地址進(jìn)行源地址轉(zhuǎn)換，因此存在關(guān)聯(lián)通信的問(wèn)題。轉(zhuǎn)換后。此外，醫(yī)療系統(tǒng)與調(diào)度平臺(tái)之間的映射關(guān)系難以理清，極大地阻礙了攻擊路徑的可追溯性和人工排查。

5、洪水攻擊流量難以追蹤定位

當(dāng)醫(yī)院網(wǎng)絡(luò)面臨DDoS攻擊時(shí)，如果網(wǎng)卡發(fā)送的數(shù)據(jù)包數(shù)量快速增加，會(huì)消耗大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁塞，從而引發(fā)廣播風(fēng)暴。由于廣播攻擊流量和數(shù)據(jù)包數(shù)量巨大，傳統(tǒng)的 NPM 難以進(jìn)行正常的解析和回溯。

6、DNS 安全缺乏保護(hù)方法

醫(yī)院的大部分業(yè)務(wù)系統(tǒng)都使用域名對(duì)外提供服務(wù)，因此容易受到基于主機(jī)耗盡的 DNS 攻擊（DNS 查詢）。攻擊方式是向被攻擊服務(wù)器發(fā)送大量域名解析請(qǐng)求，通常請(qǐng)求解析的域名是隨機(jī)生成的域名或者網(wǎng)絡(luò)上根本不存在的域名。當(dāng)被攻擊的DNS服務(wù)器收到域名解析請(qǐng)求時(shí)，首先會(huì)檢查服務(wù)器上是否有相應(yīng)的緩存。如果找不到，并且域名無(wú)法直接在服務(wù)器解析時(shí)，DNS服務(wù)器會(huì)遞歸地向其上級(jí)DNS服務(wù)器查詢域名信息。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載。如果每秒的域名解析請(qǐng)求數(shù)超過(guò)一定數(shù)量，DNS服務(wù)器會(huì)超時(shí)解析域名，影響正常的域名業(yè)務(wù)訪問(wèn)。由于缺乏保護(hù)和異常訪問(wèn)統(tǒng)計(jì)，此類(lèi)問(wèn)題的后處理是被動(dòng)且低效的。

三、智能數(shù)據(jù)解決方案

基于多年在醫(yī)療行業(yè)智能分析和運(yùn)維服務(wù)領(lǐng)域的經(jīng)驗(yàn)，智微數(shù)據(jù)針對(duì)上述醫(yī)療行業(yè)安全痛點(diǎn)有以下實(shí)施方案：

1、流量分析 0 影響

通過(guò)網(wǎng)絡(luò)旁路鏡像，7*24小時(shí)實(shí)時(shí)采集數(shù)據(jù)中心關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)和防火墻前后的網(wǎng)絡(luò)流量。對(duì)流量進(jìn)行精細(xì)分析和檢查，而不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)和應(yīng)用程序產(chǎn)生任何影響。

2、防火墻性能 0 影響

支持FTP、API、文件上傳等多種方式定時(shí)獲取防火墻策略，無(wú)需打開(kāi)防火墻會(huì)話日志，通過(guò)獲取流量+配置，實(shí)現(xiàn)流量與配置的關(guān)聯(lián)，不影響性能防火墻，為提供流量支持。

3、多源數(shù)據(jù)統(tǒng)一訪問(wèn)管理

Data基于自有的基于平臺(tái)的靈活架構(gòu)支持多源數(shù)據(jù)訪問(wèn)，包括對(duì)各種醫(yī)療系統(tǒng)日志和審計(jì)日志的集中收集和分析，可以靈活準(zhǔn)確地實(shí)現(xiàn)多平臺(tái)的聯(lián)動(dòng)和連接。被動(dòng)接收兩種方式連接各個(gè)平臺(tái)的數(shù)據(jù)（包括Kafka，等），連接平臺(tái)內(nèi)置的數(shù)據(jù)庫(kù)，可以實(shí)現(xiàn)日志的統(tǒng)一展示和管理。

4、異常業(yè)務(wù)路徑畫(huà)像

智能數(shù)據(jù)可以基于負(fù)載設(shè)備的API接口獲取設(shè)備配置信息，并根據(jù)配置信息+流量數(shù)據(jù)動(dòng)態(tài)、直觀的展示業(yè)務(wù)系統(tǒng)的完整網(wǎng)絡(luò)路徑?；跇I(yè)務(wù)訪問(wèn)日志，對(duì)部分異步業(yè)務(wù)的數(shù)據(jù)流進(jìn)行拼接，實(shí)現(xiàn)訪問(wèn)關(guān)系的可追溯。

[上圖為demo數(shù)據(jù)演示]

5、智能分析

智能數(shù)據(jù)產(chǎn)品內(nèi)置多種智能算法和200多個(gè)場(chǎng)景的智能分析知識(shí)庫(kù)。當(dāng)指標(biāo)異常時(shí)，系統(tǒng)自動(dòng)進(jìn)行根因分析，幫助運(yùn)維人員更快地感知和分析故障，同時(shí)分配故障。能夠?yàn)檫\(yùn)維人員進(jìn)行數(shù)據(jù)預(yù)測(cè)和變化分析。

四、使用場(chǎng)景

1、防火墻策略優(yōu)化和早期故障檢測(cè)

防火墻是經(jīng)過(guò)特殊編程的路由器。作為醫(yī)院網(wǎng)絡(luò)的第一道防線，它維護(hù)著大量的冗余策略，這將占據(jù)自身的性能。另外，還需要滿足.0的要求。 Smart Data根據(jù)防火墻的前后端流量和配置信息，通過(guò)配置排序和流量校驗(yàn)，快速有效地進(jìn)行策略收斂，不影響防火墻性能，滿足合規(guī)檢查要求，快速消除防火墻隱患政策風(fēng)險(xiǎn)。

同時(shí)，智微數(shù)據(jù)支持對(duì)醫(yī)院交通數(shù)據(jù)進(jìn)行自動(dòng)、定期智能巡檢。通過(guò)異常數(shù)據(jù)和特征值，發(fā)現(xiàn)域內(nèi)潛在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱密碼等存在明顯安全隱患的數(shù)據(jù)。

2、阻塞驗(yàn)證和監(jiān)控

如何驗(yàn)證發(fā)布的安全策略是否存在漏洞或是否真正有效，往往是醫(yī)院頭疼的問(wèn)題。智微數(shù)據(jù)基于實(shí)時(shí)流量繞行采集監(jiān)控實(shí)時(shí)數(shù)據(jù)，支持對(duì)封禁IP和服務(wù)的實(shí)效驗(yàn)證。如果數(shù)據(jù)表的流量禁止列表中有IP，可以主動(dòng)告警，支持root-based支持。通過(guò)定位分析，可以明確問(wèn)題的原因，比如策略配置問(wèn)題或者安全設(shè)備異常。

3、DNS 攻擊溯源與處理

智能數(shù)據(jù)支持DNS設(shè)備深度監(jiān)控，可全面分析監(jiān)控醫(yī)院DNS服務(wù)器和53端口。根因定位和訪問(wèn)成功率。基于告警和可視化，快速定位異常DNS攻擊和異常請(qǐng)求的來(lái)源，并通知醫(yī)院安全人員進(jìn)行處理。

4、異常安全事件完成追溯定位

智能數(shù)據(jù)全流量分析平臺(tái)可獲取全網(wǎng)流量，包括醫(yī)院出口和內(nèi)網(wǎng)。平臺(tái)的業(yè)務(wù)畫(huà)像功能可以根據(jù)歷史行為基線檢測(cè)新的異常訪問(wèn)。結(jié)合CMDB數(shù)據(jù)，可對(duì)內(nèi)網(wǎng)新增訪問(wèn)進(jìn)行二次檢測(cè)，實(shí)現(xiàn)異常訪問(wèn)的主動(dòng)監(jiān)控。

智能維度數(shù)據(jù)支持基于流量特征和負(fù)載設(shè)備日志對(duì)異步服務(wù)進(jìn)行靈活、自動(dòng)的關(guān)聯(lián)數(shù)據(jù)流拼接，實(shí)現(xiàn)訪問(wèn)關(guān)系的可追溯性，以及對(duì)攻擊經(jīng)過(guò)的負(fù)載設(shè)備的回溯分析。同時(shí)，基于防火墻的前后端流量和配置信息，智微數(shù)據(jù)可以通過(guò)AI算法智能檢測(cè)通過(guò)防火墻的業(yè)務(wù)流量。實(shí)時(shí)感知業(yè)務(wù)異常以及事件相關(guān)IP和策略的位置?？焖倥袛喈惓５腄eny行為和攻擊入口，并給出安全風(fēng)險(xiǎn)提示。

基于日志和流量數(shù)據(jù)，對(duì)攻擊源、地理位置、攻擊類(lèi)型、攻擊方式等多個(gè)維度進(jìn)行統(tǒng)計(jì)分析，將終端日志與流量路徑關(guān)聯(lián)，為防御策略制定提供數(shù)據(jù)支持。

從流量、代理映射、資產(chǎn)、配置、日志、設(shè)備狀態(tài)等全方位智能分析，實(shí)現(xiàn)對(duì)異常安全事件的精準(zhǔn)檢測(cè)。

5、ARP廣播風(fēng)暴攻擊

從實(shí)踐經(jīng)驗(yàn)來(lái)看，90%以上的互聯(lián)網(wǎng)廣播風(fēng)暴都是由病毒引起的。智微數(shù)據(jù)擁有專(zhuān)為廣播風(fēng)暴攻擊設(shè)計(jì)的高性能探針。它通過(guò)中繼端口收集數(shù)據(jù)，僅接收廣播、多播和單播泛洪流量。并且由于產(chǎn)品的采集口采用混雜模式，也可以避免接口環(huán)路的風(fēng)險(xiǎn)。可快速處理分析當(dāng)前廣播域的ARP攻擊來(lái)源并生成告警，支持將告警數(shù)據(jù)推送到第三方處理平臺(tái)，實(shí)現(xiàn)自愈。

6、沒(méi)有專(zhuān)家值班

智能數(shù)據(jù)基于多年的IT運(yùn)維經(jīng)驗(yàn)，通過(guò)腳本在系統(tǒng)中預(yù)制常見(jiàn)故障的分析思路。當(dāng)需要報(bào)警事件、隱藏事件或人工分析時(shí)，系統(tǒng)可自動(dòng)獲取事件相關(guān)數(shù)據(jù)，并進(jìn)行智能分析，輸出分析報(bào)告，簡(jiǎn)潔易懂。

支持、郵件、短信、微信等報(bào)警通知形式

總結(jié)

安全是醫(yī)療行業(yè)信息技術(shù)部門(mén)極其重要的一部分。本文分享了智微數(shù)據(jù)在安全層面的技術(shù)解決方案。除了文中展示的場(chǎng)景，智微數(shù)據(jù)還支持自定義流量和安全事件特征。數(shù)據(jù)可追溯、分析和呈現(xiàn)。

更多醫(yī)療行業(yè)運(yùn)維場(chǎng)景及其他行業(yè)安全管控案例，請(qǐng)聯(lián)系我們。