行業警報

在新醫改背景下服務器運維，國家從戰略高度將信息化建設確定為深化醫藥衛生體制改革的“四梁八柱”之一。力量。

醫院數據涉及個人健康隱私，興趣廣泛。它往往是黑客覬覦的“大金庫”。近年來，國內外有不少消息稱，某醫院系統被植入升級版勒索病毒后癱瘓；某信息系統遭到黑客攻擊，導致系統大規模癱瘓，住院診療過程無法正常運行。隨著國家和行業層面對信息安全的日益重視，醫院防患于未然的意識和能力得到了極大的提升。但由于信息管理人員的疏忽或安全意識的缺失，醫院信息系統遭到“打擊”。

2020 年 10 月 3 日，美國阿拉巴馬州一名 9 個月大的女嬰意外死亡后，孩子的母親向嬰兒出生的醫院提起訴訟，聲稱該醫院未能披露其網絡系統被攻擊導致護理部署異常，最終導致嬰兒死亡。這一事件再次表明，網絡攻擊的影響不僅是數據、財產、名譽的損失，甚至是生命的損失。

以上事件表明，醫療行業的數據安全不容小覷，醫療信息行業必須高度重視。

二、行業痛點

1、高穩定性和故障預警要求

醫院信息系統，尤其是核心系統，不能全年24/7停機，最長維護時間窗口只有半小時左右，否則會影響患者排隊就醫。業務的特殊性決定了對網絡連續性和網絡安全保障程度的更高要求。

2、現有安全產品瓶頸和防火墻不足

作為邊緣安全設備，部署在醫院的防火墻在域內存在大量不合理且寬泛的安全策略。近年來，國家對廣義防火墻政策的保護有了明確的要求。需要快速找出不合理的政策，收斂寬泛且無效，但人工排序困難，對現有業務的影響無法驗證。打開對應策略的日志會嚴重消耗性能，不靈活。運維團隊面對防火墻策略的現狀束手無策，策略維護增加了運維的負擔。另外，當醫院需要更改防火墻的配置時，手動配置容易出錯，如防火墻原有端口映射配置刪除失敗、策略下發錯誤等，嚴重影響醫院的治療。 安全事件發生后，醫院希望盡快自動過濾掉與事件相關的防火墻策略。但是策略配置是防火墻本身造成的，由于缺乏數據支持服務器運維，很難判斷。

3、日志管理和審計設備

醫院的數據中心運行著大量的醫療系統。日常運維監控需要對醫療系統進行日志采集和信息審計。有些醫院有自己的日志管理平臺，但展示效果不靈活。分布式WAF節點眾多，安全事件也難以統一、便捷地展示。無法結合異常時期的流量數據定位根因，無法對高頻攻擊進行統計分析，不利于醫院后續針對性防護。

4、安全代理設備

基于醫院業務性能擴展和安全考慮，醫院大量負載設備采用的全代理模式通常對客戶端地址進行源地址轉換，因此存在關聯通信的問題。轉換后。此外，醫療系統與調度平臺之間的映射關系難以理清，極大地阻礙了攻擊路徑的可追溯性和人工排查。

5、洪水攻擊流量難以追蹤定位

當醫院網絡面臨DDoS攻擊時，如果網卡發送的數據包數量快速增加，會消耗大量網絡帶寬，造成網絡擁塞，從而引發廣播風暴。由于廣播攻擊流量和數據包數量巨大，傳統的 NPM 難以進行正常的解析和回溯。

6、DNS 安全缺乏保護方法

醫院的大部分業務系統都使用域名對外提供服務，因此容易受到基于主機耗盡的 DNS 攻擊（DNS 查詢）。攻擊方式是向被攻擊服務器發送大量域名解析請求，通常請求解析的域名是隨機生成的域名或者網絡上根本不存在的域名。當被攻擊的DNS服務器收到域名解析請求時，首先會檢查服務器上是否有相應的緩存。如果找不到，并且域名無法直接在服務器解析時，DNS服務器會遞歸地向其上級DNS服務器查詢域名信息。域名解析的過程給服務器帶來了很大的負載。如果每秒的域名解析請求數超過一定數量，DNS服務器會超時解析域名，影響正常的域名業務訪問。由于缺乏保護和異常訪問統計，此類問題的后處理是被動且低效的。

三、智能數據解決方案

基于多年在醫療行業智能分析和運維服務領域的經驗，智微數據針對上述醫療行業安全痛點有以下實施方案：

1、流量分析 0 影響

通過網絡旁路鏡像，7*24小時實時采集數據中心關鍵網絡節點和防火墻前后的網絡流量。對流量進行精細分析和檢查，而不會對現有網絡和應用程序產生任何影響。

2、防火墻性能 0 影響

支持FTP、API、文件上傳等多種方式定時獲取防火墻策略，無需打開防火墻會話日志，通過獲取流量+配置，實現流量與配置的關聯，不影響性能防火墻，為提供流量支持。

3、多源數據統一訪問管理

Data基于自有的基于平臺的靈活架構支持多源數據訪問，包括對各種醫療系統日志和審計日志的集中收集和分析，可以靈活準確地實現多平臺的聯動和連接。被動接收兩種方式連接各個平臺的數據（包括Kafka，等），連接平臺內置的數據庫，可以實現日志的統一展示和管理。

4、異常業務路徑畫像

智能數據可以基于負載設備的API接口獲取設備配置信息，并根據配置信息+流量數據動態、直觀的展示業務系統的完整網絡路徑。基于業務訪問日志，對部分異步業務的數據流進行拼接，實現訪問關系的可追溯。

[上圖為demo數據演示]

5、智能分析

智能數據產品內置多種智能算法和200多個場景的智能分析知識庫。當指標異常時，系統自動進行根因分析，幫助運維人員更快地感知和分析故障，同時分配故障。能夠為運維人員進行數據預測和變化分析。

四、使用場景

1、防火墻策略優化和早期故障檢測

防火墻是經過特殊編程的路由器。作為醫院網絡的第一道防線，它維護著大量的冗余策略，這將占據自身的性能。另外，還需要滿足.0的要求。 Smart Data根據防火墻的前后端流量和配置信息，通過配置排序和流量校驗，快速有效地進行策略收斂，不影響防火墻性能，滿足合規檢查要求，快速消除防火墻隱患政策風險。

同時，智微數據支持對醫院交通數據進行自動、定期智能巡檢。通過異常數據和特征值，發現域內潛在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱密碼等存在明顯安全隱患的數據。

2、阻塞驗證和監控

如何驗證發布的安全策略是否存在漏洞或是否真正有效，往往是醫院頭疼的問題。智微數據基于實時流量繞行采集監控實時數據，支持對封禁IP和服務的實效驗證。如果數據表的流量禁止列表中有IP，可以主動告警，支持root-based支持。通過定位分析，可以明確問題的原因，比如策略配置問題或者安全設備異常。

3、DNS 攻擊溯源與處理

智能數據支持DNS設備深度監控，可全面分析監控醫院DNS服務器和53端口。根因定位和訪問成功率。基于告警和可視化，快速定位異常DNS攻擊和異常請求的來源，并通知醫院安全人員進行處理。

4、異常安全事件完成追溯定位

智能數據全流量分析平臺可獲取全網流量，包括醫院出口和內網。平臺的業務畫像功能可以根據歷史行為基線檢測新的異常訪問。結合CMDB數據，可對內網新增訪問進行二次檢測，實現異常訪問的主動監控。

智能維度數據支持基于流量特征和負載設備日志對異步服務進行靈活、自動的關聯數據流拼接，實現訪問關系的可追溯性，以及對攻擊經過的負載設備的回溯分析。同時，基于防火墻的前后端流量和配置信息，智微數據可以通過AI算法智能檢測通過防火墻的業務流量。實時感知業務異常以及事件相關IP和策略的位置。快速判斷異常的Deny行為和攻擊入口，并給出安全風險提示。

基于日志和流量數據，對攻擊源、地理位置、攻擊類型、攻擊方式等多個維度進行統計分析，將終端日志與流量路徑關聯，為防御策略制定提供數據支持。

從流量、代理映射、資產、配置、日志、設備狀態等全方位智能分析，實現對異常安全事件的精準檢測。

5、ARP廣播風暴攻擊

從實踐經驗來看，90%以上的互聯網廣播風暴都是由病毒引起的。智微數據擁有專為廣播風暴攻擊設計的高性能探針。它通過中繼端口收集數據，僅接收廣播、多播和單播泛洪流量。并且由于產品的采集口采用混雜模式，也可以避免接口環路的風險。可快速處理分析當前廣播域的ARP攻擊來源并生成告警，支持將告警數據推送到第三方處理平臺，實現自愈。

6、沒有專家值班

智能數據基于多年的IT運維經驗，通過腳本在系統中預制常見故障的分析思路。當需要報警事件、隱藏事件或人工分析時，系統可自動獲取事件相關數據，并進行智能分析，輸出分析報告，簡潔易懂。

支持、郵件、短信、微信等報警通知形式

總結

安全是醫療行業信息技術部門極其重要的一部分。本文分享了智微數據在安全層面的技術解決方案。除了文中展示的場景，智微數據還支持自定義流量和安全事件特征。數據可追溯、分析和呈現。

更多醫療行業運維場景及其他行業安全管控案例，請聯系我們。