醫院互聯網資產發現服務的作用與實現

文 | 惠州市中心人民醫院 彭文強

隨著醫院信息化建設不斷深入以及互聯網+的快速發展，醫院越來越多的聯網信息系統通過互聯網技術向社會團體和患者個體提供服務，這些聯網信息系統為醫院和患者帶來便利的同時也成為了各種黑客組織、敵對勢力攻擊的目標，聯網信息系統一旦被黑客組織攻陷并加以利用，將會給醫院帶來業務收入損失、形象品牌損失、數據與財產損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國家安全。因此，發現、管理醫院互聯網邊界已成為信息安全的剛性需求。

一、醫院互聯網資產的安全風險

根據近幾年安全事件統計、分析發現：近年來聯網信息系統的網絡安全風險直線上升，并且聯網信息系統被惡意者攻擊利用后導致的損失都極其嚴重。

我們針對醫院網站等相關互聯網資產進行了模擬真實網絡攻擊，評估系統是否存在可被攻擊者利用的漏洞，同時對利用漏洞引發的風險損失嚴重程度進行評估，為制定相應的安全措施與解決方案提供實際的依據，問題列表如下：

目標系統 靶標類別 Ip地址 風險等級 漏洞類型 URL（可羅列） 數量XXXX醫院門戶網站（靶標）二類靶標 XXXX:86 高危 SQL注入1、 https://XXXX/Category/getInfo/id/662、http://XXXX:8XXXX/News/NewsInfo.aspx?Id=b3dcd6618e45 2高危 源碼泄露 https://XXXX/www.rar 1高危 弱口令 Admin/1 1高危 存儲型xss http://XXXX:86/UploXXXd9d33f01-54e2-4823-98ca-041bdca8eb26.pdf 1高危 反射型xss http://XXXX:86/Plugin/WebSite/Index.asp x?provinceId=630000&provinceName='-prompt(1)-'1高危 目錄遍歷 https://rczp.hzch.gd.cn:8089/ 1高危 sql注入+命令執行=拿到服務器權限開啟內網滲透http://hzch.gd.cn:86/plugin/WebSite/ZXY_WebSite/News/NewsInfo.aspx?Id=-1* 1臺高危 redis數據庫權限192.1XXX 192. XXX XXX 192.1XXX 4高危 MSSQL數據庫權限 192.1XXX；192.1XXX 5高危 MYSQL數據庫權限 192.1XXX 1高危 SMB權限 192.168.XXX 192.168.XXX 192.168XXX 16高危 ftp未授權訪問192.168.XXX 192.168.XXX 192.XXX 3高危 WEB應用漏洞192.16XXX 193. XXX XXX 5

高危 攝像頭未授權訪問192.1XXX85:80 192.1XXX.217:80 192.XXX.236:80 192.XXX166:80 192.XXX15:80 192.168.1XXX 192.168.111.239:80 192. XXX:80 193. XXX228:80 192.168.1XXX16:80 XXX 18高危 RDP權限192.1XXX 192.XXX 192.16XXX 192.16XXX（不出網）192.16XXX6（不出網）192.16XXX 9臺高危 SSH權限一臺 192.16XXX 1臺

上述問題可以看出，雖然網絡安全形勢非常嚴峻，醫院對互聯網資產的風險也很重視，但是仍舊存在大量聯網系統漏洞暴露在互聯網側，黑客極易利用這些漏洞對醫院聯網系統進行破壞導致信息安全事件發生，說明醫院未全面掌握暴露在互聯網上的資產信息，包括：應用系統、域名、端口、服務、IP等。導致醫院的防御體系出現了盲區，成為整個網絡安全體系的重要短板。在這個真實案例中，我們看到醫院一方面在竭盡全力檢測、分析、抑制攻擊，而另一方面，新的攻擊卻從一些“陌生資產”如停車管理系統、攝像頭等源源不斷爆發出來。這些“陌生資產”就像黑洞一樣，平時不可見、無防備，關鍵時刻卻吸引了大量攻擊流量、造成整個防御體系的失效。

深入分析導致聯網信息系統風險嚴峻的原因，發現雖然各個醫院都在不斷的完善自己的安全防御體系以此來抵制各種可能發生的威脅事件，但是僅憑借安全防御體系被動防御還不足以保障聯網信息系統，還需要完善主動防御的互聯網資產狀態監控能力，以此來實時發現醫院信息安全的防御體系存在的風險并及時進行整改，只有這樣才能體系化提高醫院信息整體安全。

二、醫院互聯網資產發現服務的作用與實現方法

（一）做好安全規劃前的需求調研

安全規劃的前提是做好安全需求的調研，這其中，互聯網資產梳理是重要一環，原因是：信息安全保護的對象就是信息資產，沒有全面、精準的資產梳理，就沒有全面、有效的防御；同時，醫院面臨的主要風險之一就是互聯網接入帶來的外部威脅；所以，互聯網資產是醫院重要的風險點之一，也是安全防御的重點。

通過在安全需求調研階段，引入對互聯網資產暴露面的檢測，能夠幫助醫院全面了解自身互聯網資產現狀，有利于形成全面、有效的整體安全規劃，避免安全規劃出現明顯疏漏。

（二）通過互聯網資產及應用發現，進行資產梳理

根據《信息安全技術 信息安全風險評估規范》（GB/T 20984-2007）標準，完整的風險評估需要對資產、威脅、脆弱性進行全面梳理和評估，通常的資產梳理模式是依托于組織的臺賬進行，常常造成資產的遺漏，特別是暴露在互聯網上的資產遺漏隱患更大。通過在風險評估過程中，引入對互聯網資產暴露面的檢測，能夠有效解決這個問題，達到更好的風險評估效果。

互聯網資產發現服務通過數據挖掘和調研的方式確定醫院資產范圍，之后基于IP或域名，采用 WEB掃描技術、操作系統探測技術、端口的探測技術、服務探測技術、WEB爬蟲技術等各類探測技術，對醫院信息系統內的主機/服務器、安全設備、網絡設備、工控設備、WEB應用、中間件、數據庫、郵件系統和DNS系統等進行主動發現，并生成互聯網資產及應用列表，列表中不僅包括設備類型、域名、IP、端口，更可深入識別運行在資產上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）。

（三）繪制信息安全資產畫像

在資產及應用發現的基礎上，對醫院每個業務梳理分析，依據信息系統實際情況、業務特點、資產重要度等信息，結合信息安全的最佳實踐進行歸納，最終針對性地形成信息安全的專屬資產畫像，構建起醫院專屬的信息安全資產畫像。資產畫像構建完成后可根據域名、IP、端口、中間件、應用、技術架構、變更狀態、業務類型（自定義）等條件對資產進行查詢、統計，并能對資產進行周期變化監控。

（四）信息安全主管部門對違規行為的監管

互聯網資產發現服務能夠成為“信息安全管理體系”落地的有效抓手，可以幫助醫院的安全主管部門及時發現并取證違規上線行為，配合懲戒、整改措施，形成對違規行為的有效管控和震懾。

同時也可以利用互聯網資產發現服務對監管對象的互聯網資產暴露情況進行監控和取證，滿足上級監管部門的監管要求。

（五）互聯網資產發現服務大數據挖掘技術應用

互聯網資產發現服務的核心技術包括：網絡探測掃描、探測集群調度、交互協議識別、數據分析應用等。

網絡探測掃描：我們通過使用零拷貝技術，在操作系統層面減少不必要的數據拷貝，提升網絡發包效率。同時，因第三方技術如pf_ring zc、dpdk等對虛擬化環境不友好，選擇自研網卡驅動的技術路線，實現在同等條件下發包性能遠遠領先libpcap，只需少量機器即可完成對國內外IPv4地址空間端口探活工作。

探測集群調度：我們通過高效隨機化算法，提高任務分片的計算、還原效率，生成壓縮率極高的分片表示，降低節點獲取任務的交互次數、降低傳輸帶寬占用，并在合并后的較大網段區間內生成偽隨機序列，將連續的任務分散至不同節點。實現了高質量的隨機化調度策略，避免同一節點對單一IP/網段進行高頻掃描，降低掃描節點被防護設備封禁的概率。

交互協議識別：通過增加協議深度解析的服務，支持在互聯網資產發現掃描主流程中，對特定的協議進行深度解析。也支持對指定目標范圍的資產，深度解析特定協議。并基于已知的協議分布和識別方式，通過策略算法，提升單端口多協議識別的命中率，均衡協議識別工作量與識別產出結果，力求盡可能覆蓋更多的端口/協議類型。

數據分析應用：保留傳統指紋方式，對指紋做精細化運營，兼容傳統觀念用戶場景。同時利用海量的測繪數據，結合機器學習技術進行分類、標注，生成網站分類預測模型。在指紋精細化運營的基礎上，結合網站分類預測模型，可以快速分析資產的關聯關系，在海量數據中找到相似資產，探索數據新價值。

三、我院實現互聯網資產發現的具體方法

（一）全面梳理醫院互聯網資產及應用暴露面

采用相關安全廠家的細粒度資產信息指紋庫，和雙方安全服務團隊同時通過“自研平臺”加“專家人工梳理”結合的方式，全面、精準地梳理出暴露在互聯網上的IT資產（設備類型、廠商、域名、IP、端口等），更可深入識別運行在資產上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）（如圖1）。資產發現和應用發現結合，全面、精準解決互聯網資產邊界盲區問題，打好安全防御的基礎（如圖2）。

圖2 互聯網資產及應用信息統計

（二）精準繪制互聯網醫院資產畫像

通過互聯網資產發現服務，同時對探測到的互聯網節點進行多維度的搜索，快速定位符合條件的目標網絡節點，支持的信息搜索維度，包括但不限于：所屬區域、所屬組織、資產類型（自定義）、業務類型（自定義）、IP、端口、服務、域名、運行的操作系統類型、運行WEB應用的標題等，打造醫院網絡節點的詳細信息，完成醫院及各個分院區信息安全資產畫像的繪制（如圖3）。

圖3 醫院資產及業務類型分布圖

（三）動態監控互聯網資產變化

互聯網資產發現服務可周期性檢查未知互聯網邊界資產，及時發現醫院IT資產的變更情況，幫助醫院動態監控互聯網資產變化，及時發現并取證違規上線行為。（如圖4）

圖4 互聯網資產動態監控圖

四、總結

互聯網資產發現是醫院信息安全的基礎和前提，要實現互聯網資產發現首先要確保選擇的合作安全產家或安全產品需具備國際領先的資產信息指紋庫，資產信息指紋庫是信息安全廠商基礎能力的體現，只有先識別資產信息，才能進行后續的信息安全評估、滲透及后續的防御工作。資產信息指紋庫涉及的資產類型、版本龐雜，而且是隨著軟硬件系統廠商的升級不斷變化，這就要求廠商具有很強的協議分析能力，以及持續跟蹤投入的能力。

其次要與合作廠家共同打造強大的安全服務團隊，醫院的合作安全廠家最好擁有良好的本地安服團隊、多梯次服務支持，用團隊的力量保障交付質量。要求合作安全廠家不僅擁有攻防能力的專家、大數據分析專家，針對攻防研究結合數據分析，適用于云計算、大數據時代的復雜安全環境，同時需要與醫院安全技術人員共同服務成長，落實具體的安全意識和措施。

最后合作的安全廠家必須具備精準的互聯網資產畫像能力，不同于傳統的互聯網資產發現服務，與醫院合作的安全廠家不僅要做到基礎的互聯網資產發現（精度到設備類型、廠商、域名、IP、端口等），而且精細到運行于資產之上的中間件、應用、技術架構的詳細情況（類型、版本、服務名稱等）；并且依托于大量的相關同行案例和不斷完善的知識庫體系，要求安全服務廠家或安全產品能夠做到對醫院互聯網資產精準的資產畫像，精準探測醫院互聯網暴露面。