重大疫情背景下医疗数据网络安全防护研究

◆田由辉

(江苏经贸职业技术学院 江苏 211168)

2019年12 月新型冠状病毒肺炎疫情爆发以来，我国投入大量的人力物力抗战疫情，大量医疗物资、医疗队伍支援疫区抗击病毒。在抗战疫情期间，有某些网络黑客组织对医疗机构发起定向攻击，攻击者精心利用新冠肺炎疫情相关题材做诱饵文档，如“新型冠状病毒感染引起的肺炎的诊断和预防措施”、“武汉旅行信息收集申请表”等，进而通过相关提示诱导受害者执行宏命令，医疗机构、医疗工作领域成为最大受害者，这种袭击可能造成的损害，一旦得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至企业政府等各机构的信息安全[1]。

在重大疫情防控攻坚战的关键时期，医疗数据网络安全防护建设提出更高要求，医疗机构运行的各个系统（HIS、PACS、LIS、医保系统），系统之间实现无缝链接。医疗机构不仅要满足高效的内部自动化办公需求，还要对外网的通讯畅通。因为医疗机构的信息系统需要连接外网、医保专网、第三方机构支付机构等，所以保护医疗机构信息系统中的数据及应用安全显得尤为重要。

1 网络安全风险分析

1.1 远程办公安全问题

新冠肺炎疫情防控期间可以说是我国数字化时代最大规模的一次集体远程办公。大规模的远程办公可能带来一系列隐私和数据安全隐患。

（1）安全隐患来源于员工的安全意识不足。在远程办公环境下，员工脱离了企业的安全边界，从外部互联网环境访问和处理任何能够维持正常工作的账户、文档或数据。个人电脑、WiFi、邮件、甚至摄像头、U盘等都可能存在数据泄露风险，且员工无法做到安全事件的及时发现、及时处置。

（2）安全隐患来源于远程办公安全防护手段不到位。特殊时期，大量远程工作人员经常会使用公共WiFi，例如机场休息室、酒店、咖啡店甚至邻居网络，医疗数据安全受攻面成几何级数放大。然而，缺乏可靠的安全接入平台，没有VPN、堡垒机等基础安全手段。一旦开展互联网办公，接入和传输通道均存在较高风险。

1.2 云环境安全问题

疫情防控是一项复杂和艰巨的工作，从病毒研究和疫苗研制、从新建隔离医疗机构到各地上线疫情防控平台，都需要大量的IT资源支撑，而云计算在疫情防控IT资源供给方面扮演了极为重要的角色。2020年1月26日，中国电信向“火神山”医疗机构交付云资源，为 HIS、PACS 等核心系统部署提供计算与存储能力，实现火神山医疗机构核心业务系统上云。

在云环境中，大部分应用的是虚拟化技术，通过对资源的整合和利用，更好地进行业务系统的应用。但是这些虚拟化环境存在新的问题，对于传统安全防火墙技术不能有效监控虚拟机流量。检测所有通过虚拟机的数据分组，组织所有未经批准的连接和允许对数据分组进行更深层次的检查，确保虚拟机间部分通信的安全，但是对于虚拟机之间的攻击流量的特殊性，使用虚拟化的网络流量分析已经无法解决这样的问题。

1.3 新安全威胁问题

高级持续性威胁（简称APT，也是这次疫情网络攻击的方式）是一种新的网络安全威胁。它可以绕过各种传统安全检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，伺机窃取网络信息系统核心资料和各类情报的攻击方式[3]。

一般的杀毒软件可以解决已知木马、病毒，但是对于这种APT的攻击却无法防护，APT的攻击采用0day漏洞进行网络渗透和攻击，且具有持续性及隐蔽性。这种不断的攻击者采用不同的方式，进行渗透到网络内部，然后潜伏，不断去收集各种信息，直到盗取到重要情报。这些新型的攻击和威胁主要针对大型企业、国家重要的基础设施或者具有核心利益的网络基础设施。由于APT特种木马的免疫行为，所以传统的防病毒软件以及安全控管措施很难有效应对APT攻击。

2 网络安全防护思路

2.1 建设思维

疾控部门和医疗机构是传染病疫情防控的主力军，新技术在传染病疫情防控工作中的应用和普及，有望提升疾控部门和医疗机构的疫情防控能力，提高疫情防控工作效率，降低受到疫情感染的风险。对于疾控部门和医疗机构，一方面应该鼓励和支持新技术在传染病疫情防控工作中的应用，创新思路，勇于接受和尝试新技术广和应用；另一方面，应充分重视新技术应用过程中的网络和数据安全问题，积极做好网络和数据安全防护措施。

（1）由于传统等保建设思路是按照基本要求进行差距分析，强调信息系统的各个技术控制点的单一防护措施，而且主要是以安全产品的特征码和规则库进行防护，缺少把控动态安全的能力，新思路如下：

①基于等保被动防御，增强情报能力，风险防患于未然；②改变传统等保的单兵作战，安全态势感知与防御协同联动，提升防护效率，降低运维成本[8]。

（2）信息系统的防护能力需要从多个维度进行提升，不仅依靠本地化的安全设备，同时需要动态的安全情报；有发现才有防护，有防护就会生效，基于安全新认知扩大防护的概念；多维度本地防护体系的建立，结合云端安全大数据产生威胁情报，可形成针对性的智能等保生态防护圈。

①预警能力。利用云端的威胁情报，互联网安全众测，态势感知能力，赋予信息系统预警的能力，能够从海量的安全大数据中精确判断攻击行为，提前保护信息系统的安全。

②防护能力。将等级保护的安全技术控制措施，通过新技术产品进行替代并增强，同时结合云防护的能力，将整体的信息系统防护能力提升。

③溯源能力。利用威胁情报与本地全量数据进行整合，通过可视化分析技术，快速定位安全风险，形成智能的安全管理中心。

2.2 “云+端+边界+联动”新安全体系

云和端的联动计算、软件定义网络、基于WEB的规模化IT和基于风险的安全和自保护系统，且大数据安全分析将会是下一代安全平台的核心。利用云安全系统和云计算能力，形成安全设备的最强大脑，无限扩展设备的已知威胁感知能力，使设备不再面临升级后防御的现状，实时进行最新威胁的检测。通过对各种原始安全数据的收集，利用大数据分析能力，形成有价值的威胁情报，使静态数据成为智能数据，利用联动机制，使网络中的终端安全系统、边界安全系统、过程防御系统具有软硬件共同协同、终端边界联合防御的能力，使整个网络具有自防护能力。

采取对边界网络流量的全流量的感知和分析，来发现边界威胁。实时对终端的文件与通信进行安全监控，利用云端威胁感知数据来发现终端威胁。不管是内部网络产生的威胁，还是外部带来的威胁，采用联动接口和边界、终端的检查结果，以及云端的威胁态势感知数据分析能力，实现对整个网络威胁的联合感知和联合防御。将三者有机统一起来，通过安全管理和大数据分析技术，将所有技术进行统一的融合和管理，利用大平台形成立体式的管理。

3 网络安全防护体系设计

3.1 总体网络安全架构

根据医疗机构信息系统的业务功能、特点及各业务系统的安全需求，将网络划分为内网接入区、外网接入区、边界接入区、内网办公区、运维管理区、内网核心业务区、外网办公区、外网业务区。向电信运营商申请互联网接入专线，组建医疗机构外部办公局域网。为构建一个强壮、有效的网络安全防护体系，按照等级保护三级的标准，在分析医疗机构网络架构存在的问题后，在核心业务区和关键业务服务器群前端部署防火墙来解决来自外部和内部对服务器的威胁攻击，包括：蠕虫病毒攻击、应用层的攻击等安全威胁；在核心交换区部署入侵检测设备，实时记录来自内部或外部的威胁攻击源；管理维护区域部署日志审计系统，收集安全设备、网络设备、主机设备的安全日志已掌控全网的安全威胁状况；内部和外部的运维人员操作过程中的日志审计工作通过运维审计系统进行审计和权限的控制，避免出现越权操作行为；在业务服务器区部署数据库审计系统，可以实时审计数据库当前运行操作状态；全网的应用系统、安全设备、网络设备、主机设备，通过安全管理平台关联分析技术，收集整个网络的安全现状，管理员随时解整个系统中任意设备和信息系统的运行状况。

医疗机构接入互联网业务，将互联网接入的安全建设也进行部署，边界处通过防火墙、流量控制、上网行为管理对外网区域进行防护和审计。外联用户通过过网闸后访问SSL VPN的方式进行认证接入，保证数据安全隔离及传输的安全可靠。在外网和内网之间通过部署网闸产品实现内外网的物理隔离，在外网业务读取内网数据的时候达到安全可靠。针对内网的用户上网和外部客户访问内部的应用程序的可用性方面保障，在内外网之间部署物理隔离网闸产品，在保证内网数据安全的前提下，实现外网业务对内网数据的访问。

3.2 网络安全风险处理

（1）终端预警

针对信息系统使用单位的终端所感染的僵尸、木马、蠕虫、病毒进行有效发现与感知，通过云端搜集到的本单位互联网终端所感染的病毒木马等数据以及所掌握的恶意代码样本数据，结合本地流量样本、主机 IP等信息，可以发现本单位终端的病毒与木马，并清晰绘制出本区域的感染范围等威胁态势。

（2）大数据处理

通过DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容，在云端搜集与安全相关的数据，并针对所有这些信息使用机器学习、深度学习、重沙箱集群、关联分析等分析手段，PB级的搜索引擎的全网抓取数据、可视化的分析数据，以及其他多个维度的互联网大数据进行关联分析和历史检索，再结合一个专家运营团队不断通过不同的攻击思路挖掘大量数据[4]。掌握发现国内最多的 APT攻击组织信息、并不断地跟踪相关信息，经过人工确认和同时依赖于海量数据对攻击背景做出准确和充足的判定。

3.3 响应恢复

为更好地保障信息系统运行过程的安全风险，一旦出现紧急安全问题，应急响应是紧急处理问题，对发现的问题进行分析。应急响应服务的工作内容如下：

（1）准备：基于威胁建立一组合理的防御及控制措施、资源与流程等；

（2）检测：确认安全事件状态，并开展检查、分析、评估与备份等操作；

（3）抑制：组建基于威胁的防护/控制策略；

（4）根除：网络安全事件被抑制之后，查出攻击来源和分析原因，并根除；

（5）恢复：遭到破坏的信息系统和相关数据进行恢复到常用状态；

（6）跟踪：恢复完数据后，进行事件回顾和总结经验，完善应急策略。

4 结束语

在新型冠状病毒肺炎抗战疫情下，本文分析疫情防控中存在的网络安全问题，基于新的防护思路，在新技术领域的技术优势方面，充分挖掘新技术在传染病疫情防控领域的应用空间和应用价值，利用新技术为疫情防控工作提供更为有力的武器。提高安全意识，建立安全机制，完善防护手段，落实安全责任，保障新技术在疫情防控工作中的安全应用，对疫情防控和部署有重要意义。