安全資訊

剖析在“互聯(lián)網(wǎng)+醫療”迅速發(fā)展的情況下，移動(dòng)互聯(lián)網(wǎng)安全的建設思路和實(shí)踐方案。以北京協(xié)和醫院患者手機App為研究對象，在設計、研發(fā)和運行中進(jìn)行迭代優(yōu)化，梳理患者手機App系統的安全體系架構，調整和加固系統架構。經(jīng)過(guò)兩年的努力已經(jīng)取得良好成果，并通過(guò)了國家等級保護三級測評。結合測評總結移動(dòng)互聯(lián)網(wǎng)安全的建設方案，并針對上線(xiàn)運行過(guò)程中受到非法入侵時(shí)進(jìn)行技術(shù)應對的成功經(jīng)驗進(jìn)行總結，在領(lǐng)域內具有參考意義。

2015年3月5日十二屆全國人大三次會(huì )議上，李克強總理在政府工作報告中首次提出“互聯(lián)網(wǎng)+”行動(dòng)計劃，“互聯(lián)網(wǎng)+”隨即成為輿論關(guān)注和討論的熱點(diǎn)，“互聯(lián)網(wǎng)+醫療”很快就成為了醫療行業(yè)設計、開(kāi)發(fā)和實(shí)施的行動(dòng)方向。極大了方便了老百姓，提高了整體效率。
北京協(xié)和醫院患者手機App系統啟動(dòng)于2014年5月，經(jīng)過(guò)15個(gè)月的深入調研、精心設計、反復開(kāi)發(fā)測試等不懈努力，恰逢“互聯(lián)網(wǎng)+醫療”蓬勃發(fā)展之際，于在2015年9月16日正式上線(xiàn)投用。
1 安全風(fēng)險患者手機App的發(fā)布，非常有效地改善了患者就醫體驗，尤其針對掛號難和號販子猖獗的難點(diǎn)問(wèn)題，取得了很好的控制效果。但系統投用不久，即遭受了多次大規模的惡意攻擊。攻擊手段包括：
1.1 DDOS攻擊 非法入侵者通過(guò)客戶(hù)端封包、代理、數據攔截等黑客技術(shù)，破解服務(wù)器接口地址，并根據患者提供的真實(shí)賬號進(jìn)行高頻率的搶號請求，協(xié)和醫院醫療數據服務(wù)額外處理了每分鐘4 000多次的黃牛惡意搶號請求，大量占用了預約掛號通道，雖然未成功完成掛號操作，但對醫院HIS服務(wù)造成了不小的壓力。
1.2 暴力注冊 非法入侵者通過(guò)地下黑色產(chǎn)業(yè)鏈使用大量真實(shí)有效的手機號進(jìn)行獲得驗證碼操作，并通過(guò)手機短信進(jìn)行暴力注冊，上線(xiàn)2個(gè)月內即發(fā)現一萬(wàn)個(gè)肉雞IP地址，發(fā)起12萬(wàn)次的獲取短信驗證碼請求，持續消耗短信服務(wù)器資源。
1.3 注入與惡意上傳 在Web服務(wù)器日志中可以發(fā)現大量的Java命令注入、SQL注入等惡意鏈接嘗試。一旦服務(wù)器漏洞被利用或配置信息泄露，不法分子將獲得整個(gè)服務(wù)器的控制權。
1.4 CC攻擊 上線(xiàn)期間App系統持續遭受著(zhù)大量的CC（Challenge Collapsar）攻擊，這些非法入侵者除了每天放號時(shí)間瘋狂的使用多線(xiàn)程搶票，還在非放號時(shí)間段模擬大量真實(shí)用戶(hù)請求，進(jìn)行高頻率不間斷的訪(fǎng)問(wèn)，探查服務(wù)器的防御規則，嘗試找到預約掛號流程中的破綻。
2 防范措施2.1 針對黃牛搶號 在A(yíng)pp預埋經(jīng)過(guò)加密的特殊識別模塊，只有身份校驗通過(guò)的App才允許建立連接，且全部通訊流量加密。避免黃牛編寫(xiě)多線(xiàn)程搶號程序發(fā)起連接，或者攔截網(wǎng)絡(luò )數據包進(jìn)行篡改搶號。并在業(yè)務(wù)上做限制策略。
2.2 針對惡意注冊 在注冊、獲取短信接口提供設備指紋識別、圖片驗證、請求來(lái)源統計、請求頻次分析等多種校驗策略，限制黃牛的惡意注冊。并通過(guò)數據分析凍結清洗掉一批僵尸用戶(hù)。
2.3 針對注入和惡意上傳 對用戶(hù)輸入的數據進(jìn)行全面過(guò)濾，并使用預編譯的SQL語(yǔ)句，確保SQL語(yǔ)句的語(yǔ)義不會(huì )發(fā)生改變；并部署應用層防火墻進(jìn)行防護。
對于用戶(hù)頭像上傳，不直接上傳用戶(hù)的圖片，而是App本地打開(kāi)圖片后調用另外一個(gè)安全進(jìn)程來(lái)截取圖像內容生成另外一個(gè)圖片文件，確保上傳的是“干凈”的圖片文件。
服務(wù)器端再次對這個(gè)圖片做二次檢驗，文件流分析措施，攔截過(guò)濾文件中的惡意代碼。
通過(guò)App預埋經(jīng)過(guò)加密的特殊識別模塊，把非法客戶(hù)端隔離在外。并根據IP來(lái)源、URL請求分布，請求數據包特征分析等多種方式識別并清洗攻擊流量。
這些策略部署后，效果明顯，對于攻擊行為我們有了有效的解決方法，同時(shí)，攻擊數量大為減少，患者手機App平臺穩定下來(lái)，用戶(hù)的體驗也得到了明顯提升。
3 安全體系建設由于患者手機App發(fā)布在互聯(lián)網(wǎng)，直接對患者提供服務(wù)，所提供的在線(xiàn)預約掛號、在線(xiàn)查閱檢驗檢查報告、在線(xiàn)繳費等服務(wù)一旦收到破壞將嚴重影響醫院門(mén)診就診秩序，進(jìn)而對社會(huì )秩序和公共利益造成嚴重損害。根據GB/T 22240-2008《信息系統安全保護定級指南》規定，應定義為等級保護第三級系統。
基于“互聯(lián)網(wǎng)+”的醫院信息系統尚屬新生事物，行業(yè)內并無(wú)安全方案可參照，通過(guò)對標金融行業(yè)發(fā)布的JR/T 0068—2012《網(wǎng)上銀行系統信息安全通用規范》，我們設計出一套以醫院為主導的“互聯(lián)網(wǎng)+醫療”的系統安全架構，該模式是以云計算平臺為核心，由云計算平臺負載大數據量的用戶(hù)訪(fǎng)問(wèn)。但是云平臺本身并不存儲患者敏感的醫療信息，而是云平臺對醫院內數據平臺系統進(jìn)行調用，在響應用戶(hù)的需求后，采用技術(shù)手段，及時(shí)對數據進(jìn)行粉碎。
4 系統測評2017年10月，按照等級保護第三級的73個(gè)控制點(diǎn)共290個(gè)要求項對患者手機App系統進(jìn)行安全評估，經(jīng)過(guò)對移動(dòng)端、云端、院內系統一輪完整評估，發(fā)現符合率只有大約78%，還有60多個(gè)要求項不滿(mǎn)足。
經(jīng)過(guò)對不滿(mǎn)足項的分析，發(fā)現主要存在幾類(lèi)問(wèn)題：安全設計不夠充分。比如后臺管理系統當前是賬號密碼登錄，輔以IP地址限制。但等保三級要求是需要雙因子要素登錄，因此后續這部分需要升級改造。
安全策略不夠細致。比如院端和云端之間使用專(zhuān)線(xiàn)連接，院端防火墻限制了云端的IP地址，但沒(méi)有細化到限制特定服務(wù)端口；再比如對于暫未使用的交換機端口，未關(guān)閉。
設備安全功能不足。比如防火墻沒(méi)有內容過(guò)濾，無(wú)法實(shí)現對應用層FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。這屬于歷史遺留問(wèn)題，后面要建立設備采購管理規范，根據相關(guān)的安全等技術(shù)標準對網(wǎng)絡(luò )設備、安全設備建立產(chǎn)品備選名單。
安全意識需要加強。比如部署了堡壘機后，仍有部分設備沒(méi)有接入，一方面說(shuō)明人員安全意識培養的工作需要長(cháng)期堅持，也說(shuō)明內部安全計劃執行與控制不夠完善。
安全管理缺少績(jì)效評價(jià)。沒(méi)有指定什么時(shí)間、誰(shuí)檢查、誰(shuí)分析評價(jià)，不利于持續改進(jìn)。
參照等級保護的要求，逐一對每一個(gè)不滿(mǎn)足項進(jìn)行分析、研究解決方案。并完善安全管理制度，落實(shí)人員安全管理、系統建設管理、系統運維管理。尤其著(zhù)重抓以下幾個(gè)方面。
訪(fǎng)問(wèn)控制：在云計算中，網(wǎng)絡(luò )訪(fǎng)問(wèn)控制由云計算防火墻策略實(shí)現，這個(gè)策略需對云上虛擬主機進(jìn)行邏輯分組，再實(shí)現基于主機和分組的訪(fǎng)問(wèn)控制。除了網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，云服務(wù)的用戶(hù)訪(fǎng)問(wèn)控制尤為重要，因為它是將用戶(hù)身份與云服務(wù)資源綁定在一起的重要手段。
可用性管理：互聯(lián)網(wǎng)醫院的業(yè)務(wù)嚴重依賴(lài)于服務(wù)的持續可用性，高峰時(shí)即使幾分鐘的服務(wù)器中斷也會(huì )對機構的生產(chǎn)力、用戶(hù)滿(mǎn)意度造成較大影響。
安全漏洞管理：建立包含例行漏洞掃描、漏洞評估、漏洞處理的過(guò)程，避免主機、應用程序、數據庫、網(wǎng)絡(luò )遭受針對漏洞的攻擊。在網(wǎng)絡(luò )、主機系統、中間件等基礎設施的漏洞管理方面，需要和云服務(wù)供應商保持協(xié)同。
補丁管理：在避免主機、應用程序、數據庫、網(wǎng)絡(luò )遭受針未授權的的攻擊方面，安全補丁管理和漏洞管理具有同等重要的意義。需要注意的是，補丁管理過(guò)程應該遵循變更管理框架。
安全配置管理：安全配置管理包括網(wǎng)絡(luò )和遠程連接配置、防火墻策略配置、操作系統安全配置及數據庫訪(fǎng)問(wèn)管理配置。安全配置管理使系統各部分配置保持在安全基線(xiàn)上，免受針對配置弱點(diǎn)實(shí)施的攻擊。
訪(fǎng)問(wèn)監測：訪(fǎng)問(wèn)監測包括正常訪(fǎng)問(wèn)的檢測和入侵監測。正常訪(fǎng)問(wèn)監測包含可用性監測、帶寬利用率、訪(fǎng)問(wèn)延遲等的檢測，主要作為訪(fǎng)問(wèn)質(zhì)量和性能擴展的判斷依據。入侵檢測包括對主機系統、應用系統、數據庫系統的入侵檢測，避免受到非授權訪(fǎng)問(wèn)和數據破壞。
事件響應管理:事件響應是在“積極防御、及時(shí)發(fā)現、快速響應、力?；謴汀钡拇笤瓌t下，突出發(fā)現和響應。通過(guò)建設層次化的應急響應隊伍，編制應急預案，進(jìn)行應急演練，在第一時(shí)間知道風(fēng)險來(lái)臨時(shí)，及時(shí)統籌開(kāi)展應急處置。
5 小結經(jīng)過(guò)3個(gè)月的測評，進(jìn)行整改和試運行，測評符合率90%。有部分限于資源等客觀(guān)原因的，也做了持續改進(jìn)安排。最后通過(guò)了三級等級保護測評。
通過(guò)等保認證過(guò)程的磨練，我們總結主要有幾個(gè)意義：降低數據安全風(fēng)險，提高信息系統的安全防護能力；滿(mǎn)足國家相關(guān)法律法規和制度的要求；滿(mǎn)足相關(guān)主管單位和行業(yè)要求；鍛煉了安全、開(kāi)發(fā)、運維隊伍，提高了醫院的信息安全治理能力。