基于全流量監測的醫院信息系統網絡安全現狀分析

呂登峰,王 珊

（甘肅省人民醫院，甘肅 蘭州 730000）

1 概述

我國醫院信息化最近幾年快速的發展，在“互聯網+醫療健康”模式發展的推動下，醫院信息化建設朝著平臺化、微服務化、智能化方向邁進，信息化建設已經成為現代醫院發展的重要支撐，推動著智慧醫院和平安醫院的建設，使醫療服務向更加便捷、智能的方向發展[1]。在醫院信息化發展和快速普及的大趨勢下，網絡使用量迅速增加，流量以爆炸式的增長。大量的網絡設備、安全設備、終端設備等硬件及軟件部署在醫院網絡中，同時也為不法分子創造了網絡安全突破口，使醫院信息系統面臨更加嚴峻的網絡安全挑戰，網絡攻擊的方式更加隱蔽，傳統的攻擊方式不再是唯一的攻擊方式，諸如勒索病毒、APT(Advanced Persistent Threat)等新型的攻擊會頻繁的出現在當今網絡攻擊中。

傳統的網絡安全防護是通過特征庫匹配等方式來阻止網絡攻擊，攻擊日志和數據存儲在本地安全設備，大部分設備只對特定的協議、特定的端口或者是特定數據包過濾，不會對數據包在網絡中關聯關系做分析，對發生的網絡安全事件無法追溯、反查。

面對醫院飛速發展和網絡安全面臨問題，傳統的網絡安全防護方式不足以防護全部的網絡攻擊和威脅，需要有能夠基于全網流量分析的網絡安全措施，從多維度的海量數據，進行自動化挖掘與云端關聯分析，提前洞悉各種安全威脅，實現安全的統一管理和分析，構建高效智能的安全管理環境。全流量分析能夠實現外部安全風險與內部安全威脅、行為的實時監控、分析及處置，并聯合威脅情報，對威脅追蹤溯源[2]。全流量分析平臺利用人工智能技術，識別異常流量、異常協議及主機異常行為，監控網絡資產狀況、網絡流量狀況，可以實現追蹤威脅源頭[3]，是一種全面、先進的檢測網絡攻擊的方式。

2 全流量采集系統部署

甘肅省人民醫院內部的局域網環境十分復雜，醫院信息系統是運行在醫院專網上，同時通過網絡安全設備與互聯網相連的外網部分，提供互聯網服務，有運行醫院信息系統相關的各類專網的混合部分。本院使用奇安信天眼全流量探針分析平臺作為流量采集分析工具，將全院內外網核心交換機及匯聚交換機的流量鏡像到分析平臺，分析平臺將存儲全部流量，作為分析的基礎數據。天眼平臺通過基于人工智能自學習的自動化數據處理技術對海量樣本進行挖掘，能夠找到惡意軟件的內在規律，能對未來相當長時期的惡意軟件技術做出前瞻性預測，實現不更新即可識別大量新型惡意軟件目的，有效解決了大部分未知惡意程序的發現問題，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的[4]。通過人工智能結合大數據知識以及攻擊者的多個維度特征，還原出攻擊者的全貌，包括程序形態，不同編碼風格和不同攻擊原理的同源木馬程序，惡意服務器（C&C）等，通過全貌特征“跟蹤”攻擊者，持續的發現未知威脅，最終確保發現的未知威脅的準確性[5]。

3 醫院信息系統安全狀況分析及防范措施

3.1 數據采集與分析

本院終端數量達到2300 臺，選擇30d 全流量數據，總共采集到威脅告警數據876953 條，其中網頁漏洞利用44061 條，威脅情報告警4879 條，網絡攻擊828013 條，webshell 上傳0 條。從以上數據可以得出，醫院信息系統存在網絡攻擊的風險較高，網頁漏洞利用攻擊的風險不容忽視，威脅情報告警必須關注，不存在webshell 上傳的風險。

對采集到的以上數據進行歸類、分析、分組、篩選、匯總、加工處理剔除部分冗余數據，將從另外一個維度統計分析獲得如下表數據，見表1。

表1 各類攻擊數據統計表 （單位：條）

通過上表數據可以看出，醫院信息系統主要存在的安全風險是橫向攻擊，外部攻擊和外聯攻擊雖然存在，但對醫院信息系統不構成威脅。上面結論和醫院信息系統大部分業務運行在專網，部分業務運行在互聯網的狀況相吻合，以上數據只有在全流量數據分析的基礎上可以獲得，傳統的單個安全設備無法獲得全網的威脅狀況數據，充分說明全流量分析在網絡安全威脅發現中具有獨特的優勢。

進一步對全流量分析發現醫院信息系統中存在遭受木馬、蠕蟲病毒、APT 攻擊而被攻擊者控制的主機，通過平臺分析這些受攻擊主機的威脅等級情況，判斷主機處于攻擊的那個階段，即失陷、可疑、正常等，發現醫院信息系統中存在失陷主機。

3.2 醫院信息系統存在的安全風險

通過對奇安信天眼全流量探針分析平臺提供的數據分析可以發現，本院信息系統存在較大的安全風險，主要有以下幾個方面的安全風險。

（1）醫院信息系統雖然和互聯網存在業務，同時會訪問互聯網上業務，因此，個別主機存在木馬外聯情況，但不存在人為的webshell 攻擊等主動攻擊行為。

（2）醫院信息系統部分業務暴露在互聯網，因此會受到來自互聯的網絡攻擊，但由于部署了相關的網絡安設備，配置了安全策略，因此，來自互聯網的網絡攻擊威脅全部拒絕，但存在配置策略不完善情況。

（3）醫院信息內部專網上存在大量橫向攻擊，通過進一步的分析發現，這些安全風險來自下面幾個方面：業務系統上線沒有考慮到網絡安全導致在使用過程中會暴露安全隱患；操作系統沒有打補丁，存在安全漏洞；部分主機員工私自使用移動存儲介質，導致主機感染木馬病毒；運維人員對部分主機沒有安裝殺毒軟件，導致主機感染病毒無法清除，成為“肉雞”；安全設備策略配置不嚴謹導致安全設備部分功能沒有發揮作用。

（4）醫院信息系統中存在橫向攻擊，存在失陷主機，對醫院信息系統網絡中的其他主機不斷的發送攻擊，利用操作系統存在的漏洞，連續的發送攻擊數據包和蠕蟲病毒。

3.3 醫院信息安全防范措施

通過分析發現醫院信息系統中存在的安全風險，需要針對這些發現的安全威脅進行安全防護，主要從以下幾個方面做安全防范[6，7]，包括提高技術水平和規范管理等方面。

（1）所有主機必須安裝殺毒軟件，并且經常更新殺毒軟件特征庫，使其保持最新的版本，并定期開展殺毒工作。

（2）加強網絡邊界安全防護，網絡安全設備按照規范管理，配置恰當的策略，以最小原則配置端口、服務、策略等，加強安全設備自身安全管理，安全設備特征庫及時更新。

（3）醫院信息系統上線嚴格按照安全相關的規章制度執行，杜絕弱口令，審計軟件系統是否存在SQL 注入漏洞，防止應用程序出現邏輯性錯誤，確保上線信息系統的安全性。

（4）對主機尤其是服務器，需要定期打安全補丁，及時關注官方通報的0day 漏洞。

（5）所有主機按照醫院網絡安全管理辦法管理，杜絕私自使用移動存儲介質，防止病毒通過移動存儲介質傳播。

（6）對失陷主機做威脅清除處理，從操作系統到應用軟件管控，從終端準入管控到使用，全面排查存在的安全隱患。

（7）全院宣傳網絡安全知識，加強員工網絡安全意識的培訓，全體員工參與網絡安全的建設。

4 總結

本文使用奇安信天眼全流量分析平臺對本院信息系統中存在的安全威脅分析，發現了傳統設備無法直接發現的安全風險，提出適合未來本院信息系統的安全防范策略，將醫院信息系統安全建設由被動防御變為主動安全運行維護，從而提高了信息系統的安全防護水平，降低了網絡安全事件的發生，同時也表明全流量分析在網絡安全風險發現中具有明顯優勢。