行业警报

在新医改背景下服务器→运维，国家从战略高度将信息化建设确定为深化医药卫生体制改革的“四梁八柱”之一。力量。

医院数据涉■及个人健康隐私，兴趣广泛。它往◢往是黑客觊觎的“大金库”。近年来，国内外有不少消息称，某医院系统被植入升级版勒索病毒后瘫痪；某信息系统遭到黑客攻击，导致系统大规模瘫痪，住院诊疗过程无法正常运行↑。随着国家和行业层面对信息安全的日益重视，医院防患于未︻然的意识和能力得到了极大的提升。但由于信息管理人员的疏忽或安全意识的缺失，医院信息系统遭到“打击”。

2020 年 10 月 3 日，美国阿拉巴马州一名 9 个※月大的女婴意外死亡后，孩子的母亲向婴儿出生的医院提起诉讼，声称该医院未能披露其网络系统被攻击导致护理部署异常，最终导致婴儿死亡。这一事件再次表明，网络攻击的影响不∏仅是数据、财产、名誉的损失，甚至是生命的▂损失■。

以上事件表明，医疗行业的数据安全不容小觑，医疗信息行业必须高度重视。

二、行业痛点

1、高稳定性和故障预警要求

医院信息系统，尤其是核心▲系统，不能全年24/7停机，最长维护时间窗口只有半小时左右，否则会影响患者排队就医ㄨ。业务的特殊性决定了对网络连续性和网络安全保障程度的更高要求。

2、现有安『全产品瓶颈和防火墙不足

作为边缘安全设备，部署在医院的防火墙在域内存在大量不合理且宽泛的安全策略。近年来，国家对广义防火墙政策的保护有了明确的要求。需要快♀速找出不合理的政策，收敛宽泛且无效，但人工排序困难，对现有业⊙务的影响无法验证。打开对应策略的日志会严重消耗性能，不灵活。运维团队面对防火墙策略的现状束手无策，策略维护增加了运维的∮负担。另外，当医院需要更改防火墙的配置时，手动配置容易出错，如防火墙原有端口映射配置删除︼失败、策略下发错误等，严重影响医院的治疗。 安全事件发生后，医院希望尽快自动过滤掉与事件相关的防火〓墙策略。但是策略配置是防火墙本身造成的，由于缺乏数据支持服务器运维，很难判断。

3、日志管理和审计设备

医院的数据中心运行着大量的医疗系统。日常运维监控需要◥对医疗系统进行日志采集和信息审计。有些医院有自己的◢日志管理平台，但展示效果不灵活。分布式WAF节点众多，安全事件也难以统一、便捷地展示。无法结合异常时期的流量数据定位根因，无法对高频攻击进行统计分析，不利于医院后ㄨ续针对性防护。

4、安全代理设备

基于医院业务性能扩≡展和安全考虑，医院大量负载设备采用的全代理模式通常对客户端地址进行源地址转换，因此存在关联通信的问题。转换后。此外，医疗系统与调度平台之间的』映射关系难以理清，极大地〇阻碍了攻击路径的可追溯性和人工排查。

5、洪水攻击流量难以追踪定位

当医院网络面临DDoS攻击时，如果网卡发送的数据包数量快速增加，会消耗大量网络带宽，造成网络拥∏塞，从而引发广播风暴。由于广播攻击流量和数据包数量巨大，传统的 NPM 难以进行正常的解析和回溯。

6、DNS 安全缺乏保护方法

医院的大部分业◆务系统都使用域名对外提供服务，因此容易受到基于主机耗尽的 DNS 攻击（DNS 查询）。攻击方式是向被攻击服务器▲发送大量域名解析请求，通常请求解析的域名是随机生成的域名或者网络上根本不存在的域名。当被攻击的DNS服务器收到∑域名解析请求时，首先会检查服务器上是否有相应的缓存。如果找不到，并且域名无法直接在服务器解析时，DNS服务器会递归地向其上级DNS服务器查询域名信息。域名▲解析的过程给服务器带来了很大的负载。如果每秒的域名解析请求数超过一定数量，DNS服务器会超时解析域◥名，影响正常的㊣　域名业务访问。由于缺乏保护和异常访问统计，此类问题的后处理是被动且低效的。

三、智能数据解决方案

基于多年在医疗行业智能分析和运维∮服务领域的经验，智微数据针对上述医疗行业安全痛点有以下实施方案：

1、流量分析 0 影响

通过网络旁路镜像，7*24小时实时采集数据中心关键网络节点和防火墙前后的网络流量。对流量进行精细分々析和检查，而不会对现有网络和应用程序产生任何影响。

2、防火墙性能 0 影响

支持FTP、API、文件上传等多种方式定时获取防火墙策略，无需打开防火墙会话日志，通过获取流量+配置，实现流量与配置的关联，不影响性能☉防火墙，为提供流量支持。

3、多源数据统一访问管理

Data基于自有的基于平台的灵活架构支持多源数据访问，包括对各种◥医疗系统日志和审计日志的集中收集和分析，可以灵活准确※地实现多平台的联动和连接。被动接收两种方式连接各个平台的数据（包括Kafka，等），连接平台内置的数据库，可以实现日志的统一展示和管理。

4、异常业务路径画像

智能数据』可以基于负载设备的API接口获⌒取设备配置信息，并根据配置信息+流量数据动态、直观的展示业务系统的完整网络路径。基于业务访问日志，对部分异步业务的数据流进行拼∩接，实现访问关系№的可追溯。

[上图为demo数据演示]

5、智能分析

智能数据产∏品内置多种智能算法和200多个场景的智能分析知识库。当指标异常时，系统自动进行根因分析，帮助运维人员更快地感知和分析故障，同时分配故▽障。能够为运维人员进行◎数据预测和变化分析。

四、使用场景

1、防火墙策略优化和早期故障检测

防火墙是经过特殊编程的路由器。作为医院网络的第一道防线，它维护着大量的冗余策略，这将占据自ζ身的性能。另外，还需要满足.0的要求。 Smart Data根据防火墙的前后端流量和配∑置信息，通过配置排序和〖流量校验，快速有效地进行策略收敛，不影响防火墙性能，满足合规检查要求，快速消除防火墙隐患政策风险。

同时，智微数据支持对医▲院交通数据进行自动、定期智能巡检。通过异常数据和特征值，发现域内潜在的安全隐患，包括：高危端口扫描、冰蝎、挂马、弱密码等存在明显安全隐患的数据。

2、阻塞验证和监控

如何验证↑发布的安全策略是否存在漏洞或是否真正有效，往往是医院头疼的问题。智微数据基于实时流量绕行采集监控实时数据，支持对封禁IP和服务的实效验【证。如果数据表的流量禁止列表中有IP，可以主动告警，支持root-based支持。通过定位分析，可以明确问题的原因，比如策略配置问题或者安全◥设备异常。

3、DNS 攻击溯源「与处理

智能数据支持DNS设备深度监※控，可全面分析监控医院DNS服务器和53端口。根因定位和访问成功率。基于告警和可视化，快速定位异常DNS攻击和异常请求的◆来源，并通知医院安▆全人员进行处理。

4、异常安全事件完成追溯定位

智能数据全流量分析平台可获取全网流量，包括医院出口和内网。平台的业务画像功能可以根据历史行为基线检︼测新的异常访问。结合CMDB数据，可对↓内网新增访问进行二次检测，实现异常访问的主动监控。

智能维度数据支①持基于流量特征和负载设备日志对异步服务进行灵活、自动的关联数据流拼接，实现访问关系的可追溯性，以及对攻击经过的负载设备的回溯分析。同时，基于√防火墙的前后端流量和配置信息，智ω　微数据可以通过AI算法智能检测通过防火墙的业务流量。实时感知业务异常以及事件相关IP和策略的位置。快速判断异常的Deny行为和攻击◆入口◢，并给出安全风险提示。

基于★日志和流量数据，对攻击源、地理位置、攻击类型、攻击方式等多个维度进行统◎计分析，将终端日志与流量路径关联，为防御策略制定提供数据支持。

从流量、代理映射、资产、配置、日志、设备状态等全方位智能分析，实现对异常安全事件的精准检测。

5、ARP广播风暴攻ξ击

从实践∮经验来看，90%以上的互联网广播风暴都是由病毒引起的。智微数据拥有专为广播风暴︾攻击设计的高性能探针。它通过中继端口收集数据，仅接卐收广播、多播和单播泛洪流量。并且由于产品々的采集口采用混杂模式，也可以避免接口环路的风险。可快速处理分析当前广播域的ARP攻击来源并生成告警，支持将告警数据推送到第三方处理平台，实现自愈。

6、没有专家值班

智能数█据基于多年的IT运维经验，通过脚本在系统中预制常见故障的分析思路。当需要报警事件、隐藏事件或人工分析时，系统可自动获取事件相关数据，并进行智能分析↘，输出分析报告△，简洁易懂。

支持、邮件、短信、微信等报警通知形式

总结

安ㄨ全是医疗行业信息技术部门极其重要的一部分。本文分享了智微数据在安全层面的技术解决方案。除了文＠中展示的场景，智微数据还支持自定义流量和安全事件特征。数据可追←溯、分析和呈现。

更多医疗行业运维场景及其他行业安全管控案例，请联系我们。