醫(yī)院信息安全等級(jí)保護(hù)三級(jí)評(píng)測(cè)的應(yīng)用與實(shí)踐
剖析在“互聯(lián)網(wǎng)+醫(yī)療”迅速發(fā)展的情況下,移動(dòng)互聯(lián)網(wǎng)安全的建設(shè)思路和實(shí)踐方案。以北京協(xié)和醫(yī)院患者手機(jī)App為研究對(duì)象,在設(shè)計(jì)、研發(fā)和運(yùn)行中進(jìn)行迭代優(yōu)化,梳理患者手機(jī)App系統(tǒng)的安全體系架構(gòu),調(diào)整和加固系統(tǒng)架構(gòu)。經(jīng)過(guò)兩年的努力已經(jīng)取得良好成果,并通過(guò)了國(guó)家等級(jí)保護(hù)三級(jí)測(cè)評(píng)。結(jié)合測(cè)評(píng)總結(jié)移動(dòng)互聯(lián)網(wǎng)安全的建設(shè)方案,并針對(duì)上線運(yùn)行過(guò)程中受到非法入侵時(shí)進(jìn)行技術(shù)應(yīng)對(duì)的成功經(jīng)驗(yàn)進(jìn)行總結(jié),在領(lǐng)域內(nèi)具有參考意義。
2015年3月5日十二屆全國(guó)人大三次會(huì)議上,李克強(qiáng)總理在政府工作報(bào)告中首次提出“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃,“互聯(lián)網(wǎng)+”隨即成為輿論關(guān)注和討論的熱點(diǎn),“互聯(lián)網(wǎng)+醫(yī)療”很快就成為了醫(yī)療行業(yè)設(shè)計(jì)、開(kāi)發(fā)和實(shí)施的行動(dòng)方向。極大了方便了老百姓,提高了整體效率。
北京協(xié)和醫(yī)院患者手機(jī)App系統(tǒng)啟動(dòng)于2014年5月,經(jīng)過(guò)15個(gè)月的深入調(diào)研、精心設(shè)計(jì)、反復(fù)開(kāi)發(fā)測(cè)試等不懈努力,恰逢“互聯(lián)網(wǎng)+醫(yī)療”蓬勃發(fā)展之際,于在2015年9月16日正式上線投用。
1 安全風(fēng)險(xiǎn)患者手機(jī)App的發(fā)布,非常有效地改善了患者就醫(yī)體驗(yàn),尤其針對(duì)掛號(hào)難和號(hào)販子猖獗的難點(diǎn)問(wèn)題,取得了很好的控制效果。但系統(tǒng)投用不久,即遭受了多次大規(guī)模的惡意攻擊。攻擊手段包括:
1.1 DDOS攻擊 非法入侵者通過(guò)客戶端封包、代理、數(shù)據(jù)攔截等黑客技術(shù),破解服務(wù)器接口地址,并根據(jù)患者提供的真實(shí)賬號(hào)進(jìn)行高頻率的搶號(hào)請(qǐng)求,協(xié)和醫(yī)院醫(yī)療數(shù)據(jù)服務(wù)額外處理了每分鐘4 000多次的黃牛惡意搶號(hào)請(qǐng)求,大量占用了預(yù)約掛號(hào)通道,雖然未成功完成掛號(hào)操作,但對(duì)醫(yī)院HIS服務(wù)造成了不小的壓力。
1.2 暴力注冊(cè) 非法入侵者通過(guò)地下黑色產(chǎn)業(yè)鏈?zhǔn)褂么罅空鎸?shí)有效的手機(jī)號(hào)進(jìn)行獲得驗(yàn)證碼操作,并通過(guò)手機(jī)短信進(jìn)行暴力注冊(cè),上線2個(gè)月內(nèi)即發(fā)現(xiàn)一萬(wàn)個(gè)肉雞IP地址,發(fā)起12萬(wàn)次的獲取短信驗(yàn)證碼請(qǐng)求,持續(xù)消耗短信服務(wù)器資源。
1.3 注入與惡意上傳 在Web服務(wù)器日志中可以發(fā)現(xiàn)大量的Java命令注入、SQL注入等惡意鏈接嘗試。一旦服務(wù)器漏洞被利用或配置信息泄露,不法分子將獲得整個(gè)服務(wù)器的控制權(quán)。
1.4 CC攻擊 上線期間App系統(tǒng)持續(xù)遭受著大量的CC(Challenge Collapsar)攻擊,這些非法入侵者除了每天放號(hào)時(shí)間瘋狂的使用多線程搶票,還在非放號(hào)時(shí)間段模擬大量真實(shí)用戶請(qǐng)求,進(jìn)行高頻率不間斷的訪問(wèn),探查服務(wù)器的防御規(guī)則,嘗試找到預(yù)約掛號(hào)流程中的破綻。
2 防范措施2.1 針對(duì)黃牛搶號(hào) 在App預(yù)埋經(jīng)過(guò)加密的特殊識(shí)別模塊,只有身份校驗(yàn)通過(guò)的App才允許建立連接,且全部通訊流量加密。避免黃牛編寫多線程搶號(hào)程序發(fā)起連接,或者攔截網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行篡改搶號(hào)。并在業(yè)務(wù)上做限制策略。
2.2 針對(duì)惡意注冊(cè) 在注冊(cè)、獲取短信接口提供設(shè)備指紋識(shí)別、圖片驗(yàn)證、請(qǐng)求來(lái)源統(tǒng)計(jì)、請(qǐng)求頻次分析等多種校驗(yàn)策略,限制黃牛的惡意注冊(cè)。并通過(guò)數(shù)據(jù)分析凍結(jié)清洗掉一批僵尸用戶。
2.3 針對(duì)注入和惡意上傳 對(duì)用戶輸入的數(shù)據(jù)進(jìn)行全面過(guò)濾,并使用預(yù)編譯的SQL語(yǔ)句,確保SQL語(yǔ)句的語(yǔ)義不會(huì)發(fā)生改變;并部署應(yīng)用層防火墻進(jìn)行防護(hù)。
對(duì)于用戶頭像上傳,不直接上傳用戶的圖片,而是App本地打開(kāi)圖片后調(diào)用另外一個(gè)安全進(jìn)程來(lái)截取圖像內(nèi)容生成另外一個(gè)圖片文件,確保上傳的是“干凈”的圖片文件。
服務(wù)器端再次對(duì)這個(gè)圖片做二次檢驗(yàn),文件流分析措施,攔截過(guò)濾文件中的惡意代碼。
通過(guò)App預(yù)埋經(jīng)過(guò)加密的特殊識(shí)別模塊,把非法客戶端隔離在外。并根據(jù)IP來(lái)源、URL請(qǐng)求分布,請(qǐng)求數(shù)據(jù)包特征分析等多種方式識(shí)別并清洗攻擊流量。
這些策略部署后,效果明顯,對(duì)于攻擊行為我們有了有效的解決方法,同時(shí),攻擊數(shù)量大為減少,患者手機(jī)App平臺(tái)穩(wěn)定下來(lái),用戶的體驗(yàn)也得到了明顯提升。
3 安全體系建設(shè)由于患者手機(jī)App發(fā)布在互聯(lián)網(wǎng),直接對(duì)患者提供服務(wù),所提供的在線預(yù)約掛號(hào)、在線查閱檢驗(yàn)檢查報(bào)告、在線繳費(fèi)等服務(wù)一旦收到破壞將嚴(yán)重影響醫(yī)院門診就診秩序,進(jìn)而對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。根據(jù)GB/T 22240-2008《信息系統(tǒng)安全保護(hù)定級(jí)指南》規(guī)定,應(yīng)定義為等級(jí)保護(hù)第三級(jí)系統(tǒng)。
基于“互聯(lián)網(wǎng)+”的醫(yī)院信息系統(tǒng)尚屬新生事物,行業(yè)內(nèi)并無(wú)安全方案可參照,通過(guò)對(duì)標(biāo)金融行業(yè)發(fā)布的JR/T 0068—2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》,我們?cè)O(shè)計(jì)出一套以醫(yī)院為主導(dǎo)的“互聯(lián)網(wǎng)+醫(yī)療”的系統(tǒng)安全架構(gòu),該模式是以云計(jì)算平臺(tái)為核心,由云計(jì)算平臺(tái)負(fù)載大數(shù)據(jù)量的用戶訪問(wèn)。但是云平臺(tái)本身并不存儲(chǔ)患者敏感的醫(yī)療信息,而是云平臺(tái)對(duì)醫(yī)院內(nèi)數(shù)據(jù)平臺(tái)系統(tǒng)進(jìn)行調(diào)用,在響應(yīng)用戶的需求后,采用技術(shù)手段,及時(shí)對(duì)數(shù)據(jù)進(jìn)行粉碎。
4 系統(tǒng)測(cè)評(píng)2017年10月,按照等級(jí)保護(hù)第三級(jí)的73個(gè)控制點(diǎn)共290個(gè)要求項(xiàng)對(duì)患者手機(jī)App系統(tǒng)進(jìn)行安全評(píng)估,經(jīng)過(guò)對(duì)移動(dòng)端、云端、院內(nèi)系統(tǒng)一輪完整評(píng)估,發(fā)現(xiàn)符合率只有大約78%,還有60多個(gè)要求項(xiàng)不滿足。
經(jīng)過(guò)對(duì)不滿足項(xiàng)的分析,發(fā)現(xiàn)主要存在幾類問(wèn)題:安全設(shè)計(jì)不夠充分。比如后臺(tái)管理系統(tǒng)當(dāng)前是賬號(hào)密碼登錄,輔以IP地址限制。但等保三級(jí)要求是需要雙因子要素登錄,因此后續(xù)這部分需要升級(jí)改造。
安全策略不夠細(xì)致。比如院端和云端之間使用專線連接,院端防火墻限制了云端的IP地址,但沒(méi)有細(xì)化到限制特定服務(wù)端口;再比如對(duì)于暫未使用的交換機(jī)端口,未關(guān)閉。
設(shè)備安全功能不足。比如防火墻沒(méi)有內(nèi)容過(guò)濾,無(wú)法實(shí)現(xiàn)對(duì)應(yīng)用層FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制。這屬于歷史遺留問(wèn)題,后面要建立設(shè)備采購(gòu)管理規(guī)范,根據(jù)相關(guān)的安全等技術(shù)標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備建立產(chǎn)品備選名單。
安全意識(shí)需要加強(qiáng)。比如部署了堡壘機(jī)后,仍有部分設(shè)備沒(méi)有接入,一方面說(shuō)明人員安全意識(shí)培養(yǎng)的工作需要長(zhǎng)期堅(jiān)持,也說(shuō)明內(nèi)部安全計(jì)劃執(zhí)行與控制不夠完善。
安全管理缺少績(jī)效評(píng)價(jià)。沒(méi)有指定什么時(shí)間、誰(shuí)檢查、誰(shuí)分析評(píng)價(jià),不利于持續(xù)改進(jìn)。
參照等級(jí)保護(hù)的要求,逐一對(duì)每一個(gè)不滿足項(xiàng)進(jìn)行分析、研究解決方案。并完善安全管理制度,落實(shí)人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。尤其著重抓以下幾個(gè)方面。
訪問(wèn)控制:在云計(jì)算中,網(wǎng)絡(luò)訪問(wèn)控制由云計(jì)算防火墻策略實(shí)現(xiàn),這個(gè)策略需對(duì)云上虛擬主機(jī)進(jìn)行邏輯分組,再實(shí)現(xiàn)基于主機(jī)和分組的訪問(wèn)控制。除了網(wǎng)絡(luò)訪問(wèn)控制,云服務(wù)的用戶訪問(wèn)控制尤為重要,因?yàn)樗菍⒂脩羯矸菖c云服務(wù)資源綁定在一起的重要手段。
可用性管理:互聯(lián)網(wǎng)醫(yī)院的業(yè)務(wù)嚴(yán)重依賴于服務(wù)的持續(xù)可用性,高峰時(shí)即使幾分鐘的服務(wù)器中斷也會(huì)對(duì)機(jī)構(gòu)的生產(chǎn)力、用戶滿意度造成較大影響。
安全漏洞管理:建立包含例行漏洞掃描、漏洞評(píng)估、漏洞處理的過(guò)程,避免主機(jī)、應(yīng)用程序、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)遭受針對(duì)漏洞的攻擊。在網(wǎng)絡(luò)、主機(jī)系統(tǒng)、中間件等基礎(chǔ)設(shè)施的漏洞管理方面,需要和云服務(wù)供應(yīng)商保持協(xié)同。
補(bǔ)丁管理:在避免主機(jī)、應(yīng)用程序、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)遭受針未授權(quán)的的攻擊方面,安全補(bǔ)丁管理和漏洞管理具有同等重要的意義。需要注意的是,補(bǔ)丁管理過(guò)程應(yīng)該遵循變更管理框架。
安全配置管理:安全配置管理包括網(wǎng)絡(luò)和遠(yuǎn)程連接配置、防火墻策略配置、操作系統(tǒng)安全配置及數(shù)據(jù)庫(kù)訪問(wèn)管理配置。安全配置管理使系統(tǒng)各部分配置保持在安全基線上,免受針對(duì)配置弱點(diǎn)實(shí)施的攻擊。
訪問(wèn)監(jiān)測(cè):訪問(wèn)監(jiān)測(cè)包括正常訪問(wèn)的檢測(cè)和入侵監(jiān)測(cè)。正常訪問(wèn)監(jiān)測(cè)包含可用性監(jiān)測(cè)、帶寬利用率、訪問(wèn)延遲等的檢測(cè),主要作為訪問(wèn)質(zhì)量和性能擴(kuò)展的判斷依據(jù)。入侵檢測(cè)包括對(duì)主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的入侵檢測(cè),避免受到非授權(quán)訪問(wèn)和數(shù)據(jù)破壞。
事件響應(yīng)管理:事件響應(yīng)是在“積極防御、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、力保恢復(fù)”的大原則下,突出發(fā)現(xiàn)和響應(yīng)。通過(guò)建設(shè)層次化的應(yīng)急響應(yīng)隊(duì)伍,編制應(yīng)急預(yù)案,進(jìn)行應(yīng)急演練,在第一時(shí)間知道風(fēng)險(xiǎn)來(lái)臨時(shí),及時(shí)統(tǒng)籌開(kāi)展應(yīng)急處置。
5 小結(jié)經(jīng)過(guò)3個(gè)月的測(cè)評(píng),進(jìn)行整改和試運(yùn)行,測(cè)評(píng)符合率90%。有部分限于資源等客觀原因的,也做了持續(xù)改進(jìn)安排。最后通過(guò)了三級(jí)等級(jí)保護(hù)測(cè)評(píng)。
通過(guò)等保認(rèn)證過(guò)程的磨練,我們總結(jié)主要有幾個(gè)意義:降低數(shù)據(jù)安全風(fēng)險(xiǎn),提高信息系統(tǒng)的安全防護(hù)能力;滿足國(guó)家相關(guān)法律法規(guī)和制度的要求;滿足相關(guān)主管單位和行業(yè)要求;鍛煉了安全、開(kāi)發(fā)、運(yùn)維隊(duì)伍,提高了醫(yī)院的信息安全治理能力。