董寅：刍议基层医院信息安全应急响应建设

　　随着医院信息化建设不断深入，医院业务的连续性及医疗的及时性要求越来越重要，使信息系统成为医疗服务和医院管理的重要内容之一。信息安全应急响应(以下简称“应急响应”，本文后续章节提到的“应急响应”均指“信息安全应急响应”)是指针对已经发生或可能发生的安全事件进行监控分析、协调、处理、保护资产安全的活动，主要是为了对信息安全有所认识、有所准备，以便在遇到突发安全事件时做到有序应对、妥善处理。

　　在安全建设早期，安全应急响应与信息化脱节，造成信息化的“房子”建好之后，安全不断地做查缺补漏的“创可贴”工作，很多重要的内生安全没有得到解决，处于救火阶段，头疼医头、脚疼医脚，比体系化建设少了很多思考层面的工作。在新一轮的信息化大潮中，伴随着大数据的影响，网络、云计算等基础设施都发生了变化，“创可贴”已经无法真正有效保护信息系统的安全。笔者认为，应急响应的体系化要从四个阶段分别切入，即准备阶段、执行阶段、收尾阶段、建设阶段。本文着重介绍准备阶段。

　　1 应急预案

　　应急预案文档几乎所有医院都会有，笔者见过很多不同的应急预案，甚至有的预案是一张网络地图，指导操作人员到指定地点拔掉指定网线。这个应急预案肯定算不上高大上，但至少是可用的。而不可用的应急预案一般都不是设计者水平问题，大部分是因为应急预案没能跟随系统调整而调整导致的。对应急预案持续更新，并保持其一直可用是非常重要的。定期审视自己的应急预案是否有效和全面是非常重要的一项工作。

　　但是，应急预案的有效性有时候很难从纸面推演中得到正确的结论，只有在应急发生的时候才算是真正的考验。但作为医院肯定不能指望用实际事件来判定应急预案的有效性，介于二者之间的选择就是应急演练。安全方面的演练主要都是攻防层面的、处理得当的情况下，一般不影响业务。

　　另外一个角度看，虽然每个医院的应急预案都不一样，但是总体来说规律还是有迹可循的。一般来说应急事件发生后，第一时间要做的是判断问题点，并快速消除影响。从笔者经验来看，如何有效应对当前工作“第一要务”的安全性至关重要，因为很多时候一旦恢复系统，可能顺带将问题原因也掩盖了。为了查找原因，技术团队会拖延服务恢复的时间。站在技术的角度说这种选择也无可厚非，这时信息团队负责人就需要快速权衡利弊，做出判断。

　　2 应急工具

　　有了应急预案，就要思考预案执行的效率和效果。因为真正到应急的时候，不太可能临时翻阅应急预案，也不能指望执行人100%准确地执行应急预案。所以，工具的重要性凸显出来了，应急工作至少应包括检测类工具和执行类工具。

　　检测类工具的作用是在一些现象级故障发法确认是由哪些原因导致的，通过一系列检测工具可确认实际的问题点。比如最简单的，某个应用无法访问，是服务停止还是被DDoS?如果是服务停止，原因是应用本身问题还是某个病毒爆发导致?这都需检测(或监控)类工具帮助应急人员排查。

　　执行工具的作用主要是避免紧急情况下人工操作的失误和效率低下的问题。要求操作人能够在短时间内找到正确的设备，并用它获取相应的权限正确的应急预案，并准确快速地执行操作。诸多环节中任何一个出现问题，可能会致使应急操作拖延甚至失败。因此，在可能的情况下尽量采用工具执行应急操作是十分有效的。

　　以挖矿木马为例，挖矿木马是利用各种方法入侵计算机，利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本，也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留，会采用多种安全对抗技术，如修改任务计划、修改防火墙配置、修改系统动态链接库等， 使用这些技术手段严重时可能造成服务器业务中断。传播方法主要是漏洞传播，攻击者一般会通过自动化脚本扫描互联网上的所有机器，寻找漏洞，然后部署挖矿进程。因此，大部分的挖矿都是由于受害者主机上存在常见漏洞。挖矿木马入侵服务器所使用的漏洞主要有弱密码、未授权访问、命令执行漏洞。一般，每当有新的高危漏洞爆发时，很快便会出现一波大规模的全网扫描利用和挖矿。笔者实践时储备应急响应工具，有进程分析、资产扫描、漏扫、流量分析等。

　　(1)Process Explorer

　　Process Explorer是进程管理工具，它能管理隐藏在后台运行的程序，可监视、挂起、重启、强行终止任何程序，包括系统级的不允许随便终止的关键进程等。

　　(2)PCHunter

　　PCHunter是一个功能强大的Windows系统信息查看软件，同时也是手工杀毒软件，它不但可以查看各类系统信息，还可以查出计算机中潜伏的挖矿木马。

　　(3)Nmap

　　Nmap是资产扫描软件。检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息。

　　(4)巡风

　　适用于企业内网的漏洞快速应急、巡航扫描系统，通过搜索功能可清晰的了解内部网络资产分布情况，并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。

　　(5)Wireshark

　　常用来检测网络问题、攻击溯源、或者分析底层通信机制。

　　3 网络资料/数据

　　在制定应急预案、判定故障原因、甚至执行应急操作的过程中，都需要相关信息的支持。在制定应急预案过程中，要对网络拓扑图、业务逻辑关系、相关负责人等信息有充分了解，有了这些资料和数据，在应急响应时才能根据实际情况准确找到相应的联系人。

　　排除故障的过程除了上述信息外，还需要监控信息、系统日志等数据。这些数据为应急响应专家留有充足的数据作为判断依据。

　　4 安全情报

　　情报可以有效降低安全威胁，建立与安全服务商建立良好的合作关系，帮助医院选择正确的威胁处置方式，目前情报集中在漏洞、病毒、攻击手段等方面。

　　当下信息安全新技术、新概念层出不穷，但有些技术只是将实操层面进行扩展或者优化，但技术本质上没有根本变化。如果一味追求新技术、新概念，信息安全工作就会进入死胡同。医院信息工作人员还未搞明白某项安全技术的原理是解决什么问题的，而被一堆高大上的概念名词所吸引，盲目跟风是不可取的。

　　医院信息工作人员在完成日常繁杂的工作之余，应该扎扎实实地多学习一些信息安全技术，多向安全厂商技术人员请教，立足提高自身技术能力、加强技术储备才是医院信息安全工作的硬道理。

　　本文纯属技术交流，文中观点仅供参考，不到之处还请批评指正。后期文章中，笔者将介绍应急响应建议中如何执行、收尾、复盘，相关观点与大家共同探讨，敬请期待。

　　作者简介

　　董寅，现从事医院信息化设计、建设与管理工作。