Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

通過(guò)等保2.0分析系統(tǒng)脆弱性:安全區(qū)域邊界篇 & 安全計(jì)算環(huán)境篇


編輯:2022-02-25 16:08:18

安全區(qū)域邊界篇



安全區(qū)域邊界在近幾年變得越來(lái)越精細(xì)越來(lái)越模糊,因?yàn)楣舻男问?、病毒傳播的途徑層出不窮,我以攻擊者的角度去看,任何一個(gè)漏洞都可以成為勒索病毒傳播和利用的方式,我們要做到全面補(bǔ)丁壓力重重,通過(guò)邊界劃分,依靠不同的邊界安全防護(hù),在發(fā)生問題的情況下將損失降到最低。



1、邊界防護(hù)

a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
d) 應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用,保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

自從出現(xiàn)了統(tǒng)方的情況后,醫(yī)院對(duì)于終端準(zhǔn)入的關(guān)注度日益增加,出現(xiàn)了非法接入醫(yī)院內(nèi)網(wǎng),獲取處方數(shù)據(jù)的情況,在我看過(guò)大部分醫(yī)院準(zhǔn)入系統(tǒng)后,在數(shù)據(jù)盜取者面前這個(gè)準(zhǔn)入做了和沒有做一樣,這真的是一個(gè)防君子不防小人的系統(tǒng),而那些統(tǒng)方者肯定已經(jīng)超出了君子的范疇;通過(guò)傳統(tǒng)的 IP/MAC 綁定很容易被繞過(guò),缺乏對(duì)終端上特征的判斷,而我目前更推薦是桌管 + 準(zhǔn)入相結(jié)合,但這也不能完全避免非法接入的情況,并且醫(yī)院設(shè)備種類眾多,如設(shè)備儀器、攝像頭、門禁等,我曾經(jīng)寫過(guò)一篇醫(yī)院零信任網(wǎng)絡(luò)安全架構(gòu)的文章,想象著能通過(guò)操作系統(tǒng)、網(wǎng)絡(luò)、安全結(jié)合大數(shù)據(jù)分析、 SDN 的方式去嚴(yán)格控制醫(yī)院的準(zhǔn)入,可能想象是美好的,但是國(guó)內(nèi)的產(chǎn)品還不能完全滿足這個(gè)要求,因?yàn)榻Y(jié)合了多個(gè)廠家的領(lǐng)先技術(shù)。

我們理解準(zhǔn)入的時(shí)候其實(shí)很多時(shí)候已經(jīng)走入一個(gè)死胡同,我們?nèi)狈α藢?duì)移動(dòng)設(shè)備接口、電腦接口、物聯(lián)網(wǎng)通信、 5G/4G 通信都有可能成為準(zhǔn)入的缺口,通過(guò)這些技術(shù)可以將外部網(wǎng)絡(luò)中轉(zhuǎn)后接入到內(nèi)網(wǎng),這些其實(shí)在我們的環(huán)境中已有很多案例??紤]大型設(shè)備的質(zhì)控問題,進(jìn)口品牌廠商就會(huì)在設(shè)備上安裝移動(dòng)網(wǎng)絡(luò) SIM 卡設(shè)備,除了大型設(shè)備,還有進(jìn)口品牌的存儲(chǔ)上我也發(fā)現(xiàn)了這個(gè)情況,所以我們要管的不僅僅是能看到的這張“有形網(wǎng)”,更是這張不太能看到的“無(wú)形網(wǎng)”。

傳統(tǒng)的網(wǎng)絡(luò)安全都設(shè)置了三個(gè)區(qū)域, T rust 、 U nTrust 和 DMZ , 而在當(dāng)今的網(wǎng)絡(luò)安全中,任何事物其實(shí)都不可能完全信任,我們不僅要防外敵,同時(shí)也要防內(nèi)鬼,一臺(tái)中勒索病毒的內(nèi)網(wǎng)終端可能比來(lái)自互聯(lián)網(wǎng)的 DD oS 攻擊更加可怕,這樣看來(lái)要針對(duì)每一臺(tái)終端都要有相應(yīng)防火墻的進(jìn)出保護(hù),而且該防護(hù)墻也不限于傳統(tǒng)意義的包過(guò)濾訪問控制,還要有 IPS 、 WAF 、 防毒、行為管理等庫(kù),同時(shí)要配合外部的安全大腦,聯(lián)動(dòng)其他安全產(chǎn)品共同防御,想到這里我又想到了新冠病毒,可能不亞于防護(hù)生物病毒的復(fù)雜度。

醫(yī)院有很多移動(dòng)醫(yī)療業(yè)務(wù)場(chǎng)景,醫(yī)生 PAD 查房,護(hù)理 PDA 掃碼發(fā)藥、庫(kù)房 PDA 掃碼入庫(kù)等情況,有線的準(zhǔn)入限制就如此薄弱,無(wú)線的準(zhǔn)入限制就更加脆弱,曾經(jīng)我就聽說(shuō)有醫(yī)院出現(xiàn)非法授權(quán)人員通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行統(tǒng)方的行為,這聽起來(lái)已經(jīng)是一件沒什么技術(shù)含量的操作, PC 端的桌面管理很多時(shí)候在移動(dòng)終端上都沒有考慮,其實(shí) MDM 移動(dòng)終端管理這項(xiàng)技術(shù)已經(jīng)很早就有。

近幾年出現(xiàn)的“零信任”模型,無(wú)非就是在傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入上更近一步,結(jié)合傳輸層、應(yīng)用層的判斷,對(duì)準(zhǔn)入控制更加細(xì)化,原先一個(gè)終端對(duì)于網(wǎng)絡(luò)接入只有“是”或者“否”,而零信任的環(huán)境下就算終端接入網(wǎng)絡(luò),終端上的程序是否能運(yùn)行還要經(jīng)過(guò)判斷,程序走的網(wǎng)絡(luò)流量要經(jīng)過(guò)層層過(guò)濾和安全防護(hù),就和疫情防控一般,從外地過(guò)來(lái)的,首先判斷是不是中高風(fēng)險(xiǎn)地區(qū),如果是中高風(fēng)險(xiǎn)直接勸返或者隔離(準(zhǔn)入控制),如果是低風(fēng)險(xiǎn)地區(qū),依然隔離多日通過(guò)多次核酸確認(rèn)后才能入境(沙箱),境內(nèi)我們限制了部分場(chǎng)所的使用,如限制了電影院、 KTV 、 棋牌室等風(fēng)險(xiǎn)場(chǎng)所,限制了入境人員可能去的風(fēng)險(xiǎn)區(qū)域(桌面管理),通過(guò)各場(chǎng)所的健康碼掃碼記錄形成(日志審計(jì)),時(shí)刻要佩戴口罩進(jìn)入公共場(chǎng)所(防火墻),最后該人員依然出現(xiàn)了疫情癥狀,傳播的范圍也可以控制到最小,并且通過(guò)掃碼行程和其他運(yùn)營(yíng)商信號(hào)關(guān)聯(lián)出其時(shí)空伴隨者(態(tài)勢(shì)感知),并一同隔離(殺毒軟件)。

2 、 訪問控制

a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;
b)應(yīng)刪除多余或無(wú)效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化;
c)應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出;
d)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力;
e)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

在我原來(lái)工作的行業(yè)中,這塊的內(nèi)容其實(shí)是一項(xiàng)基本要求,每天有大量的工作是對(duì)防火墻上添加訪問控制策略,要對(duì)工單表格中的內(nèi)容進(jìn)行合并同列項(xiàng)、歸類,還要在訪問沿途的防火墻上開通對(duì)應(yīng)的策略,工作繁雜,對(duì)技術(shù)的要求其實(shí)不高,可能會(huì)遇到一些小問題,也就是長(zhǎng)鏈接、 FTP 這些開放時(shí)要注意的問題。但是到了醫(yī)療行業(yè),我咨詢了好幾家醫(yī)院,基本都沒有做訪問控制的,我分析了一下有幾個(gè)原因:

①考慮性能問題,其實(shí)這已經(jīng)不是問題,云數(shù)據(jù)中心、 IDC 等出口都有包過(guò)濾防火墻設(shè)備,并且內(nèi)部還有租戶單獨(dú)的防火墻設(shè)備,原單位的迪普防火墻號(hào)稱并發(fā)可以達(dá)到 8000 萬(wàn),當(dāng)我用容器環(huán)境做并發(fā)鏈接測(cè)試的時(shí)候打到過(guò) 500 萬(wàn),防火墻的 CPU 、 內(nèi)存沒有一絲波動(dòng),而基本上沒有醫(yī)院的數(shù)據(jù)中心鏈接并發(fā)能達(dá)到 500 萬(wàn)的,而當(dāng)時(shí) J uniper 的 ISG 設(shè)備最高只能達(dá)到 2 萬(wàn)的連接數(shù),幾千的并發(fā),所以設(shè)備合不合適要看設(shè)備的性能指標(biāo)和新老,而這些都和投入的成本有關(guān),這些都要嚴(yán)格要求集成商,不能配置低配的設(shè)備,造成后續(xù)業(yè)務(wù)升級(jí)過(guò)程中不必要的麻煩;

②缺乏規(guī)劃性,因?yàn)?IP 地址的規(guī)劃和終端 IP 功能的規(guī)劃,可能在開通防火墻的時(shí)候就要開通一個(gè)大段,這樣的做法不太符合最小化原則,這時(shí)候其實(shí)先要考慮前期 I P 的規(guī)劃,不同的 IP 網(wǎng)段有不同的功能,然后在開通防火墻的時(shí)候可以盡可能的按照最小化原則,而不至于有太大的工作量;

③服務(wù)資產(chǎn)不清,不清楚數(shù)據(jù)中心服務(wù)開放端口的資產(chǎn)情況,大部分服務(wù)器端的軟件都由軟件廠家管理,并且開放端口醫(yī)院信息科的人不清楚,連乙方部署的人都不一定清楚,很難在這樣一個(gè)基礎(chǔ)下建立起防火墻開放的流程;

④高可用性的擔(dān)心,在傳統(tǒng)的防火墻設(shè)計(jì)中,一般就考慮將防火墻串聯(lián)到網(wǎng)絡(luò)當(dāng)中,實(shí)際在部署的時(shí)候有很多種方式,當(dāng)時(shí)對(duì)于醫(yī)院這樣的環(huán)境,我們盡可能考慮最小影響,我推薦透明串聯(lián) + 旁路 bypass 功能、策略路由旁掛 +SLA 檢測(cè)、 vxlan 安全服務(wù)鏈引流,其中都要確保單臺(tái)防火墻滿足網(wǎng)絡(luò)中最大流量,并且能夠在出現(xiàn)故障時(shí)實(shí)現(xiàn)主主切換、主備切換、故障旁路,將業(yè)務(wù)的影響降到最低,并且盡量確保那些長(zhǎng)鏈接會(huì)話不受影響。

在醫(yī)院防火墻部署的位置上,我們要考慮信任和非信任兩個(gè)方面,首先相對(duì)于內(nèi)部網(wǎng)絡(luò),對(duì)互聯(lián)網(wǎng)和專網(wǎng)我們應(yīng)該列入非信任(專網(wǎng)包括醫(yī)保、衛(wèi)生專網(wǎng)等一切非醫(yī)院自己內(nèi)部的網(wǎng)絡(luò)),相對(duì)于醫(yī)院內(nèi)網(wǎng),醫(yī)院的外網(wǎng)也是非信任區(qū),相對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò),醫(yī)院的門診、住院等辦公網(wǎng)段也是非信任區(qū),在這幾處我們都應(yīng)該確保有防火墻防護(hù),對(duì)應(yīng)策略默認(rèn)拒絕,按需開通服務(wù)??赡艽蠹矣X得部署這么多防火墻并沒有感受到很大的用處,大家在想想勒索病毒通過(guò)什么方式傳播,見的最多的是 SMB 服務(wù),其實(shí)只要是漏洞在我看來(lái)都有可能被勒索病毒利用,如果在全網(wǎng)終端沒有打上補(bǔ)丁的情況下,我們除非有自動(dòng)化工具能夠批量對(duì)終端進(jìn)行防火墻下發(fā),那在便捷性和實(shí)用性折中的情況下,我們還是會(huì)考慮使用網(wǎng)絡(luò)防火墻對(duì)勒索病毒傳播端口進(jìn)行封堵,如果單位本來(lái)就建立了良好的按需開通訪問機(jī)制,在這個(gè)時(shí)候也就不會(huì)有很多擔(dān)憂。

3 、 入侵防范

a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;

b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;

c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;

d)當(dāng)檢測(cè)到攻擊行為時(shí)。記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

這里提到了外到內(nèi)的網(wǎng)絡(luò)攻擊和內(nèi)到外的網(wǎng)絡(luò)攻擊,外到內(nèi)的防護(hù)毋庸置疑,而內(nèi)到外的防護(hù)其實(shí)也是我們要考慮的,在網(wǎng)絡(luò)安全法頒布起,攻擊我國(guó)境內(nèi)的網(wǎng)絡(luò)資產(chǎn)都會(huì)受到法律的制裁,為了保護(hù)自己?jiǎn)挝徊皇苡绊懀菍?duì)內(nèi)到外攻擊的防護(hù)自然而然要被納入管理的范圍,像 C&C 攻擊、 DD o S 攻擊的肉雞,像對(duì)勒索病毒外聯(lián)的防護(hù)都是我們要考慮的,在保護(hù)他人的同時(shí)保護(hù)了自己。

對(duì)新型網(wǎng)絡(luò)攻擊行為的分析,其實(shí)早在 2014 年我就了解到了當(dāng)時(shí)的 APT 產(chǎn)品( 高級(jí)可持續(xù)威脅攻擊 ),深思現(xiàn)在的網(wǎng)絡(luò)架構(gòu),如果要發(fā)現(xiàn)新型的攻擊行為,那我們就要排除掉一切以攻擊庫(kù)、病毒庫(kù)為基礎(chǔ)的設(shè)備,包括傳統(tǒng)的防火墻、殺毒軟件等,在此基礎(chǔ)上,要聯(lián)動(dòng)下一代墻、態(tài)勢(shì)感知、 EDR 等新型安全產(chǎn)品,甚至還要聯(lián)動(dòng)產(chǎn)品公司外部的實(shí)時(shí)信息,關(guān)聯(lián)全球的安全情報(bào),通過(guò)這樣的要求,我對(duì)這套體系的考慮是盡可能通過(guò)同一家公司的產(chǎn)品實(shí)現(xiàn),可以想象一個(gè)中國(guó)人對(duì)一個(gè)不會(huì)說(shuō)中國(guó)話的外國(guó)人說(shuō)漢語(yǔ)的時(shí)候是什么樣的結(jié)果,就算雙方都是中國(guó)人,不同的方言理解起來(lái)其實(shí)也有困難(就好像不同的產(chǎn)品線在傳輸日志和分析日志的時(shí)候都有不同的方法),所以對(duì)新型網(wǎng)絡(luò)攻擊行為的分析,其實(shí)任重而道遠(yuǎn)。

對(duì)于安全日志的收集、記錄、分析、告警對(duì)整個(gè)安全運(yùn)營(yíng)中心平臺(tái)也有很大的壓力,打個(gè)比方,在同一原地址對(duì)醫(yī)院多個(gè)互聯(lián)網(wǎng)地址進(jìn)行攻擊時(shí),原始的日志可能是成千上萬(wàn)條的,如果這成千上萬(wàn)條的日志不經(jīng)過(guò)分析,直接告警,可能告警的短信平臺(tái)、微信平臺(tái)都會(huì)搞垮,安全日志分析匯聚的工作就尤為重要,不僅要對(duì)同一攻擊源的不同攻擊進(jìn)行匯總,還要對(duì)不同攻擊源的同種攻擊進(jìn)行匯總,甚至還要關(guān)聯(lián)前后攻擊的線索進(jìn)行溯源。

4 、安全審計(jì)
a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì);
b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;
d)應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

說(shuō)到審計(jì)看似很簡(jiǎn)單,只要把日志傳遞到日志審計(jì)服務(wù)器記錄,可以通過(guò)各式各樣的參數(shù)查詢即可,但是日志記錄全不全、有沒有遺漏,我之前就碰到過(guò)好幾次溯源到一半失敗的情況,一次是訪問過(guò)程中有 NAT 設(shè)備,這個(gè)時(shí)間點(diǎn) NAT 的日志沒有,沒辦法把前后的日志關(guān)聯(lián)起來(lái),一次是設(shè)備上的攻擊源地址是白名單地址,而白名單地址攻擊不記錄在日志中,還有很多次因?yàn)榻K端上的日志沒有開啟,導(dǎo)致最后一步溯源失敗。

如果要將所有資產(chǎn)的日志進(jìn)行審計(jì)記錄,并且記錄到位,還要做備份,其實(shí)這個(gè)量遠(yuǎn)遠(yuǎn)已經(jīng)超過(guò)了 HIS 數(shù)據(jù)庫(kù)的增長(zhǎng)量,而且網(wǎng)絡(luò)安全法的要求是日志記錄 180 天,我看了下我們光數(shù)據(jù)庫(kù)審計(jì)的日志每天就有 20 多 GB ,180 天將近 4TB 的容量,我們還有網(wǎng)絡(luò)設(shè)備日志、安全日志、操作系統(tǒng)日志、存儲(chǔ)日志、應(yīng)用日志等等,加起來(lái)每天的量可能就達(dá)到上百 GB , 如此大量的細(xì)小碎片化數(shù)據(jù),要做到日志查詢不僅僅是一臺(tái)日志審計(jì)服務(wù)器能做到,我在購(gòu)買數(shù)據(jù)庫(kù)審計(jì)的時(shí)候就測(cè)試了多家廠家的產(chǎn)品,不是日志遺漏保存,就是日志查詢速度慢,或者是日志查詢功能不全,如果是有能力的醫(yī)院,其實(shí)建議還是單獨(dú)自建開源的日志平臺(tái),對(duì)日志流量進(jìn)行清洗、匯總,通過(guò)相匹配的 NoSQL 數(shù)據(jù)庫(kù)記錄,簡(jiǎn)單方便的可以考慮下 Elastic Search ,在查詢速度快的情況下,可視化也做的較好。

安全計(jì)算環(huán)境篇



個(gè)人認(rèn)為計(jì)算環(huán)境下的安全問題其實(shí)是最嚴(yán)重的,大部分中高危漏洞都從計(jì)算環(huán)境下發(fā)現(xiàn),被利用最多的也是,而且計(jì)算環(huán)境的網(wǎng)絡(luò)資產(chǎn)量也是最多的,各種虛擬化、容器化、 S erverless 等技術(shù)將計(jì)算資源分成更小的細(xì)塊,提高了安全管理員的能力要求,更是提高了像 CWPP 、 EDR 等安全軟件的防護(hù)要求,在 “安全計(jì)算環(huán)境中”有些前面提到的內(nèi)容就不再贅述。



1 、身份鑒別
a) 應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換;
b) 應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施;
c)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽;
d)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

在醫(yī)院中除了數(shù)據(jù)中心的服務(wù)器資源,還有醫(yī)護(hù)人員、行政人員使用的電腦都需要納入安全計(jì)算環(huán)境的管轄范圍。大家可以看看自己用的電腦是否設(shè)置了密碼,并且密碼的要求是否符合強(qiáng)口令(長(zhǎng)度大于 8 位,包含大小寫字母、數(shù)字、符號(hào),并且不包含鍵盤上連續(xù)字符或者英文單詞),并且 3 個(gè)月更換一次密碼。在 AAA 認(rèn)證體系( AAA 是認(rèn)證( Authentication )、授權(quán)( Authorization )和計(jì)費(fèi)( Accounting ) )中,第一關(guān)就是認(rèn)證,在認(rèn)證的過(guò)程中可能會(huì)出現(xiàn)如無(wú)認(rèn)證、弱口令、認(rèn)證可以被繞過(guò)、明文密碼傳輸?shù)鹊葐栴},

不僅僅是在醫(yī)療行業(yè),基本所有行業(yè)的內(nèi)網(wǎng)環(huán)境都包含了上述問題,在護(hù)網(wǎng)行動(dòng)中,打入了內(nèi)網(wǎng)環(huán)境后,大量使用重復(fù)的弱口令,成為被攻陷的重要問題之一,有很多護(hù)網(wǎng)的案例是拿下了堡壘機(jī)的弱口令,而堡壘機(jī)上直接記錄了各類服務(wù)器的高權(quán)限賬號(hào)密碼,通過(guò)一點(diǎn)突破全網(wǎng)。我們大家可以看看自己的環(huán)境下, PC 和服務(wù)器端是否存在無(wú)認(rèn)證、弱口令的情況,除了 RDP 、 SSH 等常見管理服務(wù),還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer , 根據(jù)我一直以來(lái)的工作經(jīng)驗(yàn),很多開源軟件的早期版本對(duì)于 API 接口就根本沒有認(rèn)證機(jī)制,所以還有很多的開源服務(wù)如 Redis 、 Docker 、 Elastic Search 等,有認(rèn)證的情況下是否使用了開源軟件的默認(rèn)賬戶口令,這個(gè)也需要我們及時(shí)修改,黑客可以通過(guò)一點(diǎn)突破,層層收集信息,最終突破核心防線。

AAA 體系中的第二步授權(quán),其實(shí)是可以緩解第一步問題的一個(gè)手段,理論上要求我們的 PC 端、服務(wù)器端不同的軟件需要通過(guò)不同的用戶安裝、使用,并且不同的用戶只能給予最小安裝、使用軟件的權(quán)限,而我們可以檢查下自己的環(huán)境,應(yīng)該是有很多直接使用 administrator 、 root 等用戶,并且這些賬號(hào)存在著復(fù)用的情況,在使用過(guò)程中很難分清楚現(xiàn)實(shí)生活中的哪個(gè)自然人使用了這個(gè)賬戶進(jìn)行了相關(guān)操作,如果出現(xiàn)了問題給后續(xù)溯源提升了難度,我們這時(shí)就需要通過(guò) IP 、 上層的堡壘機(jī)日志等進(jìn)行關(guān)聯(lián)溯源。

限制登錄失敗次數(shù)是防止暴力破解的手段之一,暴力破解會(huì)通過(guò)一個(gè)密碼本對(duì)需要爆破的服務(wù)密碼進(jìn)行不斷的嘗試,直到試到正確的那個(gè)密碼或者密碼本試完為止,正常人登錄一般都會(huì)記得自己的密碼,當(dāng)然在定期更換復(fù)雜密碼的要求下,正常人也會(huì)記不住密碼,這個(gè)問題我們后面再說(shuō)。在限制了登錄失敗次數(shù),比如我們?cè)O(shè)置了 5 次,那通過(guò)某個(gè) IP 登錄失敗 5 次后這個(gè) IP 就會(huì)被鎖定,當(dāng)然可以設(shè)置別的 IP 還可以登錄這個(gè)服務(wù)。會(huì)話結(jié)束功能就類似于 W indows 自動(dòng)鎖屏,作為一個(gè)信息工作者,在我們離開電腦時(shí)就應(yīng)該考慮鎖屏的操作,并且重新登錄要輸入賬號(hào)密碼,一個(gè)不會(huì)超時(shí)的會(huì)話雖然方便了我們自己,同樣也給惡意者帶來(lái)了方便,想想經(jīng)過(guò)你辦公桌的每個(gè)人都可以在登錄著的 HIS 服務(wù)器或者核心交換機(jī)上敲一個(gè) reboot ,最后造成的結(jié)果可想而知,雖然這個(gè)事故不是你直接操作的,但也要負(fù)主要責(zé)任。

在醫(yī)院中常見的遠(yuǎn)程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等,其中 TELNET 、 FTP 在流量劫持時(shí)可以直接獲得賬戶口令信息,可以通過(guò) SSH 、 SFTP 等方法替換,確保在賬號(hào)密碼認(rèn)證和數(shù)據(jù)流傳輸過(guò)程中都是加密的。其實(shí) Oracle 的流量也非加密,在我咨詢了我 OCM 的朋友和百度后,發(fā)現(xiàn)其實(shí) Oracle 流量也可以配置加密,但是我們很少會(huì)這樣做,并且很少會(huì)有人關(guān)心這個(gè)問題,還消耗客戶端和服務(wù)端額外的性能。這時(shí)候我們就要想到什么時(shí)候我們的流量會(huì)被截取走,常見的就是內(nèi)網(wǎng) ARP 欺騙,一臺(tái)攻擊主機(jī)在客戶端請(qǐng)求網(wǎng)關(guān) MAC 地址的時(shí)候,將自己的 MAC 地址告訴客戶端,說(shuō)自己這個(gè) MAC 地址就是網(wǎng)關(guān)的 MAC , 這樣二層的流量會(huì)先通過(guò)這臺(tái)攻擊主機(jī)轉(zhuǎn)發(fā)給真實(shí)的網(wǎng)關(guān),所有明文的流量過(guò)了這臺(tái)攻擊主機(jī)后就可以被它輕松的獲取敏感信息,我的防護(hù)方法是通過(guò)桌管軟件,將每個(gè)網(wǎng)段主機(jī)的網(wǎng)關(guān) ARP 解析靜態(tài)的寫到客戶端上,確保 ARP 解析時(shí)默認(rèn)都先通過(guò)本地記錄解析,從而不會(huì)被外部動(dòng)態(tài)解析影響。另一種情況會(huì)被獲取的是網(wǎng)內(nèi)的流量設(shè)備,很多安全設(shè)備、 APM 監(jiān)控設(shè)備、深度流量分析設(shè)備都需要抓取核心網(wǎng)絡(luò)的流量,當(dāng)這些流量被鏡像給設(shè)備后它們會(huì)將它記錄下來(lái),而正式或者測(cè)試設(shè)備出現(xiàn)問題返廠時(shí),我們就要叮囑工程師要清空本地?cái)?shù)據(jù),以免數(shù)據(jù)泄露,在我的工作中就聽到過(guò)通過(guò)安全設(shè)備泄露大量公民信息的案例。

前面我們說(shuō)到要定期修改復(fù)雜密碼,但是經(jīng)常修改會(huì)導(dǎo)致管理員記憶困難,這個(gè)時(shí)候我覺得雙因子認(rèn)證也是幫助大家不用記復(fù)雜密碼的好方法。雙因素認(rèn)證分為所知和所有兩種,雙因素的證據(jù)又分為秘密信息、個(gè)人物品、生理特征三種類型,像口令、密碼就是信息,物理 key 就是個(gè)人物品,指紋、虹膜、面部就是生理特征,我們只要結(jié)合兩種類型的證據(jù),那就符合要求,可以通過(guò)物理 KEY+ 動(dòng)態(tài)密碼的方式實(shí)現(xiàn)認(rèn)證,此時(shí)就不用記住原始的靜態(tài)密碼,大家可以想象一下現(xiàn)在在登錄微信、支付寶、 QQ 等互聯(lián)網(wǎng)軟件的時(shí)候基本很少使用密碼,而智能手機(jī)也將密碼和人臉識(shí)別關(guān)聯(lián),方便大家認(rèn)證操作,同時(shí)又符合安全要求。在醫(yī)院工作的過(guò)程中,我發(fā)現(xiàn)很多業(yè)務(wù)系統(tǒng)的賬號(hào)密碼不是同一套體系,系統(tǒng)在認(rèn)證時(shí)也沒有做到雙因子的要求,我之前寫過(guò)一篇論文,叫《基于 4A 系統(tǒng)的醫(yī)院零信任網(wǎng)絡(luò)安全模型》,也是我希望能通過(guò)安全技術(shù)提升醫(yī)護(hù)行政人員使用系統(tǒng)時(shí)的便利性、規(guī)范對(duì)醫(yī)院所有系統(tǒng)賬戶體系管理、加強(qiáng)醫(yī)院業(yè)務(wù)系統(tǒng)使用時(shí)的權(quán)限管理能力。

五級(jí)電子病歷評(píng)審中提到了系統(tǒng)備份、容災(zāi)的標(biāo)準(zhǔn),對(duì)醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、可用性有了明確的要求,醫(yī)院信息系統(tǒng)的宕機(jī)、數(shù)據(jù)丟失會(huì)造成無(wú)法挽回的影響;2021 年《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》出臺(tái),我國(guó)在信息化高速發(fā)展的當(dāng)下,更加重視了網(wǎng)絡(luò)安全,證明了網(wǎng)絡(luò)安全與信息化是一體之兩翼、驅(qū)動(dòng)之雙輪。

2 、數(shù)據(jù)保密性

a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等;
b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。

信息安全 CIA 三要素,保密性、完整性、可用性,這里提到了數(shù)據(jù)的保密性,其實(shí)不管在哪個(gè)行業(yè),數(shù)據(jù)的保密性都很難做,我們可以看到大量的公民數(shù)據(jù)在互聯(lián)網(wǎng)安全事件中泄露,我國(guó)之前的《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全沒有具體的要求,而 2021 年的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》才對(duì)數(shù)據(jù)安全有了明確的要求,并且這兩部法律給企業(yè)帶來(lái)了不小改造的壓力。

數(shù)據(jù)安全的保密性要求貫穿了數(shù)據(jù)的產(chǎn)生、傳輸、處理、存儲(chǔ)、銷毀等過(guò)程,首先我們要對(duì)數(shù)據(jù)進(jìn)行保密,就要知道哪些數(shù)據(jù)應(yīng)該保密,此時(shí)要做的就是數(shù)據(jù)的分類分級(jí),在分級(jí)分類過(guò)程中涉及到對(duì)敏感數(shù)據(jù)的發(fā)現(xiàn),敏感數(shù)據(jù)除了結(jié)構(gòu)化的還有非結(jié)構(gòu)化的,除了關(guān)系型的還有非關(guān)系型的,基本很難做到全覆蓋,比如在護(hù)網(wǎng)期間就發(fā)現(xiàn)有很多日志、配置文件中帶著敏感的賬號(hào)密碼等信息,而這些信息的配置可能是套裝化軟件不能修改的。在發(fā)現(xiàn)了敏感數(shù)據(jù)后我們就要對(duì)敏感數(shù)據(jù)進(jìn)行加密、脫敏、去標(biāo)識(shí)化操作,在五級(jí)電子病歷的要求中也有一條數(shù)據(jù)加密的要求,數(shù)據(jù)加密其實(shí)有兩種做法,一種是在存儲(chǔ)層(通過(guò)存儲(chǔ)設(shè)備進(jìn)行加密),另一種在系統(tǒng)層(通過(guò)對(duì)操作系統(tǒng)的配置文件,或者對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行加密),第一種方法的難度較小,而第二種方法的難度較大,需要考慮數(shù)據(jù)被加密的方法和被使用過(guò)程中的解密,對(duì)于數(shù)據(jù)量小可以考慮非對(duì)稱加密,而數(shù)據(jù)量大的只能使用對(duì)稱加密,這也就是 SSL 的機(jī)制,通過(guò)非對(duì)稱加密秘鑰,然后通過(guò)秘鑰對(duì)稱加密數(shù)據(jù)流,在確保業(yè)務(wù)正常的情況下,實(shí)現(xiàn)安全的需求。針對(duì)脫敏、去標(biāo)識(shí)化操作可以通過(guò)好幾處實(shí)現(xiàn),可以通過(guò)后端實(shí)現(xiàn),也可以通過(guò)前端實(shí)現(xiàn),通過(guò)后端實(shí)現(xiàn)時(shí)當(dāng)數(shù)據(jù)從應(yīng)用層往前端傳輸時(shí)就是去脫敏、去標(biāo)識(shí)化的數(shù)據(jù),甚至是在數(shù)據(jù)庫(kù)中就是脫敏、去標(biāo)識(shí)化的,而在前端實(shí)現(xiàn),我們可以在客戶端本地開啟代理,直接可以獲得明文的數(shù)據(jù),從安全性來(lái)考慮肯定是后端實(shí)現(xiàn)更安全。

我們?cè)谧鰯?shù)據(jù)加密、脫敏、去標(biāo)識(shí)化時(shí)要考慮的重要一點(diǎn)就是業(yè)務(wù)是否支持,有些數(shù)據(jù)雖然是敏感數(shù)據(jù),但是以密文呈現(xiàn)時(shí)是無(wú)法進(jìn)行正常業(yè)務(wù)的辦理和交互的,如果要實(shí)現(xiàn)正常業(yè)務(wù)辦理和交互,可能需要改變流程、規(guī)范,并且付出巨大的代價(jià),在醫(yī)院以業(yè)務(wù)為中心的情況下,個(gè)人覺得短期內(nèi)很難很難實(shí)現(xiàn),我個(gè)人在落地一個(gè)數(shù)據(jù)安全的產(chǎn)品時(shí)就提出了這樣一個(gè)問題,該產(chǎn)品邏輯串聯(lián)在數(shù)據(jù)庫(kù)客戶端和數(shù)據(jù)庫(kù)服務(wù)器之間實(shí)現(xiàn)數(shù)據(jù)庫(kù)字段的加密、脫敏、去標(biāo)識(shí)化操作,而我們的 HIS 業(yè)務(wù)每天都有大量的問題要處理,在處理過(guò)程中需要通過(guò)這些敏感的數(shù)據(jù)進(jìn)行確認(rèn)、判斷、修改,不可能專門安排一個(gè)人每天在對(duì)字段做解密、加密的操作,還需要配合專門的流程來(lái)規(guī)范這個(gè)操作,在一個(gè)業(yè)務(wù)系統(tǒng)沒有穩(wěn)定、技術(shù)人員缺乏的情況下,這樣的功能很難落地,就算落地了也只是很小的范圍,如何滿足二者需要靠廣大讀者來(lái)幫忙想想辦法了。

3 、 數(shù)據(jù)備份恢復(fù)

a) 應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;
b) 應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地;
c) 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。

我問了很多醫(yī)院,大家可能都建立了容災(zāi)環(huán)境,但是很少有醫(yī)院做容災(zāi)測(cè)試,對(duì)于五級(jí)電子病歷的要求是每年至少一次的容災(zāi)演練(還需要結(jié)合業(yè)務(wù)場(chǎng)景),每季度至少一次的數(shù)據(jù)全量恢復(fù)測(cè)試,一個(gè)沒有測(cè)試過(guò)的容災(zāi)系統(tǒng)真的很難讓人相信在出問題的時(shí)候可以撐得住真實(shí)業(yè)務(wù),也許容災(zāi)的切換過(guò)程沒有問題,但是容災(zāi)的硬件資源、硬件配置、軟件調(diào)整等是否能讓用戶在較短的時(shí)間內(nèi)進(jìn)行邊便捷的切換操,五級(jí)電子病歷對(duì)于數(shù)據(jù)丟失的要求比較松, 2 小時(shí)以內(nèi)即可,但是醫(yī)院對(duì)于數(shù)據(jù)丟失是難以容忍的,對(duì)于信息化較長(zhǎng)時(shí)間都無(wú)法正常使用也是無(wú)法容忍的,我們要盡可能做到 RPO 、 RTO 最小化。

對(duì)于備份,我盡量做到 321 原則, 3 份數(shù)據(jù)、 2 種不同介質(zhì)、 1 份存于異地,結(jié)合第一點(diǎn)和第二點(diǎn),我將數(shù)據(jù)存放于起碼 2 種不同物理設(shè)備上,存儲(chǔ) 3 份,再結(jié)合第三點(diǎn)將一份數(shù)據(jù)存儲(chǔ)于異地,兩份數(shù)據(jù)存于本地。我們醫(yī)院有兩個(gè)院區(qū),兩院區(qū)直線公里數(shù)其實(shí)小于 40 ㎞ , 而等保的異地要求是直線大于 100 ㎞ , 對(duì)于沒有分院的小伙伴們,其實(shí)我建議可以將另一份數(shù)據(jù)存到異地云上,最起碼在本地真的數(shù)據(jù)沒辦法恢復(fù)時(shí)還有一根救命稻草,雖然恢復(fù)的時(shí)間可能會(huì)長(zhǎng)一點(diǎn)。我會(huì)將兩院區(qū)的數(shù)據(jù)做相互的異地備份,盡可能提高數(shù)據(jù)備份的頻率,減少數(shù)據(jù)的丟失,核心業(yè)務(wù)系統(tǒng)采用實(shí)時(shí)備份或者容災(zāi)的方式,在使用較高頻率備份的情況下,我們對(duì)于備份、容災(zāi)的硬件就有一定的要求,較差的 HDD 盤是無(wú)法支撐起大數(shù)據(jù)量、高并發(fā)的備份任務(wù),可能出現(xiàn)任務(wù)排隊(duì),那就會(huì)得不償失;在備份上我們就出現(xiàn)過(guò)一個(gè)問題,之前工程師在配置 RMAN 備份保留的腳本操作是先刪除原來(lái)的備份,在進(jìn)行下一次備份,如果前一次備份刪除了,后一次備份沒有成功,那就沒有了全量數(shù)據(jù),這樣的備份是沒有意義的,大家可以檢查下自己的環(huán)境是否存在這樣的問題。

在備份的類型上,分為物理備份和邏輯備份, 21 年我就聽到了別的醫(yī)院出現(xiàn)了 Oracle 的邏輯壞塊,出現(xiàn)壞塊后數(shù)據(jù)庫(kù)無(wú)法正常啟動(dòng),而容災(zāi)系統(tǒng)通過(guò) Oracle Data Guard 實(shí)現(xiàn), DG 屬于物理塊同步,面對(duì)邏輯錯(cuò)誤不會(huì)校驗(yàn),而直接將這個(gè)邏輯錯(cuò)誤同步給了容災(zāi)庫(kù),導(dǎo)致容災(zāi)庫(kù)也無(wú)法正常拉起,并且當(dāng)時(shí)也沒有配置長(zhǎng)時(shí)間的閃回空間,導(dǎo)致最后花了很大的代價(jià)才恢復(fù)了一部分丟失的數(shù)據(jù),并且業(yè)務(wù)中斷了很久,可以通過(guò) OGG 解決這個(gè)問題,并且 OGG 可以支持跨數(shù)據(jù)庫(kù)、操作系統(tǒng)類型之間的數(shù)據(jù)復(fù)制,但是配置難度比 DG 大了很多;另外的辦法是通過(guò) CDP 實(shí)現(xiàn) IO 級(jí)別的備份,當(dāng)出現(xiàn)邏輯錯(cuò)誤數(shù)據(jù)庫(kù)無(wú)法正常使用的時(shí)候,通過(guò) CDP 的 IO 回退到正常的時(shí)間點(diǎn),當(dāng)然中間丟失的數(shù)據(jù)需要人工去彌補(bǔ),這樣通過(guò)數(shù)據(jù)庫(kù)外部的方式解決數(shù)據(jù)備份的問題。

4、個(gè)人信息保護(hù)

a) 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息;
b) 應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。

這兩點(diǎn)在《個(gè)人信息保護(hù)法》中也有明確提到,該法律中多次提到了收集個(gè)人信息要有“詢問 - 確認(rèn)”的過(guò)程,并且在用戶不同意提供個(gè)人信息的情況下,不能拒絕對(duì)用戶提供服務(wù),只收集必需的個(gè)人信息,要告知用戶收集每種類型個(gè)人信息的目的,告知用戶如何處理、傳遞、使用個(gè)人信息。在疫情當(dāng)下,全國(guó)的醫(yī)院都緊鑼密鼓的推廣互聯(lián)網(wǎng)醫(yī)院,意味著有一個(gè)面向患者的醫(yī)院互聯(lián)網(wǎng)系統(tǒng),患者可以直接面向這個(gè)互聯(lián)網(wǎng)系統(tǒng),那對(duì)系統(tǒng)的提交信息、問詢交互有了更直接的了解,我們?cè)谧龌ヂ?lián)網(wǎng)系統(tǒng)的時(shí)候要結(jié)合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三駕馬車來(lái)嚴(yán)格要求開發(fā)時(shí)的安全需求,自從三部法律上臺(tái)后有多少互聯(lián)網(wǎng) APP 因不符合要求被責(zé)令整改、罰款、下架等,我們也該引以為戒。

文章來(lái)源:天億網(wǎng)絡(luò)安全


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資??萍技瘓F(tuán)