疫情防控下醫(yī)院就診人員篩選系統(tǒng)上線的網(wǎng)絡(luò)安全與防范措施

呂登峰，彭艷艷，喬小妮

（甘肅省人民醫(yī)院，甘肅 蘭州 730000）

1 概述

國家衛(wèi)健委于2020 年2 月發(fā)布 《關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》，《通知》要求發(fā)揮信息化的優(yōu)勢，使醫(yī)院信息系統(tǒng)能輔助疫情的發(fā)現(xiàn)和防控，并在通知中明確地提出了要針對疫情防控做好專項網(wǎng)絡(luò)安全和信息安全工作，保護好醫(yī)院存儲的個人信息安全，信息化應(yīng)當(dāng)為疫情的部署和防控做好支撐[1]。為了提高醫(yī)院疫情防控的能力，醫(yī)院上線了醫(yī)院就診人員篩查系統(tǒng)，充分發(fā)揮了信息化在疫情防控中的作用，確保患者在無接觸的情況下高效地完成醫(yī)院就診。醫(yī)院就診人員篩查系統(tǒng)需要使用存儲患者的身份信息，如在患者信息的使用、傳輸和存儲等過程中有不恰當(dāng)行為，嚴(yán)重的將違反《民法典》等法律中的相關(guān)條款。因此，如何有效、合規(guī)、安全的使用患者信息和存儲患者相關(guān)信息、防止信息泄露，保障網(wǎng)絡(luò)信息的安全顯得特別重要。

2 醫(yī)院就診人員篩查系統(tǒng)架構(gòu)

2.1 醫(yī)院就診人員篩查系統(tǒng)

醫(yī)院就診人員篩查系統(tǒng)是通過采集人員的身份證信息、臉部生物特性、健康碼信息、醫(yī)院預(yù)約就診信息及新冠核酸信息并對其進行復(fù)雜計算，判斷患者就診是否符合疫情防控規(guī)定，是否滿足醫(yī)院就診規(guī)定，來決定患者人員類別，并根據(jù)人員類別提供人員分類篩查依據(jù)。

2.2 醫(yī)院就診人員篩查系統(tǒng)架構(gòu)

系統(tǒng)采用B/S 架構(gòu)，前端采集數(shù)據(jù)，展現(xiàn)結(jié)果，后端計算、驗證、存儲數(shù)據(jù)[2]。

前端系統(tǒng)是閘機和人臉識別結(jié)合為一體的軟硬件設(shè)備，首先患者需要申請健康碼，通過閘機讀取患者身份證信息及臉部生物特性，前端將讀取的身份證中存儲的個人信息、人臉信息，發(fā)送到后臺服務(wù)器，然后等待后端返回結(jié)果。

后端服務(wù)器監(jiān)聽前端讀取的信息，通過前端閘機讀取到的身份證信息、人臉信息，比對人臉信息和身份證信息是否一致。再結(jié)合身份證信息通過服務(wù)器連接前置服務(wù)器，前置服務(wù)器通過互聯(lián)網(wǎng)連接國家健康碼服務(wù)平臺，獲取健康碼信息，驗證健康碼信息是否和身份證信息一致。服務(wù)器同時連接醫(yī)院信息系統(tǒng)，獲取患者就診和預(yù)約信息，通過獲取的信息驗證患者是否符合進入醫(yī)院的條件。最終返回給前端計算結(jié)果信息，是否允許患者通過閘機進入。具體前端和后的交互流程如圖1 所示。

圖1 數(shù)據(jù)交換服務(wù)示意圖

3 網(wǎng)絡(luò)安全分析

醫(yī)院就診人員篩查系統(tǒng)部署在互聯(lián)網(wǎng)DMZ 區(qū)域，同時又與醫(yī)院專網(wǎng)連通，在服務(wù)器存儲了新冠疫情相關(guān)數(shù)據(jù)，而且涉及疫情的醫(yī)療數(shù)據(jù)具有較高價值性，這些特性必將導(dǎo)致醫(yī)院信息系統(tǒng)面臨的安全風(fēng)險，將成為黑客組織的目標(biāo)，被APT 組織攻擊的風(fēng)險增高。2019 年3 月某省醫(yī)療行業(yè)出現(xiàn)了大面積的被勒索情況，充分說明醫(yī)療數(shù)據(jù)也是黑客勒索的主要對象之一[3]。由于系統(tǒng)是B/S 架構(gòu)，因此，系統(tǒng)被SQL 注入滲透攻擊、WebShell 上傳和DDos 方式的攻擊風(fēng)險增加[4-6]。

3.1 APT 攻擊

隨著全球新型冠病毒疫情的不斷蔓延，APT 網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全事件不斷增長。我國成為APT 攻擊的高風(fēng)險地區(qū)，攻擊的組織包括專業(yè)的黑客APT組織，部分具有國家背景，當(dāng)然也包括普通的黑客組織。APT 攻擊者通過構(gòu)造能夠模糊用戶的誘餌文件欺騙目標(biāo)對象，或者是通過郵件方式，或者是通過病毒腳本來感染目標(biāo)對象，從而達到攻擊的目的。

3.2 勒索病毒攻擊

勒索病毒是最近幾年發(fā)現(xiàn)的一種新型病毒，通過郵件、程序木馬或者在網(wǎng)頁上掛木馬的形式在網(wǎng)絡(luò)中進行傳播，目前醫(yī)院發(fā)現(xiàn)的勒索病毒主要通過文件共享端口445 等端口傳播。一旦醫(yī)院感染將會造成極大的危害，影響面極大，造成的后果也很嚴(yán)重，將會造成患者就診信息的丟失，醫(yī)院將遭受巨大損失。這種病毒加密算法對感染計算機上的文件進行加密，該加密算法在拿不到密碼的情況下一般是無法解密。

3.3 SQL 注入攻擊

SQL 注入是通過發(fā)現(xiàn)利用web 應(yīng)用程序?qū)QL語句沒有進行嚴(yán)格的合法性和規(guī)范性限制的漏洞攻擊web 服務(wù)器的一種網(wǎng)絡(luò)攻擊方式。攻擊者通過構(gòu)造符合某種邏輯規(guī)范的SQL 查詢語句，從而達到查詢?nèi)魏螖?shù)據(jù)，獲取沒有權(quán)限使用的數(shù)據(jù)，最終達到攻擊的目的。本系統(tǒng)中存儲了患者的新冠核酸檢測的數(shù)據(jù)，對于黑客具有較高價值，SQL 注入是獲取數(shù)據(jù)庫數(shù)據(jù)的主要手段，因此，系統(tǒng)面臨SQL 注入攻擊的風(fēng)險將大大提高。

3.4 DDos 攻擊

DDos 攻擊是通過對服務(wù)器發(fā)起沒有必要的連接或訪問，使服務(wù)器資源耗盡，無法對正常請求進行響應(yīng)，從而達到對服務(wù)器攻擊的目的。這種攻擊會造成正常使用的用戶無法獲得服務(wù)資源，中斷響應(yīng)，影響正常的服務(wù)響應(yīng)。

3.5 Webshell 攻擊

Webshell 就是針對web 應(yīng)用程序，以asp、php等網(wǎng)頁頁面存在的一種網(wǎng)頁后門應(yīng)用程序。黑客組織在上傳了webshell 入侵了目標(biāo)主機后，會將webshell 網(wǎng)頁放置在服務(wù)器正常的網(wǎng)站服務(wù)目錄下，然后再通過工具在客戶訪問放置的webshell，從而獲取服務(wù)器主機的控制權(quán)限，執(zhí)行越權(quán)命令，最終達到控制主機的目的。

4 網(wǎng)絡(luò)安全防護措施

針對醫(yī)院就診人員篩查系統(tǒng)要求同時連接醫(yī)院專網(wǎng)和互聯(lián)網(wǎng)及存儲新冠疫情數(shù)據(jù)的特點，系統(tǒng)按照圖2所示方案部署。主要從以下幾個方面做安全防護[7]。

圖2 網(wǎng)絡(luò)安全防護示意圖

4.1 對主機安全加固

主要從3 個方面：①安裝最新網(wǎng)絡(luò)版卡巴斯基殺毒軟件，并設(shè)計主機空閑時間計劃任務(wù)，定時對服務(wù)器全盤殺毒，安裝對應(yīng)操作系統(tǒng)補丁，關(guān)閉其他沒有使用的所有端口，防止勒索病毒。②對前端使用的主機實施終端準(zhǔn)入控制，只有通過設(shè)定的安全策略審計才允許其接入網(wǎng)絡(luò)。③全院強化培訓(xùn)網(wǎng)絡(luò)安全意識，做好重要數(shù)據(jù)不同形式的備份。

4.2 使用專業(yè)安全廠商設(shè)備加固

通過部署邊界防火墻、Web 應(yīng)用防火墻、網(wǎng)閘、IPS、抗DDos 攻擊、全流量分析APT、防機器掃描等安全設(shè)備，可對網(wǎng)絡(luò)病毒與攻擊進行檢測、阻斷、防范，并且能夠?qū)崟r監(jiān)視和分析網(wǎng)絡(luò)安全狀況，提供可視化的網(wǎng)絡(luò)安全監(jiān)測手段，保護整個網(wǎng)絡(luò)不受攻擊。

邊界防火墻通過安全策略控制不同安全域之間的訪問。在防火墻上配置了基于五元組的策略，明確允許只有可信任的服務(wù)被訪問，拒絕其他任何訪問服務(wù)。并且針對勒索病毒利用的135、137、138、139、445、3389 等端口在防火墻上做丟棄策略。

Web 應(yīng)用防火墻串聯(lián)在網(wǎng)絡(luò)中，通過配置與應(yīng)用對應(yīng)的安全策略，有效地保護了部署在服務(wù)器的Web 應(yīng)用程序，通過在Web 應(yīng)用防火墻啟用網(wǎng)頁防篡改功能，防止了頁面被篡改，同時通過開啟防Sql注入功能，對登錄和查詢頁面做了特殊防護，減小Sql 注入攻擊成功的可能。

網(wǎng)閘部署在醫(yī)院內(nèi)網(wǎng)和外網(wǎng)之間，通過網(wǎng)閘專有的特性，確保只有前置機可以通過固定、允許的端口單向地訪問醫(yī)院內(nèi)網(wǎng)固定的服務(wù)器，拒絕其他任何對內(nèi)網(wǎng)的訪問，通過網(wǎng)閘的配置，有效地杜絕了對內(nèi)網(wǎng)的掃描性攻擊，確保醫(yī)院專網(wǎng)的安全。

IPS 通過啟用其防病毒功能，減少了互聯(lián)網(wǎng)病毒的傳入，通過對數(shù)據(jù)包特征的識別和特征的匹配，檢測并杜絕網(wǎng)絡(luò)攻擊，有效地提高了系統(tǒng)的安全性。

抗DDos 攻擊，通過專門抗DDos 攻擊設(shè)備的部署，防止惡意攻擊，以免無法對外提供服務(wù)，通過部署抗DDos 設(shè)備有效的保障了提供服務(wù)可靠性。

全流量分析APT 設(shè)備旁路部署在核心交換機，對全網(wǎng)流量實時監(jiān)控，并通過分析平臺對全網(wǎng)的安全狀況分析，實時感知網(wǎng)絡(luò)安全狀況。通過先進的算法分析并發(fā)現(xiàn)APT 攻擊，回溯定位APT 攻擊的發(fā)起人。

防機器掃描設(shè)備通過檢查瀏覽器指紋等技術(shù)手段，防止機器掃描，將網(wǎng)絡(luò)攻擊拒絕在探測機器掃描階段。

堡壘機通過授權(quán)策略防止非授權(quán)的用戶訪問服務(wù)器，并對訪問用戶及訪問行為審計，確保網(wǎng)絡(luò)中的操作是符合網(wǎng)絡(luò)安全規(guī)定。

4.3 網(wǎng)絡(luò)設(shè)備自身的安全加固

網(wǎng)絡(luò)設(shè)備和安全設(shè)備是網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，其安全程度，也是決定網(wǎng)絡(luò)是否安全的一個關(guān)鍵因素，網(wǎng)絡(luò)安全設(shè)備自身的安全是網(wǎng)絡(luò)安全的基礎(chǔ)，網(wǎng)絡(luò)安全設(shè)備自身的加固用戶很容易忽略。

主要從4 個方面加固，①更新安全設(shè)備特征庫，防火墻、WAF、IPS 等安全設(shè)備是使用系統(tǒng)中內(nèi)置的特征庫來和威脅的特征進行匹配和檢測，因此，設(shè)備的特征庫的大小、是否是最新等因素將影響安全設(shè)備檢測的能力，要使對應(yīng)的安全設(shè)備能夠檢測發(fā)現(xiàn)的最新威脅，其特征庫中必須存儲有最新威脅的特征碼，及時按照安全廠商提供的特征庫更新是保障安全設(shè)備特征庫最新的有效方法。②設(shè)備登錄權(quán)限安全加固，設(shè)備登錄用戶權(quán)限分級管理，三員獨立，杜絕弱口令，通過限定能夠訪問主機IP的方式管理安全設(shè)備，使用ssh 加密方式登錄命令行。③將設(shè)備納入安全管理中心管理，通過堡壘機登錄設(shè)備，設(shè)備配置日志服務(wù)器，訪問日志存儲在日志服務(wù)器上，方便以后排查。

4.4 就診人員篩選系統(tǒng)安全加固

①配置并開啟就診人員篩選系統(tǒng)日志，對應(yīng)用日志進行定期歸檔、備份，避免在攻擊行為發(fā)生時，導(dǎo)致無法對攻擊途徑、行為進行溯源等，加強安全溯源能力。②系統(tǒng)賬號杜絕弱口令，使用高復(fù)雜強度的密碼。③系統(tǒng)使用HTTPS 協(xié)議訪問，通過瀏覽器加密傳輸?shù)姆绞皆L問，提高數(shù)據(jù)在傳輸過程中的安全。

5 結(jié)論

在當(dāng)前抗擊疫情特殊時期，我院采用了本文中設(shè)計的網(wǎng)絡(luò)安全方案，從主機安全加固、專業(yè)安全設(shè)備部署、安全設(shè)備自身安全管控、應(yīng)用系統(tǒng)安全加固四個方面做網(wǎng)絡(luò)安全防范策略，保障醫(yī)院就診人員篩查系統(tǒng)安全穩(wěn)定運行，同時使用信息化助力了疫情防控，確保了數(shù)據(jù)安全，既滿足了醫(yī)院就診人員篩查系統(tǒng)的上線，又保障了公民涉及疫情的數(shù)據(jù)安全，為疫情防控工作提供了可靠的支撐。目前。醫(yī)院就診人員篩查系統(tǒng)在我院的運行安全穩(wěn)定，充分說明本文設(shè)計的安全方案是有效可行的。