医院互联网大门“洞开”，阜外医院赵韡谈如何筑牢信息安全防线

作者：谭啸发布时间：2019-11-13

医院互联网大门“洞开”，安全威胁与日俱增

2018年4月以来，国家“互联网+医疗健康”与国家信息安全相关最新政策陆续出台，“互联网+医疗健康”如雨后春笋般蓬勃发展，这些业务的开展确实给老百姓带来很多获得感，但同时也出现了网络安全方面的很多问题。

赵韡谈道，国家卫生健康委发布的“医院智慧服务分级评价标准体系（4S标准）”包括5个类别17个评估项目，覆盖诊前、诊中、诊后全业务流程，这就需要将医院现有的各类业务向互联网延伸，实现线上线下的无缝连接。以阜外医院目前提供的患者服务为例，挂号、付费功能就要与HIS系统连接，排队提示需要使用院内的排队叫号系统推送的数据，报告查询需要直接调阅PACS、LIS等系统生成的报告；在线门诊服务中的开药、问诊等环节更是需要直接调用电子病历系统的功能服务。

“在这样的环境下，互联网大门已经打开，安全威胁与日俱增。内外网数据已经打通，所有来自互联网的攻击已严重威胁内网业务连续性和数据安全。医院的互联网业务越开放，安全威胁越大。”赵韡表示，在传统的业务模式下，医院的业务网络是封闭的，与外界进行物理隔离，但这样的方式已经越来越不适应现在的需要。

当前，医院已成为勒索病毒重灾区。根据2018年《医疗行业勒索病毒专题报告》，全国三甲医院中有247家医院检出了勒索病毒。经济发达地区是重灾区，广东地区是最高危的。一方面，病毒传播者不断增加病毒的可传播性和隐蔽性，经常是在很短时间内就进行病毒版本的更新，比如短短两个月就更新了4个版本，导致安全软件无法及时报毒；另一方面，在互联网时代，随着移动医疗、AI医疗、电子病历等数字化应用的普及，给这些病毒打开了方便之门。

换位思考：从攻击者视角看

要解决网络安全问题，首先应该换个角度。从攻击者视角看，黑客攻击医院一般有两种方式：一是社工，黑客到医院里面来；二是互联网模式。

赵韡谈道，互联网模式最常见的攻击路径是：首先寻找攻击入口，主要是寻找漏洞、系统薄弱环节，通过植入木马等手段进行突破。一切存在弱点的信息系统都是突破点。

第二，突破之后会向医院互联网业务进行横向渗透，控制主机、系统，获取信息，控制薄弱点。

第三，进行纵向突破，突破到医院内网核心业务系统，造成业务中断，甚至获取核心数据。

当然，上述这些步骤是医院进行了一定的防范后的，如果没有防范，黑客就直接到最后一步了。然后要考虑，医院系统在面临这样的攻击时，最容易产生问题的环节有哪些，赵韡谈到了如下这些信息安全薄弱点，如：弱口令攻击、互联网上泄露敏感信息被利用、专网非法外联通道攻击，比如某医生有个科研课题或合作，把自己的笔记本接入医院网络。

四是老旧资产跳板攻击，比如员工退休了，他以前管的项目就没人管了，变成僵尸系统，没人维护也没人使用，但它是一个很重要的跳板，而且这样的系统往往有很多漏洞。

类似的信息安全弱点还有很多，如：未修复漏洞攻击、邮箱敏感文件攻击、服务器普遍零防御攻击、网络缺乏细粒度隔离措施、供应链攻击、互联网VPN接入暴露、手机App攻击等。

安全防护第一步：知己

所谓“知己知彼，百战不殆”。赵韡强调，关键是“知己”，要了解自己的情况。

从安全防护的角度来看，第一步要做的就是查清信息资产：有什么样的信息系统，是否都在用？有多少服务器，都开放了什么端口？服务器上安装了什么软件，都是什么版本？信息系统开发用的什么开发框架？后台如何登录？是否存在弱口令？有没有和其他机构存在网络连接？信息系统都是哪家开发的？什么时候投入使用的？有没有维护服务？有没有僵尸系统存在？有没有远程维护方式？等等。这些都是从服务层这个角度去看的。

然后进行详细的资产梳理，包括五个方面：一是云扫描，模拟攻击者从互联网上对自己进行扫描，梳理互联网暴露面；二是域名检查，检查自己医院都注册过什么域名，排查所有一、二级域名；三是内部扫描，假设攻击者已进入内部网络，从内部进行扫描；四是漏洞扫描，明确所有系统的版本号，是否存在较严重的漏洞；五是渗透测试，模拟攻击，检查信息系统的漏洞。

赵韡建议：“如果有条件，大家最好每年都做一做模拟攻击，你找的人水平越高，攻进来的可能性越高。我们进行信息安全防范，防的是整个面，但黑客只要攻击一个点就好了，所以我们还是要经常性地做一下渗透测试。”

部署和建立防御体系

“纵深防御来源于战争，比如中华门-瓮城，有第一道、第二道、第三道防御门，还有最后的防御防线。”赵韡表示，可以基于这样的思路，建立网络安全的纵深防御体系，针对不同位置的安全域防护特点采用不同的安全防护手段，实现纵深防御。建好防御体系后，还要做一些其他技术性处理。

1.蜜罐系统。中国古代战争有“围城必阙”的理论，围城如果全部包围的话，里面的人必定输死反抗，所以围城要围三面、留一面，让其逃跑，跑出来之后在远处进行狙击。对应在网络安全方面，就是要建立“蜜罐系统”：建立各种各样的假目标，主动暴露弱点，诱使攻击方实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段增强实际系统的安全防护能力。

2.态势感知。通过态势感知的一些工具，利用大数据技术实时分析网络流量，可以从大量数据中寻找蛛丝马迹，找到攻击行为，及时发现报警。“现阶段黑客与以前不一样了，以前的黑客是炫技，证明他水平高；现在是来偷东西的，悄无声息地在后台放一个小程序，把数据拿走，你还不知道。所以需要利用感知设备。”赵韡说。

3.安全加固。包括：安全设备登录控制、最小授权原则、弱口令检查和漏洞修复等。

4.系统渗透测试。前提条件是你已经建立起了防御体系，之后进行渗透测试。赵韡谈到了马奇诺防线，二战时法国为了防止德国的进攻，花巨资建立了非常完善的马奇诺防线，结果德军没打这个防线，从阿尔卑斯山绕道过来，法国一下子就被打败了。“再多的防护设备也有可能因百密一疏而被绕过，一定要请专业黑客攻击一下试试，看是否有小道可以包抄。”赵韡认为，“渗透测试可以最大程度模拟攻击思路，寻找程序漏洞。”

5.源代码泄露检查。很多系统的源代码被泄露，比如开发人员离职之后，把源代码公布出去，这样就把系统本身的一些问题暴露在互联网下。要定期对所有外包开发公司、信息中心技术人员进行安全意识培训，定期检查重点源代码托管平台代码泄露情况。

6.安全意识培训。这是管理方面的，是对全员的。比如：不随意打开陌生邮件及附件，不在邮箱或网盘中存储敏感信息，不向不明身份人员提供系统账号密码，不允许无关人员进入办公场所等。这是物理安防，相关的安全意识需要进行培训和培养。

7.现场布防。医院是公共场所，任何人可随意出入，现场防护难度很大。对黑客来讲，社工是很容易的手段，如：接入WIFI、拔线直接进内网。所以，要对现场进行布防，包括WIFI、暴露的网口，都是最容易攻击的资源。

Wi–Fi防护手段包括：最小授权原则；使用强口令；绑定MAC、隐藏SSID；随时维护无线AP安装位置，发现异常立即定位。拔线防护手段包括：最小授权原则；自助机、导诊屏等公共场所的设备要将网口遮蔽在设备箱体内，并及时上锁；利用网络准入控制，防止非法接入；部署蜜罐网口，非法接入立即报警。

加强医院所有员工的安全意识，团结一切可以团结的力量，形成统一战线。保安、保洁、护工、引导员、志愿者、护士、医生都是安全监督员，发现可疑人员立即上前盘查，并及时上报信息中心。

前一段时间，阜外医院组织组织了重大的攻防项目，扛住了20多天的攻击，取得了比较好的成绩。赵韡说：“我们最害怕的是从社工进来的，而不是从互联网进来的。当前各医院的漏洞非常多，专业的黑客半天就能攻到核心系统中，医疗行业信息安全的管理和技术水平在所有行业里面算是很低的。”

8.应急处置。所有应急的基础是资产清单梳理，一旦发生问题，能够精准快速定位，判断事态影响程度，及时向领导汇报；找准攻击源，利用网络阻断器第一时间阻断攻击IP；快速导出系统日志，保存攻击证据；熟悉应急预案，按照预案能准确处置事件。

平常多流汗，战时少流血。赵韡强调，“要定期查看预案的可操作性，是否与当时情况符合，现在变化非常快，最好一季度检查一次，半年做一次调整，每年两次应急演练，而且应急预案绝不能是手工的。”

四个结合

最后，赵韡提纲挈领，将医院互联网信息安全防护总结为“四个结合”。

一是平时和战时相结合。以随时接受网络安全严峻挑战为目标，高质量地做好日常的网络安全保障工作，一定要在平时注意各方面的防控。

二是业务与安全相结合。不能光顾着往前跑，还要把衣服穿好。

三是技术与管理相结合。“很多人认为，应用了技术手段网络就安全了。其实不然，应用技术手段后更不安全了。”赵韡解释说：“因为不应用技术手段时出了问题是能力不行，而应用技术手段后再出问题则是玩忽职守。”所以，赵韡强烈建议，技术手段一定要与管理同时抓。

四是服务与保障相结合。网络安全、数据安全和隐私保护是智慧服务的基础保障，一切患者服务都应建立在安全保障的基础上。

本文转载自HIT专家网，南湖论坛演讲内容。

更多医疗信息相关书籍请点击此处查看

上一篇： 2019四川卫生健康信息学术年会暨智慧医疗健康培训会会议日程

下一篇： “互联网+”精准医疗健康的创新发展