“互聯(lián)網(wǎng)+醫(yī)療”模式下信息安全零信任架構(gòu)建設(shè)與應(yīng)用

劉恒宇

(南寧市第一人民醫(yī)院 南寧 530022)

1 引言

2015年國(guó)務(wù)院發(fā)布《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》，提出要將互聯(lián)網(wǎng)創(chuàng)新成果與經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合，包括健康醫(yī)療行業(yè)。隨著“互聯(lián)網(wǎng)+”模式在醫(yī)療領(lǐng)域快速發(fā)展，醫(yī)療數(shù)據(jù)及患者信息泄露、黑客攻擊醫(yī)院信息系統(tǒng)事件時(shí)有發(fā)生，對(duì)患者、醫(yī)院造成不良影響及經(jīng)濟(jì)損失。傳統(tǒng)基于邏輯邊界的防護(hù)體系主要采用內(nèi)外網(wǎng)物理隔離，但隨著互聯(lián)網(wǎng)醫(yī)院興起，預(yù)約、支付、病情咨詢(xún)、查閱報(bào)告向線上模式發(fā)展，內(nèi)網(wǎng)數(shù)據(jù)需傳送至互聯(lián)網(wǎng)，內(nèi)網(wǎng)服務(wù)器直接與互聯(lián)網(wǎng)關(guān)聯(lián)，傳統(tǒng)防護(hù)模式失效，可能導(dǎo)致內(nèi)網(wǎng)感染木馬病毒、服務(wù)器被不法分子操控等網(wǎng)絡(luò)安全問(wèn)題。在此背景下出現(xiàn)的零信任架構(gòu)可重新構(gòu)建基于身份和訪問(wèn)控制的邏輯邊界[1]?！傲阈湃渭軜?gòu)”的核心理念是在局域網(wǎng)內(nèi)部的人員、網(wǎng)絡(luò)設(shè)備、服務(wù)器、軟件系統(tǒng)互相不可信，對(duì)待安全問(wèn)題不能劃定一個(gè)區(qū)域后再進(jìn)行防護(hù)，容易造成特定區(qū)域內(nèi)某個(gè)安全防護(hù)級(jí)別不夠，最后導(dǎo)致整個(gè)安全體系崩潰。傳統(tǒng)基于邏輯邊界的防護(hù)體系大多采用劃分區(qū)域的規(guī)劃模式，大致分為內(nèi)部服務(wù)器區(qū)、內(nèi)部客戶(hù)端區(qū)、隔離區(qū)(Demilitarized Zone，DMZ)、外部客戶(hù)端區(qū)，見(jiàn)圖1?！盎ヂ?lián)網(wǎng)+”進(jìn)入到醫(yī)療行業(yè)后，處于內(nèi)部服務(wù)器區(qū)的信息需要和外部客戶(hù)端進(jìn)行交互，且交互程度隨互聯(lián)網(wǎng)發(fā)展越來(lái)越深，內(nèi)部網(wǎng)絡(luò)開(kāi)放程度也越來(lái)越大，傳統(tǒng)邏輯邊界逐漸模糊。

圖1 傳統(tǒng)基于邏輯邊界的防護(hù)體系

2 “互聯(lián)網(wǎng)+醫(yī)療”安全問(wèn)題分析

2.1 互聯(lián)網(wǎng)網(wǎng)頁(yè)防護(hù)缺失

2.1.1 概述 “互聯(lián)網(wǎng)+醫(yī)療”模式必須具有面向互聯(lián)網(wǎng)的網(wǎng)頁(yè)，如果網(wǎng)頁(yè)平臺(tái)搭建未經(jīng)網(wǎng)絡(luò)安全公司專(zhuān)業(yè)檢測(cè)，網(wǎng)絡(luò)安全性達(dá)不到要求，則易受黑客等不法分子攻擊。黑客等通過(guò)攻擊可獲取網(wǎng)站最高權(quán)限甚至控制整臺(tái)網(wǎng)頁(yè)服務(wù)器，造成較大安全問(wèn)題。

2.1.2 存在問(wèn)題 “互聯(lián)網(wǎng)+醫(yī)療”向基層醫(yī)院普及，部分醫(yī)院網(wǎng)站屬于“裸奔”狀態(tài)，從互聯(lián)網(wǎng)到內(nèi)網(wǎng)設(shè)備之間無(wú)安全設(shè)備架設(shè)，甚至網(wǎng)頁(yè)后臺(tái)和WEB服務(wù)器的基本安全設(shè)置不符合信息安全等級(jí)保護(hù)要求，存在問(wèn)題包括：后臺(tái)管理密碼復(fù)雜度低、服務(wù)器直接連接互聯(lián)網(wǎng)、互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址暴露高危端口、操作系統(tǒng)不打安全補(bǔ)丁、網(wǎng)頁(yè)后臺(tái)代碼設(shè)計(jì)不考慮安全問(wèn)題、網(wǎng)頁(yè)存在注入漏洞、后臺(tái)數(shù)據(jù)庫(kù)未進(jìn)行備份等。

2.1.3 應(yīng)對(duì)措施 黑客攻擊主要目的為竊取數(shù)據(jù)信息。各類(lèi)醫(yī)療數(shù)據(jù)關(guān)乎民生，目前醫(yī)療數(shù)據(jù)上報(bào)國(guó)家衛(wèi)健委、各級(jí)衛(wèi)生單位間數(shù)據(jù)互聯(lián)互通、各行業(yè)間大數(shù)據(jù)對(duì)接都需經(jīng)過(guò)互聯(lián)網(wǎng)平臺(tái)，應(yīng)使用數(shù)據(jù)加密、脫敏技術(shù)等手段防止不法分子從中監(jiān)聽(tīng)或者違規(guī)收集信息。

2.2 管理端口被暴力破解

近年來(lái)“勒索病毒”橫掃全球，黑客利用其攻破服務(wù)器強(qiáng)行加密數(shù)據(jù)庫(kù)和核心文件后勒索錢(qián)財(cái)[2]。木馬病毒利用服務(wù)器漏洞進(jìn)行端口掃描，入侵不經(jīng)防護(hù)直接接入互聯(lián)網(wǎng)的服務(wù)器。醫(yī)療機(jī)構(gòu)如有前置機(jī)暴露在公網(wǎng)，則內(nèi)網(wǎng)終端可能會(huì)感染木馬病毒被黑客遠(yuǎn)程控制。“互聯(lián)網(wǎng)+醫(yī)療”業(yè)務(wù)上線初期，網(wǎng)站實(shí)施人員為了方便遠(yuǎn)程維護(hù)基本都會(huì)要求暴露管理端口在互聯(lián)網(wǎng)上，無(wú)形中為黑客打開(kāi)“后門(mén)”。黑客通過(guò)暴力破解直接可獲得服務(wù)器最高權(quán)限，控制整臺(tái)服務(wù)器。前置機(jī)被攻破之后黑客可能對(duì)內(nèi)網(wǎng)進(jìn)行二次掃描，對(duì)同區(qū)域內(nèi)其他服務(wù)器群進(jìn)行攻擊從而攻破更多服務(wù)器，造成極其嚴(yán)重的安全問(wèn)題。

2.3 內(nèi)網(wǎng)安全防護(hù)不到位

傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全架構(gòu)認(rèn)為內(nèi)網(wǎng)是安全的，通過(guò)防火墻、Web應(yīng)用防護(hù)系統(tǒng)(Web Application Firewall，WAF)，入侵防御系統(tǒng)(Intrusion Prevention System，IPS)等邊界安全產(chǎn)品網(wǎng)絡(luò)出口進(jìn)行重重防護(hù)而忽略?xún)?nèi)網(wǎng)安全。前文所述兩種攻破方式都是在安全邊界之外的進(jìn)攻。隨著網(wǎng)絡(luò)安全日益受到重視、Web防護(hù)和安全管理制度日益健全，由從外部進(jìn)入的可能性降低，但內(nèi)網(wǎng)安全隱患凸顯。醫(yī)療行業(yè)業(yè)務(wù)系統(tǒng)較多，除醫(yī)院信息管理系統(tǒng)、檢驗(yàn)信息管理系統(tǒng)、影像管理系統(tǒng)等類(lèi)核心業(yè)務(wù)系統(tǒng)外，會(huì)在內(nèi)部環(huán)境搭建子系統(tǒng)或輔助系統(tǒng)。如果系統(tǒng)運(yùn)營(yíng)商服務(wù)水平不達(dá)標(biāo)、實(shí)施人員身份權(quán)限管理不恰當(dāng)將會(huì)導(dǎo)致各系統(tǒng)安全系數(shù)下降，一旦子系統(tǒng)服務(wù)器被木馬程序攻擊，黑客能遠(yuǎn)程在內(nèi)網(wǎng)持續(xù)掃描其他服務(wù)器漏洞[3]并避過(guò)所有安全設(shè)備防護(hù)，將造成極大的內(nèi)網(wǎng)安全威脅。

3 應(yīng)用零信任架構(gòu)應(yīng)對(duì)安全問(wèn)題

3.1 基本原則及架構(gòu)

零信任架構(gòu)核心觀點(diǎn)是“假定內(nèi)部用戶(hù)并不比外部用戶(hù)可信”，包括4項(xiàng)基本原則：驗(yàn)證用戶(hù)、驗(yàn)證設(shè)備、限制訪問(wèn)與權(quán)限、自適應(yīng)[4]。零信任架構(gòu)安全模型為身份認(rèn)證提供了邏輯清晰的管理策略。重點(diǎn)在保護(hù)內(nèi)部網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)和各類(lèi)基礎(chǔ)設(shè)施的信息安全。零信任架構(gòu)并不是單純隔離，可應(yīng)用在不同邏輯分層下，需隔離認(rèn)證環(huán)境均可采用，見(jiàn)圖2。

圖2 零信任架構(gòu)

3.2 設(shè)備間訪問(wèn)控制與權(quán)限

3.2.1 概述 醫(yī)療子系統(tǒng)和醫(yī)療設(shè)備間需要建立緊密的互聯(lián)互通，且醫(yī)療行業(yè)面向患者開(kāi)放，不是完全封閉的內(nèi)部系統(tǒng)，需要進(jìn)行大量數(shù)據(jù)交互以支持系統(tǒng)正常運(yùn)作。其中互聯(lián)互通安全問(wèn)題較重要。對(duì)此零信任架構(gòu)可起到較好防護(hù)作用。

3.2.2 防護(hù)方法 在某個(gè)醫(yī)療子系統(tǒng)和醫(yī)療設(shè)備間建立互不信任機(jī)制，對(duì)用戶(hù)身份進(jìn)行認(rèn)證。如條件允許可使用多因子身份驗(yàn)證確保用戶(hù)身份真實(shí)性。同時(shí)認(rèn)證設(shè)備，對(duì)醫(yī)院公共主機(jī)、筆記本電腦、移動(dòng)設(shè)備均需制定基于設(shè)備身份的訪問(wèn)控制策略，以最小化權(quán)限設(shè)置，只允許授信終端訪問(wèn)內(nèi)部網(wǎng)絡(luò)[5]。針對(duì)對(duì)外公共主機(jī)應(yīng)限定訪問(wèn)時(shí)間段，避免在安全人員人手不足的時(shí)間段發(fā)生網(wǎng)絡(luò)攻擊。

3.2.3 實(shí)施方案和過(guò)程 (1)拆解傳統(tǒng)的內(nèi)外網(wǎng)隔離方式。不再按各類(lèi)區(qū)域進(jìn)行劃分，每個(gè)終端獨(dú)立按照統(tǒng)一模板進(jìn)行安全基線核查，針對(duì)客戶(hù)端采用終端準(zhǔn)入系統(tǒng)，符合安全基線的終端才能連入網(wǎng)絡(luò)，控制非法終端連入。(2)服務(wù)器之間互聯(lián)采用最小化原則配置。啟用默認(rèn)拒絕的防火墻策略，僅允許管理員授權(quán)的端口及IP地址進(jìn)行互聯(lián)，任何未授權(quán)數(shù)據(jù)包應(yīng)在網(wǎng)絡(luò)層面默認(rèn)拒絕，禁用服務(wù)器之間不必要的互聯(lián)，降低木馬病毒橫向擴(kuò)展的可能性。(3)盡量采用不同廠家的防火墻設(shè)備。在同一數(shù)據(jù)鏈路上采用兩種廠家的安全設(shè)備，防止同一區(qū)域內(nèi)使用同一安全廠家產(chǎn)品可能存在相同漏洞的情況出現(xiàn)，避免黑客或病毒輕易穿透防護(hù)直接攻擊到服務(wù)器。(4)網(wǎng)絡(luò)地址轉(zhuǎn)換方式。醫(yī)療信息出口較其他企事業(yè)單位多，且與醫(yī)保、衛(wèi)健委、藥品物流、銀行等部門(mén)連通，因此防火墻出口應(yīng)盡量使用網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)方式進(jìn)行互聯(lián)，以隱藏內(nèi)部網(wǎng)絡(luò)的路由拓?fù)?，控制外部?duì)院內(nèi)網(wǎng)絡(luò)的訪問(wèn)。(5)網(wǎng)絡(luò)傳輸數(shù)據(jù)加密?；ヂ?lián)網(wǎng)前置機(jī)搭建WebServer時(shí)所采用網(wǎng)頁(yè)應(yīng)采用加密的超文本傳輸安全協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)方式進(jìn)行搭建，對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)加密，以有效防止數(shù)據(jù)被監(jiān)聽(tīng)獲取，保證數(shù)據(jù)隱私安全。(6)運(yùn)維人員應(yīng)使用虛擬專(zhuān)用網(wǎng)絡(luò)(Virtual Private Network，VPN)連接內(nèi)網(wǎng)。每名運(yùn)維人員應(yīng)該擁有不同賬號(hào)，權(quán)限控制其僅能維護(hù)的服務(wù)器，VPN采用多因子認(rèn)證技術(shù)登錄，如手機(jī)短信+賬號(hào)密碼的方式識(shí)別運(yùn)維人員身份。(7)內(nèi)部服務(wù)器終端遠(yuǎn)程賬戶(hù)管理應(yīng)使用堡壘機(jī)。服務(wù)器原始賬號(hào)密碼原則上不告知外部公司運(yùn)維人員，應(yīng)由堡壘機(jī)統(tǒng)一管理并分配運(yùn)維人員賬號(hào)，同時(shí)開(kāi)啟操作審計(jì)，禁止高危操作或越權(quán)操作。

3.3 動(dòng)態(tài)監(jiān)測(cè)網(wǎng)絡(luò)中可能存在的威脅

3.3.1 防護(hù)方法 隨著信息化程度逐漸提高，各種設(shè)備都部署到網(wǎng)絡(luò)中，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，需要將“便衣警察”式的監(jiān)控探針安插在關(guān)鍵鏈路及內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、DMZ網(wǎng)絡(luò)、安全審計(jì)網(wǎng)絡(luò)等不同環(huán)境中，以及時(shí)發(fā)現(xiàn)違規(guī)操作。黑客或木馬病毒需要經(jīng)長(zhǎng)期嗅探、嘗試、爆破才能成功入侵系統(tǒng)或者網(wǎng)絡(luò)，因此在原有網(wǎng)絡(luò)架構(gòu)中架設(shè)探針?lè)?wù)器可進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控，對(duì)網(wǎng)絡(luò)高危嗅探動(dòng)作進(jìn)行預(yù)警，提示網(wǎng)絡(luò)安全人員進(jìn)行人為干預(yù)，見(jiàn)圖3。

圖3 架設(shè)探針?lè)?wù)器進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控

3.3.2 主要實(shí)施方案和過(guò)程 (1)在核心交換機(jī)或下一代防火墻上建立網(wǎng)絡(luò)鏡像口。該條鏈路為數(shù)據(jù)必經(jīng)之路，從中能夠獲取直觀流量信息，全網(wǎng)收集流量數(shù)據(jù)后對(duì)常規(guī)應(yīng)用服務(wù)流量進(jìn)行標(biāo)記并存入探針流量數(shù)據(jù)服務(wù)器。(2)安裝威脅預(yù)警分析服務(wù)器。分析探針流量數(shù)據(jù)并匯總已標(biāo)記的應(yīng)用數(shù)據(jù)，通過(guò)互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)特征庫(kù)進(jìn)行數(shù)據(jù)匹配，從而分析流量是否符合惡意攻擊進(jìn)而進(jìn)行記錄和報(bào)警。(3)部署下一代防火墻聯(lián)動(dòng)平臺(tái)。主動(dòng)控制其安全策略，接收來(lái)自安全威脅分析服務(wù)器的報(bào)警，按照管理人員預(yù)先配置的處置流程下發(fā)安全策略，實(shí)現(xiàn)探針和防火墻的實(shí)時(shí)聯(lián)動(dòng)，進(jìn)行主動(dòng)防御。(4)流量探針。不僅可標(biāo)記網(wǎng)絡(luò)攻擊流量，還能標(biāo)記數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)瀏覽及應(yīng)用協(xié)議流量，經(jīng)預(yù)警分析服務(wù)器收集由人工進(jìn)行二次分析，可為運(yùn)維人員進(jìn)行應(yīng)用層面預(yù)警，應(yīng)及時(shí)修改應(yīng)用代碼防止漏洞被利用。隨著安全設(shè)備發(fā)展，部分產(chǎn)品已應(yīng)用人工智能技術(shù)進(jìn)行防護(hù)，利用人工智能的學(xué)習(xí)能力自動(dòng)對(duì)安全設(shè)備下發(fā)策略，自動(dòng)阻斷攻擊源，配合人工配置，能夠高精度識(shí)別正常和非法行為，在保證正常業(yè)務(wù)不中斷的情況下阻斷網(wǎng)絡(luò)中的非法行為。

4 結(jié)語(yǔ)

互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，安全防護(hù)有待進(jìn)一步加強(qiáng)。使用零信任網(wǎng)絡(luò)安全架構(gòu)，使原本封閉環(huán)境內(nèi)的資源得以安全共享并及時(shí)發(fā)現(xiàn)高危漏洞，提高防控程度，避免原本安全區(qū)域內(nèi)某個(gè)節(jié)點(diǎn)被攻破后整個(gè)區(qū)域都陷入風(fēng)險(xiǎn)狀態(tài)的情況?！盎ヂ?lián)網(wǎng)+醫(yī)療”模式在提高醫(yī)療信息化水平的同時(shí)，為患者提供方便快捷的醫(yī)療服務(wù)，但應(yīng)重視信息安全，需要一套成熟且能夠應(yīng)對(duì)未來(lái)“互聯(lián)網(wǎng)+”趨勢(shì)下逐漸進(jìn)化的架構(gòu)。零信任架構(gòu)將成為未來(lái)網(wǎng)絡(luò)安全流行架構(gòu)之一，網(wǎng)絡(luò)安全將進(jìn)入全新時(shí)代。