基于蜜罐技術(shù)的醫(yī)院信息安全管理建設(shè)與應(yīng)用

◆周帆帆 何懋 陶博 張?jiān)?王昆華 王胤濤

基于蜜罐技術(shù)的醫(yī)院信息安全管理建設(shè)與應(yīng)用

◆周帆帆 何懋 陶博 張?jiān)?王昆華 王胤濤

（昆明醫(yī)科大學(xué)第一附屬醫(yī)院 云南 650031）

隨著信息安全等保2.0的要求及醫(yī)院信息化建設(shè)的需要，如何高效、準(zhǔn)確的檢查出網(wǎng)絡(luò)惡意代碼和防御通過系統(tǒng)漏洞進(jìn)行的攻擊，對(duì)醫(yī)院提升自身安全防御，科學(xué)合理應(yīng)用安全等級(jí)保護(hù)2.0技術(shù)至關(guān)重要。本文從信息安全實(shí)際工作出發(fā)，結(jié)合信息安全等保2.0的要求，提出利用蜜罐捕獲網(wǎng)絡(luò)攻擊，并對(duì)蜜罐的設(shè)計(jì)部署和需要注意的問題進(jìn)行了闡述，同時(shí)應(yīng)用安全管理工具對(duì)惡意代碼進(jìn)行分析，通過網(wǎng)絡(luò)監(jiān)聽、控制隔離業(yè)務(wù)群組內(nèi)已被入侵用戶的IP地址進(jìn)行的訪問和應(yīng)用程序，最后嘗試截獲惡意代碼中攻擊者竊取信息后回傳的真實(shí)或代理IP地址并對(duì)其進(jìn)行過濾，以此保證醫(yī)院網(wǎng)絡(luò)應(yīng)用的安全，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全以提升醫(yī)院信息安全管理工作。

蜜罐；惡意代碼；信息安全

近年來隨著三甲醫(yī)院建設(shè)規(guī)模的不斷擴(kuò)大，越來越多并行于內(nèi)網(wǎng)和外網(wǎng)環(huán)境的信息系統(tǒng)在診療業(yè)務(wù)中上線使用，網(wǎng)絡(luò)應(yīng)用程度不斷深入，使得安全管理人員工作壓力增大，安全等保技術(shù)要求也隨之不斷提高，面臨更大的挑戰(zhàn)。同時(shí)攻擊者通過惡意代碼、系統(tǒng)漏洞攻擊的方式也在不斷變化，其隱蔽性之高令人防不勝防。如何高效、準(zhǔn)確的檢查出網(wǎng)絡(luò)惡意代碼和防御通過系統(tǒng)漏洞進(jìn)行的攻擊，對(duì)醫(yī)院提升自身安全防御，科學(xué)合理應(yīng)用安全等級(jí)保護(hù)2.0技術(shù)至關(guān)重要。以2018年的勒索病毒為例，在其爆發(fā)時(shí)，全國(guó)三甲醫(yī)院中有247家發(fā)現(xiàn)了勒索病毒利用院內(nèi)網(wǎng)絡(luò)在進(jìn)行傳播。而醫(yī)院業(yè)務(wù)對(duì)各類信息系統(tǒng)的依賴度越來越高，覆蓋人力、物流、財(cái)務(wù)、藥品、器材、檢查、檢驗(yàn)、治療、手術(shù)麻醉等各個(gè)環(huán)節(jié)，一旦中毒或被攻擊導(dǎo)致系統(tǒng)出現(xiàn)問題，就會(huì)帶來巨大的風(fēng)險(xiǎn)與損失。

因此本文從三甲醫(yī)院信息安全實(shí)際工作出發(fā)，結(jié)合國(guó)家信息安全等保2.0的要求，提出利用蜜罐捕獲網(wǎng)絡(luò)攻擊，并對(duì)蜜罐的設(shè)計(jì)部署和需要注意的問題進(jìn)行了闡述，同時(shí)結(jié)合安全管理工作對(duì)惡意代碼進(jìn)行分析，通過網(wǎng)絡(luò)監(jiān)聽、控制隔離業(yè)務(wù)群組內(nèi)已被入侵用戶的IP地址進(jìn)行的訪問和應(yīng)用程序，最后嘗試截獲惡意代碼中攻擊者竊取信息后回傳的真實(shí)或代理IP地址并對(duì)其進(jìn)行過濾。以保證醫(yī)院網(wǎng)絡(luò)應(yīng)用的安全，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全以提升醫(yī)院信息安全管理工作。

1 蜜罐設(shè)計(jì)與部署

蜜罐通過主動(dòng)防御吸引網(wǎng)絡(luò)內(nèi)的非正常使用攻擊，因此在防火墻內(nèi)部署相應(yīng)的主機(jī)運(yùn)行網(wǎng)絡(luò)服務(wù)為誘餌，考慮到醫(yī)院網(wǎng)絡(luò)運(yùn)維與應(yīng)用服務(wù)的特殊性，選擇部署高交互蜜罐方式以捕捉醫(yī)院內(nèi)部異常網(wǎng)絡(luò)行為。在高交互蜜罐內(nèi)由于運(yùn)行的是真實(shí)業(yè)務(wù)，攻擊者容易被迷惑，當(dāng)其與業(yè)務(wù)服務(wù)或業(yè)務(wù)系統(tǒng)進(jìn)行交互時(shí)，醫(yī)院信息安全管理人員能獲取捕獲到攻擊和惡意代碼樣本。同時(shí)為了增加業(yè)務(wù)系統(tǒng)的健壯性，在設(shè)置的蜜罐主機(jī)安裝建立系統(tǒng)還原機(jī)制，防火墻配置中要考慮正常網(wǎng)絡(luò)訪問的通路配置，原則上允許內(nèi)網(wǎng)組播的用戶的入站訪問，未經(jīng)驗(yàn)證的組播用戶禁止出站，在某種程度上以杜絕蜜罐主機(jī)被入侵后被作為跳板向外傳播病毒或惡意代碼。其次，醫(yī)院正常應(yīng)用業(yè)務(wù)部署中建立蜜罐的規(guī)模與投入部署成本息息相關(guān)，三甲醫(yī)院內(nèi)正常醫(yī)護(hù)工作站數(shù)量在三千臺(tái)以上，不同樓宇間都劃分了不同的VLAN范圍，因此蜜罐設(shè)置的如果要覆蓋VLAN所示的所有網(wǎng)段，則醫(yī)院投入成本和管理成本壓力將非常巨大，在蜜罐主機(jī)設(shè)計(jì)時(shí)通過配合虛擬蜜罐主機(jī)以擴(kuò)大蜜罐服務(wù)。蜜罐網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)如圖1所示。

圖1 蜜罐設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)圖

2 蜜罐的部署需要注意的問題

攻擊者潛入蜜罐與蜜罐中的應(yīng)用程序建立的交互不托管在建立蜜罐時(shí)部署的服務(wù)器和虛擬機(jī)，并且深度依賴蜜罐中運(yùn)行的程序和腳本。因此在設(shè)計(jì)使用的高交互性蜜罐上部署醫(yī)院HIS、LIS、PACS等常用業(yè)務(wù)系統(tǒng)，各系統(tǒng)對(duì)應(yīng)數(shù)據(jù)庫(kù)導(dǎo)入虛擬非真實(shí)測(cè)試數(shù)據(jù)，在虛擬服務(wù)器上部署醫(yī)院外部應(yīng)用程序接口服務(wù)，只有與真業(yè)務(wù)系統(tǒng)相似的環(huán)境與應(yīng)用，才能最大程度上迷惑攻擊者，觀察獲取攻擊者的習(xí)慣行為。不可否認(rèn)，高交互蜜罐也存在風(fēng)險(xiǎn)，就是當(dāng)其被攻陷時(shí)，攻擊者可以控制操作系統(tǒng)，但對(duì)醫(yī)院信息安全管理人員潛在的收益是可以最真實(shí)的發(fā)現(xiàn)、驗(yàn)證業(yè)務(wù)系統(tǒng)存在的已知曉或未知曉的缺陷，進(jìn)而保護(hù)真實(shí)的生產(chǎn)系統(tǒng)。

其次，還要考慮蜜罐部署后的似真性，如果部署在蜜罐服務(wù)器上的業(yè)務(wù)程序故意余留了很多漏洞，則攻擊者可能會(huì)對(duì)蜜罐產(chǎn)生懷疑，因此正式業(yè)務(wù)系統(tǒng)的補(bǔ)丁升級(jí)內(nèi)容在第一時(shí)間也應(yīng)該同步更新蜜罐。蜜罐如主要是為入侵檢測(cè)而建立，則在網(wǎng)絡(luò)安全范疇內(nèi)容易出現(xiàn)的錯(cuò)誤、漏洞的應(yīng)用程序建議來自虛擬化的蜜罐服務(wù)器。特別注意的是醫(yī)院信息安全人員經(jīng)常在部署網(wǎng)絡(luò)內(nèi)業(yè)務(wù)主機(jī)的時(shí)候利用克隆主機(jī)拷貝重裝而未刪除配置，那這樣實(shí)質(zhì)上是在提醒攻擊者在攻擊一臺(tái)循環(huán)使用的蜜罐。

3 蜜罐的安全管理應(yīng)用

在部署蜜罐的同時(shí)運(yùn)用企業(yè)版360安全衛(wèi)士、入侵檢測(cè)系統(tǒng)、iDefense和Netcat網(wǎng)絡(luò)流量程序?qū)W(wǎng)絡(luò)進(jìn)行功能監(jiān)測(cè)，通過網(wǎng)絡(luò)日志分析找出特定的攻擊，對(duì)收集到的進(jìn)入及離開網(wǎng)絡(luò)的IP封包進(jìn)行監(jiān)管，同時(shí)運(yùn)用企業(yè)版360安全衛(wèi)士對(duì)蜜罐內(nèi)部署的業(yè)務(wù)運(yùn)用程序進(jìn)行監(jiān)控。當(dāng)懷疑或診斷的運(yùn)用程序中出現(xiàn)可疑文件時(shí)立即進(jìn)行自動(dòng)隔離，然后使用蜜罐主機(jī)的操作系統(tǒng)LINUX自帶的GHeX對(duì)可疑文件進(jìn)行文件識(shí)別。含有惡意代碼的文件通常情況下有顯著的特征，原因是大多數(shù)惡意代碼以模塊形式存在或者惡意代碼的硬編碼中嵌入有域名或IP地址等。借助成熟的惡意代碼軟件知識(shí)庫(kù)分析文件以獲取MD5 hash值，生成文件hash表之后，再通過匹配模式來與新可疑文件進(jìn)行比對(duì)，若該文件與惡意軟件知識(shí)庫(kù)中hash集合里的某個(gè)內(nèi)容相似度較高，則可以確定惡意代碼關(guān)聯(lián)了一個(gè)特定的攻擊或攻擊集。通常醫(yī)院的信息安全管理人員也可通過市場(chǎng)上提供的在線惡意軟件掃描服務(wù)對(duì)可疑文件進(jìn)行識(shí)別，例如在蜜罐中部署的應(yīng)用程序中“spgpsr2xls.exe”被360安全衛(wèi)士提示為不安全文件，則通過掃描服務(wù)識(shí)別獲取其信息，如圖2所示。

圖2 應(yīng)用惡意軟件掃描服務(wù)識(shí)別可疑文件

在對(duì)可疑文件進(jìn)行識(shí)別后使用防病毒引擎來處理惡意代碼，第一時(shí)間的修復(fù)、刪除和隔離操作是對(duì)醫(yī)院業(yè)務(wù)應(yīng)用系統(tǒng)最有效、安全的，但缺乏了相應(yīng)的取證調(diào)查。應(yīng)用蜜罐安全管理人員可以對(duì)惡意代碼進(jìn)行分析，甚至了解整個(gè)機(jī)制。攻擊者采取特別的手段以防止可疑文件不被識(shí)別和檢測(cè)出來，通過在蜜罐中建立的DNS服務(wù)器上應(yīng)用iDefense分析和Netcat監(jiān)聽工具，從設(shè)置好的DNS中監(jiān)聽蜜罐用戶的IP地址及樣本，根據(jù)網(wǎng)絡(luò)流分析網(wǎng)絡(luò)行為看是否有指向特殊的連接目的。通常被捕獲的應(yīng)用服務(wù)數(shù)據(jù)在后臺(tái)運(yùn)行時(shí)，會(huì)指向特定的網(wǎng)絡(luò)IP地址，信息安全管理人員通過設(shè)置網(wǎng)絡(luò)策略可以過濾或禁止網(wǎng)絡(luò)連接。

4 對(duì)業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)監(jiān)控

蜜罐運(yùn)行期對(duì)其中運(yùn)行業(yè)務(wù)系統(tǒng)的特定可能因素進(jìn)行監(jiān)控可以發(fā)現(xiàn)惡意代碼是如何進(jìn)行交互的，進(jìn)行蜜罐內(nèi)活動(dòng)動(dòng)態(tài)分析主要監(jiān)控5個(gè)內(nèi)容：進(jìn)程、業(yè)務(wù)數(shù)據(jù)流、注冊(cè)表、網(wǎng)絡(luò)活動(dòng)、接口調(diào)用。在檢測(cè)被惡意代碼感染業(yè)務(wù)系統(tǒng)的活動(dòng)時(shí)，可重點(diǎn)監(jiān)測(cè)可疑文件運(yùn)行時(shí)實(shí)時(shí)的網(wǎng)絡(luò)流入、流出信息，一旦其請(qǐng)求WEB服務(wù)則可能它要借助WEB服務(wù)使之成為其攻擊的媒介。醫(yī)院信息安全管理人員可以使用入侵檢查系統(tǒng)（NIDS）來主動(dòng)檢查蜜罐內(nèi)網(wǎng)絡(luò)流量數(shù)據(jù)包，以查明和應(yīng)對(duì)異?；驉阂饣顒?dòng)。通過在蜜罐機(jī)操作系統(tǒng)上開啟DHCP強(qiáng)制的方法來阻止攻擊，攻擊者在接入蜜罐后從DHCP獲取IP地址配置時(shí)，網(wǎng)絡(luò)策略可以使用健康驗(yàn)證對(duì)客戶端系統(tǒng)進(jìn)行驗(yàn)證，不符合策略，就會(huì)對(duì)客戶端的訪問權(quán)限進(jìn)行強(qiáng)制，只能允許其在蜜罐所在DMZ區(qū)進(jìn)行交互。部署的NIDS主動(dòng)檢查網(wǎng)絡(luò)流量數(shù)據(jù)包及蜜罐內(nèi)有效的載荷，并進(jìn)行實(shí)時(shí)流量分析，根據(jù)捕獲網(wǎng)絡(luò)流量的各種網(wǎng)絡(luò)協(xié)議來顯示活動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)名、IP地址，以供信息安全管理人員鑒別和管理網(wǎng)絡(luò)行為。

5 應(yīng)用效果

經(jīng)過初期持續(xù)不斷的建設(shè)和對(duì)蜜罐技術(shù)的嘗試應(yīng)用，在蜜罐服務(wù)中確實(shí)發(fā)生并捕獲到了針對(duì)醫(yī)院業(yè)務(wù)服務(wù)器特定端口的攻擊，同時(shí)應(yīng)用工具軟件對(duì)網(wǎng)絡(luò)行為連接進(jìn)行了日志記錄，并對(duì)發(fā)現(xiàn)含有惡意代碼的程序進(jìn)行了掃描識(shí)別。對(duì)醫(yī)院網(wǎng)絡(luò)安全管理人員提供了相應(yīng)的防護(hù)策略和應(yīng)急措施：（1）被攻擊或已淪陷的蜜罐主機(jī)在DMZ區(qū)內(nèi)隔離處理，并通過雙啟動(dòng)技術(shù)及時(shí)重置；（2）控制蜜罐主機(jī)包括虛擬主機(jī)之間的端口訪問權(quán)限；（3）仍要部署醫(yī)院業(yè)務(wù)應(yīng)用服務(wù)器和用戶終端的安全事件監(jiān)測(cè)系統(tǒng)；（4）蜜罐服務(wù)器根據(jù)監(jiān)測(cè)到的被攻擊情況及時(shí)恢復(fù)，才能被攻擊者信任。

6 總結(jié)

隨著信息安全等級(jí)保護(hù)2.0在醫(yī)院信息化安全建設(shè)中的不斷應(yīng)用，院內(nèi)用戶安全已經(jīng)成為醫(yī)院信息安全最為重要的一個(gè)部分，通過蜜罐技術(shù)的部署與應(yīng)用，發(fā)現(xiàn)各種針對(duì)業(yè)務(wù)信息系統(tǒng)的已知和未知的威脅，這與醫(yī)院提升信息安全息息相關(guān)。蜜罐技術(shù)應(yīng)用的效果與其部署的規(guī)模緊密聯(lián)系在一起，利用蜜罐捕獲網(wǎng)絡(luò)攻擊，對(duì)惡意代碼進(jìn)行分析，通過網(wǎng)絡(luò)監(jiān)聽、控制隔離業(yè)務(wù)群組內(nèi)已被入侵用戶的IP地址進(jìn)行的訪問和應(yīng)用程序，及時(shí)有效的防止病毒、木馬、惡意程序的擴(kuò)散與傳播。相信蜜罐技術(shù)在醫(yī)院信息安全建設(shè)的廣泛應(yīng)用，一定會(huì)為診療業(yè)務(wù)提供安全保障。

[1]彭國(guó)軍，陶芬.惡意代碼取證[M].科學(xué)出版社，2015.

[2]張宇翔，陶源.基于等級(jí)保護(hù)與可信計(jì)算構(gòu)建我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保障體系[J].信息安全研究，2017（04）：375-381.

[3]何建安. 蜜罐技術(shù)在信息安全防御中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（8）：29-31.

[4]秦玉杰.一種基于分布式蜜罐技術(shù)的勒索蠕蟲病毒監(jiān)測(cè)方法[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018（09）：45-48.

[5]李先鋒，曹亮，劉熠斐.等保2.0信息安全管理的新要求探討[J].江蘇衛(wèi)生事業(yè)管理，2020（03）：344-347.

[6]石樂義，李陽，馬猛飛.蜜罐技術(shù)研究新進(jìn)展[J].電子與信息學(xué)報(bào)，2019（02）：498-508.

[7]劉雷，董超.大數(shù)據(jù)時(shí)代背景下計(jì)算機(jī)網(wǎng)絡(luò)安全防范應(yīng)用與運(yùn)行[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（06）：51-53.

[8]Anirudh M，Thileeban S A，Nallathambi DJ.Use of honeypots for mitigating DoS attacks targeted on Io T networks[A]. International Conference on Computer，Communication and Signal Processing . 2017.

云南省科技廳重大科技專項(xiàng)計(jì)劃——生物醫(yī)藥重大專項(xiàng)《基于“互聯(lián)網(wǎng)+”的診療康養(yǎng)技術(shù)研究應(yīng)用與示范》（項(xiàng)目編號(hào)：2018ZF017）課題1《基于“互聯(lián)網(wǎng)+”的分級(jí)診療服務(wù)與管理新模式“醫(yī)聯(lián)體云平臺(tái)”系統(tǒng)開發(fā)與運(yùn)用研究》