nCompass為醫療行業信息安全穿上“鎧甲”_API

一、行業警示

新醫改背景下，國家從戰略高度將信息化建設定義為深化醫藥衛生體制改革的“四梁八柱”之一，不斷出臺推動醫院信息化發展的政策和舉措，為醫院信息化建設注入強勁動力。

醫院數據涉及個人健康隱私，利益面廣泛，往往是黑客覬覦的“大金庫”。近年來國內外新聞上不乏某醫院系統被植入升級版勒索病后癱瘓；某信息系統遭受黑客攻擊，導致系統大面積癱瘓、院內診療流程無法正常運轉的新聞。隨著國家及行業層面對信息安全重視程度越來越高，醫院防患于未然的意識和能力均得到了大幅度提升，但仍然會出現因為信息管理人員的疏忽或者安全意識缺乏，導致醫院信息系統“中招”。

2020年10月3日，美國阿拉巴馬州一名9個月大的女嬰意外死亡后，孩子的母親對嬰兒出生的醫院提起訴訟，聲稱醫院沒有披露其網絡系統被攻擊導致護理調配異常，最終造成了嬰兒死亡的后果。這一事件再次表明，網絡攻擊的影響后果不僅僅是數據、財產、聲譽的損失，甚至會造成生命的損失。

2020年4月29日，北京一家醫療機構的新冠病檢測相關數據被黑客以4比特幣的價格公開售賣，被出售的數據包括150MB的實驗室研究成果以及檢測技術源代碼等。

CoinCorner推出支持NFC的比特幣卡:5月24日消息，加密交換和網絡錢包提供商CoinCorner官網發布消息，宣布推出The Bolt Card，這是一種由近場通信 (NFC) 和閃電網絡 ( Lightning Network )提供支持的非接觸式比特幣 (BTC)卡。[2022/5/24 3:36:45]

2022年4月28日北京健康寶遭遇Rippr黑客團伙攻擊。

以上事件說明，醫療行業的數據安全已不容小視，須引起醫療信息行業高度重視。

二、行業痛點

1、穩定性及故障預警要求高

醫院信息系統，尤其是核心系統，都是7x24小時全年不能停機的，最大的維護時間窗只有半小時左右，否則就會影響患者排隊就醫。業務的特殊性決定了對網絡連續性的要求以及對網絡安全的保障程度要求較高。

2、現有安全產品瓶頸與不足防火墻

防火墻作為邊緣安全設備，醫院部署的防火墻，域內存在大量不合理及寬泛的安全策略，近年來國家對防火墻寬泛策略有明確等保要求，需要快速找出不合理策略，收斂寬泛、無效策略，但是人工梳理難度大，且無法驗證對現有業務影響，開啟對應策略的日志又會嚴重消耗性能且不夠靈活。運維團隊面對防火墻策略現狀束手無策，策略維護加重了運維負擔。另外，醫院需要對防火墻進行配置變更時，人工配置容易失誤，比如產生防火墻原端口映射配置未刪除及策略下發錯誤嚴重影響醫院就診的問題。安全事件發生后，院方希望第一時間自動過濾出事件相關的防火墻策略，然而策略配置還是防火墻自身問題所導致，由于缺乏數據支持難以判斷。

Sygnum添加Bancor、Chainlink、Compound和Polygon代幣的托管和交易:9月14日信息，瑞士數字資產銀行Sygnum宣布拓展其DeFi代幣產品，添加Bancor、Chainlink、Compound和Polygon代幣的托管和交易。此前報道，Sygnum啟動一系列去中心化金融 (DeFi) 代幣的托管和交易，包括Aave、Aragon、Curve、MKR、Synthetix、Uniswap和1inch Network，Sygnum還為USDC增加了銀行服務。[2021/9/14 23:24:40]

3、日志管理及審計設備

醫院的數據中心運營著大量醫療系統，日常運維監控需要對醫療系統和信息審計進行日志收集，部分醫院有自己的日志管理平臺，但展示效果不靈活，對分布的WAF節點和眾多的安全事件，也難以做到統一便捷的展示，不能結合異常期間的流量數據做到根因定位，無法對高頻攻擊做到統計分析，不利于醫院做后續針對性的防護。

4、安全代理設備

基于醫院業務性能擴展及安全考慮，醫院的大量負載設備采用的全代理模式通常會對客戶端地址進行源地址轉換，因此存在轉換前后通訊進行關聯的難題，另外，醫療系統與調度平臺之間的映射關系難以梳理，對攻擊路徑溯源和人工排查造成較大阻礙。

巴西警察查獲Grupo Bitcoin Banco的豪車及現金:金色財經報道，巴西聯邦警察周一在巴拉那州庫里提巴查獲了屬于比特幣洗錢團伙Grupo Bitcoin Banco的豪華汽車、珠寶和現金。Grupo Bitcoin Banco負責人Claudio Oliveir與他的妻子周一被捕。[2021/7/6 0:29:32]

5、泛洪攻擊流量難以回溯和定位

當醫院網絡面臨DDoS類攻擊時，如果查看該網卡的發包數在快速增加，導致損耗大量的網絡帶寬，引起網絡堵塞，就會造成廣播風暴。傳統的NPM由于廣播攻擊流量和包數巨大難以做到正常的解析和回溯。

6、DNS安全缺乏防護手段

醫院業務系統大部分采用域名方式對外提供服務，因此容易遭受基于主機耗盡型的DNS攻擊，攻擊采用的方法是向被攻擊的服務器發送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網絡上根本不存在的域名，被攻擊的DNS服務器在接收到域名解析請求時首先會在服務器上查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，DNS服務器會向其上層DNS服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載，每秒鐘域名解析請求超過一定數量就會造成DNS服務器解析域名超時，影響正常的域名業務訪問。由于缺乏防護和異常訪問統計手段，導致這類問題的事后處理被動，效率較低。

Visa 借記卡平臺 Swipe 收購 Fincofex，成立子部門 SwipeX:多資產數字錢包和 Visa 借記卡平臺 Swipe 宣布收購獲得英國電子貨幣機構許可的初創公司 Fincofex，并創立子部門 SwipeX Financial。SwipeX 將在明年初向客戶開放服務，并為 B2C 和 B2B 產品提供廣泛的附加服務，SwipeX 服務將由 SXP 提供支持和支付。

Fincofex 此前獲得過 Swift 會員資格，可以處理 Swift 匯款，也是萬事達卡在英國和歐洲經濟區的主要成員，可以為企業發行借記卡。[2020/11/7 11:55:11]

三、智維數據解決方案

智維數據基于多年智能分析領域和醫療行業運維服務的經驗積累，對上述醫療行業安全痛點有如下實現方案：

1、流量分析0影響

通過網絡旁路鏡像的方式，7*24小時實時采集數據中心關鍵網絡節點及防火墻前后的網絡流量。對現有網絡、應用不產生任何影響的前提下對流量進行精細化分析檢查。

2、防火墻性能0影響

支持多種方式定時獲取防火墻策略，如FTP、API、文件上傳等，無需開啟防火墻會話日志，通過獲取流量+配置，實現流量與配置關聯，在不影響性防火墻性能的情況下，為策略提供流量支撐。

動態 | 加密交易所Bitfin.io將起訴Bitfincoin商標侵權:據financemagnates報道，加密交易所Bitfin.io將起訴Bitfincoin商標侵權，Bitfincoin是一種加密貨幣，于2017年12月進行ICO。[2019/7/4]

3、多源數據統一接入管理

智維數據基于自身平臺化靈活架構支持多源數據接入，包括各類醫療系統日志和審計日志的集中收集和解析，可靈活精確地實現多個平臺聯動和對接，通過主動獲取與被動接收兩種方式來對接各平臺數據的數據，并接入到平臺內置數據庫，可實現日志的統一展示和管理。

4、異常業務路徑畫像

智維數據可基于負載設備的API接口獲取設備配置信息，基于配置信息+流量數據，動態、可視化展現完整的業務系統網絡路徑。基于業務訪問日志對于部分異步的業務進行數據流縫合，實現訪問關系的溯源。

5、智能化分析

智維數據產品內置多種智能算法及200多種場景的智能分析知識庫，當指標出現異常時，系統自動進行根因分析幫助運維人員更快的感知故障、分析故障，同時賦能運維人員數據預測、變化分析等能力。

四、使用場景

1、防火墻策略優化&故障早發現

防火墻是一種特殊編程的路由器，它作為醫院網絡的第一道防線，維護大量冗余策略，會占用自身性能，另外，也需要滿足等保2.0要求。智維數據基于防火墻前后端流量和配置信息，通過配置梳理和流量驗證，快速有效地進行策略收斂，不影響防火墻性能，滿足合規檢查要求，快速消除防火墻策略隱患。

同時，智維數據支持對醫院內的流量數據自動定期智能化巡檢。通過異常數據和特征值，發現域內存在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱口令等明顯存在安全隱患特征值的數據。

2、封堵驗證及監控

如何驗證下發的安全策略是否存在漏洞或者真實生效往往是醫院頭疼的問題。智維數據基于真實流量旁路采集的方式，監控實時數據，支持對已經封禁的IP和業務進行真實效果驗證，若數據表格中出現有流量封禁名單中的IP即可主動發出告警，并支持根因定位分析，可明確問題導致的原因，如策略配置問題或安全設備異常等。

3、DNS攻擊溯源及處置

智維數據支持對DNS設備進行深度監測，可針對醫院DNS服務器和53端口對院內DNS服務器全面解析和監控，可及時監測到DNS當前訪問量及響應時間是否異常，并根據異常響應碼和訪問成功率進行根因定位。基于告警和可視化，快速定位異常DNS攻擊來源及異常請求，通知醫院安全人員進行處置。

4、異常安全事件完全回溯定位

智維數據全流量分析平臺可以獲取全網流量，包括醫院出口及內網。平臺的業務畫像功能可基于歷史行為基線，發現新增的異常訪問。與CMDB數據相結合，可針對內網出現的新增訪問進行二次的檢測，對異常訪問實現主動監控。

智維數據支持基于流量特征及負載設備日志兩種方案對異步的業務進行靈活自動關聯數據流縫合，實現訪問關系的溯源，可針對攻擊經過的負載設備進行回溯分析。同時智維數據基于防火墻前后端流量和配置信息，可通過AI算法智能化檢測經過防火墻的業務流量。實時感知業務異常并定位與事件相關的IP和策略。快速判斷異常Deny行為及攻擊入口，并給出安全風險提示。

基于日志和流量數據，對攻擊源、地理位置、攻擊類型、攻擊方法等多種維度進行統計分析，將終端日志與流量路徑進行關聯，并針對防御策略制定提供數據支撐。

從流量、代理映射、資產、配置、日志、設備狀態等多層面全方位智能分析，實現安全異常事件精準發現。

5、ARP廣播風暴攻擊

從實際經驗來看，90%以上的網絡廣播風暴是病所致。智維數據擁有專門針對廣播風暴攻擊的高性能探針，通過Trunk口方式收集數據，只接收廣播、組播、單播泛洪的流量。并且由于產品的采集口使用混雜模式，還可避免接口環路的風險。能快速處理分析當前廣播域的ARP攻擊來源及產生告警，并且支持將告警數據推送至第三方處置平臺實現故障自愈。

6、無專家值守

智維數據基于多年的IT運維經驗，將常見故障的分析思路通過Python腳本預制在系統中，當出現告警事件、隱患事件或人工需要分析時，系統可自動獲取事件相關數據，并進行智能分析，輸出分析報告，簡潔易懂。

支持Syslog、郵件、短信、微信等告警通知形式。

總結

安全是醫療行業信息化部門極其重視的部分，本文為智維數據在安全層面的技術方案分享，除文中展示的場景外，智維數據還支持基于流量及安全事件特征進行定制化的數據溯源、分析和展示。

更多醫療行業運維場景及其他行業安全管控案例敬請垂詢。

Tags：DNSARPAPIDNS幣DNS價格ARP幣是什么幣API價格API幣

OKB