安全態勢感知在智慧醫院建設中的應用研究

劉翰騰

摘要：智慧醫院建設中主要面臨網絡安全問題，網絡攻擊者通過醫院本身的漏洞，展開各種網絡攻擊行為。醫院存儲并積累了大量個人信息、診療數據等，具有極高的價值。因此醫院要注重應用安全態勢感知技術，構建起完善的網絡安全防護體系，以應對來自各方面的挑戰與威脅。該研究首先對智慧醫院安全態勢感知系統及其功能進行概述，然后分析了安全態勢感知在智慧醫院信息安全中的具體應用，最后對安全態勢感知技術的應用效果進行分析。

關鍵詞：安全態勢感知；智慧醫院；信息安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）13-0085-03

開放科學（資源服務）標識碼（OSID）

受網絡攻擊行為的影響，醫院信息安全面臨著巨大的威脅。雖然很多醫院安裝有安全設備與軟件，然而也有很多攻擊直接繞過防護入侵醫院內部，導致醫院重要機密信息泄漏，給醫院資產帶來巨大威脅。醫院現在引入網絡安全態勢感知系統，能夠幫助醫院安全管理員快速查找隱藏在網絡中的安全攻擊威脅，提前處理惡意攻擊行為，實現對受害目標、攻擊源頭等精準定位，也能對入侵方式、攻擊者信息等完成判斷與溯源。因此，智慧醫院建設中要充分應用態勢感知技術，從源頭上消滅網絡安全風險隱患，降低醫院損失，維護信息安全。

1 智慧醫院安全態勢感知系統概述

近年來，黑客攻擊從傳統帶有惡作劇與技術炫耀性質逐步向利益化、商業化轉變。在這些威脅中，尤其是以高級持續性惡意攻擊（APT 攻擊）為代表的新威脅，更是讓醫院防不勝防。隨著高級威脅的不斷演進，攻擊后導致的檢測成本增高，事件影響變大，業界對安全威脅檢測防御的思路發生了巨大變化，認識到需要從過去單一設備、單一方法、只關注防御轉變為檢測、防御、響應為一體的自適應防護體系，圍繞攻擊鏈進行整體安全可視。

智慧醫院安全態勢感知系統具體運行方式為：一是通過探針收集各項數據，在全網內完成大數據采集；二是加強安全事件檢測，根據掌握的數據檢測網絡安全事件，并評估當前網絡安全態勢；三是對態勢進行預測和溯源。在安全事件檢測中針對出現的各種重大安全事件，能夠通過預測與溯源的方式，同時有效聯動各種安全事件處置系統；四是對態勢實現可視化，將網絡態勢感知各部分情況直觀呈現出來。

中山大學附屬第一醫院部署了新一代態勢感知系統，該系統部署只需要4臺服務器（主機），包括1臺安裝了可視化、采集器和流探針服務的主機，3臺安裝了集群控制、存儲檢測和數據分發服務的主機。安裝了可視化、采集器和流探針服務的主機會采集各區域日志服務器和安全設備的日志，收集互聯網出口和各關鍵區域出口的流量。

2 智慧醫院安全態勢感知系統功能

2.1 全網資產與訪問關系可視化

對智慧醫院網絡業務資產進行自動識別與列表展示，在界面呈現資產開放端口、可登錄Web后臺等信息。對智慧醫院網絡業務對象訪問關系進行圖形可視化展示，分為用戶對業務、業務對業務、業務與互聯網等關系，展示并提供搜索[1]。對業務全部訪問關系進行展示，包括有無違規、被攻擊、被登錄、對外攻擊等內容，并根據失陷、高危、低危等級訪問源、訪問目的，通過多種顏色進行標識。安全管理員能夠快速有效識別網絡內各種訪問關系及其為業務帶來的影響，并找出其中有無用戶、資產等出現失陷與可疑等情況。

2.2 醫院態勢感知數據處理流程

中山大學附屬第一醫院的態勢感知系統，基于大數據技術和智能分析的威脅檢測體系，基于檢測、防御、響應一體化解決方案，協助醫院更快、更準確地檢測黑客入侵攻擊行為，并對網絡安全的發展趨勢進行預測和預警，從而減少網絡安全事件對醫院造成的損失。

2.2.1 整體數據流架構

2.2.2 數據采集

數據采集包括日志采集和原始流量采集。日志采集器負責日志采集，日志采集流程包括日志接收、日志分類、日志格式化和日志轉發。流探針負責原始流量采集，流量采集流程包括流量采集、協議解析、文件還原和流量元數據上報等功能。流探針采用旁路部署方式，用于接收分光器或鏡像端口發送的原始網絡流量。流探針對流量進行分析、提取特征信息發送給對應的大數據安全平臺和FireHunter進行安全檢測，流探針本身不對醫院的網絡產生影響。

2.2.3 數據預處理

數據預處理負責對采集器上報的歸一化日志和流探針上報的流量元數據進行格式化處理，補充相關的上下文信息（包括用戶、地理位置和區域），并將格式化后的數據發布到分布式總線。

2.2.4 數據存儲

分布式存儲負責對格式化后的數據進行存儲，針對不同類型的異構數據（歸一化日志、流量元數據、PCAP文件）進行分類存儲，分布式存儲的數據主要用于威脅檢測和威脅可視化[1]。考慮到可靠性和高并發性能的要求，分布式存儲的數據保存在多個檢測/存儲節點，并且可以按需擴展存儲節點。

分布式索引負責對關鍵的格式化數據建立索引，為可視化調查分析提供基于關鍵字的快速檢索服務。分布式索引采用了多實例自適應的索引技術和時間片抽取的分層索引結構，索引數據保存在多個檢測/存儲節點，提供了高可靠性和高并發索引能力，支持按需彈性擴展索引。

2.2.5 數據分析

數據分析包含AI分析與關聯分析。AI分析包含WEB異常檢測、郵件異常檢測、C&C異常檢測、隱蔽通道檢測等檢測功能。關聯分析主要通過挖掘事件之間的關聯和時序關系，從而發現有效的攻擊。關聯分析采用了高性能的流計算引擎，關聯分析引擎直接從分布式消息總線上獲取歸一化日志裝入內存，并根據系統加載的關聯規則進行在線分析。系統預置了一部分關聯分析規則，用戶也可以自定義關聯分析規則。當多條日志匹配了某一關聯規則，則認為它們之間存在對應的關聯關系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。

2.2.6 數據呈現

數據呈現包含態勢管理、事件管理、威脅報告、響應編排等整體功能，對安全事故整體的呈現。

2.3 全局視角風險態勢感知

態勢感知系統根據失陷主機、安全事件、業務資產脆弱性等進行分析，綜合評價智慧醫院網絡安全態勢情況，有利于安全管理員了解情況后完成安全決策分析，通過Word、PDF文檔等方式將風險業務、風險用戶、安全事件以及建議等導出。安全管理員獲得具體報告后，便于落實后續應對方法。

3 安全態勢感知在智慧醫院信息安全中的應用

3.1 結合態勢感知，整合網內安全設備

態勢感知系統日益先進，不僅通過探針獲取流量對網絡安全態勢進行分析，也能與部署在網內各項安全設備進行聯動，讓孤立安全設備產生合力，提高網絡安全事件響應速度[2]。目前，態勢感知系統聯動處置能力表現為：一是聯動IPS系統、邊界防火墻，能自動下發策略，拒絕惡意域名與IP；二是聯動終端安全軟件EDR系統，動態監測用戶終端與服務器，針對勒索病毒、惡意軟件等能采取微隔離措施，切斷惡意病毒傳播鏈條，有力保護虛擬機和終端的安全；三是聯動上網行為管理設備，支持上網策略自動調整，能有效阻隔惡意流量。可見，以態勢感知為核心建立網絡安全防護系統，能夠保證智慧醫院信息安全。

3.2 建設便攜化網絡安全運維管理

當態勢感知系統查找出風險隱患后，安全運維人員能快速找到責任人，完成運維系統工單模塊問題下發，確保及時處理，實現網絡安全問題閉環管理目標。系統告警后，第三方安全服務團隊完成大數據分析，若確有安全事件，醫院安全工程師將歸屬責任系統、責任人等確定下來，在微信公眾號中同步更新信息。責任工程師接收工單后確認與復現，解決風險問題[3]。如此一來，可以實現運維流程便攜化與可視化，通過微信公眾號等平臺，能及時了解資源告警情況、安全事件工單處理情況，保證安全運維效率。由于智慧醫院建設中提高了對網絡安全關注度，相關設備不僅數量較多，也存在品牌異構現象，增加了信息部門日常運維壓力。對此要采用專業安全運維系統統一監控與配置管理，讓智慧醫院在資源、業務、用戶等方面達到統一管理與智能聯動目的。

3.3 根據態勢感知分析結果，建立安全服務體系

網絡安全態勢感知系統收集數據后進行分析與整理，利用漏洞、威脅和資產等多維度展示安全問題與脆弱性資產，并發出告警。在智慧醫院建設中主要面臨信息化人才不足、網絡安全素養有待提升等問題，要想處理各種信息安全問題，需要提高網絡安全服務技術能力[4]。建設內容為：一是風險評估。態勢感知系統發現脆弱性資產后，必須完成一次全面安全風險評估，形成相應報告；二是基線核查。從等級保護、關鍵信息基礎設施安全基線規定出發，加強態勢感知分析網絡設備、操作系統、數據庫和中間件等安全基線檢查，完成安全加固處理；三是協助滲透測試。根據黑客攻擊方式，在可控條件下，對智慧醫院Web應用或端口進行模擬攻擊，讓態勢感知警報漏洞信息得到驗證。四是重保支持。醫院網絡、網站等設施在運行中必須不間斷進行安全保障；五是網絡安全技能培訓。由專家參與，培訓內容包括安全運維、安全代碼編寫和安全意識等。

3.4 多方聯動，解決院內資產管理問題

從智慧醫院最普遍黑客攻擊方式可知，內部網絡管理漏洞需要引起關注，若是被他人利用，將帶來不可估量的后果[5]。態勢感知系統對主機安全軟件下發EDR策略，具體如表1。這樣能夠讓問題主機得到微隔離處理，既保護了智慧醫院重要數據不出現泄漏，也避免病毒橫向傳播。

3.5 科學設置流量探針

流量探針主要是旁路掛載的流量鏡像設備，可以將全網流量收集起來，提供給態勢感知完成大數據分析，發揮著數據源作用[6]。要將探針設置在合理位置，才有利于態勢感知系統更好地運行，具體要求為：第一，統一監測。VPC內部以及VPC之間流量檢測和分析，與云邊界安全能力配合，實現政務云全域流量檢測和防護能力。第二，統一分析。利用智能檢測引擎和關聯分析引擎發現云內云外高級威脅事件，從全攻擊鏈角度還原攻擊路徑及安全態勢。第三，保障業務。全面分析惡意流量同時不占用租戶網絡的出口帶寬，多種流量處理機制，保障租戶業務的正常運行。

4 安全態勢感知技術應用效果分析

通常來說，若是多個終端沒有一起發生問題，智慧醫院管理員很難察覺內網中的攻擊，而借助安全態勢感知系統，可以及時查找出網絡中的攻擊行為，確定攻擊程度，提前處理網絡中的病毒，避免發生大規模中毒問題。通過應用安全態勢感知技術，在流量采集分析過程中，平臺能夠及時發出告警，包括嘗試入侵未能成功等[7]。處理時采用防火墻限制外來供給者IP訪問、更新補丁、查殺內網僵尸主機等[8]。智慧醫院應用態勢感知技術，讓安全管理員可以更加精準預防與查殺網絡中的風險與威脅，避免病毒攻擊引起重大損失，有效保障了智慧醫院信息安全。

5 結束語

總之，根據新等保3.0對網絡攻擊檢測與分析要求，將態勢感知技術應用于智慧醫院構建中，能有效應對各種未知新型網絡攻擊與APT攻擊。在網絡安全態勢感知系統支持下，能夠讓智慧醫院由以往被動防護逐步轉變為主動防御，在原有防范的基礎上，更側重檢測與響應。未來態勢感知技術將與新一代防火墻、殺毒軟件等安全設備軟件進行聯動，構建更加強大的主動式防御體系，讓智慧醫院信息安全得到可靠保障。

參考文獻：

[1] 盧熙.醫院網絡安全入侵防御系統研究與設計[J].網絡安全技術與應用，2021（2）：124-126.

[2] 莫禹鈞，黃捷，潘愈嘉.基于網絡安全態勢感知的主動防御系統設計與實現[J].醫學信息學雜志，2020，41（3）：60-63.

[3] 胡建平，郝惠英，何祺，等.衛生健康行業網絡安全態勢感知平臺建設探討[J].中國衛生信息管理雜志，2019，16（1）：4-8.

[4] 莫禹鈞，潘愈嘉，黃捷.醫院網絡安全態勢感知系統構建[J].醫學信息學雜志，2018，39（12）：25-28.

[5] 馮國斌，劉艷亭，郭敬鵬，等.基于網絡安全等級保護制度2.0標準的醫院態勢感知平臺建設實踐[J].中國數字醫學，2020，15（11）：135-138.

[6] 潘愈嘉，陸丹艷.以網絡態勢感知平臺為核心的醫院局域網安全運維實踐[J].中國數字醫學，2020，15（12）：10-13.

[7] 石湯沐.醫院網絡安全態勢感知平臺構建與應用[J].信息系統工程，2020（12）：58-59.

[8] 黃捷，潘愈嘉，莫禹鈞.淺析醫院物聯網安全風險及防護體系的建立[J].中國數字醫學，2021，16（5）：111-114.

【通聯編輯：代影】