nCompass為醫療行業信息安全穿上“鎧甲”_DNS

一、行業警示

新醫改背景下，國家從戰略高度將信息化建設定義為深化醫藥衛生體制改革的“四梁八柱”之一，不斷出臺推動醫院信息化發展的政策和舉措，為醫院信息化建設注入強勁動力。

醫院數據涉及個人健康隱私，利益面廣泛，往往是黑客覬覦的“大金庫”。近年來國內外新聞上不乏某醫院系統被植入升級版勒索病后癱瘓；某信息系統遭受黑客攻擊，導致系統大面積癱瘓、院內診療流程無法正常運轉的新聞。隨著國家及行業層面對信息安全重視程度越來越高，醫院防患于未然的意識和能力均得到了大幅度提升，但仍然會出現因為信息管理人員的疏忽或者安全意識缺乏，導致醫院信息系統“中招”。

2020年10月3日，美國阿拉巴馬州一名9個月大的女嬰意外死亡后，孩子的母親對嬰兒出生的醫院提起訴訟，聲稱醫院沒有披露其網絡系統被攻擊導致護理調配異常，最終造成了嬰兒死亡的后果。這一事件再次表明，網絡攻擊的影響后果不僅僅是數據、財產、聲譽的損失，甚至會造成生命的損失。

2020年4月29日，北京一家醫療機構的新冠病檢測相關數據被黑客以4比特幣的價格公開售賣，被出售的數據包括150MB的實驗室研究成果以及檢測技術源代碼等。

Bancor社區通過了將從Carbon賺取的費用全數用于回購BNT的提案:金色財經報道，Bancor社區通過了將從 Carbon 賺取的費用全數用于回購并銷毀 BNT 的提案，提案顯示此舉旨在修復 Bancor 的赤字。[2023/2/15 12:09:13]

2022年4月28日北京健康寶遭遇Rippr黑客團伙攻擊。

以上事件說明，醫療行業的數據安全已不容小視，須引起醫療信息行業高度重視。

二、行業痛點

1、穩定性及故障預警要求高

醫院信息系統，尤其是核心系統，都是7x24小時全年不能停機的，最大的維護時間窗只有半小時左右，否則就會影響患者排隊就醫。業務的特殊性決定了對網絡連續性的要求以及對網絡安全的保障程度要求較高。

2、現有安全產品瓶頸與不足防火墻

防火墻作為邊緣安全設備，醫院部署的防火墻，域內存在大量不合理及寬泛的安全策略，近年來國家對防火墻寬泛策略有明確等保要求，需要快速找出不合理策略，收斂寬泛、無效策略，但是人工梳理難度大，且無法驗證對現有業務影響，開啟對應策略的日志又會嚴重消耗性能且不夠靈活。運維團隊面對防火墻策略現狀束手無策，策略維護加重了運維負擔。另外，醫院需要對防火墻進行配置變更時，人工配置容易失誤，比如產生防火墻原端口映射配置未刪除及策略下發錯誤嚴重影響醫院就診的問題。安全事件發生后，院方希望第一時間自動過濾出事件相關的防火墻策略，然而策略配置還是防火墻自身問題所導致，由于缺乏數據支持難以判斷。

私人直升機公司Hill Helicopters與CoinCorner達成合作，支持比特幣付款:8月9日消息，希爾直升機公司與CoinCorner達成合作，可以接受比特幣支付，助力航空領域增加比特幣的使用。目前，HX50私人直升機客戶已經使用了比特幣進行付款。（helihub）[2021/8/9 1:44:00]

3、日志管理及審計設備

醫院的數據中心運營著大量醫療系統，日常運維監控需要對醫療系統和信息審計進行日志收集，部分醫院有自己的日志管理平臺，但展示效果不靈活，對分布的WAF節點和眾多的安全事件，也難以做到統一便捷的展示，不能結合異常期間的流量數據做到根因定位，無法對高頻攻擊做到統計分析，不利于醫院做后續針對性的防護。

4、安全代理設備

基于醫院業務性能擴展及安全考慮，醫院的大量負載設備采用的全代理模式通常會對客戶端地址進行源地址轉換，因此存在轉換前后通訊進行關聯的難題，另外，醫療系統與調度平臺之間的映射關系難以梳理，對攻擊路徑溯源和人工排查造成較大阻礙。

5、泛洪攻擊流量難以回溯和定位

當醫院網絡面臨DDoS類攻擊時，如果查看該網卡的發包數在快速增加，導致損耗大量的網絡帶寬，引起網絡堵塞，就會造成廣播風暴。傳統的NPM由于廣播攻擊流量和包數巨大難以做到正常的解析和回溯。

Bancor：約50％ BNT被質押在Bancor池中:Bancor發推表示，Bancor v2.1發布后，因為有無償損失保護、單資產質押和BNT流動性挖礦獎勵。BNT正以最快的速度從交易所遷移到Bancor池。目前約50％的BNT被質押在Bancor池中，產生費用并獲得獎勵。[2020/12/3 22:59:57]

6、DNS安全缺乏防護手段

醫院業務系統大部分采用域名方式對外提供服務，因此容易遭受基于主機耗盡型的DNS攻擊，攻擊采用的方法是向被攻擊的服務器發送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網絡上根本不存在的域名，被攻擊的DNS服務器在接收到域名解析請求時首先會在服務器上查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，DNS服務器會向其上層DNS服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載，每秒鐘域名解析請求超過一定數量就會造成DNS服務器解析域名超時，影響正常的域名業務訪問。由于缺乏防護和異常訪問統計手段，導致這類問題的事后處理被動，效率較低。

三、智維數據解決方案

智維數據基于多年智能分析領域和醫療行業運維服務的經驗積累，對上述醫療行業安全痛點有如下實現方案：

1、流量分析0影響

Neo推出以太坊端收益增強器Flamincome:9月17日消息，在廈門開放金融大會上，Neo創始人達鴻飛宣布了新的跨鏈挖礦工具——Flamincome的誕生并將于9月21號上線，以配合Flamingo產品啟動。

據官方消息，Flamincome是一個以太坊端的終極收益增強器（Ultimate Yield Booster)，初期將采用與目前主流收益聚合協議相同的策略，在保證資產安全性的同時，為Flamincome用戶帶來不低于YFI, YFII等協議的收益。相比以太坊上其他聚合收益平臺，Flamincome的用戶除了可以以太坊上獲得質押收益，還可以同時使用在Flamincome中獲得的錨定資產來到Flamingo進行挖礦，參與Neo生態的DeFi，并獲得FLM。

此外，Flamincome上線后將額外支持用戶質押Uniswap V2中的wBTC/ETH-LP通證，并在Flamincome和Flamingo中獲得雙重收益。[2020/9/17]

通過網絡旁路鏡像的方式，7*24小時實時采集數據中心關鍵網絡節點及防火墻前后的網絡流量。對現有網絡、應用不產生任何影響的前提下對流量進行精細化分析檢查。

巴西投資銀行Banco BTG Pactual正將部分房地產代幣轉移到Tezos區塊鏈上:巴西加密貨幣友好銀行——巴西投資銀行Banco BTG Pactual正在將其部分房地產代幣轉移到Tezos區塊鏈上。此前，該銀行在以太坊區塊鏈上發行了ReitBZ代幣。BTG Pactual的數字資產負責人Andre Portilho表示，將有500萬美元的ReitBZ轉移到Tezos，這種多元化背后的原因是，該銀行希望擴展其選擇權。（Cointelegraph）[2020/5/19]

2、防火墻性能0影響

支持多種方式定時獲取防火墻策略，如FTP、API、文件上傳等，無需開啟防火墻會話日志，通過獲取流量+配置，實現流量與配置關聯，在不影響性防火墻性能的情況下，為策略提供流量支撐。

3、多源數據統一接入管理

智維數據基于自身平臺化靈活架構支持多源數據接入，包括各類醫療系統日志和審計日志的集中收集和解析，可靈活精確地實現多個平臺聯動和對接，通過主動獲取與被動接收兩種方式來對接各平臺數據的數據，并接入到平臺內置數據庫，可實現日志的統一展示和管理。

4、異常業務路徑畫像

智維數據可基于負載設備的API接口獲取設備配置信息，基于配置信息+流量數據，動態、可視化展現完整的業務系統網絡路徑。基于業務訪問日志對于部分異步的業務進行數據流縫合，實現訪問關系的溯源。

5、智能化分析

智維數據產品內置多種智能算法及200多種場景的智能分析知識庫，當指標出現異常時，系統自動進行根因分析幫助運維人員更快的感知故障、分析故障，同時賦能運維人員數據預測、變化分析等能力。

四、使用場景

1、防火墻策略優化&故障早發現

防火墻是一種特殊編程的路由器，它作為醫院網絡的第一道防線，維護大量冗余策略，會占用自身性能，另外，也需要滿足等保2.0要求。智維數據基于防火墻前后端流量和配置信息，通過配置梳理和流量驗證，快速有效地進行策略收斂，不影響防火墻性能，滿足合規檢查要求，快速消除防火墻策略隱患。

同時，智維數據支持對醫院內的流量數據自動定期智能化巡檢。通過異常數據和特征值，發現域內存在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱口令等明顯存在安全隱患特征值的數據。

2、封堵驗證及監控

如何驗證下發的安全策略是否存在漏洞或者真實生效往往是醫院頭疼的問題。智維數據基于真實流量旁路采集的方式，監控實時數據，支持對已經封禁的IP和業務進行真實效果驗證，若數據表格中出現有流量封禁名單中的IP即可主動發出告警，并支持根因定位分析，可明確問題導致的原因，如策略配置問題或安全設備異常等。

3、DNS攻擊溯源及處置

智維數據支持對DNS設備進行深度監測，可針對醫院DNS服務器和53端口對院內DNS服務器全面解析和監控，可及時監測到DNS當前訪問量及響應時間是否異常，并根據異常響應碼和訪問成功率進行根因定位。基于告警和可視化，快速定位異常DNS攻擊來源及異常請求，通知醫院安全人員進行處置。

4、異常安全事件完全回溯定位

智維數據全流量分析平臺可以獲取全網流量，包括醫院出口及內網。平臺的業務畫像功能可基于歷史行為基線，發現新增的異常訪問。與CMDB數據相結合，可針對內網出現的新增訪問進行二次的檢測，對異常訪問實現主動監控。

智維數據支持基于流量特征及負載設備日志兩種方案對異步的業務進行靈活自動關聯數據流縫合，實現訪問關系的溯源，可針對攻擊經過的負載設備進行回溯分析。同時智維數據基于防火墻前后端流量和配置信息，可通過AI算法智能化檢測經過防火墻的業務流量。實時感知業務異常并定位與事件相關的IP和策略。快速判斷異常Deny行為及攻擊入口，并給出安全風險提示。

基于日志和流量數據，對攻擊源、地理位置、攻擊類型、攻擊方法等多種維度進行統計分析，將終端日志與流量路徑進行關聯，并針對防御策略制定提供數據支撐。

從流量、代理映射、資產、配置、日志、設備狀態等多層面全方位智能分析，實現安全異常事件精準發現。

5、ARP廣播風暴攻擊

從實際經驗來看，90%以上的網絡廣播風暴是病所致。智維數據擁有專門針對廣播風暴攻擊的高性能探針，通過Trunk口方式收集數據，只接收廣播、組播、單播泛洪的流量。并且由于產品的采集口使用混雜模式，還可避免接口環路的風險。能快速處理分析當前廣播域的ARP攻擊來源及產生告警，并且支持將告警數據推送至第三方處置平臺實現故障自愈。

6、無專家值守

智維數據基于多年的IT運維經驗，將常見故障的分析思路通過Python腳本預制在系統中，當出現告警事件、隱患事件或人工需要分析時，系統可自動獲取事件相關數據，并進行智能分析，輸出分析報告，簡潔易懂。

支持Syslog、郵件、短信、微信等告警通知形式。

總結

安全是醫療行業信息化部門極其重視的部分，本文為智維數據在安全層面的技術方案分享，除文中展示的場景外，智維數據還支持基于流量及安全事件特征進行定制化的數據溯源、分析和展示。

更多醫療行業運維場景及其他行業安全管控案例敬請垂詢。

Tags：DNSARPAPIDNS幣DNS價格ARP幣是什么幣API價格API幣

DOT