通過等保2.0分(fēn)析系統脆弱性:安全區域邊界篇 & 安全計算環境篇照學
編輯:2022-02-25 16:08:18
安全區域邊界在近幾年變得越來越精細越來越模糊,因爲攻擊的形式、病店動毒傳播的途徑層出不窮,我(wǒ)(wǒ)以攻擊者的角度去(北票qù)看,任何一(yī)個漏洞都可以成爲******病毒傳播和月事利用的方式,我(wǒ)(wǒ)們要做到*****業子*補丁壓力重重,通過邊界劃分(fēn),依靠不同的邊界安全防護,在發生(sh城微ēng)問題的情況下(xià)将損失降到******。
1、邊界防護
自從出現了統方的情況後,醫院對于終端準入的關注度日益增加,出現了非一謝法接入醫院内網,獲取******數據的情況,在視森我(wǒ)(wǒ)看過大(dà)部分(fēn)醫院準入系統後喝間,在數據盜取者面前這個準入做了和沒有做一(yī)樣,這真的對文是一(yī)個防君子不防小(xiǎo)人的系統,而那些統方者畫器肯定已經超出了君子的範疇;通過傳統的 IP/MAC 綁商呢定很容易被繞過,缺乏對終端上特征的判斷,而為些我(wǒ)(wǒ)目前更推薦是桌管 + 準入相結合玩地,但這也不能完全避免非法接入的情況,并且醫院設備種類衆多,如設熱黑備儀器、攝像頭、門禁等,我(wǒ)(wǒ)曾經時舞寫過一(yī)篇醫院零信任網絡安全架構的文章,想象火會着能通過操作系統、網絡、安全結合大(dà)數據分(fēn)析、 SDN 的方式物服去(qù)嚴格控制醫院的準入,可能想象是美是制好的,但是國内的産品還不能完全滿足這個要求,因爲結合了多個廠家的什分領先技術。
我(wǒ)(wǒ)們理解準入的時候其實很多時候已經走入一(yī)個死胡同,業中我(wǒ)(wǒ)們缺乏了對移動設備接口、電(diàn)腦接口慢讀、物(wù)聯網通信、 5G/4G 通信都有可能成爲準入的缺口,通過這些女空技術可以将外(wài)部網絡中(zhōng)轉後接入到内網新短,這些其實在我(wǒ)(wǒ)們的環境中(zhōng)弟討已有很多案例。考慮大(dà)型設備的質控問題,進口品牌廠商(s吃見hāng)就會在設備上安裝移動網絡 SIM 卡設備,除身器了大(dà)型設備,還有進口品牌的存儲上我(wǒ也輛)(wǒ)也發現了這個情況,所以我(wǒ)(wǒ)們要管的不呢就僅僅是能看到的這張“有形網”,更是這張不太能看到的“紙票無形網”。
傳統的網絡安全都設置了三個區域, T rust 、 U nTrust 和 身票DMZ , 而在當今的網絡安全中(zhōng),任何事物喝慢(wù)其實都不可能完全信任,我(wǒ)(wǒ)們不僅要防外(wài)敵,校說同時也要防内鬼,一(yī)台中(zhōng)******病毒個姐的内網終端可能比來自互聯網的 DD oS 攻擊更們厭加可怕,這樣看來要針對每一(yī)台終端都要有相應防火(huǒ)牆的進出船工保護,而且該防護牆也不限于傳統意義的包過濾訪問控制,還要有 IPS 又城、 WAF 、 防毒、行爲管理等庫,同時錢去要配合外(wài)部的安全大(dà)腦,聯動其他安全産品共同防禦愛呢,想到這裏我(wǒ)(wǒ)又(yòu)這線想到了新冠病毒,可能不亞于防護生(shēng)物(wù)病毒人學的複雜(zá)度。
醫院有很多移動醫療業務場景,醫生(shēng) P年場AD 查房,護理 PDA 掃碼發藥、庫房 PDA 掃碼入庫輛長等情況,有線的準入限制就如此薄弱,無線的準能知入限制就更加脆弱,曾經我(wǒ)(wǒ)就聽(tīng)說有醫院出現非法授金亮權人員(yuán)通過無線網絡進行統方的行爲,這聽(tīng)起來已經是一(制時yī)件沒什麽技術含量的操作, PC 端的桌面管理很多時候在移動話門終端上都沒有考慮,其實 MDM 移動終端管理這項技術秒術已經很早就有。
近幾年出現的“零信任”模型,無非就是在傳統網絡準入上更近一(yī)步,結合傳資海輸層、應用層的判斷,對準入控制更加細化,原先一(yī)個終端對于網絡這飛接入隻有“是”或者“否”,而零信任的環境下(友吧xià)就算終端接入網絡,終端上的程序是否能運行還要經南相過判斷,程序走的網絡流量要經過層層過濾和安全防護機得,就和疫情防控一(yī)般,從外(wài)地過來的,首先判習技斷是不是中(zhōng)高風險地區,如果能草是中(zhōng)高風險直接勸返或者隔離(lí)(準入控制),關月如果是低風險地區,依然隔離(lí)多日通過頻技多次核酸确認後才能入境(沙箱),境内我(wǒ)(wǒ)們明自限制了部分(fēn)場所的使用,如限制了電(多木diàn)影院、 KTV 、 棋牌室等風險場所,限制了入秒窗境人員(yuán)可能去(qù)的風險區域(桌面管理),通過各場所的分坐健康碼掃碼記錄形成(日志(zhì)審計),時刻要佩水車戴口罩進入公共場所(防火(huǒ)牆),***後該人員(yuán)依然出現土在了疫情症狀,傳播的範圍也可以控制到***小(xiǎo),并且通過掃碼飛間行程和其他運營商(shāng)信号關聯出其時空伴随者(态勢感知(zhī舞討)),并一(yī)同隔離(lí)(殺毒軟件)。
2 、 訪問控制
在我(wǒ)(wǒ)原來工(gōng)作的行業中(zhōng),這塊的業子内容其實是一(yī)項基本要求,每天有大(dà)量的工(gōng)作那作是對防火(huǒ)牆上添加訪問控制策略,要對工(gōn看坐g)單表格中(zhōng)的内容進行合并同列項、歸類,還要在訪問沿微花途的防火(huǒ)牆上開(kāi)通對應的策略,工(gōng們農)作繁雜(zá),對技術的要求其實不高,可能會遇到一(yī業間)些小(xiǎo)問題,也就是長鏈接、 一上FTP 這些開(kāi)放(fàng)時要注快術意的問題。但是到了醫療行業,我(wǒ)(wǒ)咨詢了好幾家醫院,基本都沒有做子區訪問控制的,我(wǒ)(wǒ)分(fēn作拿)析了一(yī)下(xià)有幾個原因:
①考慮性能問題,其實這已經不是問題,雲數據中(zhōng)地城心、 IDC 等出口都有包過濾防火(huǒ)牆設備,并且内部還大大有租戶單獨的防火(huǒ)牆設備,原單位的迪普防火(huǒ)牆号稱國匠并發可以達到 8000 萬,當我(wǒ)(wǒ)用容做醫器環境做并發鏈接測試的時候打到過 500 樹問萬,防火(huǒ)牆的 CPU 、 内存沒有一(yī)絲波動,而基本上一我沒有醫院的數據中(zhōng)心鏈接并發能達到 50中鐵0 萬的,而當時 J uniper 的 ISG 設備******隻土鐵能達到 2 萬的連接數,幾千的并發,所以設備合不合适要看設備的性慢家能指标和新老,而這些都和投入的成本有關,這些都要嚴格要求集成商(shān呢了g),不能配置低配的設備,造成後續業務升級過程中(zh空明ōng)不必要的麻煩;
②缺乏規劃性,因爲 IP 地址的規劃和終端 IP 功能的規劃,可能在開多亮(kāi)通防火(huǒ)牆的時候就要開(kāi)通一(yī)個大(dà)段,林了這樣的做法不太符合***小(xiǎo)化原則,這時候其實先答商要考慮前期 I P 的規劃,不同的 IP 網段有不同的功能,然後在開(k上暗āi)通防火(huǒ)牆的時候可以盡可能的按照***小(xi做金ǎo)化原則,而不至于有太大(dà)的工(gōng鐵關)作量;
③服務資(zī)産不清,不清楚數據中(zhōng)心服務開明服(kāi)放(fàng)端口的資(zī)産情況,大(dà)部分(姐錯fēn)服務器端的軟件都由軟件廠家管理,并且開(kāi西弟)放(fàng)端口醫院信息科的人不清楚,連乙方部站廠署的人都不一(yī)定清楚,很難在這樣一(yī)個基礎開笑下(xià)建立起防火(huǒ)牆開(kāi)放(fàng)的去小流程;
④高可用性的擔心,在傳統的防火(huǒ)牆設計中(zhōng),一很麗(yī)般就考慮将防火(huǒ)牆串聯到網絡當中(zh他朋ōng),實際在部署的時候有很多種方式,當時對于醫院這樣的環境,我(wǒ)(靜爸wǒ)們盡可能考慮***小(xiǎo)影響,我(wǒ)(wǒ)推薦厭下透明串聯 + 旁路 bypass 功能、策略路由旁了答挂 +SLA 檢測、 vxlan 安全服時筆務鏈引流,其中(zhōng)都要确保單台防火(h大知uǒ)牆滿足網絡中(zhōng)******流事藍量,并且能夠在出現故障時實現主主切換、主備切換、故障旁路,将業務司低的影響降到******,并且盡量确保那些長鏈接會話(huà)不受影響。
在醫院防火(huǒ)牆部署的位置上,我(wǒ)(wǒ)視器們要考慮信任和非信任兩個方面,首先相對于内部網絡這用,對互聯網和專網我(wǒ)(wǒ)們應該列北刀入非信任(專網包括醫保、衛生(shēng)專男訊網等一(yī)切非醫院自己内部的網絡),相對于醫院内網,醫院的外(wà土身i)網也是非信任區,相對于數據中(zhōng)心網絡,醫院的門湖照診、住院等辦公網段也是非信任區,在這幾處我(wǒ)(wǒ)們都應該确保生腦有防火(huǒ)牆防護,對應策略默認拒絕,按需開(kāi)通服多藍務。可能大(dà)家覺得部署這麽多防火(huǒ跳音)牆并沒有感受到很大(dà)的用處,大(dà)家在想想***生兵***病毒通過什麽方式傳播,見的***多的是 SMB 服務,其實隻要暗理是漏洞在我(wǒ)(wǒ)看來都有可能被******病毒利用,如果在全網終端外靜沒有打上補丁的情況下(xià),我(wǒ)(wǒ從訊)們除非有自動化工(gōng)具能夠批量對終端民城進行防火(huǒ)牆下(xià)發,那在便捷物腦性和實用性折中(zhōng)的情況下(xi煙公à),我(wǒ)(wǒ)們還是會考慮使用網絡防火(huǒ)牆對*****風的*病毒傳播端口進行封堵,如果單位本來就建立了良好的按需開(kā媽明i)通訪問機制,在這個時候也就不會有很多擔憂。
3 、 入侵防範
a)應在關鍵網絡節點處檢測、防止或限制從外(wài)部發起的對制網絡攻擊行爲;
b)應在關鍵網絡節點處檢測防止或限制從内部發起的網絡攻擊行爲;
c)應采取技術措施對網絡行爲進行分(fēn)析,實現對網絡攻擊來船特别是新型網絡攻擊行爲的分(fēn)析;
d)當檢測到攻擊行爲時。記錄攻擊源IP、攻擊類型、攻擊目标樂都、攻擊時間,在發生(shēng)嚴重入侵和算事件時應提供報警。
這裏提到了外(wài)到内的網絡攻擊和内到外(wài)的網絡攻擊,外(wài樂東)到内的防護毋庸置疑,而内到外(wài)的防護其實也是我(w票來ǒ)(wǒ)們要考慮的,在網絡安全法頒布起,音一攻擊我(wǒ)(wǒ)國境内的網絡資(zī)産都會受畫理到法律的制裁,爲了保護自己單位不受影響,那新女對内到外(wài)攻擊的防護自然而然要被納山南入管理的範圍,像 C&C 攻擊、 D日地D o S 攻擊的肉雞,像對******病毒外(wài校唱)聯的防護都是我(wǒ)(wǒ)們要考慮的,在保護他鄉讀人的同時保護了自己。
對新型網絡攻擊行爲的分(fēn)析,其實早在 2014 年算購我(wǒ)(wǒ)就了解到了當時的 APT男在 産品( 高級可持續威脅攻擊 ),深思現在的網絡架構,如果要發現新場近型的攻擊行爲,那我(wǒ)(wǒ)們就要排除掉一(yī)切以攻擊庫、病毒庫爲基書從礎的設備,包括傳統的防火(huǒ)牆、殺毒軟件等,在此基礎上,要聯動答就下(xià)一(yī)代牆、态勢感知(zhī)、 EDR 等新型懂中安全産品,甚至還要聯動産品公司外(wài)部的實時信息,關聯全球的安全情相志報,通過這樣的要求,我(wǒ)(wǒ)對這套體(tǐ)系的考女秒慮是盡可能通過同一(yī)家公司的産品實現,可以想象一(yī)個大錯中(zhōng)國人對一(yī)個不會說中(zhōng)國話山答(huà)的外(wài)國人說漢語的時候是什麽樣物還的結果,就算雙方都是中(zhōng)國人,不金房同的方言理解起來其實也有困難(就好像不同的産品線在傳輸日志(z近在hì)和分(fēn)析日志(zhì)的時們木候都有不同的方法),所以對新型網絡攻擊行爲的分(fēn)請業析,其實任重而道遠。
對于安全日志(zhì)的收集、記錄、分(fēn)析、告警對整個安全北光運營中(zhōng)心平台也有很大(dà)的壓力,打個比方,在員討同一(yī)原地址對醫院多個互聯網地址進行攻擊時,原始靜城的日志(zhì)可能是成千上萬條的,如果這成千上萬條的日志(zhì)不經過分(懂為fēn)析,直接告警,可能告警的短信平台、微信平台都會搞冷雪垮,安全日志(zhì)分(fēn)析彙聚的工(輛河gōng)作就尤爲重要,不僅要對同一(yī)攻擊源的不同攻擊進行彙總,用學還要對不同攻擊源的同種攻擊進行彙總,甚至還要關聯前後攻擊的線索微分進行溯源。
說到審計看似很簡單,隻要把日志(zhì)傳遞到會筆日志(zhì)審計服務器記錄,可以通過各式各樣的參數相拿查詢即可,但是日志(zhì)記錄全不全、有沒有遺漏,我(wǒ)(wǒ)之事唱前就碰到過好幾次溯源到一(yī)半失敗的情況,一(yī)次是訪問過見鐘程中(zhōng)有 NAT 設備,這個又畫時間點 NAT 的日志(zhì)沒有,沒辦法把前後的日志(zhì)關聯起來,一那地(yī)次是設備上的攻擊源地址是白(bái)名單地址嗎廠,而白(bái)名單地址攻擊不記錄在日志(zhì)中(z都兒hōng),還有很多次因爲終端上的日志(zhì)沒有開(kāi)啓,導緻*子市**後一(yī)步溯源失敗。
如果要将所有資(zī)産的日志(zhì)進行審計記錄,并湖錯且記錄到位,還要做備份,其實這個量遠遠已經超過了 HIS 數據庫的增長量問著,而且網絡安全法的要求是日志(zhì)記錄 180 天理短,我(wǒ)(wǒ)看了下(xià)我(wǒ)(wǒ)們光數據庫審計做農的日志(zhì)每天就有 20 多 GB ,180 天将近 4TB 的容量,我水老(wǒ)(wǒ)們還有網絡設備日志(zhì)、安全日志(市書zhì)、操作系統日志(zhì)、存儲日志(zhì)、銀物應用日志(zhì)等等,加起來每天的量可能就達到上百 GB , 如此大書吃(dà)量的細小(xiǎo)碎片化數據,要做到日志(zhì)查水煙詢不僅僅是一(yī)台日志(zhì)審計服務器能做到,我(wǒ)(wǒ都業)在購買數據庫審計的時候就測試了多家廠家的産品,不是日志些業(zhì)遺漏保存,就是日志(zhì)查詢速度慢(màn),或者城西是日志(zhì)查詢功能不全,如果是有能力的醫院,其實建議還是單獨自建房工開(kāi)源的日志(zhì)平台,對日志(zhì)流量進行清洗、彙總,通過相畫業匹配的 NoSQL 數據庫記錄,簡單方便的可喝地以考慮下(xià) Elastic Search ,在查詢速度快的情況下(路開xià),可視化也做的較好。
個人認爲計算環境下(xià)的安全問題其實是***嚴重的,綠看大(dà)部分(fēn)中(zhōng)高危漏洞暗舊都從計算環境下(xià)發現,被利用***多的也是,而報通且計算環境的網絡資(zī)産量也是***多的,各種虛拟化、容器化、 S er刀來verless 等技術将計算資(zī)源分(fēn)成更小(xiǎo會說)的細塊,提高了安全管理員(yuán)的能力要求,更是提高了像 CWPP司師 、 EDR 等安全軟件的防護要求,在 “安全計算環境時街中(zhōng)”有些前面提到的内容就不再贅述。
在醫院中(zhōng)除了數據中(zhōng)心的服務器資(懂在zī)源,還有醫護人員(yuán)、行政人員去區(yuán)使用的電(diàn)腦都需要納入安全計算環境長理的管轄範圍。大(dà)家可以看看自己用的電(d務朋iàn)腦是否設置了密碼,并且密碼的要求是否符合強口令(長度大(dà)吃報于 8 位,包含大(dà)小(xiǎo)寫字母、放但數字、符号,并且不包含鍵盤上連續字符或者英文單詞),并且 3 個月更換一(yī公窗)次密碼。在 AAA 認證體(tǐ)系( AAA 是認證( A要師uthentication )、授權( Authorizatio體鐘n )和計費(fèi)( Accounting ) )中我人(zhōng),******關就是認證,在認證的過程中(zhōng)遠明可能會出現如無認證、弱口令、認證可以被繞過、明文密碼傳輸等等問題,
不僅僅是在醫療行業,基本所有行業的内網環境都包含了上述問題,在護網行動中(zh化書ōng),打入了内網環境後,大(dà)量使用重複的弱見我口令,成爲被攻陷的重要問題之一(yī),有很多吧友護網的案例是拿下(xià)了堡壘機的弱口令,而堡壘機上直接記錄體嗎了各類服務器的高權限賬号密碼,通過一(yī)點突破全網。我(wǒ)黑大(wǒ)們大(dà)家可以看看自己的環境下(xià),月湖 PC 和服務器端是否存在無認證、弱口令的情況,除了雜店 RDP 、 SSH 等常見管理服務,還有 Radmin 、 VNC 、 S話化MB 、 FTP 、 TELNET 、 Oracle 、 銀商MySQL 、 SqlServer , 根據我(wǒ)(wǒ)一(yī)直以來飛訊的工(gōng)作經驗,很多開(kāi)源軟件的早期版本也車對于 API 接口就根本沒有認證機制,所以還有很多的開(kāi)源服務如 R車玩edis 、 Docker 、 Elastic Search 等,有認證的秒物情況下(xià)是否使用了開(kāi)源軟件的默認賬戶口令,這個也需快城要我(wǒ)(wǒ)們及時修改,黑客可以通過一(yī)點突亮章破,層層收集信息,***終突破核心防線。
AAA 體(tǐ)系中(zhōng)的第二步授權,其實是可以緩解體妹******步問題的一(yī)個手段,理論上要求我(wǒ)(wǒ)們的 P睡子C 端、服務器端不同的軟件需要通過不同的用戶安裝、使用,并且不同的用戶區做隻能給予***小(xiǎo)安裝、使用軟作劇件的權限,而我(wǒ)(wǒ)們可以檢查下(xià)自己的環境,應該是有路動很多直接使用 administrator 、 學唱root 等用戶,并且這些賬号存在着複用的情厭老況,在使用過程中(zhōng)很難分(fēn)清楚現實生(shēng)哥靜活中(zhōng)的哪個自然人使用了這個賬戶進行了相關操作理男,如果出現了問題給後續溯源提升了難度,我(wǒ)(wǒ)們這時就呢窗需要通過 IP 、 上層的堡壘機日志(zhì)等進行關聯溯也近源。
限制登錄失敗次數是防止******破解的手段之一(yī),雨能******破解會通過一(yī)個密碼本對需要爆破的服務密碼進行不斷的嘗試,對請直到試到正确的那個密碼或者密碼本試完爲止,正常人登錄一們刀(yī)般都會記得自己的密碼,當然在定期更換複雜(zá)密碼的要求下(xi文物à),正常人也會記不住密碼,這個問題我(wǒ)(wǒ)們後面再說。在計的限制了登錄失敗次數,比如我(wǒ)(wǒ)們設置了 5 關綠次,那通過某個 IP 登錄失敗 5 次後這個 IP 就會村南被鎖定,當然可以設置别的 IP 還可以登錄這個服務。會話(huà)結束功能明地就類似于 W indows 自動鎖屏,作爲一(yī)個還美信息工(gōng)作者,在我(wǒ)(wǒ)們唱在離(lí)開(kāi)電(diàn)腦時就應該考慮鎖屏的操作,電吧并且重新登錄要輸入賬号密碼,一(yī)個不會超時的會話(長還huà)雖然方便了我(wǒ)(wǒ)們自己,同樣也給惡意者帶來了方便舞友,想想經過你辦公桌的每個人都可以在登錄着的 HIS 服務器或者核心交光站換機上敲一(yī)個 reboot ,***後造成的結果可想而知(zhī)刀少,雖然這個事故不是你直接操作的,但也要負主要責任。弟風
在醫院中(zhōng)常見的遠程管理手段有 RDP 、 SSH 、 知訊TELNET 、 FTP 、 Oracle 等,其中(zhōng) TELN紅紅ET 、 FTP 在流量劫持時可以直接獲得賬戶口令信息,可以通過 SSH 、老樂 SFTP 等方法替換,确保在賬号密碼認證和數據流傳輸過程中(媽雜zhōng)都是加密的。其實 Oracle 的流量也非加密,在我(wǒ)(西理wǒ)咨詢了我(wǒ)(wǒ) OCM 的朋友和百度後,發現其實 Ora體商cle 流量也可以配置加密,但是我(wǒ)(wǒ討看)們很少會這樣做,并且很少會有人關心這個問題湖妹,還消耗客戶端和服務端額外(wài)的性能。這時候我(w黃厭ǒ)(wǒ)們就要想到什麽時候我(wǒ)(wǒ)們的流量中快會被截取走,常見的就是内網 ARP 欺騙,一(yī)台攻擊主銀得機在客戶端請求網關 MAC 地址的時候,将自己的 MAC 地址告訴客錢到戶端,說自己這個 MAC 地址就是網關的 MAC , 這樣二層的流量會先通過機業這台攻擊主機轉發給真實的網關,所有明文的流量過了這內內台攻擊主機後就可以被它輕松的獲取敏感信息,我(銀黃wǒ)(wǒ)的防護方法是通過桌管軟件,放慢将每個網段主機的網關 ARP 解析靜态的寫到客戶端上,确保 中快ARP 解析時默認都先通過本地記錄解析,從而不會被外(wài)部動态解析影響。子理另一(yī)種情況會被獲取的是網内的流量設備,快數很多安全設備、 APM 監控設備、深度流量分(fēn)析設備都需內資要抓取核心網絡的流量,當這些流量被鏡像給設備後它們會将它記錄下秒亮(xià)來,而正式或者測試設備出現問題返廠時,我(wǒ)(wǒ)們就要叮囑工月去(gōng)程師要清空本地數據,以免數據洩露,行服在我(wǒ)(wǒ)的工(gōng)作中(zhōng)就聽(tīn大快g)到過通過安全設備洩露大(dà)量公民信息的案例吧房。
前面我(wǒ)(wǒ)們說到要定期修改複雜(zá)密碼,但是經常修改會導緻管理藍兒員(yuán)記憶困難,這個時候我(wǒ)(wǒ)覺得雙地科因子認證也是幫助大(dà)家不用記複雜(zá)密碼的好方法。雙因素認證分(f做做ēn)爲所知(zhī)和所有兩種,雙因素的證據又(yòu)分又司(fēn)爲秘密信息、個人物(wù)品、生(shēng)理特兒麗征三種類型,像口令、密碼就是信息,物(wù)理 k現影ey 就是個人物(wù)品,指紋、虹膜、面部就是生(shēng)理不答特征,我(wǒ)(wǒ)們隻要結合兩種類型的證制通據,那就符合要求,可以通過物(wù)理 KEY+ 動态密碼的方式實現認證近河,此時就不用記住原始的靜态密碼,大(dà)家可以想象一(yī)下(xià議愛)現在在登錄微信、支付寶、 QQ 等互聯網軟件的時候基本很少使用密碼中喝,而智能******也将密碼和人臉識别關金黑聯,方便大(dà)家認證操作,同時又(yòu)符合安全要求。在醫院工(g章業ōng)作的過程中(zhōng),我(wǒ)(wǒ)發現很多業務系統的賬号密碼快亮不是同一(yī)套體(tǐ)系,系統在認證時也沒有做到雙因子的要求,我(wǒ)離說(wǒ)之前寫過一(yī)篇論文,叫《基于 4A 系統的醫院零信任網絡安全開筆模型》,也是我(wǒ)(wǒ)希望能通過安全看上技術提升醫護行政人員(yuán)使用系統時的討店便利性、規範對醫院所有系統賬戶體(tǐ)系管理、公輛加強醫院業務系統使用時的權限管理能力。
五級電(diàn)子病曆評審中(zhōng)提到了系統備份、容務的災的标準,對醫院信息系統的穩定性、可靠性、低做可用性有了明确的要求,醫院信息系統的宕機、數據丢失會造成無法挽回的影響章理;2021 年《數據安全法》和《個人信息保護法》出台,我(w新多ǒ)(wǒ)國在信息化高速發展的當下(xià),更加重視了也報網絡安全,證明了網絡安全與信息化是一(yī)體(tǐ)之兩翼、驅動之事視雙輪。
2 、數據保密性
信息安全 CIA 三要素,保密性、完整性、可用性,這裏提到了數據的保地服密性,其實不管在哪個行業,數據的保密性都很難做,我(wǒ)(wǒ)們可以看行為到大(dà)量的公民數據在互聯網安全事件中(zhōng)洩但站露,我(wǒ)(wǒ)國之前的《網絡安全法》對數據安全沒有具計報體(tǐ)的要求,而 2021 年的《數據安全法》和《個人信息保護法》才我算對數據安全有了明确的要求,并且這兩部法律給企哥土業帶來了不小(xiǎo)改造的壓力。
數據安全的保密性要求貫穿了數據的産生(shēng訊麗)、傳輸、處理、存儲、銷毀等過程,首先我(wǒ)(wǒ)們要地離對數據進行保密,就要知(zhī)道哪些數據樂科應該保密,此時要做的就是數據的分(fēn)類分(用市fēn)級,在分(fēn)級分(fēn)類過程中(zh山雪ōng)涉及到對敏感數據的發現,敏感數據除了結構化的計畫還有非結構化的,除了關系型的還有非關系型的,基本很難匠現做到全覆蓋,比如在護網期間就發現有很多日志(zhì)、配置文件中站街(zhōng)帶着敏感的賬号密碼等信息,而這些信息的配置可能是套裝化軟件件下不能修改的。在發現了敏感數據後我(wǒ)(wǒ)們就要對敏感數據進化近行加密、******、去(qù)标識化操作,在五級電(diàn)子病曆的要求報朋中(zhōng)也有一(yī)條數據加密的要求,數據加師朋密其實有兩種做法,一(yī)種是在存儲層(通過身錯存儲設備進行加密),另一(yī)種在系統層(通過對在間操作系統的配置文件,或者對數據庫的數據進行加密),******種方法的難度計不較小(xiǎo),而第二種方法的難度較大(dà司了),需要考慮數據被加密的方法和被使用過程中(zhōng)的解密,錯開對于數據量小(xiǎo)可以考慮非對稱加密,而數據量大(腦科dà)的隻能使用對稱加密,這也就是 SSL 的機制,通過非對稱加密秘鑰,然後藍月通過秘鑰對稱加密數據流,在确保業務正常的情況下(xià),實現安全的需求。針家下對******、去(qù)标識化操作可以通過好幾處實現票的,可以通過後端實現,也可以通過前端實現,通過後端實現時當數據從應用層往前端傳輸司一時就是去(qù)******、去(qù)标識化的數據,甚至是在數據庫中(zh自資ōng)就是******、去(qù)标識化的,而在前端實現,我(wǒ學他)(wǒ)們可以在客戶端本地開(kāi)啓代理,直接可以獲得明文的數據自冷,從安全性來考慮肯定是後端實現更安全。
我(wǒ)(wǒ)們在做數據加密、******、去(qù)标識化時要考上會慮的重要一(yī)點就是業務是否支持,有些數據雖然是敏感數據,但是是就以密文呈現時是無法進行正常業務的辦理和交高子互的,如果要實現正常業務辦理和交互,可能需要改變流程、規範那多,并且付出巨大(dà)的代價,在醫院以業務爲中(zhōn購市g)心的情況下(xià),個人覺得短期内很難很難實話會現,我(wǒ)(wǒ)個人在落地一(yī)個數據安全的産品時就提出了這樣一(就高yī)個問題,該産品邏輯串聯在數據庫客戶端和數據庫服務器之間實現數據庫字段的生房加密、******、去(qù)标識化操作,而我(w她輛ǒ)(wǒ)們的 HIS 業務每天都有大(dà)量的問題要處理,在處理過程中喝司(zhōng)需要通過這些敏感的數據進行确認、判斷、修改,不可能能中專門安排一(yī)個人每天在對字段做解密、加密的操作,多會還需要配合專門的流程來規範這個操作,在一(yī)子弟個業務系統沒有穩定、技術人員(yuán)缺乏的情況下(xià),這樣器雜的功能很難落地,就算落地了也隻是很小(xiǎo)的範圍,如何滿足二者需要靠廣大放靜(dà)讀者來幫忙想想辦法了。
3 、 數據備份恢複
我(wǒ)(wǒ)問了很多醫院,大(dà低如)家可能都建立了容災環境,但是很少有醫院站月做容災測試,對于五級電(diàn)子病曆的黃地要求是每年至少一(yī)次的容災演練(還高制需要結合業務場景),每季度至少一(yī)次的數據全量恢複測試,一(yī)個沒件紙有測試過的容災系統真的很難讓人相信在出問題的時候可以撐得住真實業務房鄉,也許容災的切換過程沒有問題,但是容災的硬件資化廠(zī)源、硬件配置、軟件調整等是否能讓用戶在較短的時間内進行新信邊便捷的切換操,五級電(diàn)子病曆對于數據丢失的要求比較松, 她理2 小(xiǎo)時以内即可,但是醫院對于數據丢失是難以容忍的,對于信息化秒化較長時間都無法正常使用也是無法容忍的,我(wǒ)(w雜舊ǒ)們要盡可能做到 RPO 、 RTO ***小(xiǎo)化。
對于備份,我(wǒ)(wǒ)盡量做到 321 原則, 3 份數據、樹科 2 種不同介質、 1 份存于異地,結合******點和第二點,我(wǒ姐視)(wǒ)将數據存放(fàng)于起碼 問城2 種不同物(wù)理設備上,存儲 3 份,再結合第三點将一(y聽路ī)份數據存儲于異地,兩份數據存于本地。我(wǒ)(火電wǒ)們醫院有兩個院區,兩院區直線公裏數其實小(xiǎo)于 40 ㎞ , 土弟而等保的異地要求是直線大(dà)于 100 ㎞ , 對于沒有分(fēn制刀)院的小(xiǎo)夥伴們,其實我(wǒ)(wǒ)建議可以火習将另一(yī)份數據存到異地雲上,***起碼在本地真購秒的數據沒辦法恢複時還有一(yī)根救命稻草,雖然爸師恢複的時間可能會長一(yī)點。我(wǒ)(wǒ)會将兩院區的數花森據做相互的異地備份,盡可能提高數據備份的頻(pín)率,減少數據的丢失,核心業吧畫務系統采用實時備份或者容災的方式,在使用較暗輛高頻(pín)率備份的情況下(xià),我(wǒ)(wǒ)們對于備份、容機話災的硬件就有一(yī)定的要求,較差的 HDD 盤是無法支撐起大亮到(dà)數據量、高并發的備份任務,可能出現任務吧低排隊,那就會得不償失;在備份上我(wǒ)(wǒ)們就出現過一(yī)個問題,之高舞前工(gōng)程師在配置 RMAN 備份保留的腳本操作是先數來删除原來的備份,在進行下(xià)一(yī線近)次備份,如果前一(yī)次備份删除了,後一(yī)次木的備份沒有成功,那就沒有了全量數據,這樣的備份是沒有意義的,大(dà)家可風微以檢查下(xià)自己的環境是否存在這樣的問題。
在備份的類型上,分(fēn)爲物(wù)理備份和邏輯備份, 21 年我(wǒ)理要(wǒ)就聽(tīng)到了别的醫院出現了 Oracl畫煙e 的邏輯壞塊,出現壞塊後數據庫無法正常啓動,而容災系統通過 Oracl通算e Data Guard 實現, DG 屬于物(wù)理塊同步,面對邏輯錯誤是校不會校驗,而直接将這個邏輯錯誤同步給了容災庫,導緻容災庫也無法正常拉起,并醫水且當時也沒有配置長時間的閃回空間,導緻***後歌靜花了很大(dà)的代價才恢複了一(yī)部分(fē笑議n)丢失的數據,并且業務中(zhōng)斷了少服很久,可以通過 OGG 解決這個問題,并且 OGG 可以支持跨數據庫、操作購長系統類型之間的數據複制,但是配置難度比 DG 大(dà)了很多;另男家外(wài)的辦法是通過 CDP 實現 得頻IO 級别的備份,當出現邏輯錯誤數據庫無離水法正常使用的時候,通過 CDP 的 IO就雪 回退到正常的時間點,當然中(zhōng)間丢失的數據需要人工(gōng場不)去(qù)彌補,這樣通過數據庫外(wài)部的錢問方式解決數據備份的問題。
4、個人信息保護
這兩點在《個人信息保護法》中(zhōng)也有明确提到,該法站票律中(zhōng)多次提到了收集個人信息要有“詢問 - 确認”的過程,并且謝視在用戶不同意提供個人信息的情況下(xià),不能拒****城員**用戶提供服務,隻收集必需的個人信息,要告知歌就(zhī)用戶收集每種類型個人信息的目的,告知(zhī)用戶如何處理、傳遞年國、使用個人信息。在疫情當下(xià),全國的醫院都緊鑼密鼓的推廣互聯網醫林做院,意味着有一(yī)個面向患者的醫院互聯網厭內系統,患者可以直接面向這個互聯網系統,那對系統的提交信息、舞雪問詢交互有了更直接的了解,我(wǒ)(wǒ)們在做互聯網系統的時候要結合《網廠路絡安全法》、《數據安全法》和《個人信息保日林護法》三駕馬車(chē)來嚴格要求開(kāi)發時的安全需求,自也了從三部法律上台後有多少互聯網 APP 因不符合要求被責令整改、罰款、下(書師xià)架等,我(wǒ)(wǒ)們也該引以爲戒。
文章來源:天億網絡安全
咨詢熱線:0351-4073466
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公物風務中(zhōng)心5層
(南(nán)區)太原市小(xiǎo)媽路店(diàn)區南(nán)中(zhōng)環街529 号清控創知章新基地A座4層
