【CHIMA 2019】参加医院网络安全攻防大赛有感

作者:王琳华、黄昊 发布时间:2019-07-10
浏览次数:

1

突如其来的任务


五月,主任通知大家, CHIMA 2019大会即将在美丽的海滨城市厦门召开,手上有论文的尽快提交,好的论文可以参加优秀论文评选,更重要的是可以去参会。正好我在写关于医院网络安全建设的文章,加之CHIMA大会对业内人士巨大的吸引力,于是赶紧加班把论文写完,争取参会机会。


“不幸”的是,我的论文没被CHIMA看上。


“万幸”的是,我和另外一名同事被主任安排去参加首届“中国医院网络安全攻防大赛”。


我清晰地记得,6月16日中午正在吃午饭,突然发现自己微信多了一个群——“战狼突击队”,主任要求我和两名队友迅速组队备战,代表中心参加CHIMA 2019中国医院网络安全攻防大赛。如此重任,压力山大,午饭也食之无味了,由于对攻防大赛的规则、内容和形式都一无所知,可谓是一头雾水。

主任告诉我们,我们此行主要是去学习和培训的,心里不要有负担(现在回想起来,他当时一定是怕我们弃赛了,骗我们才这么说的)。既然没有退路,只有努力向前。我安慰自己,也许其它医院信息科参赛人员应该水平也差不多的,大家都是“小白”不用怕。


我们开始寻找各种比赛资源进行赛前准备,向安全公司的工程师讨教,从了解比赛规则,再到答题的内容与方式,我们艰难起步了。


刚开始接触CTF夺旗时我还闹了个笑话,我按照队友的要求在练习平台上注册登录后,随便点了一道Web题,页面显示“Please login!”,我就又登录了一遍,还是“Please login!”于是我问队友:“我已经注册了啊?怎么登录不进去?” 他哭笑不得地告诉我:“这,这就是题目……”我的学习就从这第一次“丢人”的提问开始了。下载视频,看别人解题的思路与过程,下载相关工具学习使用,学学习,“主任我恨你”。


期间我主要学习了密码学(运用多种工具,如ASCII对照,古典密码,凯撒密码,栅栏密码,BASE64,莫斯解密等等对各类变形加密的符号文字等进行解密,提交答案),WEB题(运用多种工具,设置本地代理抓包、改包,找出Web漏洞,如注入,XSS,文件包含等),安全杂项(流量分析,电子取证,人肉搜索,数据分析等),逆向工程(要求使用OD进行反编译,设置断点程序破解),隐写术(题目的flag会隐藏到图片、视频、音频等各类数据载体中,要求选手获取提交)等等内容,天天脑袋里都被这些玩意填充着。


6月25日,攻防大赛会务组组建了微信群,通知了各位参赛选手比赛的流程。7月4日厦门集训一天,7月6日上午决赛分三个阶段:20分钟基础知识赛(50道题),50分钟CTF夺旗(5道题)60分钟攻防混战(前20分钟windows靶机安全加固,后40分钟攻防混战)。由于主办方明确告知没有参考题库,只好自己把相关的安全知识刷了一遍,同时邀请安全工程师过来对我们进行windows安全加固的培训,主要包括修改端口号,做服务器ipsec安全策略,注册表的修改,隐藏用户的删除,webshell的查杀,防火墙的开启与设置,准备各类补丁包等等。但是,由于前期并不知攻防混战里靶机会改为Linux,我们在对linux靶机的防守上准备不足。


2

风云变幻的攻防混战


此次共有23家医院队伍参加决赛,看来敢于在攻防大赛亮剑,每家医院的实力自然都是“响当当的”。赛前我的心情就像来厦门的飞机遇上了强气流——忐忑不安,上下颠簸。不管了,闭着眼睛上吧,我心中暗想。


7月6日早上8:40比赛正式开始


第一轮线上答题,每人抽到的题目也不同,主要涉及安全运维,法律法规,linux等,这是我的强项,加上前期大量的知识学习,这些题目对我们并不构成障碍,成绩还算不错,排名第四,这成绩也让我稍微稳定了情绪。


第二轮CTF夺旗,在五道题中我们队解出四道,排名依然是第四。我笑了,看来任务超质量完成了。


第三轮攻防混战,前两轮进展顺利也让我们越来越自信,比赛愉快的进行中。前20分钟为win7加固,so easy ,这比我们想象的简单多了。


弱口令修改完毕;隐藏账户删除完毕;勒索病毒补丁修补完毕;稳拿200分。

正当我乐观地认为可以保二争一的时候,现实马上就啪啪打脸了。


赛场风云突变,后40分钟攻防混战靶机变为linux(主办方提供一台用于生成flag的服务器,只要访问这个服务器,就会得到一个flag字符串,我们需要找到对方靶机的漏洞,并在对方靶机上执行访问生成flag服务器的命令curl,在比赛平台上提交flag)。


由于我和队友赛前对linux的操作准备不充分,一下就蒙了,手忙脚乱了,团队分工乱了,各种混乱出现。加之我们急于求成,忽略了修改靶机密码和安全加固这个基础工作,眼见着我们被其它队一次次攻破,眼前满是小星星,却看不清屏幕。比赛结束,丢16分,排名16位,此轮下来,我整个心都 “凉凉”了。

还好,最后三轮总成绩我队排在第七,获得了三等奖(一等奖一名,二等奖三名,三等奖六名),虽然有些遗憾,但能得奖还是很开心的。尤其是颁奖时,我们主任亲自给我们队颁奖,他傻乐的样子,比我们还开心。



3

赛后感悟


1.开眼界,长见识。这次参赛选手中有很多信息安全学专业的佼佼者,信息安全学是一门很广很深的学科,其课程开设除了计算机专业的基础课程,他们还专门设置了密码学原理,集合与图论,编码理论,信息论基础,信息安全体系结构,代数与逻辑等,也就是说,比赛里每一道题也许就是他们的一门课程。从专业知识体系架构上讲,我们作为日常工作里的安全运维管理者与专业选手们的差距是很大的,他们在面对CTF安全问题时,思路非常开阔,解决问题的方法也称得上脑洞大开,反应迅速,操作娴熟,一道题目可能会用十几种思路,十几种工具。有些队友操作电脑完全不用鼠标,全键盘操作,若干个界面瞬间切换,像在变魔法。他眼花缭乱的键盘手速堪比刘谦的魔术手。娴熟的背后是日积月累的功底,让人佩服,网络攻防大赛 确实是比速度比智商比能力的高水平竞赛。


2.养成学习品质,提升工作技能。在整个参会学习的这几天,讲座、比赛都安排得非常紧凑,每位专家的精彩授课就像发电机一样,将能量源源不断填充进听者的大脑,带给大家满满的获得感和启迪感。


在7月4日的网络安全拓导课上,公安部信息安全等保评估中心的毕主任指出:网络空间是新的主权疆土,网络信息战已进入了实质性威胁的阶段。他主要从政策上解读了等保2.0 的来源,主要工作,管理策略和内涵上的变化(具体内容可上网查询)。上海市卫生健康信息中心谢主任主要介绍了医院该怎么过三级等保,他提出了相关要求:三同步(同步规划,同步建设,同步执行),四确定(何人、何时、何地,何事),五步走(等保备案、自查自纠,合理防范,安全监管,迭代优化),六防范(网络防病毒,系统防攻击,服务防中断,页面防篡改,数据防泄漏,信息防插播)。郑州人民医院信息化建设与研发部张主任主要讲了安全运营中心的建设。这位女主任虽为临床背景,但在工作业务的梳理和思考上更为用心,她提出的安全策略知识库的概念,为我们后续安全工作提供了好的思路和方法。佛山市妇幼保健院的马主任讲解的安全应急演练给我印象较深,纯手工流程演练办卡、挂号、分诊、医生叫病人、收费、发药、输液、抽血、检验、检查…不仅传授了应急预案的具体写法,更从新的角度凸显了信息系统的重要性。


3.增进团队协作意识,改进工作方法。赛后,我不仅深感到团队凝聚力带来的荣誉感,更意识到无论是团队比赛还是团队工作,分工配合是最重要的,每个人都是其中的一环,一环扣一环,保持良好的责任感,不推诿不懒散,是一个团队前进的动力。各路高手也通过这种方式启示我们的安全运维工作遇到问题要打开思路,改进方法,不钻牛角尖,发挥主观能动性,在与第三方技术合作的时候,我们要多想,多问,多学,知其然更要知其所以然,才会多得。



CHIMA 2019大会已落下帷幕,我在回程的飞机上,置身蓝天,俯瞰碧海,医疗网络环境表面看上去也是“海水无风时,波涛安悠悠”, 其实在海的深处早已如攻防大赛般暗潮汹涌。想起国家卫生健康委医政医管局副局长焦雅辉的发言,她着重强调了“安全”,不仅是医疗业务安全,也包括医院的网络安全,特别是很可能被忽略的医疗数据安全。作为医疗网络安全的守护者,我们需要整体提升网络安全的意识和水平,推动医疗信息化的稳步前进,只有时刻准备着,方才“乘风破浪会有时,直挂云帆济沧海”!


作者单位:陆军特色医学中心信息科




CHIMA 2019照片回顾