朱洪涛:医院网络安全常见问题及应用对策

发布时间:2023-11-14
浏览次数:

  我国非常重视网络空间的安全,推出了系列法律法规和政策。“十四五”期间,国家层面网络空间安全推出了以下法律法规和政策:2021年1月,发布《中华人民共和国个人信息保护法》;2021年9月,发布《中华人民共和国数据安全法》;2021年9月,发布《关键信息基础设施保护条例》;2022年2月,发布 《网络安全审查办法》。“相关统计数据显示,医疗行业总体处于‘较大风险’级别,发生安全事件频率较高。” 中南大学湘雅二医院信息网络中心主任朱洪涛强调,通过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,网站存在被篡改安全隐患的单位有4546家,其中261家单位已发生网站被篡改情况。

1.jpg

  “医疗行业发生网络安全事件的原因以漏洞利用和恶意程序为主,漏洞利用占比 66.0%,恶意程序占比 29.7%,其他类型占比 4.3%。”朱洪涛介绍,从医疗行业被攻陷系统的损失来看,数据丢失占比最高,达 29.8%;其次是系统(网络) 不可用,占比 16.7%;生产效率低下排第三,占比 11.9%。

面临的主要安全问题及应对策略

  朱洪涛强调,医院在网络安全方面,目前主要面临以下挑战:网络结构不合理,网络边界不明确;网络访问控制策略未细化;缺少基础安全防护设备或者配置使用不到位;内外网未进行严格的隔离措施;无线网络未实现实名制、访问审计。对此,朱洪涛提出了以下应对建议:明确清晰的网络结构,划分明确Vlan,梳理网络边界,各Vlan和边界细化网络访问控制网络访问控制策略未细化以合规性为基础,部署网络安全防护及审计设备,以自身业务安全需求加强防护措施内、外网需要严格的隔离措施无线接入实现实名制,及网络访问审计。

  在主机安全方面,医院主要面临以下挑战:系统(操作系统、数据库)弱口令;未及时更新系统补丁;未安装统一的防病毒系统或未定期升级,未对桌面安全进行管控,未关闭USB口和实施准入;未对操作行为进行运维审计。为保障主机安全,朱洪涛提出了以下建议:必须设置复杂口令,打好补丁,加强病毒防护,做好桌面管理和运维审计。

  在数据安全方面,医院主要面临以下挑战:数据备份不及时,未进行异地备份;生产系统与备份系统未隔离和异构。对此,朱洪涛提出如下应对建议:按照一份多个副本,本地生产副本和备份副本(数据库设置在线备份),异地有一份副本;生产系统和备份系统不在同一个存储上,备份操作系统异构,并且IP和端口设定了严格的访问协议。

  在安全管理方面,医院主要面临以下挑战:未对医院员工网络安全教育培训;欠缺专业的安全管理、运维人员;新系统未进行上线安全测试,未定期开展安全评估;网络运行日志未留存六个月;安全管理中心没有集中管控的工具。对此,朱洪涛提出如下应对建议:加强安全管理和意识;合规化的安全防护及审计设备;定级、备案、等级保护测评;全面化的风险评估;安全方面人才队伍;专业安全服务外包,可考虑采用MSS安全运营服务和其他专项服务结合的方式;采用专业的网管软件以及具有APT探测功能的SOC平台进行集中化、可视化的管理。

应用层面安全问题及应对

  朱洪涛进一步指出,医院应用层面主要面临以下安全问题:业务系统弱口令;应用接口缺乏身份认证;SQL注入漏洞;文件上传漏洞;跨站脚本漏洞;越权访问(信息泄露);Docker Remote API未授权访问漏洞;shiro反序列化漏洞;log4j远程代码执行漏洞等。

  针对业务系统弱口令这一挑战,朱洪涛认为:“必须设置复杂口令,建议8位以上,数字、大、小写字母、特殊符号等至少三种组合;初始口令符合密码复杂度要求;用户第一次登录必须修复初始口令。应用程序应满足密码复杂度要求,同时做好登录失败策略。”

  对于接口未进行身份认证这一挑战,朱洪涛建议:“对接口必须进行身份认证处理。接口上线前进行安全性评估,涉及内网的接口,外网需要访问,建议使用网闸或访问控制设备进行隔离或控制。”

  针对SQL注入漏洞,朱洪涛提出了如下应对措施:服务器端对客户端提交数据进行严格校验,对于数字型参数进行是否为数字检验;对于字符型参数可以根据参数类别进行判断校验,限制参数长度,过滤SQL语句及特殊字符等;前端不使用完整的拼接式语句,只传递对应参数;程序实现以预编译方式执行语句将有效避免SQL注入攻击;使用WEB应用防护系统进行防护(保持最新的特征库)。

  为保障医院软件供应链安全,朱洪涛认为可使用软件成分分析Software Compostition Analysis(SCA)安全检测工具,对供应商、外包开发商提供软件系统进行安全漏洞检测,确定知识产权许可正规合法、暴露软件中开源组件的安全风险,从而进行安全漏洞修复保证软件质量。

  “只要医院的服务器和终端还连在网络上,我们的信息系统和数据就处在风险之中。网络安全与医院业务应用系统共生存。安全和便捷将作为矛盾存在。网络安全问题往往是一系列的疏忽造成的。网络安全绝对不是简单的设备堆砌,使用和管理更重要。只要网络还存在,医院安全就是一个永恒的主题。”朱洪涛表示。