安全態(tài)勢(shì)感知在智慧醫(yī)院建設(shè)中的應(yīng)用研究

劉翰騰

摘要：智慧醫(yī)院建設(shè)中主要面臨網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)攻擊者通過醫(yī)院本身的漏洞，展開各種網(wǎng)絡(luò)攻擊行為。醫(yī)院存儲(chǔ)并積累了大量個(gè)人信息、診療數(shù)據(jù)等，具有極高的價(jià)值。因此醫(yī)院要注重應(yīng)用安全態(tài)勢(shì)感知技術(shù)，構(gòu)建起完善的網(wǎng)絡(luò)安全防護(hù)體系，以應(yīng)對(duì)來自各方面的挑戰(zhàn)與威脅。該研究首先對(duì)智慧醫(yī)院安全態(tài)勢(shì)感知系統(tǒng)及其功能進(jìn)行概述，然后分析了安全態(tài)勢(shì)感知在智慧醫(yī)院信息安全中的具體應(yīng)用，最后對(duì)安全態(tài)勢(shì)感知技術(shù)的應(yīng)用效果進(jìn)行分析。

關(guān)鍵詞：安全態(tài)勢(shì)感知；智慧醫(yī)院；信息安全

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）13-0085-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

受網(wǎng)絡(luò)攻擊行為的影響，醫(yī)院信息安全面臨著巨大的威脅。雖然很多醫(yī)院安裝有安全設(shè)備與軟件，然而也有很多攻擊直接繞過防護(hù)入侵醫(yī)院內(nèi)部，導(dǎo)致醫(yī)院重要機(jī)密信息泄漏，給醫(yī)院資產(chǎn)帶來巨大威脅。醫(yī)院現(xiàn)在引入網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，能夠幫助醫(yī)院安全管理員快速查找隱藏在網(wǎng)絡(luò)中的安全攻擊威脅，提前處理惡意攻擊行為，實(shí)現(xiàn)對(duì)受害目標(biāo)、攻擊源頭等精準(zhǔn)定位，也能對(duì)入侵方式、攻擊者信息等完成判斷與溯源。因此，智慧醫(yī)院建設(shè)中要充分應(yīng)用態(tài)勢(shì)感知技術(shù)，從源頭上消滅網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，降低醫(yī)院損失，維護(hù)信息安全。

1 智慧醫(yī)院安全態(tài)勢(shì)感知系統(tǒng)概述

近年來，黑客攻擊從傳統(tǒng)帶有惡作劇與技術(shù)炫耀性質(zhì)逐步向利益化、商業(yè)化轉(zhuǎn)變。在這些威脅中，尤其是以高級(jí)持續(xù)性惡意攻擊（APT 攻擊）為代表的新威脅，更是讓醫(yī)院防不勝防。隨著高級(jí)威脅的不斷演進(jìn)，攻擊后導(dǎo)致的檢測(cè)成本增高，事件影響變大，業(yè)界對(duì)安全威脅檢測(cè)防御的思路發(fā)生了巨大變化，認(rèn)識(shí)到需要從過去單一設(shè)備、單一方法、只關(guān)注防御轉(zhuǎn)變?yōu)闄z測(cè)、防御、響應(yīng)為一體的自適應(yīng)防護(hù)體系，圍繞攻擊鏈進(jìn)行整體安全可視。

智慧醫(yī)院安全態(tài)勢(shì)感知系統(tǒng)具體運(yùn)行方式為：一是通過探針收集各項(xiàng)數(shù)據(jù)，在全網(wǎng)內(nèi)完成大數(shù)據(jù)采集；二是加強(qiáng)安全事件檢測(cè)，根據(jù)掌握的數(shù)據(jù)檢測(cè)網(wǎng)絡(luò)安全事件，并評(píng)估當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)；三是對(duì)態(tài)勢(shì)進(jìn)行預(yù)測(cè)和溯源。在安全事件檢測(cè)中針對(duì)出現(xiàn)的各種重大安全事件，能夠通過預(yù)測(cè)與溯源的方式，同時(shí)有效聯(lián)動(dòng)各種安全事件處置系統(tǒng)；四是對(duì)態(tài)勢(shì)實(shí)現(xiàn)可視化，將網(wǎng)絡(luò)態(tài)勢(shì)感知各部分情況直觀呈現(xiàn)出來。

中山大學(xué)附屬第一醫(yī)院部署了新一代態(tài)勢(shì)感知系統(tǒng)，該系統(tǒng)部署只需要4臺(tái)服務(wù)器（主機(jī)），包括1臺(tái)安裝了可視化、采集器和流探針服務(wù)的主機(jī)，3臺(tái)安裝了集群控制、存儲(chǔ)檢測(cè)和數(shù)據(jù)分發(fā)服務(wù)的主機(jī)。安裝了可視化、采集器和流探針服務(wù)的主機(jī)會(huì)采集各區(qū)域日志服務(wù)器和安全設(shè)備的日志，收集互聯(lián)網(wǎng)出口和各關(guān)鍵區(qū)域出口的流量。

2 智慧醫(yī)院安全態(tài)勢(shì)感知系統(tǒng)功能

2.1 全網(wǎng)資產(chǎn)與訪問關(guān)系可視化

對(duì)智慧醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)資產(chǎn)進(jìn)行自動(dòng)識(shí)別與列表展示，在界面呈現(xiàn)資產(chǎn)開放端口、可登錄Web后臺(tái)等信息。對(duì)智慧醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)對(duì)象訪問關(guān)系進(jìn)行圖形可視化展示，分為用戶對(duì)業(yè)務(wù)、業(yè)務(wù)對(duì)業(yè)務(wù)、業(yè)務(wù)與互聯(lián)網(wǎng)等關(guān)系，展示并提供搜索[1]。對(duì)業(yè)務(wù)全部訪問關(guān)系進(jìn)行展示，包括有無違規(guī)、被攻擊、被登錄、對(duì)外攻擊等內(nèi)容，并根據(jù)失陷、高危、低危等級(jí)訪問源、訪問目的，通過多種顏色進(jìn)行標(biāo)識(shí)。安全管理員能夠快速有效識(shí)別網(wǎng)絡(luò)內(nèi)各種訪問關(guān)系及其為業(yè)務(wù)帶來的影響，并找出其中有無用戶、資產(chǎn)等出現(xiàn)失陷與可疑等情況。

2.2 醫(yī)院態(tài)勢(shì)感知數(shù)據(jù)處理流程

中山大學(xué)附屬第一醫(yī)院的態(tài)勢(shì)感知系統(tǒng)，基于大數(shù)據(jù)技術(shù)和智能分析的威脅檢測(cè)體系，基于檢測(cè)、防御、響應(yīng)一體化解決方案，協(xié)助醫(yī)院更快、更準(zhǔn)確地檢測(cè)黑客入侵攻擊行為，并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，從而減少網(wǎng)絡(luò)安全事件對(duì)醫(yī)院造成的損失。

2.2.1 整體數(shù)據(jù)流架構(gòu)

2.2.2 數(shù)據(jù)采集

數(shù)據(jù)采集包括日志采集和原始流量采集。日志采集器負(fù)責(zé)日志采集，日志采集流程包括日志接收、日志分類、日志格式化和日志轉(zhuǎn)發(fā)。流探針負(fù)責(zé)原始流量采集，流量采集流程包括流量采集、協(xié)議解析、文件還原和流量元數(shù)據(jù)上報(bào)等功能。流探針采用旁路部署方式，用于接收分光器或鏡像端口發(fā)送的原始網(wǎng)絡(luò)流量。流探針對(duì)流量進(jìn)行分析、提取特征信息發(fā)送給對(duì)應(yīng)的大數(shù)據(jù)安全平臺(tái)和FireHunter進(jìn)行安全檢測(cè)，流探針本身不對(duì)醫(yī)院的網(wǎng)絡(luò)產(chǎn)生影響。

2.2.3 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理負(fù)責(zé)對(duì)采集器上報(bào)的歸一化日志和流探針上報(bào)的流量元數(shù)據(jù)進(jìn)行格式化處理，補(bǔ)充相關(guān)的上下文信息（包括用戶、地理位置和區(qū)域），并將格式化后的數(shù)據(jù)發(fā)布到分布式總線。

2.2.4 數(shù)據(jù)存儲(chǔ)

分布式存儲(chǔ)負(fù)責(zé)對(duì)格式化后的數(shù)據(jù)進(jìn)行存儲(chǔ)，針對(duì)不同類型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進(jìn)行分類存儲(chǔ)，分布式存儲(chǔ)的數(shù)據(jù)主要用于威脅檢測(cè)和威脅可視化[1]?？紤]到可靠性和高并發(fā)性能的要求，分布式存儲(chǔ)的數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，并且可以按需擴(kuò)展存儲(chǔ)節(jié)點(diǎn)。

分布式索引負(fù)責(zé)對(duì)關(guān)鍵的格式化數(shù)據(jù)建立索引，為可視化調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。分布式索引采用了多實(shí)例自適應(yīng)的索引技術(shù)和時(shí)間片抽取的分層索引結(jié)構(gòu)，索引數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，提供了高可靠性和高并發(fā)索引能力，支持按需彈性擴(kuò)展索引。

2.2.5 數(shù)據(jù)分析

數(shù)據(jù)分析包含AI分析與關(guān)聯(lián)分析。AI分析包含WEB異常檢測(cè)、郵件異常檢測(cè)、C&C異常檢測(cè)、隱蔽通道檢測(cè)等檢測(cè)功能。關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時(shí)序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。關(guān)聯(lián)分析采用了高性能的流計(jì)算引擎，關(guān)聯(lián)分析引擎直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進(jìn)行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當(dāng)多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認(rèn)為它們之間存在對(duì)應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時(shí)將匹配用到的原始日志記錄到異常事件中。

2.2.6 數(shù)據(jù)呈現(xiàn)

數(shù)據(jù)呈現(xiàn)包含態(tài)勢(shì)管理、事件管理、威脅報(bào)告、響應(yīng)編排等整體功能，對(duì)安全事故整體的呈現(xiàn)。

2.3 全局視角風(fēng)險(xiǎn)態(tài)勢(shì)感知

態(tài)勢(shì)感知系統(tǒng)根據(jù)失陷主機(jī)、安全事件、業(yè)務(wù)資產(chǎn)脆弱性等進(jìn)行分析，綜合評(píng)價(jià)智慧醫(yī)院網(wǎng)絡(luò)安全態(tài)勢(shì)情況，有利于安全管理員了解情況后完成安全決策分析，通過Word、PDF文檔等方式將風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶、安全事件以及建議等導(dǎo)出。安全管理員獲得具體報(bào)告后，便于落實(shí)后續(xù)應(yīng)對(duì)方法。

3 安全態(tài)勢(shì)感知在智慧醫(yī)院信息安全中的應(yīng)用

3.1 結(jié)合態(tài)勢(shì)感知，整合網(wǎng)內(nèi)安全設(shè)備

態(tài)勢(shì)感知系統(tǒng)日益先進(jìn)，不僅通過探針獲取流量對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析，也能與部署在網(wǎng)內(nèi)各項(xiàng)安全設(shè)備進(jìn)行聯(lián)動(dòng)，讓孤立安全設(shè)備產(chǎn)生合力，提高網(wǎng)絡(luò)安全事件響應(yīng)速度[2]。目前，態(tài)勢(shì)感知系統(tǒng)聯(lián)動(dòng)處置能力表現(xiàn)為：一是聯(lián)動(dòng)IPS系統(tǒng)、邊界防火墻，能自動(dòng)下發(fā)策略，拒絕惡意域名與IP；二是聯(lián)動(dòng)終端安全軟件EDR系統(tǒng)，動(dòng)態(tài)監(jiān)測(cè)用戶終端與服務(wù)器，針對(duì)勒索病毒、惡意軟件等能采取微隔離措施，切斷惡意病毒傳播鏈條，有力保護(hù)虛擬機(jī)和終端的安全；三是聯(lián)動(dòng)上網(wǎng)行為管理設(shè)備，支持上網(wǎng)策略自動(dòng)調(diào)整，能有效阻隔惡意流量?？梢?，以態(tài)勢(shì)感知為核心建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，能夠保證智慧醫(yī)院信息安全。

3.2 建設(shè)便攜化網(wǎng)絡(luò)安全運(yùn)維管理

當(dāng)態(tài)勢(shì)感知系統(tǒng)查找出風(fēng)險(xiǎn)隱患后，安全運(yùn)維人員能快速找到責(zé)任人，完成運(yùn)維系統(tǒng)工單模塊問題下發(fā)，確保及時(shí)處理，實(shí)現(xiàn)網(wǎng)絡(luò)安全問題閉環(huán)管理目標(biāo)。系統(tǒng)告警后，第三方安全服務(wù)團(tuán)隊(duì)完成大數(shù)據(jù)分析，若確有安全事件，醫(yī)院安全工程師將歸屬責(zé)任系統(tǒng)、責(zé)任人等確定下來，在微信公眾號(hào)中同步更新信息。責(zé)任工程師接收工單后確認(rèn)與復(fù)現(xiàn)，解決風(fēng)險(xiǎn)問題[3]。如此一來，可以實(shí)現(xiàn)運(yùn)維流程便攜化與可視化，通過微信公眾號(hào)等平臺(tái)，能及時(shí)了解資源告警情況、安全事件工單處理情況，保證安全運(yùn)維效率。由于智慧醫(yī)院建設(shè)中提高了對(duì)網(wǎng)絡(luò)安全關(guān)注度，相關(guān)設(shè)備不僅數(shù)量較多，也存在品牌異構(gòu)現(xiàn)象，增加了信息部門日常運(yùn)維壓力。對(duì)此要采用專業(yè)安全運(yùn)維系統(tǒng)統(tǒng)一監(jiān)控與配置管理，讓智慧醫(yī)院在資源、業(yè)務(wù)、用戶等方面達(dá)到統(tǒng)一管理與智能聯(lián)動(dòng)目的。

3.3 根據(jù)態(tài)勢(shì)感知分析結(jié)果，建立安全服務(wù)體系

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)收集數(shù)據(jù)后進(jìn)行分析與整理，利用漏洞、威脅和資產(chǎn)等多維度展示安全問題與脆弱性資產(chǎn)，并發(fā)出告警。在智慧醫(yī)院建設(shè)中主要面臨信息化人才不足、網(wǎng)絡(luò)安全素養(yǎng)有待提升等問題，要想處理各種信息安全問題，需要提高網(wǎng)絡(luò)安全服務(wù)技術(shù)能力[4]。建設(shè)內(nèi)容為：一是風(fēng)險(xiǎn)評(píng)估。態(tài)勢(shì)感知系統(tǒng)發(fā)現(xiàn)脆弱性資產(chǎn)后，必須完成一次全面安全風(fēng)險(xiǎn)評(píng)估，形成相應(yīng)報(bào)告；二是基線核查。從等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全基線規(guī)定出發(fā)，加強(qiáng)態(tài)勢(shì)感知分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和中間件等安全基線檢查，完成安全加固處理；三是協(xié)助滲透測(cè)試。根據(jù)黑客攻擊方式，在可控條件下，對(duì)智慧醫(yī)院Web應(yīng)用或端口進(jìn)行模擬攻擊，讓態(tài)勢(shì)感知警報(bào)漏洞信息得到驗(yàn)證。四是重保支持。醫(yī)院網(wǎng)絡(luò)、網(wǎng)站等設(shè)施在運(yùn)行中必須不間斷進(jìn)行安全保障；五是網(wǎng)絡(luò)安全技能培訓(xùn)。由專家參與，培訓(xùn)內(nèi)容包括安全運(yùn)維、安全代碼編寫和安全意識(shí)等。

3.4 多方聯(lián)動(dòng)，解決院內(nèi)資產(chǎn)管理問題

從智慧醫(yī)院最普遍黑客攻擊方式可知，內(nèi)部網(wǎng)絡(luò)管理漏洞需要引起關(guān)注，若是被他人利用，將帶來不可估量的后果[5]。態(tài)勢(shì)感知系統(tǒng)對(duì)主機(jī)安全軟件下發(fā)EDR策略，具體如表1。這樣能夠讓問題主機(jī)得到微隔離處理，既保護(hù)了智慧醫(yī)院重要數(shù)據(jù)不出現(xiàn)泄漏，也避免病毒橫向傳播。

3.5 科學(xué)設(shè)置流量探針

流量探針主要是旁路掛載的流量鏡像設(shè)備，可以將全網(wǎng)流量收集起來，提供給態(tài)勢(shì)感知完成大數(shù)據(jù)分析，發(fā)揮著數(shù)據(jù)源作用[6]。要將探針設(shè)置在合理位置，才有利于態(tài)勢(shì)感知系統(tǒng)更好地運(yùn)行，具體要求為：第一，統(tǒng)一監(jiān)測(cè)。VPC內(nèi)部以及VPC之間流量檢測(cè)和分析，與云邊界安全能力配合，實(shí)現(xiàn)政務(wù)云全域流量檢測(cè)和防護(hù)能力。第二，統(tǒng)一分析。利用智能檢測(cè)引擎和關(guān)聯(lián)分析引擎發(fā)現(xiàn)云內(nèi)云外高級(jí)威脅事件，從全攻擊鏈角度還原攻擊路徑及安全態(tài)勢(shì)。第三，保障業(yè)務(wù)。全面分析惡意流量同時(shí)不占用租戶網(wǎng)絡(luò)的出口帶寬，多種流量處理機(jī)制，保障租戶業(yè)務(wù)的正常運(yùn)行。

4 安全態(tài)勢(shì)感知技術(shù)應(yīng)用效果分析

通常來說，若是多個(gè)終端沒有一起發(fā)生問題，智慧醫(yī)院管理員很難察覺內(nèi)網(wǎng)中的攻擊，而借助安全態(tài)勢(shì)感知系統(tǒng)，可以及時(shí)查找出網(wǎng)絡(luò)中的攻擊行為，確定攻擊程度，提前處理網(wǎng)絡(luò)中的病毒，避免發(fā)生大規(guī)模中毒問題。通過應(yīng)用安全態(tài)勢(shì)感知技術(shù)，在流量采集分析過程中，平臺(tái)能夠及時(shí)發(fā)出告警，包括嘗試入侵未能成功等[7]。處理時(shí)采用防火墻限制外來供給者IP訪問、更新補(bǔ)丁、查殺內(nèi)網(wǎng)僵尸主機(jī)等[8]。智慧醫(yī)院應(yīng)用態(tài)勢(shì)感知技術(shù)，讓安全管理員可以更加精準(zhǔn)預(yù)防與查殺網(wǎng)絡(luò)中的風(fēng)險(xiǎn)與威脅，避免病毒攻擊引起重大損失，有效保障了智慧醫(yī)院信息安全。

5 結(jié)束語

總之，根據(jù)新等保3.0對(duì)網(wǎng)絡(luò)攻擊檢測(cè)與分析要求，將態(tài)勢(shì)感知技術(shù)應(yīng)用于智慧醫(yī)院構(gòu)建中，能有效應(yīng)對(duì)各種未知新型網(wǎng)絡(luò)攻擊與APT攻擊。在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)支持下，能夠讓智慧醫(yī)院由以往被動(dòng)防護(hù)逐步轉(zhuǎn)變?yōu)橹鲃?dòng)防御，在原有防范的基礎(chǔ)上，更側(cè)重檢測(cè)與響應(yīng)。未來態(tài)勢(shì)感知技術(shù)將與新一代防火墻、殺毒軟件等安全設(shè)備軟件進(jìn)行聯(lián)動(dòng)，構(gòu)建更加強(qiáng)大的主動(dòng)式防御體系，讓智慧醫(yī)院信息安全得到可靠保障。

參考文獻(xiàn)：

[1] 盧熙.醫(yī)院網(wǎng)絡(luò)安全入侵防御系統(tǒng)研究與設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（2）：124-126.

[2] 莫禹鈞，黃捷，潘愈嘉.基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].醫(yī)學(xué)信息學(xué)雜志，2020，41（3）：60-63.

[3] 胡建平，郝惠英，何祺，等.衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)探討[J].中國(guó)衛(wèi)生信息管理雜志，2019，16（1）：4-8.

[4] 莫禹鈞，潘愈嘉，黃捷.醫(yī)院網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)構(gòu)建[J].醫(yī)學(xué)信息學(xué)雜志，2018，39（12）：25-28.

[5] 馮國(guó)斌，劉艷亭，郭敬鵬，等.基于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)的醫(yī)院態(tài)勢(shì)感知平臺(tái)建設(shè)實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué)，2020，15（11）：135-138.

[6] 潘愈嘉，陸丹艷.以網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)為核心的醫(yī)院局域網(wǎng)安全運(yùn)維實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué)，2020，15（12）：10-13.

[7] 石湯沐.醫(yī)院網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)構(gòu)建與應(yīng)用[J].信息系統(tǒng)工程，2020（12）：58-59.

[8] 黃捷，潘愈嘉，莫禹鈞.淺析醫(yī)院物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)及防護(hù)體系的建立[J].中國(guó)數(shù)字醫(yī)學(xué)，2021，16（5）：111-114.

【通聯(lián)編輯：代影】