安全區(qū)域邊界篇

安全區(qū)域邊界在近幾年變得越來越精細越來越模糊，因為攻擊的形式、病毒傳播的途徑層出不窮，我以攻擊者的角度去看，任何一個漏洞都可以成為勒索病毒傳播和利用的方式，我們要做到全面補丁壓力重重，通過邊界劃分，依靠不同的邊界安全防護，在發(fā)生問題的情況下將損失降到最低。

1、邊界防護

a) 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信；

b) 應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制；

c) 應能夠?qū)?nèi)部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行檢查或限制；

d) 應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)部網(wǎng)絡。

自從出現(xiàn)了統(tǒng)方的情況后，醫(yī)院對于終端準入的關注度日益增加，出現(xiàn)了非法接入醫(yī)院內(nèi)網(wǎng)，獲取處方數(shù)據(jù)的情況，在我看過大部分醫(yī)院準入系統(tǒng)后，在數(shù)據(jù)盜取者面前這個準入做了和沒有做一樣，這真的是一個防君子不防小人的系統(tǒng)，而那些統(tǒng)方者肯定已經(jīng)超出了君子的范疇；通過傳統(tǒng)的 IP/MAC 綁定很容易被繞過，缺乏對終端上特征的判斷，而我目前更推薦是桌管 + 準入相結合，但這也不能完全避免非法接入的情況，并且醫(yī)院設備種類眾多，如設備儀器、攝像頭、門禁等，我曾經(jīng)寫過一篇醫(yī)院零信任網(wǎng)絡安全架構的文章，想象著能通過操作系統(tǒng)、網(wǎng)絡、安全結合大數(shù)據(jù)分析、 SDN 的方式去嚴格控制醫(yī)院的準入，可能想象是美好的，但是國內(nèi)的產(chǎn)品還不能完全滿足這個要求，因為結合了多個廠家的領先技術。

我們理解準入的時候其實很多時候已經(jīng)走入一個死胡同，我們?nèi)狈α藢σ苿釉O備接口、電腦接口、物聯(lián)網(wǎng)通信、 5G/4G 通信都有可能成為準入的缺口，通過這些技術可以將外部網(wǎng)絡中轉(zhuǎn)后接入到內(nèi)網(wǎng)，這些其實在我們的環(huán)境中已有很多案例?？紤]大型設備的質(zhì)控問題，進口品牌廠商就會在設備上安裝移動網(wǎng)絡 SIM 卡設備，除了大型設備，還有進口品牌的存儲上我也發(fā)現(xiàn)了這個情況，所以我們要管的不僅僅是能看到的這張“有形網(wǎng)”，更是這張不太能看到的“無形網(wǎng)”。

傳統(tǒng)的網(wǎng)絡安全都設置了三個區(qū)域， T rust 、 U nTrust 和 DMZ ，而在當今的網(wǎng)絡安全中，任何事物其實都不可能完全信任，我們不僅要防外敵，同時也要防內(nèi)鬼，一臺中勒索病毒的內(nèi)網(wǎng)終端可能比來自互聯(lián)網(wǎng)的 DD oS 攻擊更加可怕，這樣看來要針對每一臺終端都要有相應防火墻的進出保護，而且該防護墻也不限于傳統(tǒng)意義的包過濾訪問控制，還要有 IPS 、 WAF 、防毒、行為管理等庫，同時要配合外部的安全大腦，聯(lián)動其他安全產(chǎn)品共同防御，想到這里我又想到了新冠病毒，可能不亞于防護生物病毒的復雜度。

醫(yī)院有很多移動醫(yī)療業(yè)務場景，醫(yī)生 PAD 查房，護理 PDA 掃碼發(fā)藥、庫房 PDA 掃碼入庫等情況，有線的準入限制就如此薄弱，無線的準入限制就更加脆弱，曾經(jīng)我就聽說有醫(yī)院出現(xiàn)非法授權人員通過無線網(wǎng)絡進行統(tǒng)方的行為，這聽起來已經(jīng)是一件沒什么技術含量的操作， PC 端的桌面管理很多時候在移動終端上都沒有考慮，其實 MDM 移動終端管理這項技術已經(jīng)很早就有。

近幾年出現(xiàn)的“零信任”模型，無非就是在傳統(tǒng)網(wǎng)絡準入上更近一步，結合傳輸層、應用層的判斷，對準入控制更加細化，原先一個終端對于網(wǎng)絡接入只有“是”或者“否”，而零信任的環(huán)境下就算終端接入網(wǎng)絡，終端上的程序是否能運行還要經(jīng)過判斷，程序走的網(wǎng)絡流量要經(jīng)過層層過濾和安全防護，就和疫情防控一般，從外地過來的，首先判斷是不是中高風險地區(qū)，如果是中高風險直接勸返或者隔離（準入控制），如果是低風險地區(qū)，依然隔離多日通過多次核酸確認后才能入境（沙箱），境內(nèi)我們限制了部分場所的使用，如限制了電影院、 KTV 、棋牌室等風險場所，限制了入境人員可能去的風險區(qū)域（桌面管理），通過各場所的健康碼掃碼記錄形成（日志審計），時刻要佩戴口罩進入公共場所（防火墻），最后該人員依然出現(xiàn)了疫情癥狀，傳播的范圍也可以控制到最小，并且通過掃碼行程和其他運營商信號關聯(lián)出其時空伴隨者（態(tài)勢感知），并一同隔離（殺毒軟件）。

2 、訪問控制

a) 應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；

b)應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

c）應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；

d）應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

e）應對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。

在我原來工作的行業(yè)中，這塊的內(nèi)容其實是一項基本要求，每天有大量的工作是對防火墻上添加訪問控制策略，要對工單表格中的內(nèi)容進行合并同列項、歸類，還要在訪問沿途的防火墻上開通對應的策略，工作繁雜，對技術的要求其實不高，可能會遇到一些小問題，也就是長鏈接、 FTP 這些開放時要注意的問題。但是到了醫(yī)療行業(yè)，我咨詢了好幾家醫(yī)院，基本都沒有做訪問控制的，我分析了一下有幾個原因：

①考慮性能問題，其實這已經(jīng)不是問題，云數(shù)據(jù)中心、 IDC 等出口都有包過濾防火墻設備，并且內(nèi)部還有租戶單獨的防火墻設備，原單位的迪普防火墻號稱并發(fā)可以達到 8000 萬，當我用容器環(huán)境做并發(fā)鏈接測試的時候打到過 500 萬，防火墻的 CPU 、內(nèi)存沒有一絲波動，而基本上沒有醫(yī)院的數(shù)據(jù)中心鏈接并發(fā)能達到 500 萬的，而當時 J uniper 的 ISG 設備最高只能達到 2 萬的連接數(shù)，幾千的并發(fā)，所以設備合不合適要看設備的性能指標和新老，而這些都和投入的成本有關，這些都要嚴格要求集成商，不能配置低配的設備，造成后續(xù)業(yè)務升級過程中不必要的麻煩；

②缺乏規(guī)劃性，因為 IP 地址的規(guī)劃和終端 IP 功能的規(guī)劃，可能在開通防火墻的時候就要開通一個大段，這樣的做法不太符合最小化原則，這時候其實先要考慮前期 I P 的規(guī)劃，不同的 IP 網(wǎng)段有不同的功能，然后在開通防火墻的時候可以盡可能的按照最小化原則，而不至于有太大的工作量；

③服務資產(chǎn)不清，不清楚數(shù)據(jù)中心服務開放端口的資產(chǎn)情況，大部分服務器端的軟件都由軟件廠家管理，并且開放端口醫(yī)院信息科的人不清楚，連乙方部署的人都不一定清楚，很難在這樣一個基礎下建立起防火墻開放的流程；

④高可用性的擔心，在傳統(tǒng)的防火墻設計中，一般就考慮將防火墻串聯(lián)到網(wǎng)絡當中，實際在部署的時候有很多種方式，當時對于醫(yī)院這樣的環(huán)境，我們盡可能考慮最小影響，我推薦透明串聯(lián) + 旁路 bypass 功能、策略路由旁掛 +SLA 檢測、 vxlan 安全服務鏈引流，其中都要確保單臺防火墻滿足網(wǎng)絡中最大流量，并且能夠在出現(xiàn)故障時實現(xiàn)主主切換、主備切換、故障旁路，將業(yè)務的影響降到最低，并且盡量確保那些長鏈接會話不受影響。

在醫(yī)院防火墻部署的位置上，我們要考慮信任和非信任兩個方面，首先相對于內(nèi)部網(wǎng)絡，對互聯(lián)網(wǎng)和專網(wǎng)我們應該列入非信任（專網(wǎng)包括醫(yī)保、衛(wèi)生專網(wǎng)等一切非醫(yī)院自己內(nèi)部的網(wǎng)絡），相對于醫(yī)院內(nèi)網(wǎng)，醫(yī)院的外網(wǎng)也是非信任區(qū)，相對于數(shù)據(jù)中心網(wǎng)絡，醫(yī)院的門診、住院等辦公網(wǎng)段也是非信任區(qū)，在這幾處我們都應該確保有防火墻防護，對應策略默認拒絕，按需開通服務?？赡艽蠹矣X得部署這么多防火墻并沒有感受到很大的用處，大家在想想勒索病毒通過什么方式傳播，見的最多的是 SMB 服務，其實只要是漏洞在我看來都有可能被勒索病毒利用，如果在全網(wǎng)終端沒有打上補丁的情況下，我們除非有自動化工具能夠批量對終端進行防火墻下發(fā)，那在便捷性和實用性折中的情況下，我們還是會考慮使用網(wǎng)絡防火墻對勒索病毒傳播端口進行封堵，如果單位本來就建立了良好的按需開通訪問機制，在這個時候也就不會有很多擔憂。

3 、入侵防范

a）應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；

b）應在關鍵網(wǎng)絡節(jié)點處檢測防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；

c）應采取技術措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析；

d）當檢測到攻擊行為時。記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

這里提到了外到內(nèi)的網(wǎng)絡攻擊和內(nèi)到外的網(wǎng)絡攻擊，外到內(nèi)的防護毋庸置疑，而內(nèi)到外的防護其實也是我們要考慮的，在網(wǎng)絡安全法頒布起，攻擊我國境內(nèi)的網(wǎng)絡資產(chǎn)都會受到法律的制裁，為了保護自己單位不受影響，那對內(nèi)到外攻擊的防護自然而然要被納入管理的范圍，像 C&C 攻擊、 DD o S 攻擊的肉雞，像對勒索病毒外聯(lián)的防護都是我們要考慮的，在保護他人的同時保護了自己。

對新型網(wǎng)絡攻擊行為的分析，其實早在 2014 年我就了解到了當時的 APT 產(chǎn)品（高級可持續(xù)威脅攻擊），深思現(xiàn)在的網(wǎng)絡架構，如果要發(fā)現(xiàn)新型的攻擊行為，那我們就要排除掉一切以攻擊庫、病毒庫為基礎的設備，包括傳統(tǒng)的防火墻、殺毒軟件等，在此基礎上，要聯(lián)動下一代墻、態(tài)勢感知、 EDR 等新型安全產(chǎn)品，甚至還要聯(lián)動產(chǎn)品公司外部的實時信息，關聯(lián)全球的安全情報，通過這樣的要求，我對這套體系的考慮是盡可能通過同一家公司的產(chǎn)品實現(xiàn)，可以想象一個中國人對一個不會說中國話的外國人說漢語的時候是什么樣的結果，就算雙方都是中國人，不同的方言理解起來其實也有困難（就好像不同的產(chǎn)品線在傳輸日志和分析日志的時候都有不同的方法），所以對新型網(wǎng)絡攻擊行為的分析，其實任重而道遠。

對于安全日志的收集、記錄、分析、告警對整個安全運營中心平臺也有很大的壓力，打個比方，在同一原地址對醫(yī)院多個互聯(lián)網(wǎng)地址進行攻擊時，原始的日志可能是成千上萬條的，如果這成千上萬條的日志不經(jīng)過分析，直接告警，可能告警的短信平臺、微信平臺都會搞垮，安全日志分析匯聚的工作就尤為重要，不僅要對同一攻擊源的不同攻擊進行匯總，還要對不同攻擊源的同種攻擊進行匯總，甚至還要關聯(lián)前后攻擊的線索進行溯源。

4 、安全審計

a）應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

b）審計記錄應包括事件的日期和時間用戶、事件類型、事件是否成功及其他與審計相關的信息；

c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

d）應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。

說到審計看似很簡單，只要把日志傳遞到日志審計服務器記錄，可以通過各式各樣的參數(shù)查詢即可，但是日志記錄全不全、有沒有遺漏，我之前就碰到過好幾次溯源到一半失敗的情況，一次是訪問過程中有 NAT 設備，這個時間點 NAT 的日志沒有，沒辦法把前后的日志關聯(lián)起來，一次是設備上的攻擊源地址是白名單地址，而白名單地址攻擊不記錄在日志中，還有很多次因為終端上的日志沒有開啟，導致最后一步溯源失敗。

如果要將所有資產(chǎn)的日志進行審計記錄，并且記錄到位，還要做備份，其實這個量遠遠已經(jīng)超過了 HIS 數(shù)據(jù)庫的增長量，而且網(wǎng)絡安全法的要求是日志記錄 180 天，我看了下我們光數(shù)據(jù)庫審計的日志每天就有 20 多 GB ，180 天將近 4TB 的容量，我們還有網(wǎng)絡設備日志、安全日志、操作系統(tǒng)日志、存儲日志、應用日志等等，加起來每天的量可能就達到上百 GB ，如此大量的細小碎片化數(shù)據(jù)，要做到日志查詢不僅僅是一臺日志審計服務器能做到，我在購買數(shù)據(jù)庫審計的時候就測試了多家廠家的產(chǎn)品，不是日志遺漏保存，就是日志查詢速度慢，或者是日志查詢功能不全，如果是有能力的醫(yī)院，其實建議還是單獨自建開源的日志平臺，對日志流量進行清洗、匯總，通過相匹配的 NoSQL 數(shù)據(jù)庫記錄，簡單方便的可以考慮下 Elastic Search ，在查詢速度快的情況下，可視化也做的較好。

安全計算環(huán)境篇

個人認為計算環(huán)境下的安全問題其實是最嚴重的，大部分中高危漏洞都從計算環(huán)境下發(fā)現(xiàn)，被利用最多的也是，而且計算環(huán)境的網(wǎng)絡資產(chǎn)量也是最多的，各種虛擬化、容器化、 S erverless 等技術將計算資源分成更小的細塊，提高了安全管理員的能力要求，更是提高了像 CWPP 、 EDR 等安全軟件的防護要求，在 “安全計算環(huán)境中”有些前面提到的內(nèi)容就不再贅述。

1 、身份鑒別

a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；

b) 應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施；

c)當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。

在醫(yī)院中除了數(shù)據(jù)中心的服務器資源，還有醫(yī)護人員、行政人員使用的電腦都需要納入安全計算環(huán)境的管轄范圍。大家可以看看自己用的電腦是否設置了密碼，并且密碼的要求是否符合強口令（長度大于 8 位，包含大小寫字母、數(shù)字、符號，并且不包含鍵盤上連續(xù)字符或者英文單詞），并且 3 個月更換一次密碼。在 AAA 認證體系（ AAA 是認證（ Authentication ）、授權（ Authorization ）和計費（ Accounting ））中，第一關就是認證，在認證的過程中可能會出現(xiàn)如無認證、弱口令、認證可以被繞過、明文密碼傳輸?shù)鹊葐栴}，

不僅僅是在醫(yī)療行業(yè)，基本所有行業(yè)的內(nèi)網(wǎng)環(huán)境都包含了上述問題，在護網(wǎng)行動中，打入了內(nèi)網(wǎng)環(huán)境后，大量使用重復的弱口令，成為被攻陷的重要問題之一，有很多護網(wǎng)的案例是拿下了堡壘機的弱口令，而堡壘機上直接記錄了各類服務器的高權限賬號密碼，通過一點突破全網(wǎng)。我們大家可以看看自己的環(huán)境下， PC 和服務器端是否存在無認證、弱口令的情況，除了 RDP 、 SSH 等常見管理服務，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ，根據(jù)我一直以來的工作經(jīng)驗，很多開源軟件的早期版本對于 API 接口就根本沒有認證機制，所以還有很多的開源服務如 Redis 、 Docker 、 Elastic Search 等，有認證的情況下是否使用了開源軟件的默認賬戶口令，這個也需要我們及時修改，黑客可以通過一點突破，層層收集信息，最終突破核心防線。

AAA 體系中的第二步授權，其實是可以緩解第一步問題的一個手段，理論上要求我們的 PC 端、服務器端不同的軟件需要通過不同的用戶安裝、使用，并且不同的用戶只能給予最小安裝、使用軟件的權限，而我們可以檢查下自己的環(huán)境，應該是有很多直接使用 administrator 、 root 等用戶，并且這些賬號存在著復用的情況，在使用過程中很難分清楚現(xiàn)實生活中的哪個自然人使用了這個賬戶進行了相關操作，如果出現(xiàn)了問題給后續(xù)溯源提升了難度，我們這時就需要通過 IP 、上層的堡壘機日志等進行關聯(lián)溯源。

限制登錄失敗次數(shù)是防止暴力破解的手段之一，暴力破解會通過一個密碼本對需要爆破的服務密碼進行不斷的嘗試，直到試到正確的那個密碼或者密碼本試完為止，正常人登錄一般都會記得自己的密碼，當然在定期更換復雜密碼的要求下，正常人也會記不住密碼，這個問題我們后面再說。在限制了登錄失敗次數(shù)，比如我們設置了 5 次，那通過某個 IP 登錄失敗 5 次后這個 IP 就會被鎖定，當然可以設置別的 IP 還可以登錄這個服務。會話結束功能就類似于 W indows 自動鎖屏，作為一個信息工作者，在我們離開電腦時就應該考慮鎖屏的操作，并且重新登錄要輸入賬號密碼，一個不會超時的會話雖然方便了我們自己，同樣也給惡意者帶來了方便，想想經(jīng)過你辦公桌的每個人都可以在登錄著的 HIS 服務器或者核心交換機上敲一個 reboot ，最后造成的結果可想而知，雖然這個事故不是你直接操作的，但也要負主要責任。

在醫(yī)院中常見的遠程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TELNET 、 FTP 在流量劫持時可以直接獲得賬戶口令信息，可以通過 SSH 、 SFTP 等方法替換，確保在賬號密碼認證和數(shù)據(jù)流傳輸過程中都是加密的。其實 Oracle 的流量也非加密，在我咨詢了我 OCM 的朋友和百度后，發(fā)現(xiàn)其實 Oracle 流量也可以配置加密，但是我們很少會這樣做，并且很少會有人關心這個問題，還消耗客戶端和服務端額外的性能。這時候我們就要想到什么時候我們的流量會被截取走，常見的就是內(nèi)網(wǎng) ARP 欺騙，一臺攻擊主機在客戶端請求網(wǎng)關 MAC 地址的時候，將自己的 MAC 地址告訴客戶端，說自己這個 MAC 地址就是網(wǎng)關的 MAC ，這樣二層的流量會先通過這臺攻擊主機轉(zhuǎn)發(fā)給真實的網(wǎng)關，所有明文的流量過了這臺攻擊主機后就可以被它輕松的獲取敏感信息，我的防護方法是通過桌管軟件，將每個網(wǎng)段主機的網(wǎng)關 ARP 解析靜態(tài)的寫到客戶端上，確保 ARP 解析時默認都先通過本地記錄解析，從而不會被外部動態(tài)解析影響。另一種情況會被獲取的是網(wǎng)內(nèi)的流量設備，很多安全設備、 APM 監(jiān)控設備、深度流量分析設備都需要抓取核心網(wǎng)絡的流量，當這些流量被鏡像給設備后它們會將它記錄下來，而正式或者測試設備出現(xiàn)問題返廠時，我們就要叮囑工程師要清空本地數(shù)據(jù)，以免數(shù)據(jù)泄露，在我的工作中就聽到過通過安全設備泄露大量公民信息的案例。

前面我們說到要定期修改復雜密碼，但是經(jīng)常修改會導致管理員記憶困難，這個時候我覺得雙因子認證也是幫助大家不用記復雜密碼的好方法。雙因素認證分為所知和所有兩種，雙因素的證據(jù)又分為秘密信息、個人物品、生理特征三種類型，像口令、密碼就是信息，物理 key 就是個人物品，指紋、虹膜、面部就是生理特征，我們只要結合兩種類型的證據(jù)，那就符合要求，可以通過物理 KEY+ 動態(tài)密碼的方式實現(xiàn)認證，此時就不用記住原始的靜態(tài)密碼，大家可以想象一下現(xiàn)在在登錄微信、支付寶、 QQ 等互聯(lián)網(wǎng)軟件的時候基本很少使用密碼，而智能手機也將密碼和人臉識別關聯(lián)，方便大家認證操作，同時又符合安全要求。在醫(yī)院工作的過程中，我發(fā)現(xiàn)很多業(yè)務系統(tǒng)的賬號密碼不是同一套體系，系統(tǒng)在認證時也沒有做到雙因子的要求，我之前寫過一篇論文，叫《基于 4A 系統(tǒng)的醫(yī)院零信任網(wǎng)絡安全模型》，也是我希望能通過安全技術提升醫(yī)護行政人員使用系統(tǒng)時的便利性、規(guī)范對醫(yī)院所有系統(tǒng)賬戶體系管理、加強醫(yī)院業(yè)務系統(tǒng)使用時的權限管理能力。

五級電子病歷評審中提到了系統(tǒng)備份、容災的標準，對醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、可用性有了明確的要求，醫(yī)院信息系統(tǒng)的宕機、數(shù)據(jù)丟失會造成無法挽回的影響；2021 年《數(shù)據(jù)安全法》和《個人信息保護法》出臺，我國在信息化高速發(fā)展的當下，更加重視了網(wǎng)絡安全，證明了網(wǎng)絡安全與信息化是一體之兩翼、驅(qū)動之雙輪。

2 、數(shù)據(jù)保密性

a) 應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等；

b) 應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。

信息安全 CIA 三要素，保密性、完整性、可用性，這里提到了數(shù)據(jù)的保密性，其實不管在哪個行業(yè)，數(shù)據(jù)的保密性都很難做，我們可以看到大量的公民數(shù)據(jù)在互聯(lián)網(wǎng)安全事件中泄露，我國之前的《網(wǎng)絡安全法》對數(shù)據(jù)安全沒有具體的要求，而 2021 年的《數(shù)據(jù)安全法》和《個人信息保護法》才對數(shù)據(jù)安全有了明確的要求，并且這兩部法律給企業(yè)帶來了不小改造的壓力。

數(shù)據(jù)安全的保密性要求貫穿了數(shù)據(jù)的產(chǎn)生、傳輸、處理、存儲、銷毀等過程，首先我們要對數(shù)據(jù)進行保密，就要知道哪些數(shù)據(jù)應該保密，此時要做的就是數(shù)據(jù)的分類分級，在分級分類過程中涉及到對敏感數(shù)據(jù)的發(fā)現(xiàn)，敏感數(shù)據(jù)除了結構化的還有非結構化的，除了關系型的還有非關系型的，基本很難做到全覆蓋，比如在護網(wǎng)期間就發(fā)現(xiàn)有很多日志、配置文件中帶著敏感的賬號密碼等信息，而這些信息的配置可能是套裝化軟件不能修改的。在發(fā)現(xiàn)了敏感數(shù)據(jù)后我們就要對敏感數(shù)據(jù)進行加密、脫敏、去標識化操作，在五級電子病歷的要求中也有一條數(shù)據(jù)加密的要求，數(shù)據(jù)加密其實有兩種做法，一種是在存儲層（通過存儲設備進行加密），另一種在系統(tǒng)層（通過對操作系統(tǒng)的配置文件，或者對數(shù)據(jù)庫的數(shù)據(jù)進行加密），第一種方法的難度較小，而第二種方法的難度較大，需要考慮數(shù)據(jù)被加密的方法和被使用過程中的解密，對于數(shù)據(jù)量小可以考慮非對稱加密，而數(shù)據(jù)量大的只能使用對稱加密，這也就是 SSL 的機制，通過非對稱加密秘鑰，然后通過秘鑰對稱加密數(shù)據(jù)流，在確保業(yè)務正常的情況下，實現(xiàn)安全的需求。針對脫敏、去標識化操作可以通過好幾處實現(xiàn)，可以通過后端實現(xiàn)，也可以通過前端實現(xiàn)，通過后端實現(xiàn)時當數(shù)據(jù)從應用層往前端傳輸時就是去脫敏、去標識化的數(shù)據(jù)，甚至是在數(shù)據(jù)庫中就是脫敏、去標識化的，而在前端實現(xiàn)，我們可以在客戶端本地開啟代理，直接可以獲得明文的數(shù)據(jù)，從安全性來考慮肯定是后端實現(xiàn)更安全。

我們在做數(shù)據(jù)加密、脫敏、去標識化時要考慮的重要一點就是業(yè)務是否支持，有些數(shù)據(jù)雖然是敏感數(shù)據(jù)，但是以密文呈現(xiàn)時是無法進行正常業(yè)務的辦理和交互的，如果要實現(xiàn)正常業(yè)務辦理和交互，可能需要改變流程、規(guī)范，并且付出巨大的代價，在醫(yī)院以業(yè)務為中心的情況下，個人覺得短期內(nèi)很難很難實現(xiàn)，我個人在落地一個數(shù)據(jù)安全的產(chǎn)品時就提出了這樣一個問題，該產(chǎn)品邏輯串聯(lián)在數(shù)據(jù)庫客戶端和數(shù)據(jù)庫服務器之間實現(xiàn)數(shù)據(jù)庫字段的加密、脫敏、去標識化操作，而我們的 HIS 業(yè)務每天都有大量的問題要處理，在處理過程中需要通過這些敏感的數(shù)據(jù)進行確認、判斷、修改，不可能專門安排一個人每天在對字段做解密、加密的操作，還需要配合專門的流程來規(guī)范這個操作，在一個業(yè)務系統(tǒng)沒有穩(wěn)定、技術人員缺乏的情況下，這樣的功能很難落地，就算落地了也只是很小的范圍，如何滿足二者需要靠廣大讀者來幫忙想想辦法了。

3 、數(shù)據(jù)備份恢復

a) 應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；

b) 應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；

c) 應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

我問了很多醫(yī)院，大家可能都建立了容災環(huán)境，但是很少有醫(yī)院做容災測試，對于五級電子病歷的要求是每年至少一次的容災演練（還需要結合業(yè)務場景），每季度至少一次的數(shù)據(jù)全量恢復測試，一個沒有測試過的容災系統(tǒng)真的很難讓人相信在出問題的時候可以撐得住真實業(yè)務，也許容災的切換過程沒有問題，但是容災的硬件資源、硬件配置、軟件調(diào)整等是否能讓用戶在較短的時間內(nèi)進行邊便捷的切換操，五級電子病歷對于數(shù)據(jù)丟失的要求比較松， 2 小時以內(nèi)即可，但是醫(yī)院對于數(shù)據(jù)丟失是難以容忍的，對于信息化較長時間都無法正常使用也是無法容忍的，我們要盡可能做到 RPO 、 RTO 最小化。

對于備份，我盡量做到 321 原則， 3 份數(shù)據(jù)、 2 種不同介質(zhì)、 1 份存于異地，結合第一點和第二點，我將數(shù)據(jù)存放于起碼 2 種不同物理設備上，存儲 3 份，再結合第三點將一份數(shù)據(jù)存儲于異地，兩份數(shù)據(jù)存于本地。我們醫(yī)院有兩個院區(qū)，兩院區(qū)直線公里數(shù)其實小于 40 ㎞，而等保的異地要求是直線大于 100 ㎞，對于沒有分院的小伙伴們，其實我建議可以將另一份數(shù)據(jù)存到異地云上，最起碼在本地真的數(shù)據(jù)沒辦法恢復時還有一根救命稻草，雖然恢復的時間可能會長一點。我會將兩院區(qū)的數(shù)據(jù)做相互的異地備份，盡可能提高數(shù)據(jù)備份的頻率，減少數(shù)據(jù)的丟失，核心業(yè)務系統(tǒng)采用實時備份或者容災的方式，在使用較高頻率備份的情況下，我們對于備份、容災的硬件就有一定的要求，較差的 HDD 盤是無法支撐起大數(shù)據(jù)量、高并發(fā)的備份任務，可能出現(xiàn)任務排隊，那就會得不償失；在備份上我們就出現(xiàn)過一個問題，之前工程師在配置 RMAN 備份保留的腳本操作是先刪除原來的備份，在進行下一次備份，如果前一次備份刪除了，后一次備份沒有成功，那就沒有了全量數(shù)據(jù)，這樣的備份是沒有意義的，大家可以檢查下自己的環(huán)境是否存在這樣的問題。

在備份的類型上，分為物理備份和邏輯備份， 21 年我就聽到了別的醫(yī)院出現(xiàn)了 Oracle 的邏輯壞塊，出現(xiàn)壞塊后數(shù)據(jù)庫無法正常啟動，而容災系統(tǒng)通過 Oracle Data Guard 實現(xiàn)， DG 屬于物理塊同步，面對邏輯錯誤不會校驗，而直接將這個邏輯錯誤同步給了容災庫，導致容災庫也無法正常拉起，并且當時也沒有配置長時間的閃回空間，導致最后花了很大的代價才恢復了一部分丟失的數(shù)據(jù)，并且業(yè)務中斷了很久，可以通過 OGG 解決這個問題，并且 OGG 可以支持跨數(shù)據(jù)庫、操作系統(tǒng)類型之間的數(shù)據(jù)復制，但是配置難度比 DG 大了很多；另外的辦法是通過 CDP 實現(xiàn) IO 級別的備份，當出現(xiàn)邏輯錯誤數(shù)據(jù)庫無法正常使用的時候，通過 CDP 的 IO 回退到正常的時間點，當然中間丟失的數(shù)據(jù)需要人工去彌補，這樣通過數(shù)據(jù)庫外部的方式解決數(shù)據(jù)備份的問題。

4、個人信息保護

a) 應僅采集和保存業(yè)務必需的用戶個人信息；

b) 應禁止未授權訪問和非法使用用戶個人信息。

這兩點在《個人信息保護法》中也有明確提到，該法律中多次提到了收集個人信息要有“詢問 - 確認”的過程，并且在用戶不同意提供個人信息的情況下，不能拒絕對用戶提供服務，只收集必需的個人信息，要告知用戶收集每種類型個人信息的目的，告知用戶如何處理、傳遞、使用個人信息。在疫情當下，全國的醫(yī)院都緊鑼密鼓的推廣互聯(lián)網(wǎng)醫(yī)院，意味著有一個面向患者的醫(yī)院互聯(lián)網(wǎng)系統(tǒng)，患者可以直接面向這個互聯(lián)網(wǎng)系統(tǒng)，那對系統(tǒng)的提交信息、問詢交互有了更直接的了解，我們在做互聯(lián)網(wǎng)系統(tǒng)的時候要結合《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》三駕馬車來嚴格要求開發(fā)時的安全需求，自從三部法律上臺后有多少互聯(lián)網(wǎng) APP 因不符合要求被責令整改、罰款、下架等，我們也該引以為戒。

文章來源：天億網(wǎng)絡安全

通過等保2.0分析系統(tǒng)脆弱性：安全區(qū)域邊界篇 & 安全計算環(huán)境篇

1、邊界防護

2 、 訪問控制

3 、 入侵防范