文 | 惠州市中心人民医院 彭文强

随着医院信息化建设不断深入以及互联网+的快速发展，医院越来越多的联网信息系统通过互联网技术向社会团体和患者个体提供服务，这些联网信息系统为医院和患者带来便利的同时也成为了各种黑客组织、敌对势力攻击的目标，联网信息系统一旦被黑客组织攻陷并加以利用，将会给医院带来业务收入损失、形象品牌损失、数据与财产损失、秘密及隐私泄露等各种各样的不利影响，更甚者有可能上升影响到国家安全。因此，发现、管理医院互联网边界已成为信息安全的刚性需求。

一、医院互联网资产的安全风险

根据近几年安全事件统计、分析发现：近年来联网信息系统的网络安全风险直线上升，并且联网信息系统被恶意者攻击利用后导致的损失都极其严重。

我们针对医院网站等相关互联网资产进行了模拟真实网络攻击，评估系统是否存在可被攻击者利用的漏洞，同时对利用漏洞引发的风险损失严重程度进行评估，为制定相应的安全措施与解决方案提供实际的依据，问题列表如下：

目标系统 靶标类别 Ip地址 风险等级 漏洞类型 URL（可罗列） 数量XXXX医院门户网站（靶标）二类靶标 XXXX:86 高危 SQL注入1、 https://XXXX/Category/getInfo/id/662、http://XXXX:8XXXX/News/NewsInfo.aspx?Id=b3dcd6618e45 2高危 源码泄露 https://XXXX/www.rar 1高危 弱口令 Admin/1 1高危 存储型xss http://XXXX:86/UploXXXd9d33f01-54e2-4823-98ca-041bdca8eb26.pdf 1高危 反射型xss http://XXXX:86/Plugin/WebSite/Index.asp x?provinceId=630000&provinceName='-prompt(1)-'1高危 目录遍历 https://rczp.hzch.gd.cn:8089/ 1高危 sql注入+命令执行=拿到服务器权限开启内网渗透http://hzch.gd.cn:86/plugin/WebSite/ZXY_WebSite/News/NewsInfo.aspx?Id=-1* 1台高危 redis数据库权限192.1XXX 192. XXX XXX 192.1XXX 4高危 MSSQL数据库权限 192.1XXX；192.1XXX 5高危 MYSQL数据库权限 192.1XXX 1高危 SMB权限 192.168.XXX 192.168.XXX 192.168XXX 16高危 ftp未授权访问192.168.XXX 192.168.XXX 192.XXX 3高危 WEB应用漏洞192.16XXX 193. XXX XXX 5

高危 摄像头未授权访问192.1XXX85:80 192.1XXX.217:80 192.XXX.236:80 192.XXX166:80 192.XXX15:80 192.168.1XXX 192.168.111.239:80 192. XXX:80 193. XXX228:80 192.168.1XXX16:80 XXX 18高危 RDP权限192.1XXX 192.XXX 192.16XXX 192.16XXX（不出网）192.16XXX6（不出网）192.16XXX 9台高危 SSH权限一台 192.16XXX 1台

上述问题可以看出，虽然网络安全形势非常严峻，医院对互联网资产的风险也很重视，但是仍旧存在大量联网系统漏洞暴露在互联网侧，黑客极易利用这些漏洞对医院联网系统进行破坏导致信息安全事件发生，说明医院未全面掌握暴露在互联网上的资产信息，包括：应用系统、域名、端口、服务、IP等。导致医院的防御体系出现了盲区，成为整个网络安全体系的重要短板。在这个真实案例中，我们看到医院一方面在竭尽全力检测、分析、抑制攻击，而另一方面，新的攻击却从一些“陌生资产”如停车管理系统、摄像头等源源不断爆发出来。这些“陌生资产”就像黑洞一样，平时不可见、无防备，关键时刻却吸引了大量攻击流量、造成整个防御体系的失效。

深入分析导致联网信息系统风险严峻的原因，发现虽然各个医院都在不断的完善自己的安全防御体系以此来抵制各种可能发生的威胁事件，但是仅凭借安全防御体系被动防御还不足以保障联网信息系统，还需要完善主动防御的互联网资产状态监控能力，以此来实时发现医院信息安全的防御体系存在的风险并及时进行整改，只有这样才能体系化提高医院信息整体安全。

二、医院互联网资产发现服务的作用与实现方法

（一）做好安全规划前的需求调研

安全规划的前提是做好安全需求的调研，这其中，互联网资产梳理是重要一环，原因是：信息安全保护的对象就是信息资产，没有全面、精准的资产梳理，就没有全面、有效的防御；同时，医院面临的主要风险之一就是互联网接入带来的外部威胁；所以，互联网资产是医院重要的风险点之一，也是安全防御的重点。

通过在安全需求调研阶段，引入对互联网资产暴露面的检测，能够帮助医院全面了解自身互联网资产现状，有利于形成全面、有效的整体安全规划，避免安全规划出现明显疏漏。

（二）通过互联网资产及应用发现，进行资产梳理

根据《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）标准，完整的风险评估需要对资产、威胁、脆弱性进行全面梳理和评估，通常的资产梳理模式是依托于组织的台账进行，常常造成资产的遗漏，特别是暴露在互联网上的资产遗漏隐患更大。通过在风险评估过程中，引入对互联网资产暴露面的检测，能够有效解决这个问题，达到更好的风险评估效果。

互联网资产发现服务通过数据挖掘和调研的方式确定医院资产范围，之后基于IP或域名，采用 WEB扫描技术、操作系统探测技术、端口的探测技术、服务探测技术、WEB爬虫技术等各类探测技术，对医院信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现，并生成互联网资产及应用列表，列表中不仅包括设备类型、域名、IP、端口，更可深入识别运行在资产上的中间件、应用、技术架构的详细情况（类型、版本、服务名称等）。

（三）绘制信息安全资产画像

在资产及应用发现的基础上，对医院每个业务梳理分析，依据信息系统实际情况、业务特点、资产重要度等信息，结合信息安全的最佳实践进行归纳，最终针对性地形成信息安全的专属资产画像，构建起医院专属的信息安全资产画像。资产画像构建完成后可根据域名、IP、端口、中间件、应用、技术架构、变更状态、业务类型（自定义）等条件对资产进行查询、统计，并能对资产进行周期变化监控。

（四）信息安全主管部门对违规行为的监管

互联网资产发现服务能够成为“信息安全管理体系”落地的有效抓手，可以帮助医院的安全主管部门及时发现并取证违规上线行为，配合惩戒、整改措施，形成对违规行为的有效管控和震慑。

同时也可以利用互联网资产发现服务对监管对象的互联网资产暴露情况进行监控和取证，满足上级监管部门的监管要求。

（五）互联网资产发现服务大数据挖掘技术应用

互联网资产发现服务的核心技术包括：网络探测扫描、探测集群调度、交互协议识别、数据分析应用等。

网络探测扫描：我们通过使用零拷贝技术，在操作系统层面减少不必要的数据拷贝，提升网络发包效率。同时，因第三方技术如pf_ring zc、dpdk等对虚拟化环境不友好，选择自研网卡驱动的技术路线，实现在同等条件下发包性能远远领先libpcap，只需少量机器即可完成对国内外IPv4地址空间端口探活工作。

探测集群调度：我们通过高效随机化算法，提高任务分片的计算、还原效率，生成压缩率极高的分片表示，降低节点获取任务的交互次数、降低传输带宽占用，并在合并后的较大网段区间内生成伪随机序列，将连续的任务分散至不同节点。实现了高质量的随机化调度策略，避免同一节点对单一IP/网段进行高频扫描，降低扫描节点被防护设备封禁的概率。

交互协议识别：通过增加协议深度解析的服务，支持在互联网资产发现扫描主流程中，对特定的协议进行深度解析。也支持对指定目标范围的资产，深度解析特定协议。并基于已知的协议分布和识别方式，通过策略算法，提升单端口多协议识别的命中率，均衡协议识别工作量与识别产出结果，力求尽可能覆盖更多的端口/协议类型。

数据分析应用：保留传统指纹方式，对指纹做精细化运营，兼容传统观念用户场景。同时利用海量的测绘数据，结合机器学习技术进行分类、标注，生成网站分类预测模型。在指纹精细化运营的基础上，结合网站分类预测模型，可以快速分析资产的关联关系，在海量数据中找到相似资产，探索数据新价值。

三、我院实现互联网资产发现的具体方法

（一）全面梳理医院互联网资产及应用暴露面

采用相关安全厂家的细粒度资产信息指纹库，和双方安全服务团队同时通过“自研平台”加“专家人工梳理”结合的方式，全面、精准地梳理出暴露在互联网上的IT资产（设备类型、厂商、域名、IP、端口等），更可深入识别运行在资产上的中间件、应用、技术架构的详细情况（类型、版本、服务名称等）（如图1）。资产发现和应用发现结合，全面、精准解决互联网资产边界盲区问题，打好安全防御的基础（如图2）。

图2 互联网资产及应用信息统计

（二）精准绘制互联网医院资产画像

通过互联网资产发现服务，同时对探测到的互联网节点进行多维度的搜索，快速定位符合条件的目标网络节点，支持的信息搜索维度，包括但不限于：所属区域、所属组织、资产类型（自定义）、业务类型（自定义）、IP、端口、服务、域名、运行的操作系统类型、运行WEB应用的标题等，打造医院网络节点的详细信息，完成医院及各个分院区信息安全资产画像的绘制（如图3）。

图3 医院资产及业务类型分布图

（三）动态监控互联网资产变化

互联网资产发现服务可周期性检查未知互联网边界资产，及时发现医院IT资产的变更情况，帮助医院动态监控互联网资产变化，及时发现并取证违规上线行为。（如图4）

图4 互联网资产动态监控图

四、总结

互联网资产发现是医院信息安全的基础和前提，要实现互联网资产发现首先要确保选择的合作安全产家或安全产品需具备国际领先的资产信息指纹库，资产信息指纹库是信息安全厂商基础能力的体现，只有先识别资产信息，才能进行后续的信息安全评估、渗透及后续的防御工作。资产信息指纹库涉及的资产类型、版本庞杂，而且是随着软硬件系统厂商的升级不断变化，这就要求厂商具有很强的协议分析能力，以及持续跟踪投入的能力。

其次要与合作厂家共同打造强大的安全服务团队，医院的合作安全厂家最好拥有良好的本地安服团队、多梯次服务支持，用团队的力量保障交付质量。要求合作安全厂家不仅拥有攻防能力的专家、大数据分析专家，针对攻防研究结合数据分析，适用于云计算、大数据时代的复杂安全环境，同时需要与医院安全技术人员共同服务成长，落实具体的安全意识和措施。

最后合作的安全厂家必须具备精准的互联网资产画像能力，不同于传统的互联网资产发现服务，与医院合作的安全厂家不仅要做到基础的互联网资产发现（精度到设备类型、厂商、域名、IP、端口等），而且精细到运行于资产之上的中间件、应用、技术架构的详细情况（类型、版本、服务名称等）；并且依托于大量的相关同行案例和不断完善的知识库体系，要求安全服务厂家或安全产品能够做到对医院互联网资产精准的资产画像，精准探测医院互联网暴露面。