朱洪涛：医院网络安全常见问题及应用对策

　　我国非常重视网络空间的安全，推出了系列法律法规和政策。“十四五”期间，国家层面网络空间安全推出了以下法律法规和政策：2021年1月，发布《中华人民共和国个人信息保护法》；2021年9月，发布《中华人民共和国数据安全法》；2021年9月，发布《关键信息基础设施保护条例》；2022年2月，发布 《网络安全审查办法》。“相关统计数据显示，医疗行业总体处于‘较大风险’级别，发生安全事件频率较高。” 中南大学湘雅二医院信息网络中心主任朱洪涛强调，通过对15339家医疗行业相关单位的观测，存在僵尸、木马或蠕虫等恶意程序的单位共计1029家，应用服务端口暴露在公共互联网中的单位有6446家，网站存在被篡改安全隐患的单位有4546家，其中261家单位已发生网站被篡改情况。

　　“医疗行业发生网络安全事件的原因以漏洞利用和恶意程序为主，漏洞利用占比 66.0%，恶意程序占比 29.7%，其他类型占比 4.3%。”朱洪涛介绍，从医疗行业被攻陷系统的损失来看，数据丢失占比最高，达 29.8%；其次是系统(网络) 不可用，占比 16.7%；生产效率低下排第三，占比 11.9%。

面临的主要安全问题及应对策略

　　朱洪涛强调，医院在网络安全方面，目前主要面临以下挑战：网络结构不合理，网络边界不明确；网络访问控制策略未细化；缺少基础安全防护设备或者配置使用不到位；内外网未进行严格的隔离措施；无线网络未实现实名制、访问审计。对此，朱洪涛提出了以下应对建议：明确清晰的网络结构，划分明确Vlan，梳理网络边界，各Vlan和边界细化网络访问控制网络访问控制策略未细化以合规性为基础，部署网络安全防护及审计设备，以自身业务安全需求加强防护措施内、外网需要严格的隔离措施无线接入实现实名制，及网络访问审计。

　　在主机安全方面，医院主要面临以下挑战：系统(操作系统、数据库)弱口令；未及时更新系统补丁；未安装统一的防病毒系统或未定期升级，未对桌面安全进行管控，未关闭USB口和实施准入；未对操作行为进行运维审计。为保障主机安全，朱洪涛提出了以下建议：必须设置复杂口令，打好补丁，加强病毒防护，做好桌面管理和运维审计。

　　在数据安全方面，医院主要面临以下挑战：数据备份不及时，未进行异地备份；生产系统与备份系统未隔离和异构。对此，朱洪涛提出如下应对建议：按照一份多个副本，本地生产副本和备份副本(数据库设置在线备份)，异地有一份副本；生产系统和备份系统不在同一个存储上，备份操作系统异构，并且IP和端口设定了严格的访问协议。

　　在安全管理方面，医院主要面临以下挑战：未对医院员工网络安全教育培训；欠缺专业的安全管理、运维人员；新系统未进行上线安全测试，未定期开展安全评估；网络运行日志未留存六个月；安全管理中心没有集中管控的工具。对此，朱洪涛提出如下应对建议：加强安全管理和意识；合规化的安全防护及审计设备；定级、备案、等级保护测评；全面化的风险评估；安全方面人才队伍；专业安全服务外包，可考虑采用MSS安全运营服务和其他专项服务结合的方式；采用专业的网管软件以及具有APT探测功能的SOC平台进行集中化、可视化的管理。

应用层面安全问题及应对

　　朱洪涛进一步指出，医院应用层面主要面临以下安全问题：业务系统弱口令；应用接口缺乏身份认证；SQL注入漏洞；文件上传漏洞；跨站脚本漏洞；越权访问(信息泄露)；Docker Remote API未授权访问漏洞；shiro反序列化漏洞；log4j远程代码执行漏洞等。

　　针对业务系统弱口令这一挑战，朱洪涛认为：“必须设置复杂口令，建议8位以上，数字、大、小写字母、特殊符号等至少三种组合；初始口令符合密码复杂度要求；用户第一次登录必须修复初始口令。应用程序应满足密码复杂度要求，同时做好登录失败策略。”

　　对于接口未进行身份认证这一挑战，朱洪涛建议：“对接口必须进行身份认证处理。接口上线前进行安全性评估，涉及内网的接口，外网需要访问，建议使用网闸或访问控制设备进行隔离或控制。”

　　针对SQL注入漏洞，朱洪涛提出了如下应对措施：服务器端对客户端提交数据进行严格校验，对于数字型参数进行是否为数字检验；对于字符型参数可以根据参数类别进行判断校验，限制参数长度，过滤SQL语句及特殊字符等；前端不使用完整的拼接式语句，只传递对应参数；程序实现以预编译方式执行语句将有效避免SQL注入攻击；使用WEB应用防护系统进行防护(保持最新的特征库)。

　　为保障医院软件供应链安全，朱洪涛认为可使用软件成分分析Software Compostition Analysis(SCA)安全检测工具，对供应商、外包开发商提供软件系统进行安全漏洞检测，确定知识产权许可正规合法、暴露软件中开源组件的安全风险，从而进行安全漏洞修复保证软件质量。

　　“只要医院的服务器和终端还连在网络上，我们的信息系统和数据就处在风险之中。网络安全与医院业务应用系统共生存。安全和便捷将作为矛盾存在。网络安全问题往往是一系列的疏忽造成的。网络安全绝对不是简单的设备堆砌，使用和管理更重要。只要网络还存在，医院安全就是一个永恒的主题。”朱洪涛表示。