醫(yī)院網絡安全建設課件

醫(yī)院網絡安全建設目錄CONTENT醫(yī)院簡介醫(yī)院網絡安全常見問題構建醫(yī)院網絡安全管理體系邊界安全與防控技術醫(yī)院建于1987年，占地面積82畝；編制床位1800張，在職職工1673人1995年通過三甲醫(yī)院評審2003年成立湖南省兒科醫(yī)學研究所2007年博士后工作站正式掛牌2010年與南華大學聯(lián)合創(chuàng)辦兒科學院2013年-2015年貫行JCI國際標準2014年10月20日通過國家GCP資格認定2016年組建湖南兒科醫(yī)聯(lián)體2018年再次成為國家危重癥救治中心0102殺毒軟件部署不到位，常見于一些儀器設備客戶端、服務器備份數(shù)據從來沒有驗證，等需要恢復時無法使用安全設備投入不足，有的買了安全設備，但是許多策略未使用互聯(lián)網應用越來越多，邊界安全問題嚴重運維人員無管理，只要說是運維人員就可以使用服務器數(shù)據庫沒有進行權限劃分，經常使用root權限工作人員安全意識淡薄，可能遭遇社會工程學攻擊wifi沒有隱藏ssid及準入控制管理，可通過wifi密碼破解進入內網流程優(yōu)化越來越多，政策變化很快，需求修改很難做到嚴格測試病毒越來越多、危害性越來越大，病毒越來越智能化信息互聯(lián)互通程度越來越高，局部故障影響全局信息技術越來越復雜、設備越來越高端，不容易出問題，但是一出問題就是大問題，醫(yī)院技術能力有限03建立機構與管理制度醫(yī)院設立信息安全領導小組明確網絡主管領導設立機構明確職責分工建立管理制度建立管理制度加強信息安全知識學習安全意識：包括技術人員、管理人員、醫(yī)院領導，增強信息化安全意識與全員參與意識。操作技能：面對技術人員的技能操作，實踐與動手能力。國家法規(guī)：清楚國家法律法規(guī)，比如網絡安全法、國家相關網絡安全制度、醫(yī)院相關安全制度。國際標準：ITIL、ISO270001標準等。安全培訓：網絡安全、信息安全知識培訓。安全風險分析系統(tǒng)漏洞攻擊：系統(tǒng)漏洞探測，利用系統(tǒng)安全漏洞開展網絡攻擊；內網系統(tǒng)漏洞攻擊：攻擊者拿到部分服務器權限后，利用拿到的權限對內網系統(tǒng)和資產進行漏洞探測和攻擊；邊緣系統(tǒng)跳板攻擊：針對和目標系統(tǒng)連通的其它系統(tǒng)進行攻擊，通過攻陷這些系統(tǒng)作為跳板進而攻擊目標系統(tǒng)；內網系統(tǒng)口令爆破：攻擊者在內網攻擊時對內網資產口令進行爆破，取得弱口令資產的控制權安全防護策略—資產梳理和安全自查互聯(lián)網資產自查（域名、IP、服務、端口等），網絡路徑自查（系統(tǒng)訪問源包括用戶、設備、系統(tǒng)，繪制網絡路徑圖和數(shù)據流向圖）關聯(lián)系統(tǒng)資產梳理（網絡系統(tǒng)節(jié)點設備），安全漏洞掃描（操作系統(tǒng)、數(shù)據庫、中間件、安全設備）安全基線檢查（多余服務、多余賬號、口令策略、弱口令等）安全防護策略—安全加固安全策略優(yōu)化（網絡防火墻、應用防火墻的訪問控制策略，對外服務和端口）日志審計（應用系統(tǒng)、操作系統(tǒng)、數(shù)據庫、中間件、網絡設備和安全設備）流量監(jiān)測，安全加固（關鍵節(jié)點流量，策略配置優(yōu)化改進）完善應急機制（處置流程和預案，建立專項措施，明確職責分工）優(yōu)化監(jiān)測功能（web

防火墻、IDS、IPS、數(shù)據庫審計）備份、CDP與應急演練備份和恢復應提供本地備份與恢復功能，完全數(shù)據備份最少每天一次，場外存放。關鍵數(shù)據庫備份功能需要支持CDP持續(xù)數(shù)據保護技術異地備份關鍵數(shù)據冗余技術設計網絡拓撲，避免關鍵節(jié)點單點故障。數(shù)據完整性保護管理數(shù)據、鑒別數(shù)據、重要業(yè)務數(shù)據傳輸和保存中完整性。數(shù)據保密性保護管理數(shù)據、鑒別數(shù)據、重要業(yè)務數(shù)據傳輸和保存中保密性。目

標保護用戶數(shù)據系統(tǒng)數(shù)據

業(yè)務數(shù)據應急演練與恢復性測試先檢查再加固建立監(jiān)測和響應機制確認自身安全性：對于核心業(yè)務服務器開展風險檢測，對于風險服務器斷網處置?；A安全檢查：弱口令檢查、文件共享、系統(tǒng)漏洞檢查、互聯(lián)網連接；惡意樣本檢測：勒索病毒、遠控木馬、蠕蟲、觸發(fā)器等。服務器安全加固：對于核心服務器開展業(yè)務評估，對于安全涉及的控制點形成立體防護。基本安全防護：部署防病毒軟件，隔離網樣本和系統(tǒng)補丁的持續(xù)運營。業(yè)務訪問控制：建立主體（用戶、進程、IP）對于客體（端口、文件、注冊表、共享等）的訪問控制規(guī)則。日志保存：對于違規(guī)日志、檢測日志、加固日志進行留存。持續(xù)監(jiān)控：建立業(yè)務服務器監(jiān)測響應機制，持續(xù)監(jiān)測異常、突發(fā)事件，提供分析、定位、響應的平臺和工具。全量數(shù)據采集：服務器探針機制，采集全量行為數(shù)據。醫(yī)院終端大數(shù)據安全監(jiān)測平臺：對于異常事件進行定位，下上文關聯(lián)分析，發(fā)現(xiàn)攻擊范圍、手段、影響、方法等。響應機制：快速定位、隔離、處置的一系列風險響應機制。做好網絡日常評估，PDCA持續(xù)改進每月一次信息安全巡檢，及時發(fā)現(xiàn)網絡安全威脅，必要時引入合作伙伴。04系統(tǒng)邊界安全的重要性邊界安全帶來的問題(幾乎一切威脅)泄密、勒索、控制、失陷、DDOS攻擊黑客攻擊蠕蟲攻擊木馬攻擊APT持續(xù)滲透攻擊者思路邊界常用攻擊方式WEB

滲透，內網滲透，釣魚欺騙，社會工程學，無線入侵邊界安全-四象限未知可控未知不可控已知可控已知不可控不安全安全不方便方便邊界安全原則

最小特權原則是指主體執(zhí)行操作時，按照主體所需權利的最小化原則分配給主體權利

多級安全策略是指主體和客體間的數(shù)據流向和權限控制按照安全級別的絕密（

T

S

）

、

機密（C）、秘密（S）、限制（RS）和無級別（U）5級來劃分。

最小泄露原則是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權利邊界安全策略010203040506物理邊界藏匿身份認證控制系統(tǒng)權限管理網絡邊界藏匿授權訪問控制日志記錄審計論邊界安全重要性案例分析植入木馬程序遠程操控感染主機，

利用445、3389端口漏洞進行操作系統(tǒng)提權進化過的勒索病毒2.0攻擊流程利用管理員權限上傳加密程序并運行該程序軟件勒索病毒WannaCry

一種電腦軟件勒索病毒。該惡意軟件會掃描電腦上的TCP

445端口以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。WannaCry病毒是一種可自動感染其他電腦進行傳播的蠕蟲病毒，因鏈式反應而迅猛爆發(fā)。這種勒索病毒主要感染Windows系統(tǒng)，它會利用加密技術鎖死文件，以此勒索用戶。由于病毒對文檔采用RSA等高強度非對稱加密，一旦中招就無法恢復。襲擊者聲稱，索要價值不定數(shù)額的比特幣后方能解鎖文件。實際上，即使支付贖金，也未必能解鎖文件。案例分析案例分析案例分析案例分析案例分析配置賬戶鎖定策略，有效防止暴力破解攻擊案例分析配置賬戶密碼復雜度設置案例分析關閉windows共享服務windows共享服務在操作系統(tǒng)安裝時，默認就是開啟狀態(tài)，主要用于網絡文件共享、打印機等，445端口就是該服務端口案例分析開啟windows防火墻服務器可以開啟windows系統(tǒng)自帶的防火墻，僅需要開放服務器對外提供服務的端口即可，

關閉該防火墻等同于將服務器暴露于整個網絡中。案例分析