通過等保2.0分(fēn)析系統脆弱性:安(ān)全區(qū)域邊界篇 & 安(ān)全計算環境篇
編輯:2022-02-25 16:08:18
安(ān)全區(qū)域邊界在近幾年變得越來越精(jīng)細越來越模糊,因為(wèi)攻擊的形式、病毒傳播的途徑層出不窮,我以攻擊者的角度去看,任何一個漏洞都可(kě)以成為(wèi)勒索病毒傳播和利用(yòng)的方式,我們要做到全面補丁壓力重重,通過邊界劃分(fēn),依靠不同的邊界安(ān)全防護,在發生問題的情況下将損失降到最低。
1、邊界防護
自從出現了統方的情況後,醫(yī)院對于終端準入的關注度日益增加,出現了非法接入醫(yī)院内網,獲取處方數據的情況,在我看過大部分(fēn)醫(yī)院準入系統後,在數據盜取者面前這個準入做了和沒有(yǒu)做一樣,這真的是一個防君子不防小(xiǎo)人的系統,而那些統方者肯定已經超出了君子的範疇;通過傳統的 IP/MAC 綁定很(hěn)容易被繞過,缺乏對終端上特征的判斷,而我目前更推薦是桌管 + 準入相結合,但這也不能(néng)完全避免非法接入的情況,并且醫(yī)院設備種類衆多(duō),如設備儀器、攝像頭、門禁等,我曾經寫過一篇醫(yī)院零信任網絡安(ān)全架構的文(wén)章,想象着能(néng)通過操作(zuò)系統、網絡、安(ān)全結合大數據分(fēn)析、 SDN 的方式去嚴格控制醫(yī)院的準入,可(kě)能(néng)想象是美好的,但是國(guó)内的産(chǎn)品還不能(néng)完全滿足這個要求,因為(wèi)結合了多(duō)個廠家的領先技(jì )術。
我們理(lǐ)解準入的時候其實很(hěn)多(duō)時候已經走入一個死胡同,我們缺乏了對移動設備接口、電(diàn)腦接口、物(wù)聯網通信、 5G/4G 通信都有(yǒu)可(kě)能(néng)成為(wèi)準入的缺口,通過這些技(jì )術可(kě)以将外部網絡中(zhōng)轉後接入到内網,這些其實在我們的環境中(zhōng)已有(yǒu)很(hěn)多(duō)案例。考慮大型設備的質(zhì)控問題,進口品牌廠商(shāng)就會在設備上安(ān)裝(zhuāng)移動網絡 SIM 卡設備,除了大型設備,還有(yǒu)進口品牌的存儲上我也發現了這個情況,所以我們要管的不僅僅是能(néng)看到的這張“有(yǒu)形網”,更是這張不太能(néng)看到的“無形網”。
傳統的網絡安(ān)全都設置了三個區(qū)域, T rust 、 U nTrust 和 DMZ , 而在當今的網絡安(ān)全中(zhōng),任何事物(wù)其實都不可(kě)能(néng)完全信任,我們不僅要防外敵,同時也要防内鬼,一台中(zhōng)勒索病毒的内網終端可(kě)能(néng)比來自互聯網的 DD oS 攻擊更加可(kě)怕,這樣看來要針對每一台終端都要有(yǒu)相應防火牆的進出保護,而且該防護牆也不限于傳統意義的包過濾訪問控制,還要有(yǒu) IPS 、 WAF 、 防毒、行為(wèi)管理(lǐ)等庫,同時要配合外部的安(ān)全大腦,聯動其他(tā)安(ān)全産(chǎn)品共同防禦,想到這裏我又(yòu)想到了新(xīn)冠病毒,可(kě)能(néng)不亞于防護生物(wù)病毒的複雜度。
醫(yī)院有(yǒu)很(hěn)多(duō)移動醫(yī)療業務(wù)場景,醫(yī)生 PAD 查房,護理(lǐ) PDA 掃碼發藥、庫房 PDA 掃碼入庫等情況,有(yǒu)線(xiàn)的準入限制就如此薄弱,無線(xiàn)的準入限制就更加脆弱,曾經我就聽說有(yǒu)醫(yī)院出現非法授權人員通過無線(xiàn)網絡進行統方的行為(wèi),這聽起來已經是一件沒什麽技(jì )術含量的操作(zuò), PC 端的桌面管理(lǐ)很(hěn)多(duō)時候在移動終端上都沒有(yǒu)考慮,其實 MDM 移動終端管理(lǐ)這項技(jì )術已經很(hěn)早就有(yǒu)。
近幾年出現的“零信任”模型,無非就是在傳統網絡準入上更近一步,結合傳輸層、應用(yòng)層的判斷,對準入控制更加細化,原先一個終端對于網絡接入隻有(yǒu)“是”或者“否”,而零信任的環境下就算終端接入網絡,終端上的程序是否能(néng)運行還要經過判斷,程序走的網絡流量要經過層層過濾和安(ān)全防護,就和疫情防控一般,從外地過來的,首先判斷是不是中(zhōng)高風險地區(qū),如果是中(zhōng)高風險直接勸返或者隔離(準入控制),如果是低風險地區(qū),依然隔離多(duō)日通過多(duō)次核酸确認後才能(néng)入境(沙箱),境内我們限制了部分(fēn)場所的使用(yòng),如限制了電(diàn)影院、 KTV 、 棋牌室等風險場所,限制了入境人員可(kě)能(néng)去的風險區(qū)域(桌面管理(lǐ)),通過各場所的健康碼掃碼記錄形成(日志(zhì)審計),時刻要佩戴口罩進入公(gōng)共場所(防火牆),最後該人員依然出現了疫情症狀,傳播的範圍也可(kě)以控制到最小(xiǎo),并且通過掃碼行程和其他(tā)運營商(shāng)信号關聯出其時空伴随者(态勢感知),并一同隔離(殺毒軟件)。
2 、 訪問控制
在我原來工(gōng)作(zuò)的行業中(zhōng),這塊的内容其實是一項基本要求,每天有(yǒu)大量的工(gōng)作(zuò)是對防火牆上添加訪問控制策略,要對工(gōng)單表格中(zhōng)的内容進行合并同列項、歸類,還要在訪問沿途的防火牆上開通對應的策略,工(gōng)作(zuò)繁雜,對技(jì )術的要求其實不高,可(kě)能(néng)會遇到一些小(xiǎo)問題,也就是長(cháng)鏈接、 FTP 這些開放時要注意的問題。但是到了醫(yī)療行業,我咨詢了好幾家醫(yī)院,基本都沒有(yǒu)做訪問控制的,我分(fēn)析了一下有(yǒu)幾個原因:
①考慮性能(néng)問題,其實這已經不是問題,雲數據中(zhōng)心、 IDC 等出口都有(yǒu)包過濾防火牆設備,并且内部還有(yǒu)租戶單獨的防火牆設備,原單位的迪普防火牆号稱并發可(kě)以達到 8000 萬,當我用(yòng)容器環境做并發鏈接測試的時候打到過 500 萬,防火牆的 CPU 、 内存沒有(yǒu)一絲波動,而基本上沒有(yǒu)醫(yī)院的數據中(zhōng)心鏈接并發能(néng)達到 500 萬的,而當時 J uniper 的 ISG 設備最高隻能(néng)達到 2 萬的連接數,幾千的并發,所以設備合不合适要看設備的性能(néng)指标和新(xīn)老,而這些都和投入的成本有(yǒu)關,這些都要嚴格要求集成商(shāng),不能(néng)配置低配的設備,造成後續業務(wù)升級過程中(zhōng)不必要的麻煩;
②缺乏規劃性,因為(wèi) IP 地址的規劃和終端 IP 功能(néng)的規劃,可(kě)能(néng)在開通防火牆的時候就要開通一個大段,這樣的做法不太符合最小(xiǎo)化原則,這時候其實先要考慮前期 I P 的規劃,不同的 IP 網段有(yǒu)不同的功能(néng),然後在開通防火牆的時候可(kě)以盡可(kě)能(néng)的按照最小(xiǎo)化原則,而不至于有(yǒu)太大的工(gōng)作(zuò)量;
③服務(wù)資産(chǎn)不清,不清楚數據中(zhōng)心服務(wù)開放端口的資産(chǎn)情況,大部分(fēn)服務(wù)器端的軟件都由軟件廠家管理(lǐ),并且開放端口醫(yī)院信息科(kē)的人不清楚,連乙方部署的人都不一定清楚,很(hěn)難在這樣一個基礎下建立起防火牆開放的流程;
④高可(kě)用(yòng)性的擔心,在傳統的防火牆設計中(zhōng),一般就考慮将防火牆串聯到網絡當中(zhōng),實際在部署的時候有(yǒu)很(hěn)多(duō)種方式,當時對于醫(yī)院這樣的環境,我們盡可(kě)能(néng)考慮最小(xiǎo)影響,我推薦透明串聯 + 旁路 bypass 功能(néng)、策略路由旁挂 +SLA 檢測、 vxlan 安(ān)全服務(wù)鏈引流,其中(zhōng)都要确保單台防火牆滿足網絡中(zhōng)最大流量,并且能(néng)夠在出現故障時實現主主切換、主備切換、故障旁路,将業務(wù)的影響降到最低,并且盡量确保那些長(cháng)鏈接會話不受影響。
在醫(yī)院防火牆部署的位置上,我們要考慮信任和非信任兩個方面,首先相對于内部網絡,對互聯網和專網我們應該列入非信任(專網包括醫(yī)保、衛生專網等一切非醫(yī)院自己内部的網絡),相對于醫(yī)院内網,醫(yī)院的外網也是非信任區(qū),相對于數據中(zhōng)心網絡,醫(yī)院的門診、住院等辦(bàn)公(gōng)網段也是非信任區(qū),在這幾處我們都應該确保有(yǒu)防火牆防護,對應策略默認拒絕,按需開通服務(wù)。可(kě)能(néng)大家覺得部署這麽多(duō)防火牆并沒有(yǒu)感受到很(hěn)大的用(yòng)處,大家在想想勒索病毒通過什麽方式傳播,見的最多(duō)的是 SMB 服務(wù),其實隻要是漏洞在我看來都有(yǒu)可(kě)能(néng)被勒索病毒利用(yòng),如果在全網終端沒有(yǒu)打上補丁的情況下,我們除非有(yǒu)自動化工(gōng)具(jù)能(néng)夠批量對終端進行防火牆下發,那在便捷性和實用(yòng)性折中(zhōng)的情況下,我們還是會考慮使用(yòng)網絡防火牆對勒索病毒傳播端口進行封堵,如果單位本來就建立了良好的按需開通訪問機制,在這個時候也就不會有(yǒu)很(hěn)多(duō)擔憂。
3 、 入侵防範
a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為(wèi);
b)應在關鍵網絡節點處檢測防止或限制從内部發起的網絡攻擊行為(wèi);
c)應采取技(jì )術措施對網絡行為(wèi)進行分(fēn)析,實現對網絡攻擊特别是新(xīn)型網絡攻擊行為(wèi)的分(fēn)析;
d)當檢測到攻擊行為(wèi)時。記錄攻擊源IP、攻擊類型、攻擊目标、攻擊時間,在發生嚴重入侵事件時應提供報警。
這裏提到了外到内的網絡攻擊和内到外的網絡攻擊,外到内的防護毋庸置疑,而内到外的防護其實也是我們要考慮的,在網絡安(ān)全法頒布起,攻擊我國(guó)境内的網絡資産(chǎn)都會受到法律的制裁,為(wèi)了保護自己單位不受影響,那對内到外攻擊的防護自然而然要被納入管理(lǐ)的範圍,像 C&C 攻擊、 DD o S 攻擊的肉雞,像對勒索病毒外聯的防護都是我們要考慮的,在保護他(tā)人的同時保護了自己。
對新(xīn)型網絡攻擊行為(wèi)的分(fēn)析,其實早在 2014 年我就了解到了當時的 APT 産(chǎn)品( 高級可(kě)持續威脅攻擊 ),深思現在的網絡架構,如果要發現新(xīn)型的攻擊行為(wèi),那我們就要排除掉一切以攻擊庫、病毒庫為(wèi)基礎的設備,包括傳統的防火牆、殺毒軟件等,在此基礎上,要聯動下一代牆、态勢感知、 EDR 等新(xīn)型安(ān)全産(chǎn)品,甚至還要聯動産(chǎn)品公(gōng)司外部的實時信息,關聯全球的安(ān)全情報,通過這樣的要求,我對這套體(tǐ)系的考慮是盡可(kě)能(néng)通過同一家公(gōng)司的産(chǎn)品實現,可(kě)以想象一個中(zhōng)國(guó)人對一個不會說中(zhōng)國(guó)話的外國(guó)人說漢語的時候是什麽樣的結果,就算雙方都是中(zhōng)國(guó)人,不同的方言理(lǐ)解起來其實也有(yǒu)困難(就好像不同的産(chǎn)品線(xiàn)在傳輸日志(zhì)和分(fēn)析日志(zhì)的時候都有(yǒu)不同的方法),所以對新(xīn)型網絡攻擊行為(wèi)的分(fēn)析,其實任重而道遠(yuǎn)。
對于安(ān)全日志(zhì)的收集、記錄、分(fēn)析、告警對整個安(ān)全運營中(zhōng)心平台也有(yǒu)很(hěn)大的壓力,打個比方,在同一原地址對醫(yī)院多(duō)個互聯網地址進行攻擊時,原始的日志(zhì)可(kě)能(néng)是成千上萬條的,如果這成千上萬條的日志(zhì)不經過分(fēn)析,直接告警,可(kě)能(néng)告警的短信平台、微信平台都會搞垮,安(ān)全日志(zhì)分(fēn)析彙聚的工(gōng)作(zuò)就尤為(wèi)重要,不僅要對同一攻擊源的不同攻擊進行彙總,還要對不同攻擊源的同種攻擊進行彙總,甚至還要關聯前後攻擊的線(xiàn)索進行溯源。
說到審計看似很(hěn)簡單,隻要把日志(zhì)傳遞到日志(zhì)審計服務(wù)器記錄,可(kě)以通過各式各樣的參數查詢即可(kě),但是日志(zhì)記錄全不全、有(yǒu)沒有(yǒu)遺漏,我之前就碰到過好幾次溯源到一半失敗的情況,一次是訪問過程中(zhōng)有(yǒu) NAT 設備,這個時間點 NAT 的日志(zhì)沒有(yǒu),沒辦(bàn)法把前後的日志(zhì)關聯起來,一次是設備上的攻擊源地址是白名(míng)單地址,而白名(míng)單地址攻擊不記錄在日志(zhì)中(zhōng),還有(yǒu)很(hěn)多(duō)次因為(wèi)終端上的日志(zhì)沒有(yǒu)開啓,導緻最後一步溯源失敗。
如果要将所有(yǒu)資産(chǎn)的日志(zhì)進行審計記錄,并且記錄到位,還要做備份,其實這個量遠(yuǎn)遠(yuǎn)已經超過了 HIS 數據庫的增長(cháng)量,而且網絡安(ān)全法的要求是日志(zhì)記錄 180 天,我看了下我們光數據庫審計的日志(zhì)每天就有(yǒu) 20 多(duō) GB ,180 天将近 4TB 的容量,我們還有(yǒu)網絡設備日志(zhì)、安(ān)全日志(zhì)、操作(zuò)系統日志(zhì)、存儲日志(zhì)、應用(yòng)日志(zhì)等等,加起來每天的量可(kě)能(néng)就達到上百 GB , 如此大量的細小(xiǎo)碎片化數據,要做到日志(zhì)查詢不僅僅是一台日志(zhì)審計服務(wù)器能(néng)做到,我在購(gòu)買數據庫審計的時候就測試了多(duō)家廠家的産(chǎn)品,不是日志(zhì)遺漏保存,就是日志(zhì)查詢速度慢,或者是日志(zhì)查詢功能(néng)不全,如果是有(yǒu)能(néng)力的醫(yī)院,其實建議還是單獨自建開源的日志(zhì)平台,對日志(zhì)流量進行清洗、彙總,通過相匹配的 NoSQL 數據庫記錄,簡單方便的可(kě)以考慮下 Elastic Search ,在查詢速度快的情況下,可(kě)視化也做的較好。
個人認為(wèi)計算環境下的安(ān)全問題其實是最嚴重的,大部分(fēn)中(zhōng)高危漏洞都從計算環境下發現,被利用(yòng)最多(duō)的也是,而且計算環境的網絡資産(chǎn)量也是最多(duō)的,各種虛拟化、容器化、 S erverless 等技(jì )術将計算資源分(fēn)成更小(xiǎo)的細塊,提高了安(ān)全管理(lǐ)員的能(néng)力要求,更是提高了像 CWPP 、 EDR 等安(ān)全軟件的防護要求,在 “安(ān)全計算環境中(zhōng)”有(yǒu)些前面提到的内容就不再贅述。
在醫(yī)院中(zhōng)除了數據中(zhōng)心的服務(wù)器資源,還有(yǒu)醫(yī)護人員、行政人員使用(yòng)的電(diàn)腦都需要納入安(ān)全計算環境的管轄範圍。大家可(kě)以看看自己用(yòng)的電(diàn)腦是否設置了密碼,并且密碼的要求是否符合強口令(長(cháng)度大于 8 位,包含大小(xiǎo)寫字母、數字、符号,并且不包含鍵盤上連續字符或者英文(wén)單詞),并且 3 個月更換一次密碼。在 AAA 認證體(tǐ)系( AAA 是認證( Authentication )、授權( Authorization )和計費( Accounting ) )中(zhōng),第一關就是認證,在認證的過程中(zhōng)可(kě)能(néng)會出現如無認證、弱口令、認證可(kě)以被繞過、明文(wén)密碼傳輸等等問題,
不僅僅是在醫(yī)療行業,基本所有(yǒu)行業的内網環境都包含了上述問題,在護網行動中(zhōng),打入了内網環境後,大量使用(yòng)重複的弱口令,成為(wèi)被攻陷的重要問題之一,有(yǒu)很(hěn)多(duō)護網的案例是拿(ná)下了堡壘機的弱口令,而堡壘機上直接記錄了各類服務(wù)器的高權限賬号密碼,通過一點突破全網。我們大家可(kě)以看看自己的環境下, PC 和服務(wù)器端是否存在無認證、弱口令的情況,除了 RDP 、 SSH 等常見管理(lǐ)服務(wù),還有(yǒu) Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer , 根據我一直以來的工(gōng)作(zuò)經驗,很(hěn)多(duō)開源軟件的早期版本對于 API 接口就根本沒有(yǒu)認證機制,所以還有(yǒu)很(hěn)多(duō)的開源服務(wù)如 Redis 、 Docker 、 Elastic Search 等,有(yǒu)認證的情況下是否使用(yòng)了開源軟件的默認賬戶口令,這個也需要我們及時修改,黑客可(kě)以通過一點突破,層層收集信息,最終突破核心防線(xiàn)。
AAA 體(tǐ)系中(zhōng)的第二步授權,其實是可(kě)以緩解第一步問題的一個手段,理(lǐ)論上要求我們的 PC 端、服務(wù)器端不同的軟件需要通過不同的用(yòng)戶安(ān)裝(zhuāng)、使用(yòng),并且不同的用(yòng)戶隻能(néng)給予最小(xiǎo)安(ān)裝(zhuāng)、使用(yòng)軟件的權限,而我們可(kě)以檢查下自己的環境,應該是有(yǒu)很(hěn)多(duō)直接使用(yòng) administrator 、 root 等用(yòng)戶,并且這些賬号存在着複用(yòng)的情況,在使用(yòng)過程中(zhōng)很(hěn)難分(fēn)清楚現實生活中(zhōng)的哪個自然人使用(yòng)了這個賬戶進行了相關操作(zuò),如果出現了問題給後續溯源提升了難度,我們這時就需要通過 IP 、 上層的堡壘機日志(zhì)等進行關聯溯源。
限制登錄失敗次數是防止暴力破解的手段之一,暴力破解會通過一個密碼本對需要爆破的服務(wù)密碼進行不斷的嘗試,直到試到正确的那個密碼或者密碼本試完為(wèi)止,正常人登錄一般都會記得自己的密碼,當然在定期更換複雜密碼的要求下,正常人也會記不住密碼,這個問題我們後面再說。在限制了登錄失敗次數,比如我們設置了 5 次,那通過某個 IP 登錄失敗 5 次後這個 IP 就會被鎖定,當然可(kě)以設置别的 IP 還可(kě)以登錄這個服務(wù)。會話結束功能(néng)就類似于 W indows 自動鎖屏,作(zuò)為(wèi)一個信息工(gōng)作(zuò)者,在我們離開電(diàn)腦時就應該考慮鎖屏的操作(zuò),并且重新(xīn)登錄要輸入賬号密碼,一個不會超時的會話雖然方便了我們自己,同樣也給惡意者帶來了方便,想想經過你辦(bàn)公(gōng)桌的每個人都可(kě)以在登錄着的 HIS 服務(wù)器或者核心交換機上敲一個 reboot ,最後造成的結果可(kě)想而知,雖然這個事故不是你直接操作(zuò)的,但也要負主要責任。
在醫(yī)院中(zhōng)常見的遠(yuǎn)程管理(lǐ)手段有(yǒu) RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等,其中(zhōng) TELNET 、 FTP 在流量劫持時可(kě)以直接獲得賬戶口令信息,可(kě)以通過 SSH 、 SFTP 等方法替換,确保在賬号密碼認證和數據流傳輸過程中(zhōng)都是加密的。其實 Oracle 的流量也非加密,在我咨詢了我 OCM 的朋友和百度後,發現其實 Oracle 流量也可(kě)以配置加密,但是我們很(hěn)少會這樣做,并且很(hěn)少會有(yǒu)人關心這個問題,還消耗客戶端和服務(wù)端額外的性能(néng)。這時候我們就要想到什麽時候我們的流量會被截取走,常見的就是内網 ARP 欺騙,一台攻擊主機在客戶端請求網關 MAC 地址的時候,将自己的 MAC 地址告訴客戶端,說自己這個 MAC 地址就是網關的 MAC , 這樣二層的流量會先通過這台攻擊主機轉發給真實的網關,所有(yǒu)明文(wén)的流量過了這台攻擊主機後就可(kě)以被它輕松的獲取敏感信息,我的防護方法是通過桌管軟件,将每個網段主機的網關 ARP 解析靜态的寫到客戶端上,确保 ARP 解析時默認都先通過本地記錄解析,從而不會被外部動态解析影響。另一種情況會被獲取的是網内的流量設備,很(hěn)多(duō)安(ān)全設備、 APM 監控設備、深度流量分(fēn)析設備都需要抓取核心網絡的流量,當這些流量被鏡像給設備後它們會将它記錄下來,而正式或者測試設備出現問題返廠時,我們就要叮囑工(gōng)程師要清空本地數據,以免數據洩露,在我的工(gōng)作(zuò)中(zhōng)就聽到過通過安(ān)全設備洩露大量公(gōng)民(mín)信息的案例。
前面我們說到要定期修改複雜密碼,但是經常修改會導緻管理(lǐ)員記憶困難,這個時候我覺得雙因子認證也是幫助大家不用(yòng)記複雜密碼的好方法。雙因素認證分(fēn)為(wèi)所知和所有(yǒu)兩種,雙因素的證據又(yòu)分(fēn)為(wèi)秘密信息、個人物(wù)品、生理(lǐ)特征三種類型,像口令、密碼就是信息,物(wù)理(lǐ) key 就是個人物(wù)品,指紋、虹膜、面部就是生理(lǐ)特征,我們隻要結合兩種類型的證據,那就符合要求,可(kě)以通過物(wù)理(lǐ) KEY+ 動态密碼的方式實現認證,此時就不用(yòng)記住原始的靜态密碼,大家可(kě)以想象一下現在在登錄微信、支付寶、 QQ 等互聯網軟件的時候基本很(hěn)少使用(yòng)密碼,而智能(néng)手機也将密碼和人臉識别關聯,方便大家認證操作(zuò),同時又(yòu)符合安(ān)全要求。在醫(yī)院工(gōng)作(zuò)的過程中(zhōng),我發現很(hěn)多(duō)業務(wù)系統的賬号密碼不是同一套體(tǐ)系,系統在認證時也沒有(yǒu)做到雙因子的要求,我之前寫過一篇論文(wén),叫《基于 4A 系統的醫(yī)院零信任網絡安(ān)全模型》,也是我希望能(néng)通過安(ān)全技(jì )術提升醫(yī)護行政人員使用(yòng)系統時的便利性、規範對醫(yī)院所有(yǒu)系統賬戶體(tǐ)系管理(lǐ)、加強醫(yī)院業務(wù)系統使用(yòng)時的權限管理(lǐ)能(néng)力。
五級電(diàn)子病曆評審中(zhōng)提到了系統備份、容災的标準,對醫(yī)院信息系統的穩定性、可(kě)靠性、可(kě)用(yòng)性有(yǒu)了明确的要求,醫(yī)院信息系統的宕機、數據丢失會造成無法挽回的影響;2021 年《數據安(ān)全法》和《個人信息保護法》出台,我國(guó)在信息化高速發展的當下,更加重視了網絡安(ān)全,證明了網絡安(ān)全與信息化是一體(tǐ)之兩翼、驅動之雙輪。
2 、數據保密性
信息安(ān)全 CIA 三要素,保密性、完整性、可(kě)用(yòng)性,這裏提到了數據的保密性,其實不管在哪個行業,數據的保密性都很(hěn)難做,我們可(kě)以看到大量的公(gōng)民(mín)數據在互聯網安(ān)全事件中(zhōng)洩露,我國(guó)之前的《網絡安(ān)全法》對數據安(ān)全沒有(yǒu)具(jù)體(tǐ)的要求,而 2021 年的《數據安(ān)全法》和《個人信息保護法》才對數據安(ān)全有(yǒu)了明确的要求,并且這兩部法律給企業帶來了不小(xiǎo)改造的壓力。
數據安(ān)全的保密性要求貫穿了數據的産(chǎn)生、傳輸、處理(lǐ)、存儲、銷毀等過程,首先我們要對數據進行保密,就要知道哪些數據應該保密,此時要做的就是數據的分(fēn)類分(fēn)級,在分(fēn)級分(fēn)類過程中(zhōng)涉及到對敏感數據的發現,敏感數據除了結構化的還有(yǒu)非結構化的,除了關系型的還有(yǒu)非關系型的,基本很(hěn)難做到全覆蓋,比如在護網期間就發現有(yǒu)很(hěn)多(duō)日志(zhì)、配置文(wén)件中(zhōng)帶着敏感的賬号密碼等信息,而這些信息的配置可(kě)能(néng)是套裝(zhuāng)化軟件不能(néng)修改的。在發現了敏感數據後我們就要對敏感數據進行加密、脫敏、去标識化操作(zuò),在五級電(diàn)子病曆的要求中(zhōng)也有(yǒu)一條數據加密的要求,數據加密其實有(yǒu)兩種做法,一種是在存儲層(通過存儲設備進行加密),另一種在系統層(通過對操作(zuò)系統的配置文(wén)件,或者對數據庫的數據進行加密),第一種方法的難度較小(xiǎo),而第二種方法的難度較大,需要考慮數據被加密的方法和被使用(yòng)過程中(zhōng)的解密,對于數據量小(xiǎo)可(kě)以考慮非對稱加密,而數據量大的隻能(néng)使用(yòng)對稱加密,這也就是 SSL 的機制,通過非對稱加密秘鑰,然後通過秘鑰對稱加密數據流,在确保業務(wù)正常的情況下,實現安(ān)全的需求。針對脫敏、去标識化操作(zuò)可(kě)以通過好幾處實現,可(kě)以通過後端實現,也可(kě)以通過前端實現,通過後端實現時當數據從應用(yòng)層往前端傳輸時就是去脫敏、去标識化的數據,甚至是在數據庫中(zhōng)就是脫敏、去标識化的,而在前端實現,我們可(kě)以在客戶端本地開啓代理(lǐ),直接可(kě)以獲得明文(wén)的數據,從安(ān)全性來考慮肯定是後端實現更安(ān)全。
我們在做數據加密、脫敏、去标識化時要考慮的重要一點就是業務(wù)是否支持,有(yǒu)些數據雖然是敏感數據,但是以密文(wén)呈現時是無法進行正常業務(wù)的辦(bàn)理(lǐ)和交互的,如果要實現正常業務(wù)辦(bàn)理(lǐ)和交互,可(kě)能(néng)需要改變流程、規範,并且付出巨大的代價,在醫(yī)院以業務(wù)為(wèi)中(zhōng)心的情況下,個人覺得短期内很(hěn)難很(hěn)難實現,我個人在落地一個數據安(ān)全的産(chǎn)品時就提出了這樣一個問題,該産(chǎn)品邏輯串聯在數據庫客戶端和數據庫服務(wù)器之間實現數據庫字段的加密、脫敏、去标識化操作(zuò),而我們的 HIS 業務(wù)每天都有(yǒu)大量的問題要處理(lǐ),在處理(lǐ)過程中(zhōng)需要通過這些敏感的數據進行确認、判斷、修改,不可(kě)能(néng)專門安(ān)排一個人每天在對字段做解密、加密的操作(zuò),還需要配合專門的流程來規範這個操作(zuò),在一個業務(wù)系統沒有(yǒu)穩定、技(jì )術人員缺乏的情況下,這樣的功能(néng)很(hěn)難落地,就算落地了也隻是很(hěn)小(xiǎo)的範圍,如何滿足二者需要靠廣大讀者來幫忙想想辦(bàn)法了。
3 、 數據備份恢複
我問了很(hěn)多(duō)醫(yī)院,大家可(kě)能(néng)都建立了容災環境,但是很(hěn)少有(yǒu)醫(yī)院做容災測試,對于五級電(diàn)子病曆的要求是每年至少一次的容災演練(還需要結合業務(wù)場景),每季度至少一次的數據全量恢複測試,一個沒有(yǒu)測試過的容災系統真的很(hěn)難讓人相信在出問題的時候可(kě)以撐得住真實業務(wù),也許容災的切換過程沒有(yǒu)問題,但是容災的硬件資源、硬件配置、軟件調整等是否能(néng)讓用(yòng)戶在較短的時間内進行邊便捷的切換操,五級電(diàn)子病曆對于數據丢失的要求比較松, 2 小(xiǎo)時以内即可(kě),但是醫(yī)院對于數據丢失是難以容忍的,對于信息化較長(cháng)時間都無法正常使用(yòng)也是無法容忍的,我們要盡可(kě)能(néng)做到 RPO 、 RTO 最小(xiǎo)化。
對于備份,我盡量做到 321 原則, 3 份數據、 2 種不同介質(zhì)、 1 份存于異地,結合第一點和第二點,我将數據存放于起碼 2 種不同物(wù)理(lǐ)設備上,存儲 3 份,再結合第三點将一份數據存儲于異地,兩份數據存于本地。我們醫(yī)院有(yǒu)兩個院區(qū),兩院區(qū)直線(xiàn)公(gōng)裏數其實小(xiǎo)于 40 ㎞ , 而等保的異地要求是直線(xiàn)大于 100 ㎞ , 對于沒有(yǒu)分(fēn)院的小(xiǎo)夥伴們,其實我建議可(kě)以将另一份數據存到異地雲上,最起碼在本地真的數據沒辦(bàn)法恢複時還有(yǒu)一根救命稻草(cǎo),雖然恢複的時間可(kě)能(néng)會長(cháng)一點。我會将兩院區(qū)的數據做相互的異地備份,盡可(kě)能(néng)提高數據備份的頻率,減少數據的丢失,核心業務(wù)系統采用(yòng)實時備份或者容災的方式,在使用(yòng)較高頻率備份的情況下,我們對于備份、容災的硬件就有(yǒu)一定的要求,較差的 HDD 盤是無法支撐起大數據量、高并發的備份任務(wù),可(kě)能(néng)出現任務(wù)排隊,那就會得不償失;在備份上我們就出現過一個問題,之前工(gōng)程師在配置 RMAN 備份保留的腳本操作(zuò)是先删除原來的備份,在進行下一次備份,如果前一次備份删除了,後一次備份沒有(yǒu)成功,那就沒有(yǒu)了全量數據,這樣的備份是沒有(yǒu)意義的,大家可(kě)以檢查下自己的環境是否存在這樣的問題。
在備份的類型上,分(fēn)為(wèi)物(wù)理(lǐ)備份和邏輯備份, 21 年我就聽到了别的醫(yī)院出現了 Oracle 的邏輯壞塊,出現壞塊後數據庫無法正常啓動,而容災系統通過 Oracle Data Guard 實現, DG 屬于物(wù)理(lǐ)塊同步,面對邏輯錯誤不會校驗,而直接将這個邏輯錯誤同步給了容災庫,導緻容災庫也無法正常拉起,并且當時也沒有(yǒu)配置長(cháng)時間的閃回空間,導緻最後花(huā)了很(hěn)大的代價才恢複了一部分(fēn)丢失的數據,并且業務(wù)中(zhōng)斷了很(hěn)久,可(kě)以通過 OGG 解決這個問題,并且 OGG 可(kě)以支持跨數據庫、操作(zuò)系統類型之間的數據複制,但是配置難度比 DG 大了很(hěn)多(duō);另外的辦(bàn)法是通過 CDP 實現 IO 級别的備份,當出現邏輯錯誤數據庫無法正常使用(yòng)的時候,通過 CDP 的 IO 回退到正常的時間點,當然中(zhōng)間丢失的數據需要人工(gōng)去彌補,這樣通過數據庫外部的方式解決數據備份的問題。
4、個人信息保護
這兩點在《個人信息保護法》中(zhōng)也有(yǒu)明确提到,該法律中(zhōng)多(duō)次提到了收集個人信息要有(yǒu)“詢問 - 确認”的過程,并且在用(yòng)戶不同意提供個人信息的情況下,不能(néng)拒絕對用(yòng)戶提供服務(wù),隻收集必需的個人信息,要告知用(yòng)戶收集每種類型個人信息的目的,告知用(yòng)戶如何處理(lǐ)、傳遞、使用(yòng)個人信息。在疫情當下,全國(guó)的醫(yī)院都緊鑼密鼓的推廣互聯網醫(yī)院,意味着有(yǒu)一個面向患者的醫(yī)院互聯網系統,患者可(kě)以直接面向這個互聯網系統,那對系統的提交信息、問詢交互有(yǒu)了更直接的了解,我們在做互聯網系統的時候要結合《網絡安(ān)全法》、《數據安(ān)全法》和《個人信息保護法》三駕馬車(chē)來嚴格要求開發時的安(ān)全需求,自從三部法律上台後有(yǒu)多(duō)少互聯網 APP 因不符合要求被責令整改、罰款、下架等,我們也該引以為(wèi)戒。
文(wén)章來源:天億網絡安(ān)全
咨詢熱線(xiàn):0351-4073466
地址:(北區(qū))山(shān)西省太原市迎澤區(qū)新(xīn)建南路文(wén)源巷24号文(wén)源公(gōng)務(wù)中(zhōng)心5層
(南區(qū))太原市小(xiǎo)店(diàn)區(qū)南中(zhōng)環街(jiē)529 号清控創新(xīn)基地A座4層
