导读:剖析在“互联网+医疗”迅速发展的情况下,移动互联网安全的建设思路和实践方案。以北京协和医院患者手机App为研究对象,在设计、研发和运行中进行迭代优化,梳理患者手机App系统的安全体系架构,调整和加固系统架构。经过两年的努力已经取得良好成果,并通过了国家等级保护三级测评。结合测评总结移动互联网安全的建设方案,并针对上线运行过程中受到非法入侵时进行技术应对的成功经验进行总结,在领域内具有参考意义。

2015年3月5日十二届全国人大三次会议上,李克强总理在政府工作报告中首次提出“互联网+”行动计划,“互联网+”随即成为舆论关注和讨论的热点,“互联网+医疗”很快就成为了医疗行业设计、开发和实施的行动方向。极大了方便了老百姓,提高了整体效率。

北京协和医院患者手机App系统启动于2014年5月,经过15个月的深入调研、精心设计、反复开发测试等不懈努力,恰逢“互联网+医疗”蓬勃发展之际,于在2015年9月16日正式上线投用。

1 安全风险

患者手机App的发布,非常有效地改善了患者就医体验,尤其针对挂号难和号贩子猖獗的难点问题,取得了很好的控制效果。但系统投用不久,即遭受了多次大规模的恶意攻击。攻击手段包括:

1.1 DDOS攻击 非法入侵者通过客户端封包、代理、数据拦截等黑客技术,破解服务器接口地址,并根据患者提供的真实账号进行高频率的抢号请求,协和医院医疗数据服务额外处理了每分钟4 000多次的黄牛恶意抢号请求,大量占用了预约挂号通道,虽然未成功完成挂号操作,但对医院HIS服务造成了不小的压力。

1.2 暴力注册 非法入侵者通过地下黑色产业链使用大量真实有效的手机号进行获得验证码操作,并通过手机短信进行暴力注册,上线2个月内即发现一万个肉鸡IP地址,发起12万次的获取短信验证码请求,持续消耗短信服务器资源。

1.3 注入与恶意上传 在Web服务器日志中可以发现大量的Java命令注入、SQL注入等恶意链接尝试。一旦服务器漏洞被利用或配置信息泄露,不法分子将获得整个服务器的控制权。

1.4 CC攻击 上线期间App系统持续遭受着大量的CC(Challenge Collapsar)攻击,这些非法入侵者除了每天放号时间疯狂的使用多线程抢票,还在非放号时间段模拟大量真实用户请求,进行高频率不间断的访问,探查服务器的防御规则,尝试找到预约挂号流程中的破绽。

2 防范措施

2.1 针对黄牛抢号 在App预埋经过加密的特殊识别模块,只有身份校验通过的App才允许建立连接,且全部通讯流量加密。避免黄牛编写多线程抢号程序发起连接,或者拦截网络数据包进行篡改抢号。并在业务上做限制策略。

2.2 针对恶意注册 在注册、获取短信接口提供设备指纹识别、图片验证、请求来源统计、请求频次分析等多种校验策略,限制黄牛的恶意注册。并通过数据分析冻结清洗掉一批僵尸用户。

2.3 针对注入和恶意上传 对用户输入的数据进行全面过滤,并使用预编译的SQL语句,确保SQL语句的语义不会发生改变;并部署应用层防火墙进行防护。

对于用户头像上传,不直接上传用户的图片,而是App本地打开图片后调用另外一个安全进程来截取图像内容生成另外一个图片文件,确保上传的是“干净”的图片文件。

服务器端再次对这个图片做二次检验,文件流分析措施,拦截过滤文件中的恶意代码。

通过App预埋经过加密的特殊识别模块,把非法客户端隔离在外。并根据IP来源、URL请求分布,请求数据包特征分析等多种方式识别并清洗攻击流量。

这些策略部署后,效果明显,对于攻击行为我们有了有效的解决方法,同时,攻击数量大为减少,患者手机App平台稳定下来,用户的体验也得到了明显提升。

3 安全体系建设

由于患者手机App发布在互联网,直接对患者提供服务,所提供的在线预约挂号、在线查阅检验检查报告、在线缴费等服务一旦收到破坏将严重影响医院门诊就诊秩序,进而对社会秩序和公共利益造成严重损害。根据GB/T 22240-2008《信息系统安全保护定级指南》规定,应定义为等级保护第三级系统。

基于“互联网+”的医院信息系统尚属新生事物,行业内并无安全方案可参照,通过对标金融行业发布的JR/T 0068—2012《网上银行系统信息安全通用规范》,我们设计出一套以医院为主导的“互联网+医疗”的系统安全架构,该模式是以云计算平台为核心,由云计算平台负载大数据量的用户访问。但是云平台本身并不存储患者敏感的医疗信息,而是云平台对医院内数据平台系统进行调用,在响应用户的需求后,采用技术手段,及时对数据进行粉碎。

4 系统测评

2017年10月,按照等级保护第三级的73个控制点共290个要求项对患者手机App系统进行安全评估,经过对移动端、云端、院内系统一轮完整评估,发现符合率只有大约78%,还有60多个要求项不满足。

经过对不满足项的分析,发现主要存在几类问题:安全设计不够充分。比如后台管理系统当前是账号密码登录,辅以IP地址限制。但等保三级要求是需要双因子要素登录,因此后续这部分需要升级改造。

安全策略不够细致。比如院端和云端之间使用专线连接,院端防火墙限制了云端的IP地址,但没有细化到限制特定服务端口;再比如对于暂未使用的交换机端口,未关闭。

设备安全功能不足。比如防火墙没有内容过滤,无法实现对应用层FTP、TELNET、SMTP、POP3等协议命令级的控制。这属于历史遗留问题,后面要建立设备采购管理规范,根据相关的安全等技术标准对网络设备、安全设备建立产品备选名单。

安全意识需要加强。比如部署了堡垒机后,仍有部分设备没有接入,一方面说明人员安全意识培养的工作需要长期坚持,也说明内部安全计划执行与控制不够完善。

安全管理缺少绩效评价。没有指定什么时间、谁检查、谁分析评价,不利于持续改进。

参照等级保护的要求,逐一对每一个不满足项进行分析、研究解决方案。并完善安全管理制度,落实人员安全管理、系统建设管理、系统运维管理。尤其着重抓以下几个方面。

访问控制:在云计算中,网络访问控制由云计算防火墙策略实现,这个策略需对云上虚拟主机进行逻辑分组,再实现基于主机和分组的访问控制。除了网络访问控制,云服务的用户访问控制尤为重要,因为它是将用户身份与云服务资源绑定在一起的重要手段。

可用性管理:互联网医院的业务严重依赖于服务的持续可用性,高峰时即使几分钟的服务器中断也会对机构的生产力、用户满意度造成较大影响。

安全漏洞管理:建立包含例行漏洞扫描、漏洞评估、漏洞处理的过程,避免主机、应用程序、数据库、网络遭受针对漏洞的攻击。在网络、主机系统、中间件等基础设施的漏洞管理方面,需要和云服务供应商保持协同。

补丁管理:在避免主机、应用程序、数据库、网络遭受针未授权的的攻击方面,安全补丁管理和漏洞管理具有同等重要的意义。需要注意的是,补丁管理过程应该遵循变更管理框架。

安全配置管理:安全配置管理包括网络和远程连接配置、防火墙策略配置、操作系统安全配置及数据库访问管理配置。安全配置管理使系统各部分配置保持在安全基线上,免受针对配置弱点实施的攻击。

访问监测:访问监测包括正常访问的检测和入侵监测。正常访问监测包含可用性监测、带宽利用率、访问延迟等的检测,主要作为访问质量和性能扩展的判断依据。入侵检测包括对主机系统、应用系统、数据库系统的入侵检测,避免受到非授权访问和数据破坏。

事件响应管理:事件响应是在“积极防御、及时发现、快速响应、力保恢复”的大原则下,突出发现和响应。通过建设层次化的应急响应队伍,编制应急预案,进行应急演练,在第一时间知道风险来临时,及时统筹开展应急处置。

5 小结

经过3个月的测评,进行整改和试运行,测评符合率90%。有部分限于资源等客观原因的,也做了持续改进安排。最后通过了三级等级保护测评。

通过等保认证过程的磨练,我们总结主要有几个意义:降低数据安全风险,提高信息系统的安全防护能力;满足国家相关法律法规和制度的要求;满足相关主管单位和行业要求;锻炼了安全、开发、运维队伍,提高了医院的信息安全治理能力。

文章来源:《中国数字医学》杂志,作者及单位:孙国强 由丽孪 陈思 朱雯 朱卫国 孟晓阳,中国医学科学院北京协和医院信息管理处。

声明:本文来自中国数字医学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。