刘翰腾

摘要：智慧医院建设中主要面临网络安全问题，网络攻击者通过医院本身的漏洞，展开各种网络攻击行为。医院存储并积累了大量个人信息、诊疗数据等，具有极高的价值。因此医院要注重应用安全态势感知技术，构建起完善的网络安全防护体系，以应对来自各方面的挑战与威胁。该研究首先对智慧医院安全态势感知系统及其功能进行概述，然后分析了安全态势感知在智慧医院信息安全中的具体应用，最后对安全态势感知技术的应用效果进行分析。

关键词：安全态势感知；智慧医院；信息安全

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2023）13-0085-03

开放科学（资源服务）标识码（OSID）

受网络攻击行为的影响，医院信息安全面临着巨大的威胁。虽然很多医院安装有安全设备与软件，然而也有很多攻击直接绕过防护入侵医院内部，导致医院重要机密信息泄漏，给医院资产带来巨大威胁。医院现在引入网络安全态势感知系统，能够帮助医院安全管理员快速查找隐藏在网络中的安全攻击威胁，提前处理恶意攻击行为，实现对受害目标、攻击源头等精准定位，也能对入侵方式、攻击者信息等完成判断与溯源。因此，智慧医院建设中要充分应用态势感知技术，从源头上消灭网络安全风险隐患，降低医院损失，维护信息安全。

1 智慧医院安全态势感知系统概述

近年来，黑客攻击从传统带有恶作剧与技术炫耀性质逐步向利益化、商业化转变。在这些威胁中，尤其是以高级持续性恶意攻击（APT 攻击）为代表的新威胁，更是让医院防不胜防。随着高级威胁的不断演进，攻击后导致的检测成本增高，事件影响变大，业界对安全威胁检测防御的思路发生了巨大变化，认识到需要从过去单一设备、单一方法、只关注防御转变为检测、防御、响应为一体的自适应防护体系，围绕攻击链进行整体安全可视。

智慧医院安全态势感知系统具体运行方式为：一是通过探针收集各项数据，在全网内完成大数据采集；二是加强安全事件检测，根据掌握的数据检测网络安全事件，并评估当前网络安全态势；三是对态势进行预测和溯源。在安全事件检测中针对出现的各种重大安全事件，能够通过预测与溯源的方式，同时有效联动各种安全事件处置系统；四是对态势实现可视化，将网络态势感知各部分情况直观呈现出来。

中山大学附属第一医院部署了新一代态势感知系统，该系统部署只需要4台服务器（主机），包括1台安装了可视化、采集器和流探针服务的主机，3台安装了集群控制、存储检测和数据分发服务的主机。安装了可视化、采集器和流探针服务的主机会采集各区域日志服务器和安全设备的日志，收集互联网出口和各关键区域出口的流量。

2 智慧医院安全态势感知系统功能

2.1 全网资产与访问关系可视化

对智慧医院网络业务资产进行自动识别与列表展示，在界面呈现资产开放端口、可登录Web后台等信息。对智慧医院网络业务对象访问关系进行图形可视化展示，分为用户对业务、业务对业务、业务与互联网等关系，展示并提供搜索[1]。对业务全部访问关系进行展示，包括有无违规、被攻击、被登录、对外攻击等内容，并根据失陷、高危、低危等级访问源、访问目的，通过多种颜色进行标识。安全管理员能够快速有效识别网络内各种访问关系及其为业务带来的影响，并找出其中有无用户、资产等出现失陷与可疑等情况。

2.2 医院态势感知数据处理流程

中山大学附属第一医院的态势感知系统，基于大数据技术和智能分析的威胁检测体系，基于检测、防御、响应一体化解决方案，协助医院更快、更准确地检测黑客入侵攻击行为，并对网络安全的发展趋势进行预测和预警，从而减少网络安全事件对医院造成的损失。

2.2.1 整体数据流架构

2.2.2 数据采集

数据采集包括日志采集和原始流量采集。日志采集器负责日志采集，日志采集流程包括日志接收、日志分类、日志格式化和日志转发。流探针负责原始流量采集，流量采集流程包括流量采集、协议解析、文件还原和流量元数据上报等功能。流探针采用旁路部署方式，用于接收分光器或镜像端口发送的原始网络流量。流探针对流量进行分析、提取特征信息发送给对应的大数据安全平台和FireHunter进行安全检测，流探针本身不对医院的网络产生影响。

2.2.3 数据预处理

数据预处理负责对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理，补充相关的上下文信息（包括用户、地理位置和区域），并将格式化后的数据发布到分布式总线。

2.2.4 数据存储

分布式存储负责对格式化后的数据进行存储，针对不同类型的异构数据（归一化日志、流量元数据、PCAP文件）进行分类存储，分布式存储的数据主要用于威胁检测和威胁可视化[1]。考虑到可靠性和高并发性能的要求，分布式存储的数据保存在多个检测/存储节点，并且可以按需扩展存储节点。

分布式索引负责对关键的格式化数据建立索引，为可视化调查分析提供基于关键字的快速检索服务。分布式索引采用了多实例自适应的索引技术和时间片抽取的分层索引结构，索引数据保存在多个检测/存储节点，提供了高可靠性和高并发索引能力，支持按需弹性扩展索引。

2.2.5 数据分析

數据分析包含AI分析与关联分析。AI分析包含WEB异常检测、邮件异常检测、C&C异常检测、隐蔽通道检测等检测功能。关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析采用了高性能的流计算引擎，关联分析引擎直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行在线分析。系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。

2.2.6 数据呈现

数据呈现包含态势管理、事件管理、威胁报告、响应编排等整体功能，对安全事故整体的呈现。

2.3 全局视角风险态势感知

态势感知系统根据失陷主机、安全事件、业务资产脆弱性等进行分析，综合评价智慧医院网络安全态势情况，有利于安全管理员了解情况后完成安全决策分析，通过Word、PDF文档等方式将风险业务、风险用户、安全事件以及建议等导出。安全管理员获得具体报告后，便于落实后续应对方法。

3 安全态势感知在智慧医院信息安全中的应用

3.1 结合态势感知，整合网内安全设备

态势感知系统日益先进，不仅通过探针获取流量对网络安全态势进行分析，也能与部署在网内各项安全设备进行联动，让孤立安全设备产生合力，提高网络安全事件响应速度[2]。目前，态势感知系统联动处置能力表现为：一是联动IPS系统、边界防火墙，能自动下发策略，拒绝恶意域名与IP；二是联动终端安全软件EDR系统，动态监测用户终端与服务器，针对勒索病毒、恶意软件等能采取微隔离措施，切断恶意病毒传播链条，有力保护虚拟机和终端的安全；三是联动上网行为管理设备，支持上网策略自动调整，能有效阻隔恶意流量。可见，以态势感知为核心建立网络安全防护系统，能够保证智慧医院信息安全。

3.2 建设便携化网络安全运维管理

当态势感知系统查找出风险隐患后，安全运维人员能快速找到责任人，完成运维系统工单模块问题下发，确保及时处理，实现网络安全问题闭环管理目标。系统告警后，第三方安全服务团队完成大数据分析，若确有安全事件，医院安全工程师将归属责任系统、责任人等确定下来，在微信公众号中同步更新信息。责任工程师接收工单后确认与复现，解决风险问题[3]。如此一来，可以实现运维流程便携化与可视化，通过微信公众号等平台，能及时了解资源告警情况、安全事件工单处理情况，保证安全运维效率。由于智慧医院建设中提高了对网络安全关注度，相关设备不仅数量较多，也存在品牌异构现象，增加了信息部门日常运维压力。对此要采用专业安全运维系统统一监控与配置管理，让智慧医院在资源、业务、用户等方面达到统一管理与智能联动目的。

3.3 根据态势感知分析结果，建立安全服务体系

网络安全态势感知系统收集数据后进行分析与整理，利用漏洞、威胁和资产等多维度展示安全问题与脆弱性资产，并发出告警。在智慧医院建设中主要面临信息化人才不足、网络安全素养有待提升等问题，要想处理各种信息安全问题，需要提高网络安全服务技术能力[4]。建设内容为：一是风险评估。态势感知系统发现脆弱性资产后，必须完成一次全面安全风险评估，形成相应报告；二是基线核查。从等级保护、关键信息基础设施安全基线规定出发，加强态势感知分析网络设备、操作系统、数据库和中间件等安全基线检查，完成安全加固处理；三是协助渗透测试。根据黑客攻击方式，在可控条件下，对智慧医院Web应用或端口进行模拟攻击，让态势感知警报漏洞信息得到验证。四是重保支持。医院网络、网站等设施在运行中必须不间断进行安全保障；五是网络安全技能培训。由专家参与，培训内容包括安全运维、安全代码编写和安全意识等。

3.4 多方联动，解决院内资产管理问题

从智慧医院最普遍黑客攻击方式可知，内部网络管理漏洞需要引起关注，若是被他人利用，将带来不可估量的后果[5]。态势感知系统对主机安全软件下发EDR策略，具体如表1。这样能够让问题主机得到微隔离处理，既保护了智慧医院重要数据不出现泄漏，也避免病毒横向传播。

3.5 科学设置流量探针

流量探针主要是旁路挂载的流量镜像设备，可以将全网流量收集起来，提供给态势感知完成大数据分析，发挥着数据源作用[6]。要将探针设置在合理位置，才有利于态势感知系统更好地运行，具体要求为：第一，统一监测。VPC内部以及VPC之间流量检测和分析，与云边界安全能力配合，实现政务云全域流量检测和防护能力。第二，统一分析。利用智能检测引擎和关联分析引擎发现云内云外高级威胁事件，从全攻击链角度还原攻击路径及安全态势。第三，保障业务。全面分析恶意流量同时不占用租户网络的出口带宽，多种流量处理机制，保障租户业务的正常运行。

4 安全态势感知技术应用效果分析

通常来说，若是多个终端没有一起发生问题，智慧医院管理员很难察觉内网中的攻击，而借助安全态势感知系统，可以及时查找出网络中的攻击行为，确定攻击程度，提前处理网络中的病毒，避免发生大规模中毒问题。通过应用安全态势感知技术，在流量采集分析过程中，平台能够及时发出告警，包括尝试入侵未能成功等[7]。处理时采用防火墙限制外来供给者IP访问、更新补丁、查杀内网僵尸主机等[8]。智慧医院应用态势感知技术，让安全管理员可以更加精准预防与查杀网络中的风险与威胁，避免病毒攻击引起重大损失，有效保障了智慧医院信息安全。

5 结束语

总之，根据新等保3.0对网络攻击检测与分析要求，将态势感知技术应用于智慧医院构建中，能有效应对各种未知新型网络攻击与APT攻击。在网络安全态势感知系统支持下，能够让智慧医院由以往被动防护逐步转变为主动防御，在原有防范的基础上，更侧重检测与响应。未来态势感知技术将与新一代防火墙、杀毒软件等安全设备软件进行联动，构建更加强大的主动式防御体系，让智慧医院信息安全得到可靠保障。

参考文献：

[1] 卢熙.医院网络安全入侵防御系统研究与设计[J].网络安全技术与应用，2021（2）：124-126.

[2] 莫禹鈞，黄捷，潘愈嘉.基于网络安全态势感知的主动防御系统设计与实现[J].医学信息学杂志，2020，41（3）：60-63.

[3] 胡建平，郝惠英，何祺，等.卫生健康行业网络安全态势感知平台建设探讨[J].中国卫生信息管理杂志，2019，16（1）：4-8.

[4] 莫禹钧，潘愈嘉，黄捷.医院网络安全态势感知系统构建[J].医学信息学杂志，2018，39（12）：25-28.

[5] 冯国斌，刘艳亭，郭敬鹏，等.基于网络安全等级保护制度2.0标准的医院态势感知平台建设实践[J].中国数字医学，2020，15（11）：135-138.

[6] 潘愈嘉，陆丹艳.以网络态势感知平台为核心的医院局域网安全运维实践[J].中国数字医学，2020，15（12）：10-13.

[7] 石汤沐.医院网络安全态势感知平台构建与应用[J].信息系统工程，2020（12）：58-59.

[8] 黄捷，潘愈嘉，莫禹钧.浅析医院物联网安全风险及防护体系的建立[J].中国数字医学，2021，16（5）：111-114.

【通联编辑：代影】