ARP:nCompass為醫療行業信息安全穿上“鎧甲”_APIDNS幣

一、行業警示

新醫改背景下，國家從戰略高度將信息化建設定義為深化醫藥衛生體制改革的“四梁八柱”之一，不斷出臺推動醫院信息化發展的政策和舉措，為醫院信息化建設注入強勁動力。

醫院數據涉及個人健康隱私，利益面廣泛，往往是黑客覬覦的“大金庫”。近年來國內外新聞上不乏某醫院系統被植入升級版勒索病后癱瘓；某信息系統遭受黑客攻擊，導致系統大面積癱瘓、院內診療流程無法正常運轉的新聞。隨著國家及行業層面對信息安全重視程度越來越高，醫院防患于未然的意識和能力均得到了大幅度提升，但仍然會出現因為信息管理人員的疏忽或者安全意識缺乏，導致醫院信息系統“中招”。

2020年10月3日，美國阿拉巴馬州一名9個月大的女嬰意外死亡后，孩子的母親對嬰兒出生的醫院提起訴訟，聲稱醫院沒有披露其網絡系統被攻擊導致護理調配異常，最終造成了嬰兒死亡的后果。這一事件再次表明，網絡攻擊的影響后果不僅僅是數據、財產、聲譽的損失，甚至會造成生命的損失。

2020年4月29日，北京一家醫療機構的新冠病檢測相關數據被黑客以4比特幣的價格公開售賣，被出售的數據包括150MB的實驗室研究成果以及檢測技術源代碼等。

日本Web3開發公司Ginco將與瑞穗金融集團等進行證券代幣的示范實驗:7月29日消息，日本Web3開發公司Ginco宣布，其將與瑞穗金融集團、瑞穗銀行、瑞穗信托銀行、瑞穗研究技術共同進行證券代幣的示范實驗。此次實驗將通過日本利用經濟產業省規定的“沙盒系統”，消除與證券型代幣發行和分配相關的障礙，以實現證券化產品多元化、提高關聯方之間的工作效率以及提高交易的活躍度。

Ginco將參與本驗證實驗中的證券代幣發行以及流通基礎的開發，并提供用于使用證券代幣的軟件包系統“Ginco Securities Wallet”為瑞穗集團的業務操作及證券交易工作流程提供最優化的服務。（Coinpost）[2022/7/29 2:46:14]

2022年4月28日北京健康寶遭遇Rippr黑客團伙攻擊。

以上事件說明，醫療行業的數據安全已不容小視，須引起醫療信息行業高度重視。

二、行業痛點

1、穩定性及故障預警要求高

醫院信息系統，尤其是核心系統，都是7x24小時全年不能停機的，最大的維護時間窗只有半小時左右，否則就會影響患者排隊就醫。業務的特殊性決定了對網絡連續性的要求以及對網絡安全的保障程度要求較高。

2、現有安全產品瓶頸與不足防火墻

ZenGo研究工程師：Bancor漏洞暴露了以太坊DeFi中的危險常規操作:金色財經報道，ZenGo研究工程師Oded Leiba表示，Bancor智能合約的資金提取功能設置有誤，以至于任何人都可以調用它。使這一問題更加復雜的是，Bancor的合約要求在首次與協議交互時獲得無限制的取款授權。即使用戶只計劃用有限的資金來測試協議，系統也可以提取他們特定代幣的全部余額。并且事實證明，以太坊上的許多DApp都在執行相同的操作，如Compound、Uniswap、bZX、Aave、Kyber和dYdX等均具有無限制或極大的授權。據此前報道，Bancor新合約于6月18日出現安全漏洞，黑客可以輕易提取任何與該公司簽訂智能合約的用戶的全部資金。[2020/6/24]

防火墻作為邊緣安全設備，醫院部署的防火墻，域內存在大量不合理及寬泛的安全策略，近年來國家對防火墻寬泛策略有明確等保要求，需要快速找出不合理策略，收斂寬泛、無效策略，但是人工梳理難度大，且無法驗證對現有業務影響，開啟對應策略的日志又會嚴重消耗性能且不夠靈活。運維團隊面對防火墻策略現狀束手無策，策略維護加重了運維負擔。另外，醫院需要對防火墻進行配置變更時，人工配置容易失誤，比如產生防火墻原端口映射配置未刪除及策略下發錯誤嚴重影響醫院就診的問題。安全事件發生后，院方希望第一時間自動過濾出事件相關的防火墻策略，然而策略配置還是防火墻自身問題所導致，由于缺乏數據支持難以判斷。

TON將由社區重啟，TONCommunity.org將同步啟用:金色財經報道，TON中文社區今日發文《社區重啟TON：悲觀者往往正確，樂觀者往往成功》。文章稱，TON官方宣布終止的這些天，社區里不斷有開發者在評估是否可以社區啟動TON。原本包括全球社區在內的計劃是由社區啟動TON主網，未來將創世區塊的鑄幣和開發權限贈送給TON官方以規避SEC風險。遺憾的是，Pavel選擇了放棄。與社區小伙伴討論后，我們計劃第一步啟動TONBlockchaintestnet，招募更多的節點和開發者加入網絡并測試網絡，之后重新設計更適應當下語境的網絡規則，邀請更多人體驗和使用TON。后續遇到問題再隨時調整。

TON將由社區重啟，TONCommunity.org也將同步啟用。社區第一批成員：TONCommunity.org、TON最早期的錢包+瀏覽器Gram50、Telegram第三方開源客戶端NebulaTelegram、TON手機端錢包NGWallet、TON中文社區、分布式存儲全球領先企業LambdaStorage。[2020/5/29]

3、日志管理及審計設備

醫院的數據中心運營著大量醫療系統，日常運維監控需要對醫療系統和信息審計進行日志收集，部分醫院有自己的日志管理平臺，但展示效果不靈活，對分布的WAF節點和眾多的安全事件，也難以做到統一便捷的展示，不能結合異常期間的流量數據做到根因定位，無法對高頻攻擊做到統計分析，不利于醫院做后續針對性的防護。

哈希卡集成了Bancor協議，為持卡人提供Token流動:哈希網絡有限公司(HSHC)是首批提供加密借記卡和即時轉換的供應商之一，今天宣布整合Bancor協議，為哈希卡平臺提供持續的流動性。本周早些時候，哈希卡在最初的48小時內收到了1500多份申請，并在公開發售前籌集了超過150萬美元的預售，預計年底前將有超過2萬名客戶。[2018/5/14]

4、安全代理設備

基于醫院業務性能擴展及安全考慮，醫院的大量負載設備采用的全代理模式通常會對客戶端地址進行源地址轉換，因此存在轉換前后通訊進行關聯的難題，另外，醫療系統與調度平臺之間的映射關系難以梳理，對攻擊路徑溯源和人工排查造成較大阻礙。

5、泛洪攻擊流量難以回溯和定位

當醫院網絡面臨DDoS類攻擊時，如果查看該網卡的發包數在快速增加，導致損耗大量的網絡帶寬，引起網絡堵塞，就會造成廣播風暴。傳統的NPM由于廣播攻擊流量和包數巨大難以做到正常的解析和回溯。

6、DNS安全缺乏防護手段

醫院業務系統大部分采用域名方式對外提供服務，因此容易遭受基于主機耗盡型的DNS攻擊，攻擊采用的方法是向被攻擊的服務器發送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網絡上根本不存在的域名，被攻擊的DNS服務器在接收到域名解析請求時首先會在服務器上查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，DNS服務器會向其上層DNS服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載，每秒鐘域名解析請求超過一定數量就會造成DNS服務器解析域名超時，影響正常的域名業務訪問。由于缺乏防護和異常訪問統計手段，導致這類問題的事后處理被動，效率較低。

Bancor錢包安全漏洞報告被證有誤:近日，Bancor被以太坊智能合約的安全檢驗協議Quantstamp檢測出其錢包存在安全漏洞，該檢測報告隨即在Reddit上以名為“公開審計：發現Bancor脆弱性”為題進行了傳播。隨后不久，Reddit用戶指出該報告有誤后，被Quantstamp承認并撤回。Bancor創始人Galia Benartzi表示：此事恰恰證明了Bancor智能合約作為安全代幣轉換器的能力。[2018/4/10]

三、智維數據解決方案

智維數據基于多年智能分析領域和醫療行業運維服務的經驗積累，對上述醫療行業安全痛點有如下實現方案：

1、流量分析0影響

通過網絡旁路鏡像的方式，7*24小時實時采集數據中心關鍵網絡節點及防火墻前后的網絡流量。對現有網絡、應用不產生任何影響的前提下對流量進行精細化分析檢查。

2、防火墻性能0影響

支持多種方式定時獲取防火墻策略，如FTP、API、文件上傳等，無需開啟防火墻會話日志，通過獲取流量+配置，實現流量與配置關聯，在不影響性防火墻性能的情況下，為策略提供流量支撐。

3、多源數據統一接入管理

智維數據基于自身平臺化靈活架構支持多源數據接入，包括各類醫療系統日志和審計日志的集中收集和解析，可靈活精確地實現多個平臺聯動和對接，通過主動獲取與被動接收兩種方式來對接各平臺數據的數據，并接入到平臺內置數據庫，可實現日志的統一展示和管理。

4、異常業務路徑畫像

智維數據可基于負載設備的API接口獲取設備配置信息，基于配置信息+流量數據，動態、可視化展現完整的業務系統網絡路徑。基于業務訪問日志對于部分異步的業務進行數據流縫合，實現訪問關系的溯源。

5、智能化分析

智維數據產品內置多種智能算法及200多種場景的智能分析知識庫，當指標出現異常時，系統自動進行根因分析幫助運維人員更快的感知故障、分析故障，同時賦能運維人員數據預測、變化分析等能力。

四、使用場景

1、防火墻策略優化&故障早發現

防火墻是一種特殊編程的路由器，它作為醫院網絡的第一道防線，維護大量冗余策略，會占用自身性能，另外，也需要滿足等保2.0要求。智維數據基于防火墻前后端流量和配置信息，通過配置梳理和流量驗證，快速有效地進行策略收斂，不影響防火墻性能，滿足合規檢查要求，快速消除防火墻策略隱患。

同時，智維數據支持對醫院內的流量數據自動定期智能化巡檢。通過異常數據和特征值，發現域內存在的安全隱患，包括：高危端口掃描、冰蝎、掛馬、弱口令等明顯存在安全隱患特征值的數據。

2、封堵驗證及監控

如何驗證下發的安全策略是否存在漏洞或者真實生效往往是醫院頭疼的問題。智維數據基于真實流量旁路采集的方式，監控實時數據，支持對已經封禁的IP和業務進行真實效果驗證，若數據表格中出現有流量封禁名單中的IP即可主動發出告警，并支持根因定位分析，可明確問題導致的原因，如策略配置問題或安全設備異常等。

3、DNS攻擊溯源及處置

智維數據支持對DNS設備進行深度監測，可針對醫院DNS服務器和53端口對院內DNS服務器全面解析和監控，可及時監測到DNS當前訪問量及響應時間是否異常，并根據異常響應碼和訪問成功率進行根因定位。基于告警和可視化，快速定位異常DNS攻擊來源及異常請求，通知醫院安全人員進行處置。

4、異常安全事件完全回溯定位

智維數據全流量分析平臺可以獲取全網流量，包括醫院出口及內網。平臺的業務畫像功能可基于歷史行為基線，發現新增的異常訪問。與CMDB數據相結合，可針對內網出現的新增訪問進行二次的檢測，對異常訪問實現主動監控。

智維數據支持基于流量特征及負載設備日志兩種方案對異步的業務進行靈活自動關聯數據流縫合，實現訪問關系的溯源，可針對攻擊經過的負載設備進行回溯分析。同時智維數據基于防火墻前后端流量和配置信息，可通過AI算法智能化檢測經過防火墻的業務流量。實時感知業務異常并定位與事件相關的IP和策略。快速判斷異常Deny行為及攻擊入口，并給出安全風險提示。

基于日志和流量數據，對攻擊源、地理位置、攻擊類型、攻擊方法等多種維度進行統計分析，將終端日志與流量路徑進行關聯，并針對防御策略制定提供數據支撐。

從流量、代理映射、資產、配置、日志、設備狀態等多層面全方位智能分析，實現安全異常事件精準發現。

5、ARP廣播風暴攻擊

從實際經驗來看，90%以上的網絡廣播風暴是病所致。智維數據擁有專門針對廣播風暴攻擊的高性能探針，通過Trunk口方式收集數據，只接收廣播、組播、單播泛洪的流量。并且由于產品的采集口使用混雜模式，還可避免接口環路的風險。能快速處理分析當前廣播域的ARP攻擊來源及產生告警，并且支持將告警數據推送至第三方處置平臺實現故障自愈。

6、無專家值守

智維數據基于多年的IT運維經驗，將常見故障的分析思路通過Python腳本預制在系統中，當出現告警事件、隱患事件或人工需要分析時，系統可自動獲取事件相關數據，并進行智能分析，輸出分析報告，簡潔易懂。

支持Syslog、郵件、短信、微信等告警通知形式。

總結

安全是醫療行業信息化部門極其重視的部分，本文為智維數據在安全層面的技術方案分享，除文中展示的場景外，智維數據還支持基于流量及安全事件特征進行定制化的數據溯源、分析和展示。

更多醫療行業運維場景及其他行業安全管控案例敬請垂詢。

Tags：DNSARPAPIDNS幣DNS價格ARP幣是什么幣API價格API幣

波場