吕登峰,王 珊

（甘肃省人民医院，甘肃 兰州 730000）

1 概述

我国医院信息化最近几年快速的发展，在“互联网+医疗健康”模式发展的推动下，医院信息化建设朝着平台化、微服务化、智能化方向迈进，信息化建设已经成为现代医院发展的重要支撑，推动着智慧医院和平安医院的建设，使医疗服务向更加便捷、智能的方向发展[1]。在医院信息化发展和快速普及的大趋势下，网络使用量迅速增加，流量以爆炸式的增长。大量的网络设备、安全设备、终端设备等硬件及软件部署在医院网络中，同时也为不法分子创造了网络安全突破口，使医院信息系统面临更加严峻的网络安全挑战，网络攻击的方式更加隐蔽，传统的攻击方式不再是唯一的攻击方式，诸如勒索病毒、APT(Advanced Persistent Threat)等新型的攻击会频繁的出现在当今网络攻击中。

传统的网络安全防护是通过特征库匹配等方式来阻止网络攻击，攻击日志和数据存储在本地安全设备，大部分设备只对特定的协议、特定的端口或者是特定数据包过滤，不会对数据包在网络中关联关系做分析，对发生的网络安全事件无法追溯、反查。

面对医院飞速发展和网络安全面临问题，传统的网络安全防护方式不足以防护全部的网络攻击和威胁，需要有能够基于全网流量分析的网络安全措施，从多维度的海量数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，实现安全的统一管理和分析，构建高效智能的安全管理环境。全流量分析能够实现外部安全风险与内部安全威胁、行为的实时监控、分析及处置，并联合威胁情报，对威胁追踪溯源[2]。全流量分析平台利用人工智能技术，识别异常流量、异常协议及主机异常行为，监控网络资产状况、网络流量状况，可以实现追踪威胁源头[3]，是一种全面、先进的检测网络攻击的方式。

2 全流量采集系统部署

甘肃省人民医院内部的局域网环境十分复杂，医院信息系统是运行在医院专网上，同时通过网络安全设备与互联网相连的外网部分，提供互联网服务，有运行医院信息系统相关的各类专网的混合部分。本院使用奇安信天眼全流量探针分析平台作为流量采集分析工具，将全院内外网核心交换机及汇聚交换机的流量镜像到分析平台，分析平台将存储全部流量，作为分析的基础数据。天眼平台通过基于人工智能自学习的自动化数据处理技术对海量样本进行挖掘，能够找到恶意软件的内在规律，能对未来相当长时期的恶意软件技术做出前瞻性预测，实现不更新即可识别大量新型恶意软件目的，有效解决了大部分未知恶意程序的发现问题，做到精细分析，确认攻击手段、攻击对象以及攻击的目的[4]。通过人工智能结合大数据知识以及攻击者的多个维度特征，还原出攻击者的全貌，包括程序形态，不同编码风格和不同攻击原理的同源木马程序，恶意服务器（C&C）等，通过全貌特征“跟踪”攻击者，持续的发现未知威胁，最终确保发现的未知威胁的准确性[5]。

3 医院信息系统安全状况分析及防范措施

3.1 数据采集与分析

本院终端数量达到2300 台，选择30d 全流量数据，总共采集到威胁告警数据876953 条，其中网页漏洞利用44061 条，威胁情报告警4879 条，网络攻击828013 条，webshell 上传0 条。从以上数据可以得出，医院信息系统存在网络攻击的风险较高，网页漏洞利用攻击的风险不容忽视，威胁情报告警必须关注，不存在webshell 上传的风险。

对采集到的以上数据进行归类、分析、分组、筛选、汇总、加工处理剔除部分冗余数据，将从另外一个维度统计分析获得如下表数据，见表1。

表1 各类攻击数据统计表 （单位：条）

通过上表数据可以看出，医院信息系统主要存在的安全风险是横向攻击，外部攻击和外联攻击虽然存在，但对医院信息系统不构成威胁。上面结论和医院信息系统大部分业务运行在专网，部分业务运行在互联网的状况相吻合，以上数据只有在全流量数据分析的基础上可以获得，传统的单个安全设备无法获得全网的威胁状况数据，充分说明全流量分析在网络安全威胁发现中具有独特的优势。

进一步对全流量分析发现医院信息系统中存在遭受木马、蠕虫病毒、APT 攻击而被攻击者控制的主机，通过平台分析这些受攻击主机的威胁等级情况，判断主机处于攻击的那个阶段，即失陷、可疑、正常等，发现医院信息系统中存在失陷主机。

3.2 医院信息系统存在的安全风险

通过对奇安信天眼全流量探针分析平台提供的数据分析可以发现，本院信息系统存在较大的安全风险，主要有以下几个方面的安全风险。

（1）医院信息系统虽然和互联网存在业务，同时会访问互联网上业务，因此，个别主机存在木马外联情况，但不存在人为的webshell 攻击等主动攻击行为。

（2）医院信息系统部分业务暴露在互联网，因此会受到来自互联的网络攻击，但由于部署了相关的网络安设备，配置了安全策略，因此，来自互联网的网络攻击威胁全部拒绝，但存在配置策略不完善情况。

（3）医院信息内部专网上存在大量横向攻击，通过进一步的分析发现，这些安全风险来自下面几个方面：业务系统上线没有考虑到网络安全导致在使用过程中会暴露安全隐患；操作系统没有打补丁，存在安全漏洞；部分主机员工私自使用移动存储介质，导致主机感染木马病毒；运维人员对部分主机没有安装杀毒软件，导致主机感染病毒无法清除，成为“肉鸡”；安全设备策略配置不严谨导致安全设备部分功能没有发挥作用。

（4）医院信息系统中存在横向攻击，存在失陷主机，对医院信息系统网络中的其他主机不断的发送攻击，利用操作系统存在的漏洞，连续的发送攻击数据包和蠕虫病毒。

3.3 医院信息安全防范措施

通过分析发现医院信息系统中存在的安全风险，需要针对这些发现的安全威胁进行安全防护，主要从以下几个方面做安全防范[6，7]，包括提高技术水平和规范管理等方面。

（1）所有主机必须安装杀毒软件，并且经常更新杀毒软件特征库，使其保持最新的版本，并定期开展杀毒工作。

（2）加强网络边界安全防护，网络安全设备按照规范管理，配置恰当的策略，以最小原则配置端口、服务、策略等，加强安全设备自身安全管理，安全设备特征库及时更新。

（3）医院信息系统上线严格按照安全相关的规章制度执行，杜绝弱口令，审计软件系统是否存在SQL 注入漏洞，防止应用程序出现逻辑性错误，确保上线信息系统的安全性。

（4）对主机尤其是服务器，需要定期打安全补丁，及时关注官方通报的0day 漏洞。

（5）所有主机按照医院网络安全管理办法管理，杜绝私自使用移动存储介质，防止病毒通过移动存储介质传播。

（6）对失陷主机做威胁清除处理，从操作系统到应用软件管控，从终端准入管控到使用，全面排查存在的安全隐患。

（7）全院宣传网络安全知识，加强员工网络安全意识的培训，全体员工参与网络安全的建设。

4 总结

本文使用奇安信天眼全流量分析平台对本院信息系统中存在的安全威胁分析，发现了传统设备无法直接发现的安全风险，提出适合未来本院信息系统的安全防范策略，将医院信息系统安全建设由被动防御变为主动安全运行维护，从而提高了信息系统的安全防护水平，降低了网络安全事件的发生，同时也表明全流量分析在网络安全风险发现中具有明显优势。