醫療網絡安全監控平臺的設計與實現

金 憲 珊

(樹蘭(杭州)醫院 浙江 杭州 310011)

0 引 言

醫院聯網的醫療設備包含輸液泵、核磁共振設備、X光機、CT、超聲設備、葡萄糖測定儀、心電監護儀、血氣分析儀等,研究發現醫療設備充斥各種可能被網絡罪犯以不同方式利用的漏洞。一般的電腦和服務器通常運行殺毒和其他安全軟件,而醫療設備由于其特殊性和局限性不能采取通用電腦或服務器那樣的解決方案。當惡意軟件植入到醫療設備中,就可以盜竊醫療信息,醫療設備被入侵,病患的健康、安全和隱私都面臨巨大的風險。傳統的安全解決方案是建立在已知惡意軟件的特性和行為基礎之上的,保護的是性質相同的IT網絡。對于日益增長、類型復雜、缺乏標準化醫療網絡,傳統被動防御方法并不奏效，需要一種醫療網絡的安全監控平臺,主動識別醫療網絡中存在的風險，解決醫療網絡的安全隱患。安全監控平臺通過對醫療網絡上傳輸的數據進行分析，根據這些網絡傳輸數據確定在線醫療設備的正常行為模式,一旦在網絡傳輸指令中發現異常的控制指令或信息,立即存檔并生成告警信息發送至醫療安全監控網絡管理平臺。實現方法需要的設備有：安全監視設備，處理網絡流量提取有用信息；遠程服務器，分析來自安全監視設備的數據并利用機器學習算法發現識別醫療網絡上的設備,根據采集的信息對設備進行分類，確定每一臺設備正確的行為模式,檢測異常行為以及完成對異常行為的后處理。

1 醫療網絡安全監控平臺組成

醫療網絡安全監控平臺的組成如圖1所示。一個醫療網絡由各醫療子網、圖像存檔及通信系統PACS和其他醫療子網例如檢驗信息系統LIS、放射信息系統RIS、臨床信息系統CIS等組成。每個醫療子網中可能包括了若干以有線或無線方式連接的醫療設備、工作站和服務器,所有設備通過以太網上的工傳輸方式進行消息和數據的交換。所有醫療子網包括一臺網絡交換機300完成所有子網的網絡數據交換，通過網絡交換機300的設置，將包括有線和無線連接的所有網絡通信映射到子網交換機的鏡像端口上,每個醫療子網交換機300的鏡像端口與安全監視設備100相連，該安全監視設備對全網的所有數據進行監視。各個醫療子網的安全監視設備通過等加密通道和互聯網與遠程服務器200相連。

圖1 醫療網絡

1.1 安全監視設備

安全監視設備100的系統組成如圖2所示。安全監視設備根據網絡通信協議對醫療子網的所有網絡通信數據進行深度包解析,得到包括數據源地址和目的地址、數據包類型、數據類型等信息。醫療設備標準協議是DICOM通信協議,當醫療網絡使用DICOM通信協議時,安全監視設備在獲得了網絡交易數據的源IP地址、目的IP地址后,根據端口確定上層是DICOM服務,根據不同服務的不同參數,對DICOM消息或DICOM協議數據單元PDU進行解析,并將這些解析后的信息通過加密通道發送至遠程服務器200進行進一步的分析和處理,確保安全監視設備在網絡中通信的安全。

圖2 安全監視設備結構

在DICOM中,標簽由組標記和元標記組成,可以理解為組標記為影像信息做大的分類,元標記在大類中分小類。總之標簽的功能是區分每個信息并分類,這種包括標簽、長度和數據的信息被成為元素,有時元素中可以包括類型定義,用來標記該元素的數據類型。實際上,DICOM文件就是由不同元素組成的,這些元素的組合叫做數據集。DICOM協議中,傳輸和存儲的內容都是數據集,要執行不同的服務,需要使用不同的數據集。例如定義影像,我們可以把它先分為病人信息、診斷信息、序列信息和影像信息,其中病人信息可以包括姓名、編號、性別、年齡等,同樣診斷信息、序列信息、影像信息也可以再細化。在DICOM中,這種可以細化分類的對象叫做信息對象,每個信息對象有多個數據元素組成。DICOM標準已經定義了不同的信息對象,因此要定義數據集,只需要找到該數據集包括的信息對象,然后把各個信息對象包括的元素找出來,最后對元素按標簽順序排序,就可以得到需要的數據集,如鏈表一樣。但是,有的數據元素可以包括一個或多個數據集,因此可以把DICOM數據集看作二叉樹結構。

處理器110負責所有設備的計算和管理,作為安全監視設備的核心。存儲器120存儲所有需要保留的數據和信息,主要包括設備型號信息、設備行為歷史數據等。網絡通信接口130與交換機的鏡像端口相連，接收醫療子網的網絡數據。數據加密通信模塊160將通信數據加密后通過網絡接口130發送給遠程服務器200,這樣能夠保證數據和信息傳遞的安全可靠。

安全監視設備還包括數據捕獲模塊140和數據分析模塊150。數據捕獲模塊140通過所在網絡中的交換機的鏡像端口獲得所有所在網絡的通信數據,這些數據包括設備行為數據、設備自身型號數據和設備采集的數據等。數據分析模塊150根據正在使用的網絡通信協議解析有效載荷中的信息,獲得元數據。

安全監視設備將采集并分析后的元數據發送給遠程服務器,安全監視設備通過數據加密通信模塊160向遠程服務器200發送元數據。安全監視設備通過網絡通信接口將解析出與醫療設備相關的元數據和與之相關的IP地址發送到遠程服務器進行進一步的分析。安全監視設備的網絡通信接口120和遠程服務器200網絡通信接口之間的通信通過虛擬私有網絡進行數據傳輸,這里所說的虛擬私有網絡是指使用公開網絡架設一條安全的私有網絡。

1.2 遠程服務器

遠程服務器200從各個安全監視設備接收到已經分解的元數據進行進一步分析,每一個數據交換都生成一個記錄,針對相同IP地址的記錄就形成了該IP地址對應醫療設備的歷史記錄。通過對同一IP地址的數據作進一步的數據包和數據類型的分析,遠程服務器得到該IP地址對應的醫療設備的配置信息,最終確定該IP地址對應的醫療設備類型和具體配置。例如,一臺血壓測試設備的使用記錄、設備型號等信息,能夠與其IP地址對應。通過這個方法,遠程服務器可以確定所有在線的醫療設備的類型和配置。

遠程服務器根據累積的歷史記錄、醫療設備的配置資料和現有醫療網絡所使用的網絡通信協議(例如DICOM)，通過機器學習的算法建立和更新醫療設備的正常行為模式,所述正常行為模式可以是規定的醫療設備進行數據的采集的時間、數據采集的順序、控制指令的來源、控制指令的格式等,這些信息都存儲在數據庫中。當遠程服務器接收到安全監視設備獲得的相關控制指令與現有的正常行為模式不符時,所述的與正常行為不符，包括但不限于控制信息來源于未知主機、控制指令數據為非法數據、在規定的時間以外的指令等,則遠程服務器記錄該異常信息,自動生成告警數據并通過網絡向現有醫療網絡管理平臺報告。

遠程服務器200的系統組成如圖3所示。處理器210負責所有設備的計算和管理。存儲器220存儲所有需要保留的數據和信息。網絡通信接口230負責接收來自各個醫療子網加密的元數據,同時也發送告警信息到醫療網絡管理平臺。網絡數據解密模塊240將來自醫療子網的數據解密獲得元數據,發送至設備發現模塊250并存儲至存儲模塊220。設備發現模塊250從元數據中獲得與醫療設備相關的源IP地址、目的IP地址、數據包類型、數據類型和其他的信息,并根據這些信息分析后生成或更新事件記錄、訪問記錄和系統記錄,并為涉及的醫療設備生成或更新歷史記錄。進一步地,設備發現模塊250利用機器學習，根據已有的歷史記錄和當前信息進行聚類分析,當信息足夠確定相關醫療設備的類型和配置時,為該醫療設備建立包括具體配置的資料檔案,并存儲在存儲器220上。醫療設備行為模式識別模塊260是根據特定的醫療設備的具體資料結合歷史數據,通過機器學習的方法創建該醫療設備的正常行為模式，并存儲下來用于異常行為處理模塊270對后續網絡流量的判斷。異常行為處理模塊270根據醫療設備的正常行為模式和配置資料通過機器學習的算法判定當前的網絡數據流量是否符合正常行為模式,例如是否來源于可信主機、控制指令是否符合正常使用的規律、控制指令數據是否合法等。如果發現任何一項異常,異常行為處理模塊270在生成事件記錄之后,自動產生告警信息,并將告警信息封裝為可以傳輸的數據包發送到網絡通信接口230,進一步由網絡通信接口230發送至現有的醫療網絡管理平臺。如圖3所示,處理器210同時與存儲設備220、網絡通信接口230、網絡數據解密模塊240、設備發現模塊250、行為模式識別模塊260和異常行為處理模塊270連接；存儲設備還與網絡數據解密模塊240、設備發現模塊250、行為模式識別模塊260和異常行為處理模塊270連接；網絡通信接口230同時與網絡數據解密模塊240和行為模式識別模塊連接260；設備發現模塊250與行為模式識別模塊260連接；行為模式識別模塊260與異常行為處理模塊270連接。

圖3 遠程服務器系統組成

1.3 網絡數據處理流程

圖4是遠程服務器在處理醫療子網的網絡數據時的流程。

圖4 網絡數據處理流程

步驟1將一條來自安全監視設備經過加密的網絡交易數據進行解密。

步驟2獲得解密后的網絡交易元數據。

步驟3根據源IP地址和目的IP地址確定該交易數據所屬的醫療設備。

步驟4生成該醫療設備的事件記錄,若已經存在針對相同IP地址的事件記錄,則更新該醫療設備的歷史記錄,否則生成該IP地址的歷史記錄。

步驟5檢查該交易數據關聯的醫療設備是否存在配置檔案資料。

步驟6若步驟5中判斷沒有該交易數據關聯的醫療設備配置檔案存檔,則創建該醫療設備的配置文件,并存檔。

步驟7若步驟5中判斷有該交易數據關聯的醫療設備配置檔案存檔,則調取相關配置資料,結合歷史數據對當前網絡數據為下一步進行行為分析做準備。

步驟8檢查當前數據涉及的醫療設備是否已經由正常行為模式存檔,若沒有,執行步驟10,若已有正常行為模式存檔,執行步驟9。

步驟9讀取網絡交易數據相關的醫療設備的正常行為模式。

步驟10判斷當前網絡交易數據和歷史記錄是否足以生成該醫療設備的正常行為模式,若可以,執行步驟12,否則執行步驟4。

步驟11根據相關的醫療設備正常行為模式判斷當前網絡數據表達的行為是否符合正常的行為模式,符合則返回步驟2接收下一條解密后的網絡交易元數據,否則,執行步驟13。

步驟12根據當前數據和歷史記錄生成相關醫療設備的正常行為模式,存檔并執行步驟14。

步驟13發現醫療設備異常行為,更新歷史數據,保留異常行為數據,并生成告警信息并發送至現有醫療網絡管理平臺,然后返回步驟2,接收下一條網絡交易數據。

步驟14根據歷史數據生成/更新該醫療設備的配置文件。

2 結 語

以色列本·古里安大學(Ben-Gurion University)和索卡大學醫學中心比爾-舍瓦的一組研究人員已經證明，黑客可以修改3D醫學掃描結果，可以從中添加或刪除包括動脈瘤、心臟病、血塊、感染、關節炎、軟骨問題、韌帶撕裂以及大腦、心臟或脊柱的腫瘤等各種疾病。專家發現，大約有2 700臺PACS和DICOM服務器的信息在網上泄露，醫療網絡安全監控的應用迫在眉睫。本平臺無需對現有的醫療設備作任何修改,不需要在醫療設備上加裝代理軟件,是一種積極的安全措施。該醫療網絡的安全監控平臺能夠自動識別醫療網絡上連接的所有設備和設備類型,能夠對醫療網絡上在線醫療設備數量和類型一目了然,并提供實時的運行狀態。對醫療網絡上的每臺設備數據交換進行跟蹤,分析確定每個連接設備的正常行為模式，實時分析判斷異常的控制指令,根據需要實時隔離威脅并發送告警信息到網絡管理平臺，提升醫療網絡的安全防護能力，有效提升醫療網絡安全監控的效果，平臺在醫療系統的應用前景很大。