一、行业警示
新医改背景下,国家从战略高度将信息化建设定义为深化医药卫生体制改革的“四梁八柱”之一,不断出台推动医院信息化发展的政策和举措,为医院信息化建设注入强劲动力。
医院数据涉及个人健康隐私,利益面广泛,往往是黑客觊觎的“大金库”。近年来国内外新闻上不乏某医院系统被植入升级版勒索病后瘫痪;某信息系统遭受黑客攻击,导致系统大面积瘫痪、院内诊疗流程无法正常运转的新闻。随着国家及行业层面对信息安全重视程度越来越高,医院防患于未然的意识和能力均得到了大幅度提升,但仍然会出现因为信息管理人员的疏忽或者安全意识缺乏,导致医院信息系统“中招”。
2020年10月3日,美国阿拉巴马州一名9个月大的女婴意外死亡后,孩子的母亲对婴儿出生的医院提起诉讼,声称医院没有披露其网络系统被攻击导致护理调配异常,最终造成了婴儿死亡的后果。这一事件再次表明,网络攻击的影响后果不仅仅是数据、财产、声誉的损失,甚至会造成生命的损失。
2020年4月29日,北京一家医疗机构的新冠病检测相关数据被黑客以4比特币的价格公开售卖,被出售的数据包括150MB的实验室研究成果以及检测技术源代码等。
TONcoin Fund启动2.5亿美元生态基金以支持基于TON开发的项目:4月11日消息,TONcoin Fund宣布2.5亿美元生态基金以支持基于The Open Network(TON)开发的项目,该基金的投资者包括Huobi Incubator、Kucoin Ventures、MEXC Pioneer Fund、3Commas Capital、区块链初创公司Orbs、TON Miners和Kilo Fund等,旨在通过孵化、投资、赠款、黑客马拉松以及教育项目来部署资金。
TONcoin Fund管理合伙人Ben jamin Rameau表示目前正在孵化一个DEX和NFT项目。TON由Telegram于2018年推出,后美国证券交易委员会指控其ICO涉及未注册证券发行。Telegram最终于2020年6月以1850万美元与美国证券交易委员会和解,并停止参与TON的运营。(Cointelegraph)[2022/4/11 14:18:20]
2022年4月28日北京健康宝遭遇Rippr黑客团伙攻击。
以上事件说明,医疗行业的数据安全已不容小视,须引起医疗信息行业高度重视。
二、行业痛点
1、稳定性及故障预警要求高
医院信息系统,尤其是核心系统,都是7x24小时全年不能停机的,最大的维护时间窗只有半小时左右,否则就会影响患者排队就医。业务的特殊性决定了对网络连续性的要求以及对网络安全的保障程度要求较高。
去中心化交易协议Bancor宣布BNT已集成至Opensea:去中心化交易协议Bancor宣布BNT已集成至Opensea,可用于买卖NFT。[2021/8/17 22:19:41]
2、现有安全产品瓶颈与不足防火墙
防火墙作为边缘安全设备,医院部署的防火墙,域内存在大量不合理及宽泛的安全策略,近年来国家对防火墙宽泛策略有明确等保要求,需要快速找出不合理策略,收敛宽泛、无效策略,但是人工梳理难度大,且无法验证对现有业务影响,开启对应策略的日志又会严重消耗性能且不够灵活。运维团队面对防火墙策略现状束手无策,策略维护加重了运维负担。另外,医院需要对防火墙进行配置变更时,人工配置容易失误,比如产生防火墙原端口映射配置未删除及策略下发错误严重影响医院就诊的问题。安全事件发生后,院方希望第一时间自动过滤出事件相关的防火墙策略,然而策略配置还是防火墙自身问题所导致,由于缺乏数据支持难以判断。
3、日志管理及审计设备
医院的数据中心运营着大量医疗系统,日常运维监控需要对医疗系统和信息审计进行日志收集,部分医院有自己的日志管理平台,但展示效果不灵活,对分布的WAF节点和众多的安全事件,也难以做到统一便捷的展示,不能结合异常期间的流量数据做到根因定位,无法对高频攻击做到统计分析,不利于医院做后续针对性的防护。
Bancor公布本月6项事宜,包括将减少gas消耗量最高40%:Bancor推特发布消息称,社区本月正在致力于:1.减少Swap时的gas消耗量(最高40%);2.保险等级(增加限额);3.BNT流动性挖矿激活/前端(12月上线);4.新代币加入LM;5.管理员费用;6.跨链。[2020/12/14 15:07:47]
4、安全代理设备
基于医院业务性能扩展及安全考虑,医院的大量负载设备采用的全代理模式通常会对客户端地址进行源地址转换,因此存在转换前后通讯进行关联的难题,另外,医疗系统与调度平台之间的映射关系难以梳理,对攻击路径溯源和人工排查造成较大阻碍。
5、泛洪攻击流量难以回溯和定位
当医院网络面临DDoS类攻击时,如果查看该网卡的发包数在快速增加,导致损耗大量的网络带宽,引起网络堵塞,就会造成广播风暴。传统的NPM由于广播攻击流量和包数巨大难以做到正常的解析和回溯。
6、DNS安全缺乏防护手段
医院业务系统大部分采用域名方式对外提供服务,因此容易遭受基于主机耗尽型的DNS攻击,攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS服务器在接收到域名解析请求时首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定数量就会造成DNS服务器解析域名超时,影响正常的域名业务访问。由于缺乏防护和异常访问统计手段,导致这类问题的事后处理被动,效率较低。
瑞士InCore银行获FINMA批准为机构客户提供数字资产交易服务:瑞士金融市场监管局(FINMA)已经授权InCore银行进行数字资产交易,允许全球客户在该银行内部进行访问和交易。InCore银行成为第一家获准在加密领域运营的瑞士B2B银行。InCore银行现在允许机构客户交易、持有和转移数字资产。
FINMA还允许该银行开发其代币化功能。该行已经与瑞士独立科技顾问公司InactaAG合作,提供信息和加密资产管理。InCore银行的新数字资产交易客户是MaerkiBauman&CO。该银行计划在未来几个月内扩大其区块链战略。它还计划将经纪、托管和转移服务纳入证券型代币中。(Cointelegraph)[2020/5/31]
三、智维数据解决方案
智维数据基于多年智能分析领域和医疗行业运维服务的经验积累,对上述医疗行业安全痛点有如下实现方案:
1、流量分析0影响
通过网络旁路镜像的方式,7*24小时实时采集数据中心关键网络节点及防火墙前后的网络流量。对现有网络、应用不产生任何影响的前提下对流量进行精细化分析检查。
动态 | PlatinCoin已获奥地利金融市场管理局批准 将在奥地利恢复运作:据Zycrypto消息,PlatinCoin声称,最近奥地利金融市场管理局(FMA)已批准其在奥地利活动。FMA已经检查了该公司的业务模式和其他方面的操作,并于今年4月30日确认了其工作的合法性,最终得出结论:PlatinCoin活动不受当地相关注册法律约束,即该公司不需要监管部门的批准,且监管机构已经书面确认其工作合法。PlatinCoin代表称,PlatinCoin将恢复在奥地利的活动,并将合法合规运营。据悉,该公司于5个多月前暂停活动并接受FMA一系列检查。[2019/5/21]
2、防火墙性能0影响
支持多种方式定时获取防火墙策略,如FTP、API、文件上传等,无需开启防火墙会话日志,通过获取流量+配置,实现流量与配置关联,在不影响性防火墙性能的情况下,为策略提供流量支撑。
3、多源数据统一接入管理
智维数据基于自身平台化灵活架构支持多源数据接入,包括各类医疗系统日志和审计日志的集中收集和解析,可灵活精确地实现多个平台联动和对接,通过主动获取与被动接收两种方式来对接各平台数据的数据,并接入到平台内置数据库,可实现日志的统一展示和管理。
4、异常业务路径画像
智维数据可基于负载设备的API接口获取设备配置信息,基于配置信息+流量数据,动态、可视化展现完整的业务系统网络路径。基于业务访问日志对于部分异步的业务进行数据流缝合,实现访问关系的溯源。
5、智能化分析
智维数据产品内置多种智能算法及200多种场景的智能分析知识库,当指标出现异常时,系统自动进行根因分析帮助运维人员更快的感知故障、分析故障,同时赋能运维人员数据预测、变化分析等能力。
四、使用场景
1、防火墙策略优化&故障早发现
防火墙是一种特殊编程的路由器,它作为医院网络的第一道防线,维护大量冗余策略,会占用自身性能,另外,也需要满足等保2.0要求。智维数据基于防火墙前后端流量和配置信息,通过配置梳理和流量验证,快速有效地进行策略收敛,不影响防火墙性能,满足合规检查要求,快速消除防火墙策略隐患。
同时,智维数据支持对医院内的流量数据自动定期智能化巡检。通过异常数据和特征值,发现域内存在的安全隐患,包括:高危端口扫描、冰蝎、挂马、弱口令等明显存在安全隐患特征值的数据。
2、封堵验证及监控
如何验证下发的安全策略是否存在漏洞或者真实生效往往是医院头疼的问题。智维数据基于真实流量旁路采集的方式,监控实时数据,支持对已经封禁的IP和业务进行真实效果验证,若数据表格中出现有流量封禁名单中的IP即可主动发出告警,并支持根因定位分析,可明确问题导致的原因,如策略配置问题或安全设备异常等。
3、DNS攻击溯源及处置
智维数据支持对DNS设备进行深度监测,可针对医院DNS服务器和53端口对院内DNS服务器全面解析和监控,可及时监测到DNS当前访问量及响应时间是否异常,并根据异常响应码和访问成功率进行根因定位。基于告警和可视化,快速定位异常DNS攻击来源及异常请求,通知医院安全人员进行处置。
4、异常安全事件完全回溯定位
智维数据全流量分析平台可以获取全网流量,包括医院出口及内网。平台的业务画像功能可基于历史行为基线,发现新增的异常访问。与CMDB数据相结合,可针对内网出现的新增访问进行二次的检测,对异常访问实现主动监控。
智维数据支持基于流量特征及负载设备日志两种方案对异步的业务进行灵活自动关联数据流缝合,实现访问关系的溯源,可针对攻击经过的负载设备进行回溯分析。同时智维数据基于防火墙前后端流量和配置信息,可通过AI算法智能化检测经过防火墙的业务流量。实时感知业务异常并定位与事件相关的IP和策略。快速判断异常Deny行为及攻击入口,并给出安全风险提示。
基于日志和流量数据,对攻击源、地理位置、攻击类型、攻击方法等多种维度进行统计分析,将终端日志与流量路径进行关联,并针对防御策略制定提供数据支撑。
从流量、代理映射、资产、配置、日志、设备状态等多层面全方位智能分析,实现安全异常事件精准发现。
5、ARP广播风暴攻击
从实际经验来看,90%以上的网络广播风暴是病所致。智维数据拥有专门针对广播风暴攻击的高性能探针,通过Trunk口方式收集数据,只接收广播、组播、单播泛洪的流量。并且由于产品的采集口使用混杂模式,还可避免接口环路的风险。能快速处理分析当前广播域的ARP攻击来源及产生告警,并且支持将告警数据推送至第三方处置平台实现故障自愈。
6、无专家值守
智维数据基于多年的IT运维经验,将常见故障的分析思路通过Python脚本预制在系统中,当出现告警事件、隐患事件或人工需要分析时,系统可自动获取事件相关数据,并进行智能分析,输出分析报告,简洁易懂。
支持Syslog、邮件、短信、微信等告警通知形式。
总结
安全是医疗行业信息化部门极其重视的部分,本文为智维数据在安全层面的技术方案分享,除文中展示的场景外,智维数据还支持基于流量及安全事件特征进行定制化的数据溯源、分析和展示。
更多医疗行业运维场景及其他行业安全管控案例敬请垂询。
本文转自:中国电子报 美国著名科幻大师尼尔·斯蒂芬森在其小说《雪崩》中写道:“戴上耳机和目镜,找到连接终端,就能够以虚拟分身的方式进入由计算机模拟、与真实世界平行的虚拟空间.
1900/1/1 0:00:00华商国际海洋控股(00206.HK)发布公告,2022年6月20日,华商国际与荷兰海上和陆上吊装解决方案企业KenzFigee签署战略合作协议.
1900/1/1 0:00:001.价值尺度价值尺度是指货币表现商品的价值并衡量商品价值量的大小的职能。2.流通手段手段是指在商品交换中货币作为交换的媒介实现商品的价值的职能.
1900/1/1 0:00:00人民日报健康客户端 国家网信办7月21日依据相关法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,经查明,滴滴公司共存在16项违法事实.
1900/1/1 0:00:00随着“挖矿”活动趋于沉寂,那些曾经疯狂购置设备的矿主也在试图出货回血,除了那些打着“女学生自用”噱头的二手显卡以外,作用于奇亚币币的硬盘也开始在二手市场活跃了起来.
1900/1/1 0:00:00基于区块链理念带来了一场风暴,人们开始思考如何彻底改变权力集中化的结构,将控制和管理信息的权力迁移到一个无人掌控的去中心化系统中.
1900/1/1 0:00:00