◆田由輝

(江蘇經貿職業(yè)技術學院 江蘇 211168)

2019年12 月新型冠狀病毒肺炎疫情爆發(fā)以來，我國投入大量的人力物力抗戰(zhàn)疫情，大量醫(yī)療物資、醫(yī)療隊伍支援疫區(qū)抗擊病毒。在抗戰(zhàn)疫情期間，有某些網絡黑客組織對醫(yī)療機構發(fā)起定向攻擊，攻擊者精心利用新冠肺炎疫情相關題材做誘餌文檔，如“新型冠狀病毒感染引起的肺炎的診斷和預防措施”、“武漢旅行信息收集申請表”等，進而通過相關提示誘導受害者執(zhí)行宏命令，醫(yī)療機構、醫(yī)療工作領域成為最大受害者，這種襲擊可能造成的損害，一旦得逞，輕則丟失數(shù)據(jù)、引發(fā)計算機故障，重則影響各地疫情防控工作的有序推進，危及個人乃至企業(yè)政府等各機構的信息安全[1]。

在重大疫情防控攻堅戰(zhàn)的關鍵時期，醫(yī)療數(shù)據(jù)網絡安全防護建設提出更高要求，醫(yī)療機構運行的各個系統(tǒng)（HIS、PACS、LIS、醫(yī)保系統(tǒng)），系統(tǒng)之間實現(xiàn)無縫鏈接。醫(yī)療機構不僅要滿足高效的內部自動化辦公需求，還要對外網的通訊暢通。因為醫(yī)療機構的信息系統(tǒng)需要連接外網、醫(yī)保專網、第三方機構支付機構等，所以保護醫(yī)療機構信息系統(tǒng)中的數(shù)據(jù)及應用安全顯得尤為重要。

1 網絡安全風險分析

1.1 遠程辦公安全問題

新冠肺炎疫情防控期間可以說是我國數(shù)字化時代最大規(guī)模的一次集體遠程辦公。大規(guī)模的遠程辦公可能帶來一系列隱私和數(shù)據(jù)安全隱患。

（1）安全隱患來源于員工的安全意識不足。在遠程辦公環(huán)境下，員工脫離了企業(yè)的安全邊界，從外部互聯(lián)網環(huán)境訪問和處理任何能夠維持正常工作的賬戶、文檔或數(shù)據(jù)。個人電腦、WiFi、郵件、甚至攝像頭、U盤等都可能存在數(shù)據(jù)泄露風險，且員工無法做到安全事件的及時發(fā)現(xiàn)、及時處置。

（2）安全隱患來源于遠程辦公安全防護手段不到位。特殊時期，大量遠程工作人員經常會使用公共WiFi，例如機場休息室、酒店、咖啡店甚至鄰居網絡，醫(yī)療數(shù)據(jù)安全受攻面成幾何級數(shù)放大。然而，缺乏可靠的安全接入平臺，沒有VPN、堡壘機等基礎安全手段。一旦開展互聯(lián)網辦公，接入和傳輸通道均存在較高風險。

1.2 云環(huán)境安全問題

疫情防控是一項復雜和艱巨的工作，從病毒研究和疫苗研制、從新建隔離醫(yī)療機構到各地上線疫情防控平臺，都需要大量的IT資源支撐，而云計算在疫情防控IT資源供給方面扮演了極為重要的角色。2020年1月26日，中國電信向“火神山”醫(yī)療機構交付云資源，為 HIS、PACS 等核心系統(tǒng)部署提供計算與存儲能力，實現(xiàn)火神山醫(yī)療機構核心業(yè)務系統(tǒng)上云。

在云環(huán)境中，大部分應用的是虛擬化技術，通過對資源的整合和利用，更好地進行業(yè)務系統(tǒng)的應用。但是這些虛擬化環(huán)境存在新的問題，對于傳統(tǒng)安全防火墻技術不能有效監(jiān)控虛擬機流量。檢測所有通過虛擬機的數(shù)據(jù)分組，組織所有未經批準的連接和允許對數(shù)據(jù)分組進行更深層次的檢查，確保虛擬機間部分通信的安全，但是對于虛擬機之間的攻擊流量的特殊性，使用虛擬化的網絡流量分析已經無法解決這樣的問題。

1.3 新安全威脅問題

高級持續(xù)性威脅（簡稱APT，也是這次疫情網絡攻擊的方式）是一種新的網絡安全威脅。它可以繞過各種傳統(tǒng)安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續(xù)滲透等方式，伺機竊取網絡信息系統(tǒng)核心資料和各類情報的攻擊方式[3]。

一般的殺毒軟件可以解決已知木馬、病毒，但是對于這種APT的攻擊卻無法防護，APT的攻擊采用0day漏洞進行網絡滲透和攻擊，且具有持續(xù)性及隱蔽性。這種不斷的攻擊者采用不同的方式，進行滲透到網絡內部，然后潛伏，不斷去收集各種信息，直到盜取到重要情報。這些新型的攻擊和威脅主要針對大型企業(yè)、國家重要的基礎設施或者具有核心利益的網絡基礎設施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施很難有效應對APT攻擊。

2 網絡安全防護思路

2.1 建設思維

疾控部門和醫(yī)療機構是傳染病疫情防控的主力軍，新技術在傳染病疫情防控工作中的應用和普及，有望提升疾控部門和醫(yī)療機構的疫情防控能力，提高疫情防控工作效率，降低受到疫情感染的風險。對于疾控部門和醫(yī)療機構，一方面應該鼓勵和支持新技術在傳染病疫情防控工作中的應用，創(chuàng)新思路，勇于接受和嘗試新技術廣和應用；另一方面，應充分重視新技術應用過程中的網絡和數(shù)據(jù)安全問題，積極做好網絡和數(shù)據(jù)安全防護措施。

（1）由于傳統(tǒng)等保建設思路是按照基本要求進行差距分析，強調信息系統(tǒng)的各個技術控制點的單一防護措施，而且主要是以安全產品的特征碼和規(guī)則庫進行防護，缺少把控動態(tài)安全的能力，新思路如下：

①基于等保被動防御，增強情報能力，風險防患于未然；②改變傳統(tǒng)等保的單兵作戰(zhàn)，安全態(tài)勢感知與防御協(xié)同聯(lián)動，提升防護效率，降低運維成本[8]。

（2）信息系統(tǒng)的防護能力需要從多個維度進行提升，不僅依靠本地化的安全設備，同時需要動態(tài)的安全情報；有發(fā)現(xiàn)才有防護，有防護就會生效，基于安全新認知擴大防護的概念；多維度本地防護體系的建立，結合云端安全大數(shù)據(jù)產生威脅情報，可形成針對性的智能等保生態(tài)防護圈。

①預警能力。利用云端的威脅情報，互聯(lián)網安全眾測，態(tài)勢感知能力，賦予信息系統(tǒng)預警的能力，能夠從海量的安全大數(shù)據(jù)中精確判斷攻擊行為，提前保護信息系統(tǒng)的安全。

②防護能力。將等級保護的安全技術控制措施，通過新技術產品進行替代并增強，同時結合云防護的能力，將整體的信息系統(tǒng)防護能力提升。

③溯源能力。利用威脅情報與本地全量數(shù)據(jù)進行整合，通過可視化分析技術，快速定位安全風險，形成智能的安全管理中心。

2.2 “云+端+邊界+聯(lián)動”新安全體系

云和端的聯(lián)動計算、軟件定義網絡、基于WEB的規(guī)?；疘T和基于風險的安全和自保護系統(tǒng)，且大數(shù)據(jù)安全分析將會是下一代安全平臺的核心。利用云安全系統(tǒng)和云計算能力，形成安全設備的最強大腦，無限擴展設備的已知威脅感知能力，使設備不再面臨升級后防御的現(xiàn)狀，實時進行最新威脅的檢測。通過對各種原始安全數(shù)據(jù)的收集，利用大數(shù)據(jù)分析能力，形成有價值的威脅情報，使靜態(tài)數(shù)據(jù)成為智能數(shù)據(jù)，利用聯(lián)動機制，使網絡中的終端安全系統(tǒng)、邊界安全系統(tǒng)、過程防御系統(tǒng)具有軟硬件共同協(xié)同、終端邊界聯(lián)合防御的能力，使整個網絡具有自防護能力。

采取對邊界網絡流量的全流量的感知和分析，來發(fā)現(xiàn)邊界威脅。實時對終端的文件與通信進行安全監(jiān)控，利用云端威脅感知數(shù)據(jù)來發(fā)現(xiàn)終端威脅。不管是內部網絡產生的威脅，還是外部帶來的威脅，采用聯(lián)動接口和邊界、終端的檢查結果，以及云端的威脅態(tài)勢感知數(shù)據(jù)分析能力，實現(xiàn)對整個網絡威脅的聯(lián)合感知和聯(lián)合防御。將三者有機統(tǒng)一起來，通過安全管理和大數(shù)據(jù)分析技術，將所有技術進行統(tǒng)一的融合和管理，利用大平臺形成立體式的管理。

3 網絡安全防護體系設計

3.1 總體網絡安全架構

根據(jù)醫(yī)療機構信息系統(tǒng)的業(yè)務功能、特點及各業(yè)務系統(tǒng)的安全需求，將網絡劃分為內網接入?yún)^(qū)、外網接入?yún)^(qū)、邊界接入?yún)^(qū)、內網辦公區(qū)、運維管理區(qū)、內網核心業(yè)務區(qū)、外網辦公區(qū)、外網業(yè)務區(qū)。向電信運營商申請互聯(lián)網接入專線，組建醫(yī)療機構外部辦公局域網。為構建一個強壯、有效的網絡安全防護體系，按照等級保護三級的標準，在分析醫(yī)療機構網絡架構存在的問題后，在核心業(yè)務區(qū)和關鍵業(yè)務服務器群前端部署防火墻來解決來自外部和內部對服務器的威脅攻擊，包括：蠕蟲病毒攻擊、應用層的攻擊等安全威脅；在核心交換區(qū)部署入侵檢測設備，實時記錄來自內部或外部的威脅攻擊源；管理維護區(qū)域部署日志審計系統(tǒng)，收集安全設備、網絡設備、主機設備的安全日志已掌控全網的安全威脅狀況；內部和外部的運維人員操作過程中的日志審計工作通過運維審計系統(tǒng)進行審計和權限的控制，避免出現(xiàn)越權操作行為；在業(yè)務服務器區(qū)部署數(shù)據(jù)庫審計系統(tǒng)，可以實時審計數(shù)據(jù)庫當前運行操作狀態(tài)；全網的應用系統(tǒng)、安全設備、網絡設備、主機設備，通過安全管理平臺關聯(lián)分析技術，收集整個網絡的安全現(xiàn)狀，管理員隨時解整個系統(tǒng)中任意設備和信息系統(tǒng)的運行狀況。

醫(yī)療機構接入互聯(lián)網業(yè)務，將互聯(lián)網接入的安全建設也進行部署，邊界處通過防火墻、流量控制、上網行為管理對外網區(qū)域進行防護和審計。外聯(lián)用戶通過過網閘后訪問SSL VPN的方式進行認證接入，保證數(shù)據(jù)安全隔離及傳輸?shù)陌踩煽俊Ｔ谕饩W和內網之間通過部署網閘產品實現(xiàn)內外網的物理隔離，在外網業(yè)務讀取內網數(shù)據(jù)的時候達到安全可靠。針對內網的用戶上網和外部客戶訪問內部的應用程序的可用性方面保障，在內外網之間部署物理隔離網閘產品，在保證內網數(shù)據(jù)安全的前提下，實現(xiàn)外網業(yè)務對內網數(shù)據(jù)的訪問。

3.2 網絡安全風險處理

（1）終端預警

針對信息系統(tǒng)使用單位的終端所感染的僵尸、木馬、蠕蟲、病毒進行有效發(fā)現(xiàn)與感知，通過云端搜集到的本單位互聯(lián)網終端所感染的病毒木馬等數(shù)據(jù)以及所掌握的惡意代碼樣本數(shù)據(jù)，結合本地流量樣本、主機 IP等信息，可以發(fā)現(xiàn)本單位終端的病毒與木馬，并清晰繪制出本區(qū)域的感染范圍等威脅態(tài)勢。

（2）大數(shù)據(jù)處理

通過DNS解析記錄、WHOIS信息、樣本信息、文件行為日志等內容，在云端搜集與安全相關的數(shù)據(jù)，并針對所有這些信息使用機器學習、深度學習、重沙箱集群、關聯(lián)分析等分析手段，PB級的搜索引擎的全網抓取數(shù)據(jù)、可視化的分析數(shù)據(jù)，以及其他多個維度的互聯(lián)網大數(shù)據(jù)進行關聯(lián)分析和歷史檢索，再結合一個專家運營團隊不斷通過不同的攻擊思路挖掘大量數(shù)據(jù)[4]。掌握發(fā)現(xiàn)國內最多的 APT攻擊組織信息、并不斷地跟蹤相關信息，經過人工確認和同時依賴于海量數(shù)據(jù)對攻擊背景做出準確和充足的判定。

3.3 響應恢復

為更好地保障信息系統(tǒng)運行過程的安全風險，一旦出現(xiàn)緊急安全問題，應急響應是緊急處理問題，對發(fā)現(xiàn)的問題進行分析。應急響應服務的工作內容如下：

（1）準備：基于威脅建立一組合理的防御及控制措施、資源與流程等；

（2）檢測：確認安全事件狀態(tài)，并開展檢查、分析、評估與備份等操作；

（3）抑制：組建基于威脅的防護/控制策略；

（4）根除：網絡安全事件被抑制之后，查出攻擊來源和分析原因，并根除；

（5）恢復：遭到破壞的信息系統(tǒng)和相關數(shù)據(jù)進行恢復到常用狀態(tài)；

（6）跟蹤：恢復完數(shù)據(jù)后，進行事件回顧和總結經驗，完善應急策略。

4 結束語

在新型冠狀病毒肺炎抗戰(zhàn)疫情下，本文分析疫情防控中存在的網絡安全問題，基于新的防護思路，在新技術領域的技術優(yōu)勢方面，充分挖掘新技術在傳染病疫情防控領域的應用空間和應用價值，利用新技術為疫情防控工作提供更為有力的武器。提高安全意識，建立安全機制，完善防護手段，落實安全責任，保障新技術在疫情防控工作中的安全應用，對疫情防控和部署有重要意義。