肖健

摘 要 對網(wǎng)絡(luò)攻擊防范是智慧醫(yī)院快速發(fā)展要面臨和解決的問題，針對當(dāng)前智慧醫(yī)院面臨的安全問題，通過基于行為和關(guān)聯(lián)分析技術(shù)的安全態(tài)勢感知平臺在醫(yī)院信息系統(tǒng)的部署和測試，實(shí)現(xiàn)安全態(tài)勢可視化。

關(guān)鍵詞 智慧醫(yī)院;網(wǎng)絡(luò)安全;態(tài)勢感知;數(shù)據(jù)分析

引言

隨著大數(shù)據(jù)、云計(jì)算、人工智能、傳感技術(shù)等高科技的成熟應(yīng)用，以面向醫(yī)務(wù)人員的“智慧醫(yī)療”， 面向患者的“智慧服務(wù)”， 面向醫(yī)院管理的“智慧管理”為基本特征的智慧醫(yī)院也得到了快速發(fā)展。由此產(chǎn)生的網(wǎng)絡(luò)安全問題也逐步暴露出來：醫(yī)院內(nèi)網(wǎng)PC較多，且多數(shù)無密碼、缺少補(bǔ)丁，殺毒軟件安裝情況參差不齊，導(dǎo)致無法進(jìn)行有效的安全管理，基本處于放養(yǎng)狀態(tài);醫(yī)療行業(yè)特殊性導(dǎo)致445、3389無法關(guān)閉，無法從根源阻斷勒索、挖礦等病毒的傳播途徑;病毒、木馬等傳輸通道隱蔽，難以被發(fā)現(xiàn)，樣本變種頻繁，無法及時(shí)識別;智慧醫(yī)院提供的智慧應(yīng)用需接入互聯(lián)網(wǎng)，造成網(wǎng)絡(luò)攻擊人員具有更多的攻擊途徑。

為解決各個(gè)傳統(tǒng)安全設(shè)備之間無法有效協(xié)同，安全防御信息不斷形成孤島的問題，在醫(yī)院的網(wǎng)絡(luò)中應(yīng)建立基于安全態(tài)勢感知的監(jiān)控防御體系，協(xié)助醫(yī)院信息安全管理人員更快更準(zhǔn)地檢測入侵行為，從而減少攻擊給單位造成的損失。

1態(tài)勢感知技術(shù)概述

“態(tài)勢感知（Situation Awareness，SA）”概念最初用于航天飛行相關(guān)研究中，專為探討在動態(tài)系統(tǒng)中人的因素帶來的變化趨勢。態(tài)勢感知劃分為態(tài)勢要素提取，態(tài)勢理解，態(tài)勢預(yù)測三個(gè)階段。從網(wǎng)絡(luò)態(tài)勢安全感知系統(tǒng)的角度來看，針對網(wǎng)絡(luò)安全需求主要包含了資產(chǎn)識別、脆弱性識別、威脅檢測、安全態(tài)勢評估以及安全態(tài)勢的預(yù)測[1]。

2網(wǎng)絡(luò)安全態(tài)勢感知平臺的應(yīng)用

安全態(tài)勢感知平臺是一套基于行為和關(guān)聯(lián)分析技術(shù)對全網(wǎng)的流量進(jìn)行安全檢測的可視化預(yù)警檢測平臺，統(tǒng)通過分析收集到的各類安全檢測系統(tǒng)的警報(bào)，檢測出僵尸網(wǎng)絡(luò)、惡意網(wǎng)站等各類攻擊者及其攻擊活動，在此基礎(chǔ)上通過推測攻擊者類型、數(shù)量、位置、意圖等測量評估攻擊者的威脅程度，從而實(shí)現(xiàn)態(tài)勢感知。

安全態(tài)勢感知平臺主要實(shí)現(xiàn)業(yè)務(wù)邏輯可視、潛在威脅可見、安全風(fēng)險(xiǎn)可識別、安全態(tài)勢可預(yù)測。

2.1 業(yè)務(wù)風(fēng)險(xiǎn)可視

安全態(tài)勢感知平臺可以對在線資產(chǎn)全面識別，主要包括主機(jī)的軟件資產(chǎn)的識別和硬件資產(chǎn)的識別。其中軟件資產(chǎn)包括主機(jī)的操作系統(tǒng)相關(guān)的信息，例如操作系統(tǒng)的版本、安全措施、端口等多項(xiàng)內(nèi)容。硬件資產(chǎn)主要包括主機(jī)的名稱、IP地址、MAC地址、責(zé)任人、資產(chǎn)編號、資產(chǎn)位置等。每一臺的主機(jī)上的資產(chǎn)信息清晰，每一個(gè)安全事件責(zé)任到人，使得安全管理能落實(shí)到位[2-4]。

2.2 潛在威脅可見

通過對網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行掃描，包括系統(tǒng)的版本信息、硬件信息、漏洞補(bǔ)丁、系統(tǒng)服務(wù)、系統(tǒng)所使用和安裝的安全軟件等內(nèi)容進(jìn)行詳細(xì)的掃描和分析，找到潛在威脅，并根據(jù)威脅程度的深淺在平臺上予以分級并告警，把潛在威脅分布情況展現(xiàn)在運(yùn)維人員面前，從而讓運(yùn)維人員加強(qiáng)這些方面的安全管理，提高系統(tǒng)的安全性。

2.3 安全風(fēng)險(xiǎn)可識別

安全態(tài)勢感知平臺提供安全事件分析、告警、舉證等服務(wù)，通過對用戶風(fēng)險(xiǎn)，用戶攻擊，業(yè)務(wù)失陷等不同維度分析，展示系統(tǒng)容易受到攻擊的地方，方便管理人員快速定位問題影響和源頭，并進(jìn)行響應(yīng)分析。

2.4 安全態(tài)勢可預(yù)測

安全態(tài)勢感知平臺通過基于歷史狀態(tài)信息的分析、評估而獲得對網(wǎng)絡(luò)歷史狀態(tài)的評估，借助基于數(shù)據(jù)挖掘等的智能算法，對當(dāng)前用戶行為、網(wǎng)絡(luò)運(yùn)行狀態(tài)以及各種網(wǎng)絡(luò)資產(chǎn)等因素綜合影響的網(wǎng)絡(luò)狀況做出合理量化的解釋，進(jìn)而預(yù)測網(wǎng)絡(luò)未來的發(fā)展趨勢。同時(shí)安全態(tài)勢感知平臺提供對失陷業(yè)務(wù)和主機(jī)的報(bào)告導(dǎo)出和分析服務(wù)，針對存在威脅和風(fēng)險(xiǎn)給出合理化解決方案，為信息安全部門提供輔助決策服務(wù)[5-7]。

3安全態(tài)勢感知平臺展示

為解決當(dāng)前智慧醫(yī)院面臨的網(wǎng)絡(luò)安全問題，我們試點(diǎn)上線一套基于行為和關(guān)聯(lián)分析安全態(tài)勢感知平臺，通過態(tài)勢感知對各節(jié)點(diǎn)安全檢測探針的數(shù)據(jù)進(jìn)行收集，對全網(wǎng)安全事件與攻擊可視化展現(xiàn)。按攻擊IP、嚴(yán)重等級、影響目標(biāo)/服務(wù)器、事件描述、攻擊時(shí)間進(jìn)行匯總。

業(yè)務(wù)風(fēng)險(xiǎn)可視化，對高危業(yè)務(wù)進(jìn)行可視化展示，對業(yè)務(wù)名稱、處理狀態(tài)、業(yè)務(wù)重要性、綜合風(fēng)險(xiǎn)等級、關(guān)鍵風(fēng)險(xiǎn)、攻擊事件統(tǒng)計(jì)、漏洞風(fēng)險(xiǎn)統(tǒng)計(jì)、終端聯(lián)動等全方位展示和匯總[8]。

4結(jié)束語

安全態(tài)勢感知平臺試點(diǎn)為整個(gè)醫(yī)院信息系統(tǒng)提供了一站式的“預(yù)防、檢測、響應(yīng)、加固”的四維服務(wù)，做到“安全態(tài)勢可感知、安全威脅可預(yù)警、異常行為可監(jiān)控、安全價(jià)值可呈現(xiàn)”。對全網(wǎng)的流量實(shí)現(xiàn)應(yīng)用可視化，業(yè)務(wù)可視化，攻擊與可疑流量可視化，解決了醫(yī)院信息系統(tǒng)安全黑洞與安全洼地的問題。

參考文獻(xiàn)

[1] 石樂義，劉佳，劉祎豪，等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2019（24）：1-9.

[2] 馬鵬杰.網(wǎng)絡(luò)空間態(tài)勢感知能力建設(shè)探析[J].信息系統(tǒng)工程，2019 （1）：151.

[3] 陳鍇.智慧校園環(huán)境中網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的構(gòu)建[J].電子技術(shù)與軟件工程，2018（22）：17-18.

[4] 夏智偉，李樂成.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究與設(shè)計(jì)[J].信息通信，2017（5）：147-148.

[5] 汪華，李玨，李波，等.安全態(tài)勢感知平臺在氣象局信息安全中的應(yīng)用[J].信息安全，2019（2）：102-106.

[6] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報(bào)，2017， 28（4）：1010-1026.

[7] 董超，劉雷.基于安全態(tài)勢感知在網(wǎng)絡(luò)攻擊防御中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）：22-23.

[8] 張磊.網(wǎng)絡(luò)安全態(tài)勢感知平臺數(shù)據(jù)采集規(guī)范研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（3）：37-39.