醫(yī)院網(wǎng)絡(luò)安全建設(shè)課件

醫(yī)院網(wǎng)絡(luò)安全建設(shè)目錄CONTENT醫(yī)院簡(jiǎn)介醫(yī)院網(wǎng)絡(luò)安全常見(jiàn)問(wèn)題構(gòu)建醫(yī)院網(wǎng)絡(luò)安全管理體系邊界安全與防控技術(shù)醫(yī)院建于1987年，占地面積82畝；編制床位1800張，在職職工1673人1995年通過(guò)三甲醫(yī)院評(píng)審2003年成立湖南省兒科醫(yī)學(xué)研究所2007年博士后工作站正式掛牌2010年與南華大學(xué)聯(lián)合創(chuàng)辦兒科學(xué)院2013年-2015年貫行JCI國(guó)際標(biāo)準(zhǔn)2014年10月20日通過(guò)國(guó)家GCP資格認(rèn)定2016年組建湖南兒科醫(yī)聯(lián)體2018年再次成為國(guó)家危重癥救治中心0102殺毒軟件部署不到位，常見(jiàn)于一些儀器設(shè)備客戶端、服務(wù)器備份數(shù)據(jù)從來(lái)沒(méi)有驗(yàn)證，等需要恢復(fù)時(shí)無(wú)法使用安全設(shè)備投入不足，有的買了安全設(shè)備，但是許多策略未使用互聯(lián)網(wǎng)應(yīng)用越來(lái)越多，邊界安全問(wèn)題嚴(yán)重運(yùn)維人員無(wú)管理，只要說(shuō)是運(yùn)維人員就可以使用服務(wù)器數(shù)據(jù)庫(kù)沒(méi)有進(jìn)行權(quán)限劃分，經(jīng)常使用root權(quán)限工作人員安全意識(shí)淡薄，可能遭遇社會(huì)工程學(xué)攻擊wifi沒(méi)有隱藏ssid及準(zhǔn)入控制管理，可通過(guò)wifi密碼破解進(jìn)入內(nèi)網(wǎng)流程優(yōu)化越來(lái)越多，政策變化很快，需求修改很難做到嚴(yán)格測(cè)試病毒越來(lái)越多、危害性越來(lái)越大，病毒越來(lái)越智能化信息互聯(lián)互通程度越來(lái)越高，局部故障影響全局信息技術(shù)越來(lái)越復(fù)雜、設(shè)備越來(lái)越高端，不容易出問(wèn)題，但是一出問(wèn)題就是大問(wèn)題，醫(yī)院技術(shù)能力有限03建立機(jī)構(gòu)與管理制度醫(yī)院設(shè)立信息安全領(lǐng)導(dǎo)小組明確網(wǎng)絡(luò)主管領(lǐng)導(dǎo)設(shè)立機(jī)構(gòu)明確職責(zé)分工建立管理制度建立管理制度加強(qiáng)信息安全知識(shí)學(xué)習(xí)安全意識(shí)：包括技術(shù)人員、管理人員、醫(yī)院領(lǐng)導(dǎo)，增強(qiáng)信息化安全意識(shí)與全員參與意識(shí)。操作技能：面對(duì)技術(shù)人員的技能操作，實(shí)踐與動(dòng)手能力。國(guó)家法規(guī)：清楚國(guó)家法律法規(guī)，比如網(wǎng)絡(luò)安全法、國(guó)家相關(guān)網(wǎng)絡(luò)安全制度、醫(yī)院相關(guān)安全制度。國(guó)際標(biāo)準(zhǔn)：ITIL、ISO270001標(biāo)準(zhǔn)等。安全培訓(xùn)：網(wǎng)絡(luò)安全、信息安全知識(shí)培訓(xùn)。安全風(fēng)險(xiǎn)分析系統(tǒng)漏洞攻擊：系統(tǒng)漏洞探測(cè)，利用系統(tǒng)安全漏洞開展網(wǎng)絡(luò)攻擊；內(nèi)網(wǎng)系統(tǒng)漏洞攻擊：攻擊者拿到部分服務(wù)器權(quán)限后，利用拿到的權(quán)限對(duì)內(nèi)網(wǎng)系統(tǒng)和資產(chǎn)進(jìn)行漏洞探測(cè)和攻擊；邊緣系統(tǒng)跳板攻擊：針對(duì)和目標(biāo)系統(tǒng)連通的其它系統(tǒng)進(jìn)行攻擊，通過(guò)攻陷這些系統(tǒng)作為跳板進(jìn)而攻擊目標(biāo)系統(tǒng)；內(nèi)網(wǎng)系統(tǒng)口令爆破：攻擊者在內(nèi)網(wǎng)攻擊時(shí)對(duì)內(nèi)網(wǎng)資產(chǎn)口令進(jìn)行爆破，取得弱口令資產(chǎn)的控制權(quán)安全防護(hù)策略—資產(chǎn)梳理和安全自查互聯(lián)網(wǎng)資產(chǎn)自查（域名、IP、服務(wù)、端口等），網(wǎng)絡(luò)路徑自查（系統(tǒng)訪問(wèn)源包括用戶、設(shè)備、系統(tǒng)，繪制網(wǎng)絡(luò)路徑圖和數(shù)據(jù)流向圖）關(guān)聯(lián)系統(tǒng)資產(chǎn)梳理（網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)設(shè)備），安全漏洞掃描（操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、安全設(shè)備）安全基線檢查（多余服務(wù)、多余賬號(hào)、口令策略、弱口令等）安全防護(hù)策略—安全加固安全策略優(yōu)化（網(wǎng)絡(luò)防火墻、應(yīng)用防火墻的訪問(wèn)控制策略，對(duì)外服務(wù)和端口）日志審計(jì)（應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備和安全設(shè)備）流量監(jiān)測(cè)，安全加固（關(guān)鍵節(jié)點(diǎn)流量，策略配置優(yōu)化改進(jìn)）完善應(yīng)急機(jī)制（處置流程和預(yù)案，建立專項(xiàng)措施，明確職責(zé)分工）優(yōu)化監(jiān)測(cè)功能（web

防火墻、IDS、IPS、數(shù)據(jù)庫(kù)審計(jì)）備份、CDP與應(yīng)急演練備份和恢復(fù)應(yīng)提供本地備份與恢復(fù)功能，完全數(shù)據(jù)備份最少每天一次，場(chǎng)外存放。關(guān)鍵數(shù)據(jù)庫(kù)備份功能需要支持CDP持續(xù)數(shù)據(jù)保護(hù)技術(shù)異地備份關(guān)鍵數(shù)據(jù)冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?，避免關(guān)鍵節(jié)點(diǎn)單點(diǎn)故障。數(shù)據(jù)完整性保護(hù)管理數(shù)據(jù)、鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)傳輸和保存中完整性。數(shù)據(jù)保密性保護(hù)管理數(shù)據(jù)、鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)傳輸和保存中保密性。目

標(biāo)保護(hù)用戶數(shù)據(jù)系統(tǒng)數(shù)據(jù)

業(yè)務(wù)數(shù)據(jù)應(yīng)急演練與恢復(fù)性測(cè)試先檢查再加固建立監(jiān)測(cè)和響應(yīng)機(jī)制確認(rèn)自身安全性：對(duì)于核心業(yè)務(wù)服務(wù)器開展風(fēng)險(xiǎn)檢測(cè)，對(duì)于風(fēng)險(xiǎn)服務(wù)器斷網(wǎng)處置?；A(chǔ)安全檢查：弱口令檢查、文件共享、系統(tǒng)漏洞檢查、互聯(lián)網(wǎng)連接；惡意樣本檢測(cè)：勒索病毒、遠(yuǎn)控木馬、蠕蟲、觸發(fā)器等。服務(wù)器安全加固：對(duì)于核心服務(wù)器開展業(yè)務(wù)評(píng)估，對(duì)于安全涉及的控制點(diǎn)形成立體防護(hù)?；景踩雷o(hù)：部署防病毒軟件，隔離網(wǎng)樣本和系統(tǒng)補(bǔ)丁的持續(xù)運(yùn)營(yíng)。業(yè)務(wù)訪問(wèn)控制：建立主體（用戶、進(jìn)程、IP）對(duì)于客體（端口、文件、注冊(cè)表、共享等）的訪問(wèn)控制規(guī)則。日志保存：對(duì)于違規(guī)日志、檢測(cè)日志、加固日志進(jìn)行留存。持續(xù)監(jiān)控：建立業(yè)務(wù)服務(wù)器監(jiān)測(cè)響應(yīng)機(jī)制，持續(xù)監(jiān)測(cè)異常、突發(fā)事件，提供分析、定位、響應(yīng)的平臺(tái)和工具。全量數(shù)據(jù)采集：服務(wù)器探針機(jī)制，采集全量行為數(shù)據(jù)。醫(yī)院終端大數(shù)據(jù)安全監(jiān)測(cè)平臺(tái)：對(duì)于異常事件進(jìn)行定位，下上文關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊范圍、手段、影響、方法等。響應(yīng)機(jī)制：快速定位、隔離、處置的一系列風(fēng)險(xiǎn)響應(yīng)機(jī)制。做好網(wǎng)絡(luò)日常評(píng)估，PDCA持續(xù)改進(jìn)每月一次信息安全巡檢，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，必要時(shí)引入合作伙伴。04系統(tǒng)邊界安全的重要性邊界安全帶來(lái)的問(wèn)題(幾乎一切威脅)泄密、勒索、控制、失陷、DDOS攻擊黑客攻擊蠕蟲攻擊木馬攻擊APT持續(xù)滲透攻擊者思路邊界常用攻擊方式WEB

滲透，內(nèi)網(wǎng)滲透，釣魚欺騙，社會(huì)工程學(xué)，無(wú)線入侵邊界安全-四象限未知可控未知不可控已知可控已知不可控不安全安全不方便方便邊界安全原則

最小特權(quán)原則是指主體執(zhí)行操作時(shí)，按照主體所需權(quán)利的最小化原則分配給主體權(quán)利

多級(jí)安全策略是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別的絕密（

T

S

）

、

機(jī)密（C）、秘密（S）、限制（RS）和無(wú)級(jí)別（U）5級(jí)來(lái)劃分。

最小泄露原則是指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配給主體權(quán)利邊界安全策略010203040506物理邊界藏匿身份認(rèn)證控制系統(tǒng)權(quán)限管理網(wǎng)絡(luò)邊界藏匿授權(quán)訪問(wèn)控制日志記錄審計(jì)論邊界安全重要性案例分析植入木馬程序遠(yuǎn)程操控感染主機(jī)，

利用445、3389端口漏洞進(jìn)行操作系統(tǒng)提權(quán)進(jìn)化過(guò)的勒索病毒2.0攻擊流程利用管理員權(quán)限上傳加密程序并運(yùn)行該程序軟件勒索病毒W(wǎng)annaCry

一種電腦軟件勒索病毒。該惡意軟件會(huì)掃描電腦上的TCP

445端口以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。WannaCry病毒是一種可自動(dòng)感染其他電腦進(jìn)行傳播的蠕蟲病毒，因鏈?zhǔn)椒磻?yīng)而迅猛爆發(fā)。這種勒索病毒主要感染W(wǎng)indows系統(tǒng)，它會(huì)利用加密技術(shù)鎖死文件，以此勒索用戶。由于病毒對(duì)文檔采用RSA等高強(qiáng)度非對(duì)稱加密，一旦中招就無(wú)法恢復(fù)。襲擊者聲稱，索要價(jià)值不定數(shù)額的比特幣后方能解鎖文件。實(shí)際上，即使支付贖金，也未必能解鎖文件。案例分析案例分析案例分析案例分析案例分析配置賬戶鎖定策略，有效防止暴力破解攻擊案例分析配置賬戶密碼復(fù)雜度設(shè)置案例分析關(guān)閉windows共享服務(wù)windows共享服務(wù)在操作系統(tǒng)安裝時(shí)，默認(rèn)就是開啟狀態(tài)，主要用于網(wǎng)絡(luò)文件共享、打印機(jī)等，445端口就是該服務(wù)端口案例分析開啟windows防火墻服務(wù)器可以開啟windows系統(tǒng)自帶的防火墻，僅需要開放服務(wù)器對(duì)外提供服務(wù)的端口即可，

關(guān)閉該防火墻等同于將服務(wù)器暴露于整個(gè)網(wǎng)絡(luò)中。案例分析