丁峰+医院网络安全防护要点与典型案例分析

医院网络安全防护要点与典型案例分析（暨2017年CHIMA年会-信息安全分会拓导课之系列讲座）2017年8月18号北京.国家会议中心丁峰议题一、医院信息系统特点与安全挑战二、故障产生的原因与防范措施三、网络故障应对方法与案例分析医疗行业信息系统发展历程第一阶段第二阶段已完成已完成管理信息系统MIS临床信息系统CIS区域医疗GIS第三阶段部分完成全国公共信息平台PHIS第四阶段逐步完成•单机单用户应用阶段到部门级和院级管理信息系统•以财务、药品、管理为中心病人信息（临床业务和电子病历）•从内部到应用到区域医疗信息化应用。•避免分散建设和缺乏规划，集成与整合。医院业务系统特点一：复杂序号类别本类别编号系统名称一临床信息系统平台1.1HIS1.2EMR1.3PDA1.4体检1.5LIS1.6病理1.7手麻1.8其它二影像系统平台2.1PACS2.2RIS2.3PET/CT2.4心电2.5超声2.6其它三集成平台3.1IDS3.2EMPI3.3CDR3.4其它序号类别本类别编号系统名称四视频平台4.1视频监控4.2手术直播4.3DMS分诊4.4远程会诊4.5其它五集成管理平台5.1域控5.2DHCP5.3防病毒5.4数据备份5.5网络准入5.6网管5.7日志审计5.8堡垒机5.9其它六运营决策平台6.1HRP6.2BI6.3OA6.4其它•病历信息-信息量大，潜在价值极高！•用药信息-医药代表趋之若鹜•研究成果信息-创新乃竞争之本医院业务系统特点二：敏感信息多•财务、医保相关信息-个人利益直接相关•医疗检验信息-涉及隐私-完整性要求高！医院业务系统特点三：协同与共享医疗信息安全事件频出到了必须重视的时候了…议题一、医院信息系统特点与安全挑战二、故障产生的原因与防范措施三、网络故障应对方法与案例分析引起故障的原因•环境因素•硬件故障•软件故障•网络故障•人为原因•病毒•计划内停机36%21%16%13%9%5%IT系统日常故障比例统计软件故障网络故障环境因素硬件故障人为因素病毒软件故障、网络故障和环境因素造成的停机比例达到了73%注：数据来源于2013-2016年京津20余家医院网络运维故障统计网络故障原因分析36%31%21%12%病毒泛滥网络环路非授权接入滥用网络资源软件故障现象统计分析47%21%14%12%6%客户端系统数据库HIS系统操作系统应用性能环境因素组成原因分析38%21%18%14%9%施工影响供电因素防雷接地其它机房因素空调环境故障原因分析一、技术类问题硬件、系统软件、应用软件；二、使用类问题使用者不熟练、误操作、规划设计不合理；三、管理类问题实际用户不按要求操作、流程不对，合法用户非法操作；四、服务水平类问题服务商水平、服务能力、及时性等；故障现象分类统计151835320102030401比例分类服务水平类问题管理类问题使用类问题技术类问题一、信息安全的政策法规与技术标准是总纲二、安全技术保障是执行主体-主机安全是统帅-网络安全是纽带-终端安全是边防哨卡-物理安全是基础-应用安全是根本三、安全管理是后方保障（三个主体）-1、安全管理机构-2、安全管理制度-3、人员安全管理四、安全设施是支柱-安全基础设施-安全管理系统即：内外兼治，技管双修…技术防护与安全管理并重部署原则与防范方法医院网络典型拓扑结构-内外网逻辑隔离与物理隔离主干核心交换机GEGETrunkJ栋住院VLANPC。。。D栋医技VLANPC。。。医院核心服务器群GER网管中心备份核心交换机GE门诊VLANPC。。。接入层B栋门诊VLANPC。。。C栋科研VLANPC。。。接入层综合楼医院内网结构示意图-L3层组网架构下病毒爆发模拟示意图核心层接入层接入层汇聚层汇聚层推荐的组网架构-三层网络结构接入交换机无线AP汇聚交换机汇聚交换机核心交换机服务器和存储平台存储光纤交换机虚拟化服务器群FWFW服务器区交换机HIS电子病历PACS存储无线控制器漏洞扫描IPS数据库审计社保医院整体网络图市卫生平台分院医院外网外网核心防火墙上网行为管理接入交换机医院内网IPS汇聚交换机网络审计运维审计准入控制DMZ区WEB、MAIL、OAWAF主动防御系统主机加固IPSIPS医疗行业信息化整改建议方案身份认证上网行为管理识别出员工浏览的网站，并可以判断出该网站是否是合规的网站，对用户的上网行为进行追溯；访问控制入侵防范处于边界用来即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。透明部署，支持串联、旁路、混合等部署模式准入控制边界完整性检查；非法外联和安全准入检测的同时要进行有效阻断网络行为审计行为审计；内容审计；异常行为监控；实时监测；身份鉴别对主机管理员登陆时进行双因素身份鉴别剩余信息保护通过对操作系统及数据库进行安全加固配置，及时清除剩余信息的存储空间安全漏洞扫描从主机设备、网络设备、应用及WEB服务等方向进行全网漏洞查漏补缺。主机加固强制访问控制；系统管理员，安全管理员，审计管理员，三权分立运维审计统一的运维平台；完整的身份管理和认证；灵活细粒度授权；违规操作实时告警与阻断数据库审计数据库审计状况实时展现；双向审计—响应结果审计；中间件关联审计WEB应用防火墙漏洞扫描发现；双向过滤防护，透明部署，支持对WEBDoS攻击的防御主动防御系统以程序行为作为判断标准的智能分析判断及实时防御技术层面差距描述解决之道安全管理制度缺乏具体的安全策略、管理制度、操作规程；没有定期或不定期对相关制度进行检查和审定从实际出发，编制《计算机使用管理规定》、《安全审计管理规定》、《规章制度维护指南》等安全管理机构没有明确安全管理机构以及各个部门和岗位的职责和分工；没有配备专职安全管理员明确部门和岗位职责，编制《岗位职责说明书》和《安全责任追究制度》等人员安全管理没有对外部人员允许访问的区域、系统、设备、信息等内容应进行规定建立完善机房、系统、资产管理规定，如编制并执行《机房安全管理规定》等系统建设管理系统交付的控制方法和人员行为准则按照约定俗成执行，没有进行书面规定应编制完善的系统交付方案，如《系统割接方案》等，降低相关风险和约束人员行为系统运维管理没有对应急预案进行演练，没有对应急预案进行定期审查和根据实际情况更新。应对应急预案进行实际演练，并对在演练中发现的问题进行的分析，及时更新应急预案安全管理部分-管理改进示范技术与管理并行安全技术是武功招式安全管理是内功心法唯两者结合，方能独步“武林”！工欲善其事必先利其器常用网络运维工具SecureCRTPuTTYWindowsxp自带的超级终端常用的仿真终端工具：WiresharkOmnipeekSniffer常用抓包分析工具：议题一、医院信息系统特点与安全挑战二、故障产生的原因与防范措施三、网络故障应对方法与案例分析案例分析-核心交换机CPU利用率高，业务系统运行缓慢二层网络架构，接入端HUB故障或有回路产生二层网络架构，客户机中病毒，产生ARP攻击通过Console口，登录核心交换机查看CPU利用率，信息如下：案例分析-表象与症状1、通过Sniffer软件捕获网络流量，发现网络上大量的广播包，还发现有些客户机不停的向本网段的地址发送ARP轮询，使得网络中存在大量的ARP包。2、发现个别客户机抢占网关地址，造成其它客户机不能正常访问网络。3、核心交换机的CPU利用率不断上升，最终达到了99%，初步判断为网络病毒爆发。案例1-ARP攻击故障定位及处理方法案例1-ARP攻击故障定位及处理方法联系防病毒厂商工程师，现场进行病毒分析及采样。越来越多的客户机反映不能正常访问，这时，果断采取应急措施，断掉非关键业务分支，保证医院关键业务应用，但是，效果不明显。同时，根据Sniffer软件检测到的发大量ARP广播的可疑机器，断网查杀。针对个别机器抢占网关的现象，首先在故障机处，ping网关地址，通过arp-a命令查看网关MAC地址，这个MAC地址不是真实的网关MAC地址，找到这个MAC地址就找到了抢占网关的病毒机器。案例1-ARP攻击故障定位及处理方法通过在核心交换机及分支交换机中showarp及showmac-address-table命令，定位这台PC，将其断网杀毒；通过上述方法，病毒基本得到控制，网络逐步恢复正常，业务应用恢复正常。案例1-ARP攻击故障定位及处理方法案例1-事后防范：优化网络结构与配置防范ARP攻击接入交换机配置端口安全策略：（1）将端口配置成接入模式端口（2）开启端口安全（3）限制端口MAC学习（4）静态绑定端口MAC地址。命令（以思科交换机为例）：switchportmodeaccessswitchportport-securityswitchportport-securityviolationprotectswitchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky0021.9b6f.3b6c案例分析-网络环路故障定位及处理方法（案例2）往往医院由于房间内信息点不足，增加小交换机（小HUB）进行信息点扩容，是网络管理员常用的选择。由于小HUB不支持生成树（SpanningTree）协议，因此，一旦形成下面的网络环路，会造成严重后果。故障现象：天津某医院内网出现丢包现象，业务系统访问越来越慢，最终导致不可用。故障处理手段：查看核心交换机思科Catalyst4506运行状态，发现CPU负载异常，通过showprocessescpu|exclude0.00命令查看，CPU利用率高达99%。案例分析-网络环路故障定位及处理方法（案例2）通过showplatformhealth命令，发现K2CpuManReview进程默认定义稳定情况应该在30%以内，现在利用率已经到达74.56%，该单一进程损耗核心交换机CPU非常高，致使其他进程无法正常处理。案例分析-网络环路故障定位及处理方法（案例2）通过showplatformcpupacketstatisticsall命令，发现NoFloodPorts的Dropped包在5s平均和1分钟平均值（1496）异常，同时数据包的丢弃队列仍有大量数据包（9622）排队丢弃。案例分析-网络环路故障定位及处理方法（案例2）案例分析-网络环路故障定位及处理方法（案例2）通过核心交换机上做CPU队列镜像，确认具体队列数据。交换机CPU队列镜像命令如下：XX-4506(config)#monitorsession2sourcecpuqueueallrxXX-4506(config)#monitorsession2destinationinterfacegigabitethernet6/24案例分析-网络环路故障定位及处理方法（案例2）通过该IP及MAC地址定位到该IP位于病房楼，通过该MAC地址前缀信息判断可能是一台TP-LinkHUB，将其网络断开连接几分钟后，核心交换机负载正常，又经开启测试，故障复现，最终确认此次故障是由该设备发送异常数据，导致设备处理队列无法及时响应正常业务流量导致的。案例总结：通过这个案例，提示我们通过一个CPU高的表征，深挖这个表征下的深层原因，根据厂商官方技术文档，通过抓包工具，精确抓取数据，快速定位故障。这个案例中，我们利用了交换机除了可以做端口数据镜像外，还可以做交换机CPU队列镜像，通过抓取CPU队列数据，为故障定位提供帮助。案例分析-网络环路故障定位及处理方法（案例2）案例2-事后防范：优化交换机配置避免网络环路交换机开启生成树协议；接入交换机配置风暴抑制功能或环路防止功能；Switch4(config)#interfacef0/5Switch4(config-if)#storm-controlbroadcastlevel105Switch4(config-if)#storm-controlactionshutdown或者Switch4(config-if)#storm