醫院跨網文件安全交換技術設計與實現方案

馬曉亮，孫艷紅

1. 重慶醫科大學附屬第一醫院 設備處，重慶 400016；2. 國家稅務總局重慶市稅務局 璧城稅務所，重慶 401121

引言

目前，我國絕大多數醫院的內外網絡都實現了物理隔離[1]，醫院的采購訂單、財務報表、患者病歷、設備照片和驗收合同等文件存在跨網交換的需求，傳統采用U盤等移動介質進行跨網交叉復制的方式，整個過程不可控，容易造成敏感數據泄露和計算機病毒擺渡到內網[2]，還存在個別工作人員將一臺終端計算機同時接入醫院內網和互聯網，這樣破壞醫院內網的封閉性，可能導致外部攻擊者以該終端為跳板攻擊醫院內網。

醫院內網與互聯網隔離，在沒有與其他網絡和介質進行數據交換的情況下，醫院內網不會產生數據泄露和計算機病毒感染[3]，醫院文件交換存在以下的問題：① 敏感數據泄露：根據Verizon關于醫療數據的安全報告，泄露的數據有28%以上由于內部員工非法復制內部數據造成，醫療行業是所有行業中內部威脅超過外部威脅的行業。醫院內網業務系統存儲著大量的財務信息、患者個人信息、病例、化驗結果和電子處方等信息[4-5]，按照2020年7月3日頒布的《中華人民共和國數據安全法（草案）》，醫院有義務保護內網數據不被非法復制和泄露[6]；② 交換效率低和審計困難：文件交換流程需要經過復雜和漫長的審批，造成文件跨網交換工作量大和效率低的問題，而且難以事后審計[7]；③ 計算機病毒傳播：醫院內網服務器和終端計算機缺少安全防護措施，殺毒軟件特征庫更新不及時，軟件漏洞長期得不到修復[8-9]，一旦內網有一臺主機感染病毒后，病毒會在內網蔓延，由于缺乏相應的檢測手段，或者由于內網隔離，云安全技術通過云安全中心無法有效鑒定威脅，造成計算機病毒長期無法被發現，直到病毒發作或大規模爆發出現明顯癥狀后才被發現[10]。如圖1所示，2019年醫院感染勒索病毒樣本數量占比17.39%[11]。

圖1 2019年勒索病毒感染行業分布

本文采用安全隔離與信息交換系統、終端管理系統、數據防泄漏系統和異構化殺毒技術，在保證內外網隔離的情況下，通過自動化數據防泄露和人工審核的方式，防止敏感數據泄露，使用終端管理系統對內網終端進行管控，防止非法內聯和外聯造成的安全風險，運用異構化殺毒技術和沙箱確保跨網交換文件的安全性，避免計算機病毒被擺渡到內網，造成內網計算機病毒泛濫，同時采用EDR端點威脅檢測和響應系統，及時隔離被計算機病毒感染的終端，有效防止計算機病毒在內網的蔓延。

1 方案關鍵性技術

對于醫院的文件交換需求與內網安全需求，需要采用一些關鍵性技術，實現跨網文件安全交換，既可以滿足文件和數據交換的需要，也可以最大限度地防止敏感數據外泄和病毒被擺渡到內網。

1.1 終端管理系統

終端管理系統通常利用網絡接入控制系統采用軟硬件結合的方式，以終端驗證和終端安全為基礎，通過身份認證以及安全域控制等手段，從根本上保證接入網絡的終端可信程度和授權訪問[12]。如圖2所示，具備終端接入控制管理、主機安全審計管理、補丁與文件分發管理和移動存儲管理等功能[13]，嚴格控制私自接入內網的計算機聯網，只有全新安全并且沒有連接互聯網和移動存儲設備的終端計算機才能注冊入網，一旦入網注冊后，U盤等移動介質將被禁止使用，如果用戶將計算機連接到互聯網，外網監控服務器將切斷計算機聯網和鎖定非法外聯的計算機終端并向管理員發出告警，為醫院的終端入網安全管理提供強有效的保障。

圖2 終端管理系統架構圖

1.2 安全隔離與信息交換系統

安全隔離與信息交換系統俗稱網閘[14]，由內網處理單元、外網處理單元和安全數據交換單元組成，依據用戶的業務需要制定安全交換策略，在保證內外網隔離的情況下，完成內外網絡數據的安全通信。在跨網交換過程中，依靠網閘連接兩個以上相互隔離的網絡，通過網站將網絡連接的數據協議進行分離還原原始數據，在安全數據交換單元內完成數據協議的重新封裝，然后發送到對端網絡中，實現可靠、高效的安全數據交換，在保障用戶信息系統安全性的同時，最大限度保證客戶應用的方便性。

1.3 端點威脅檢測和響應系統

Gartner 提出了端點威脅檢測和響應（Endpoint Threat Detection and Response，ETDR ）的概念，彌補傳統殺毒軟件和防火墻的缺陷，不再是被動的防護，而是采用終端威脅檢測和群體響應的方式，及時發現網絡中的挖礦機、勒索病毒和蠕蟲病毒，利用微隔離技術，對不同的終端和業務之間的網絡流量進行精準攔截，通過控制中心及時下發安全策略，封堵安全漏洞，避免病毒擴散[15]。

1.4 數據防泄漏系統

數據防泄漏系統針對數據存儲、傳輸和使用三種狀態，在文件交換過程中對文件進行全生命周期的泄密檢測和攔截，保證了敏感數據泄露行為事前能被發現，事中能被攔截和監查，事后能被追溯。在網絡數據交換出口進行協議分析和內容識別，發現敏感數據傳輸；對服務器中存儲的數據進行審計和分析，根據單位設定的安全策略，及時發現、識別、攔截和記錄敏感數據。

1.5 高級威脅檢測系統

高級威脅檢測系統俗稱沙箱，可以針對高級可持續威脅進行檢測[16]，傳統的入侵檢測技術和殺毒軟件主要利用特征碼技術進行威脅分析，需要經過捕獲樣本、分析樣本、提取特征碼和發布升級庫等流程，致使檢測能力相對于攻擊手段滯后，產生大量無法檢測的攻擊和計算機病毒，尤其是面對零日漏洞利用和免殺處理后的惡意代碼基本失效[17]。攻擊者常通過社會工程學獲取機構的相關信息，通過構造帶有惡意代碼的Office、PDF、lnk和圖片等文件發送給被攻擊者[18]，或者對勒索病毒、木馬和后門等計算機病毒進行免殺處理躲避檢測。高級威脅檢測系統通過內置的模擬運行環境，將文件推送到沙箱內運行，將被加殼、代碼混淆和花指令等免殺技術處理過的惡意代碼進行還原，在沙箱系統內監測程序的運行，分析程序的進程信息創建、文件訪問、注冊表修改和網絡訪問等敏感操作，通過內置的機器學習等算法快速發現未知威脅攻擊。

2 跨網文件交換方案設計

跨網文件交換方案既要滿足醫院的安全需要，又要滿足數據文件交換的需求，根據安全需求分析制定安全交換策略，進而將安全策略通過技術手段制定方案，實現文件跨網安全交換的要求。通過異構化的病毒檢測技術對發送方、接受方、存儲服務器和網絡流量中的計算機病毒進行檢測，防止計算機病毒進入內網，數據文件只有經過人工或自動化審核后才能跨網交換，文件交換的整個過程，只有授權用戶才能發送、訪問和接受文件，文件不會被非授權訪問。利用端點威脅檢測和響應系統的微隔離技術及時隔離內網感染病毒的計算機終端，下發安全策略，升級補丁對內網計算機終端進行加固，防止計算機病毒在內網蔓延擴散。

2.1 文件交換的需求分析

根據醫院的數據文件的交換需求和內網安全需要，實現跨網文件交換必須同時滿足以下要求：保證醫院內網與外網的隔離，內網主機不能直接訪問互聯網，互聯網也無法訪問內網主機；醫院各科室不使用U盤和移動硬盤等移動存儲介質，通過醫院統一提供的數據交換通道進行文件交換，可以實現單位的有效管控；確保數據文件交換的內容符合單位的規定，數據必須滿足被審計的過程，對數據的訪問、傳輸、存儲、交換過程進行分析和判斷，形成必要的數據審批流程；對交換的文件進行病毒檢測，最大限度降低隔離內網感染病毒的風險；文件必須授權訪問，沒有訪問權限的用戶無法訪問、讀取和寫入文件。

2.2 安全風險解決對策總體思路

安全風險的解決主要是風險點的控制，在不破壞內網隔離的情況下，確保內外網文件交換都通過數據防泄漏審核和反病毒技術的檢測，沒有未經內容審核和風險分析的文件被跨網交換。

（1）跨網文件交換使用網閘，在不破壞網絡隔離的情況下，進行文件交換。

（2）在內網部署終端管理系統，禁止非法內聯和非法外聯行為，也就是內網終端無法使用移動存儲介質，也無法接入到外網，未經授權的無法接入內網。

（3）采用人工審核或DLP數據防泄漏系統對文件進行分析，防止內網敏感數據被復制到外網。

（4）在文件交換的路徑節點上采用異構化的防病毒技術進行檢測，通過在發送方、網絡傳輸、存儲和接受方等設備上進行多種惡意代碼檢測手段，最大限度發現計算機病毒和0day攻擊，多引擎分析可以有效減少漏報和誤報，將跨網文件交換對內網帶來的風險降到最低點。

（5）文件交換的服務器通過賬號、IP地址限制和文件訪問權限設置，保證文件不被非授權訪問。

2.3 文件交換系統設計與實現

在內網終端部署終端管理系統，只有經過入網注冊審核的終端才能聯入內網，接入內網后的計算機終端，通過終端管理系統禁用U盤和移動硬盤等移動存儲介質，如果內網計算機終端接入互聯網，終端管理系統發現連接互聯網，計算機終端將被NDIS驅動程序阻斷網絡連接，同時互聯網監測服務器向管理員發出告警，有效地解決使用移動存儲介質和接入互聯網復制文件的行為，使單位提供的跨網交換系統成為內外網唯一文件交換通道，建立統一、安全、可控、便捷的跨網數據交換通道。

如圖3所示，將內網服務器劃入DMZ區，內網服務器感染病毒后不會向內網服務器擴散，整過文件交換過程中，文件經過發送方計算機終端、發送方文件服務器、接受方文件服務器、防毒墻和接收方計算機終端的反病毒引擎檢測，多種異構化殺毒軟件盡量降低漏報風險，文件服務器設置權限禁止上傳可執行文件，利用APT檢測沙箱技術和EDR檢測技術防止針對Office、PDF的0day攻擊，有效降低內網感染病毒的風險。

通過DLP敏感數據泄露檢測系統和部署在服務器上的文件審批系統，對內網向互聯網跨網發送的數據進行數據泄露自動化和人工檢測，如圖4所示，文件在跨網文件安全審批交換系統中完成上傳、發送、檢查、審核、審批、接受、下載和記錄的全流程管理，內網用戶通過賬號登陸跨網文件安全審批交換系統，上傳和發送需要跨網交換的文件到發信箱進行技術審核，有內容審核和審批權限的人員對文件內容進行人工審核，對審核通過的文件進行跨網交換審批，發送到對端互聯網服務器上的同一賬號下的收信箱，用戶登陸接受端網絡服務器下載文件[19]。審核記錄和交換的文件在服務器中至少保存6個月以上，不僅符合國家的《網絡安全法》，也便于單位對用戶交換的文件進行事后審計，整個跨網文件交換系統實現了事前檢查、事中審核和事后審計的跨網文件交換全生命周期管理。

圖3 跨網文件交換系統拓撲圖

圖4 跨網文件安全審批交換系統

3 結果

通過對風險指標、內網病毒活躍度、新病毒樣本測試、高風險終端數量和敏感文件檢測率進行對比分析，結果如表1所示，內網終端管理系統和網絡版病毒監測系統對6月和7月對比分析如圖5所示。

表1 傳統交換方式與跨網審批方式對比分析

4 討論

文件跨網交換方案實現了網絡信息安全與文件交換需求的平衡點，同時滿足了醫院業務需要和網絡安全需要，遠程風險評估系統的風險指標由9.3分高風險降低到3.6比較安全，比USB交換方式的殺毒軟件病毒攔截率大幅提升[20]，內網安全告警次數下降了約90%，病毒活躍數量由4121個下降到137個，高風險終端數量由152臺下降到27臺；通過事前的DLP檢查、事中的人工審批和事后的保密檢查系統的“三審”機制，DLP數據泄露防護系統可以檢測出86.40%以上的敏感文件。

本方案雖然大大降低了網絡安全風險和敏感數據泄露問題，但仍然存在病毒漏報和人工審核效率低的問題。另外，通過保密檢查軟件分析服務器磁盤的文件進行事后敏感文件交換審計，有保密文件泄露和審計滯后的問題。在網絡安全管理領域，普遍認為“三分靠技術，七分靠管理”。首先，要不斷增加網絡信息安全投入和引進新技術，可以通過態勢感知和NTA全流量分析，提高網絡安全風險識別精準率；其次，加強員工的安全意識培養，防止網絡安全事件的發生。

圖5 內網網絡安全事件告警次數對比

5 總結

本文通過網閘、異構化殺毒軟件、終端管理系統、敏感數據防泄露技術、沙箱和文件服務器等產品的系統集成，構建了可以滿足多種醫院文件交換需求的跨網文件交換系統，醫院可以根據單位的安全管理和數據安全需求，制定相應的數據檢查策略和文件訪問權限，可以實現對內控制訪問范圍和對外跨網交換內容，有效防止了醫院敏感信息的泄露，同時，通過異構化殺毒引擎、EDR和APT高級可持續攻擊檢測技術，有效防止計算機病毒被擺渡到內網蔓延的情況，實現文件交換和內網安全的需求平衡。