医院前置机安全加固

医院前置机安全加固解决方案2019年8月目录第1章 需求背景与需求分析 31.1 需求背景 31.2 项目需求分析 31.2.1 系统漏洞和暴露面不可视 31.2.2 外部威胁难防护 31.2.3 缺乏检测和响应机制 4第2章 前置机安全加固方案设计 42.1 方案网络架构设计 52.2 方案设计说明 52.2.1 事前预知前置机安全风险 52.2.2 事中网端联动全面防御攻击 62.2.3 事后威胁行为的持续检测快速响应 82.3 网闸与下一代防火墙的区别 8第3章 方案价值 93.1 立体保护，全程安全 93.2 可视管理，简化运营 93.3 助力医疗业务发展 9

需求背景与需求分析前置机说明前置机系统的主要功能是预处理、存储和转发来自端末设备，或者服务网点的交易请求，从而完成整个数据交互。整个医院服务系统是一个三级的客户/服务器（CLIENT/SERVER）模式。前置机处于整个系统的第二级，起到了承上启下的重要作用，它既是终端设备的SERVER，又是后台主机的CLIENT。前置机具有复杂多变的接口，要求有较好的通用性、可靠性和高效率。整个前置机系统可以分为交易接口、交易处理核心、系统管理、监控系统四大部分。结构框图如下：图1-前置机系统结构当前医院内外网几种交互方式：方案一：继续物理隔离采用人工拷贝方式进行两网的数据交换（文件和数据库），实际实施过程中存在以下几个问题：1、不及时；2、效率低；3、很多医院要求对U盘杀毒，但操作人员因为繁琐未完全实施；4、部分恶意代码是杀毒软件检测不到的。方案二：采用网关设备部分医院采用防火墙隔离两网，有的单位采用UTM。防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，采用此方案存在以下几个问题：1、其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全；2、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；3、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；4、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击；5、目前国内防火墙本身的软件、操作系统、数据库等方面有缺陷，通过实验，很多穿墙技术能穿过大部分国产防火墙。方案三：采用前置机加交换系统有少部分医疗机构在方案二的基础上再进行数据操作和数据交换进行检查过滤。实现方式就是在两网前段加前置设备，同时通过应用开发商再开发交换数据接口（定义格式和API）在交换设备上安装交换系统实现内外网的交换。该方案存在以下问题：1、当业务扩充了，需要开发商支持；2、投入大，交换前置设备投入、软件开发投入；3、仍然没有从网络层面隔离，数据在两网的穿透仍然带有协议，协议本身就存在缺陷，存在安全风险。通过上面叙述可以发现，医院外部访问核心系统的交互方式不止一种，因此这意味着不是所有医院都会有前置机存在，也不是所有系统都会有前置机存在（比如有的是核心系统HIS、LIS、PACES等规划了前置机；有的是社保网上传交互放了前置机，但多为社保局采办，后期新建机构“医保局”可能有类似建设；还有的是内外网交互为了数据隔离放了前置机等）。但目前来讲采用纯物理隔离和网关类设备隔离的方式相对较少，前置机还是很多中大型医院的基础组件。需求背景随着医疗信息化的不断发展，医疗业务的发展对信息化的要求也越来越高，例如，为了提高医院的整体服务效率与质量，提高医院的接诊能力，就需要通过医疗信息化的改造，实现网上预约挂号；另外，随着国家医疗保险制度的全面实施，涉及到大量信息管理、复杂的计算方法及远程数据传递，就必须通过医疗信息化改造，才能保障医院系统和医保系统实现数据共享。无论是网上预约挂号业务还是医保系统对接，都需要将医院HIS系统的部分数据传输到外部，但由于HIS系统中存放医院最核心的业务数据，直接对外提供接口服务会存在巨大安全风险，因此，通常情况下，医院会在内网前置业务系统区域部署前置WEB服务器即前置机，一方面，前置机可以保证外部的应用不能直接访问HIS系统，另一方面，前置机提供了外部应用与HIS系统之前交流的一个桥梁，管理和调度外部应用发起的请求，减轻HIS系统的负担。然而，即使前置机在一定程度上将HIS系统与外部隔离开，但前置机本身也是一台物理服务器，同样有可能存在漏洞，不具备抵御网络攻击的能力。案例事件项目需求分析系统漏洞和暴露面不可视前置机作为一个对外提供服务的主机，其自身需要向外开放端口和服务，其中除了业务所需端口和服务之外，还有很多风险端口和服务，同时，业务应用及系统层面存在诸多漏洞，在对外提供服务的过程中这些问题都会暴露在外，引入巨大的安全风险。由于前置机本身的业务价值是代理核心业务系统对外提供服务，因此，前置机本身的安全通常被忽视，无法看清其漏洞和暴露面，极易被攻击者利用。外部威胁难防护按医院管理规定，医院网络原本都是一个内部封闭的局域网环境，只覆盖医院范围，除了互联网电脑以外，其他业务与终端要与外网物理隔绝,不能和外界直接进行物理连接。但近两年随着业务需要，出现了网上预约挂号、医保接入等需求，局部封闭的环境被彻底打破，前置机必须和外界网络相连，首当其冲。通过分析近两年医疗网络中出现的网络安全事件，前置机面临的外部威胁主要包含以下几种。系统漏洞攻击系统漏洞攻击是常见的攻击类型之一，攻击者通过对目标前置机的分析和扫描，利用其发现的漏洞对前置机进行攻击，常见的攻击类型包含缓冲区溢出攻击、远程代码执行漏洞攻击、口令暴力破解攻击等等。Web应用攻击应用层攻击在近几年的网络攻击中占比很高，据Gartner统计：目前75%攻击转移到应用层。而应用层攻击利用传统的访问控制和数据包检测机制难以应对，因为这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以不会触发警报。例如SQL指令植入式攻击（SQLinjection）就是黑客利用用户的一张HTML表单，未经授权就查询数据库，还有命令执行攻击就是Web应用把命令发送到外壳程序，攻击者就可以在服务器上随意执行命令。前置机作为Web应用的承载体，未加以任何应用层保护，常常遭受攻击。勒索病毒攻击前置机需要经常进行一些文件操作，如医保中心就要与医保前置机进行文件通讯，而近两年医疗行业的勒索病毒事件层出不穷，木马和病毒通过文件进行传播，同时，勒索病毒的新生和变种速度极快，传统依靠特征比对的病毒检测机制无法发现，而前置机需要频繁与外部网络通信，很容易被感染，另外，勒索病毒的传播速度很快，在感染前置机之后，很快会传播到核心HIS系统，风险极大。缺乏检测和响应机制检测和响应机制对于安全建设而言越来越重要，前置机是外部网络与内部HIS系统中间的桥梁，当前置机感染僵木蠕之后，往往会被攻击者控制成为僵尸主机或攻击跳板，此类失陷主机也是进行APT攻击或更加深入攻击的首要条件。失陷主机在网络中往往隐藏很深，可能通过多种途径实现传播感染或对外通讯，最终达到破坏窃取等目的。而现有的网络中，哪怕存在了一定的边界防护设备，也很难发现失陷主机。主要原因便是失陷主机行为利用了大多数防护设备的逻辑漏洞，最终导致前置机被感染后成为网络中的万恶之源。前置机安全加固方案设计方案网络架构设计方案设计说明本方案站在医院前置机全生命周期的角度，提供一套集事前、事中、事后为闭环的前置机安全加固方案，在安全可视化基础之上，实现事前能够评估和预知前置机的风险暴露情况，并根据风险情况提供最佳策略配置部署建议，事中2-7层全面抵御安全威胁，对于勒索病毒等未知威胁有效检测与防御，事后持续检测网络中可能潜入的威胁并快速响应和告警，降低损失。本方案网络拓扑情况如上图，首先，确认网络中前置机的数量和部署位置，在每台前置机的前端（即连接外部网络方向）串接部署下一代防火墙产品并配置前置机业务安全加固策略，另外，在每台前置机主机安装深信服下一代终端安全产品终端检测与响应（EDR）做好主机安全加固。通过下一代防火墙和EDR的配合和联动，全面保障前置机的安全。事前预知前置机安全风险为了实现对前置机的安全保护，需要首先评估前置机目前的风险暴露情况。通过部署深信服下一代防火墙，自动识别前置机上开放端口和存在的漏洞，弱密码等风险，并且通过可视化的界面让用户了解，同时还能判断识别出是否有对应的安全防护策略以及策略是否生效。资产自动发现深信服下一代防火墙为帮助保护用户快速管理资产，避免安全防护策略的遗漏实现了基于流量检测的资产自动发现功能，可以通过流经流量的IP地址检测及端口检测快速发现自身资产，帮助用户进行策略的有效配置。Web扫描为了识别前置机可能存在的漏洞情况，深信服下一代防火墙中的WEB扫描器功能能够帮助用户对前置机进行深度的安全扫描，指纹识别，漏洞验证，全面预知系统的安全现状，并提供专业的安全加固建议。策略有效性识别在对前置机资产和脆弱性的识别之后，深信服下一代防火墙再对策略有效性做检测，通过监测流量进行发现，判定是否对设备与业务系统之间进行了策略配置实现检测、防御、响应；通过策略的对比检查，发现是否存在无效策略、策略冲突、策略配置不当等问题；通过规则库的版本检测，高危0day预警是否开启等方式判定设备是否具备新威胁的防御能力。事中网端联动全面防御攻击面对日益严峻的网络环境，漏洞攻击、应用层攻击、病毒攻击甚至APT攻击等都可能出现，而前置机作为对外连接的桥梁主机难以招架，所以在事中防御方面要考虑到各种可能面临的威胁类型，并针对性的和主动性的应对。应用层访问控制首先，前置机安全防护的基础是通过深信服下一代防火墙对进出前置机的数据进行精细化的访问控制，防止未授权访问发生。通过对网络边界面临的风险与需求分析，进行访问控制策略配置，实现对所有流经下一代防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类对前置机的非法攻击行为。提高内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。对系统的存取和访问进行监控审计，记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，深信服下一代防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。入侵检测与防护为了抵御外部对前置机的系统漏洞攻击，深信服下一代防火墙提供主动的、实时的防护，准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。入侵防护功能通过监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。深信服下一代防火墙的灰度威胁关联分析引擎具备7000+条漏洞特征库，可以全面识别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域10年以上的技术积累，组建了专业的安全攻防团队，可以定期提供最新的威胁特征库更新，以确保前置机入侵防御的及时性。 Web层防护目前网络中存在大量的应用层攻击，依靠传统的访问控制手段无法防御，因此为了防范外部网络对于前置机的应用层攻击，下一代防火墙的Web应用攻击防护能力尤为重要。深信服下一代防火墙包含3000+Web应用威胁特征库，同时通过正则匹配引擎、词法语法分析引擎和业务学习引擎的综合检测机制，有效防护各种Web安全威胁和攻击手段。深信服下一代防火墙能够有效防护OWASP组织提出的10大web安全威胁的主要攻击。同时，通过正则匹配+语法语义+业务学习模型的检测机制，实现精准检测，有效降低误判漏判。近些年网络中针对于WEB业务的绕过攻击、变种攻击越来越多，对前置机安全造成很大威胁，这种情况下仅依靠规则是难以检测这些攻击的，因此除了正则匹配检测以外，融入了词法语法和业务学习监督的多级检测机制，可以准确识别出SQL注入、XSS、WEBSHELL等变种攻击，同时解决因关键字误判和业务特征误判等众多规则类引擎无法解决的疑难问题。勒索病毒防护热门勒索病毒目的性强，为了逃逸各类安全设备防御手段，长期潜伏在网络中，进行低频爆破，分布式爆破等，前置机与外部频繁通信经常会在不经意间被勒索病毒感染，并且还会进一步影响HIS系统，产生巨大危害。传统的安全设备通过统计频率分布很难防御此类攻击。深信服针对长期潜伏的病毒慢速爆破问题，覆盖7x24小时日志全计算，通过聚合、分治、生命周期等方法，建立历史行为画像、自适应划分群组，并针对群组设计画像模型。实现从安全数据到慢速爆破攻击识别，有效对抗长期潜伏类的勒索病毒。针对无特征的勒索病毒检测，简单且有效的方法就是基于诱饵文件检测。深信服EDR可以在前置机特定目录下设置诱饵文件，通过实时监测诱饵文件内容是否被修改来识别是否有勒索软件运行。在该场景下，先在勒索病毒经常加密文件的地方投放一些诱饵文件，并在内核中实时监控这些诱饵文件内容是否被修改，一旦发现有进程尝试修改诱饵文件内，就判定为有疑似勒索行为，通知用户处理。同时，EDR中的深信服人工智能杀毒引擎SAVE通过高质量的样本集建立、精细化的特征工程和优秀的模型设计、快速迭代的自更新能力提供具有泛化的查杀病毒能力，在离线场景可下自学习，查杀效果远远优于规则库匹配引擎。针对勒索病毒结构识别能力强，误报低具有特征工程优势。通过深信服下一代防火墙在边界识别风险和做好隔离措施，通过EDR在主机侧做好保护，当下一代防火墙定位主机有遭受勒索病毒的风险时，可联动EDR做查杀，综合实现风险识别、深度检测、隔离管控、威胁清除等能力。边界和终端相互举证，定位真正的攻击源头。事后威胁行为的持续检测快速响应威胁行为的持续检测与快速响应是前置机安全的最后屏障，面临变化多端的攻击方式，任何防护行为都无法保障百分之百的安全，因此，持续检测与快速响应机制尤为重要。失陷主机检测深信服下一代防火墙独有的失陷主机检测功能，能够实时对外发流量进行检测，协助用户定位内网被黑客控制的前置机。该功能融合了僵尸网络识别库，全球在线的僵尸网络荣誉库，业界领先的失陷主机行为识别技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。同时结合多种失陷主机的行为特征为主机失陷的概率进行评分，帮助用户对问题进行精确定位，减少误判带来的运维浪费。快速响应机制当安全事件发生时，深信服下一代防火墙会基于安全事件的具体内容，提供相应的策略配置模板及解决方案，用户只需要根据操作建议进行“一键式”的策略下发，即可解决相应问题，避免因为问题处理的延误导致事件扩散造成更大的损失。同时，对于互联网出口区域的设备，可以开启云图功能，当发生安全事件时，会通过微信公众号推送事件信息，同时，云端专家在线协助用户处理，达到安全事件响应闭环，将安全事件带来的影响最小化。网闸与下一代