探求一种更加安全的网络架构,从而解决日益严峻的医院网络安全问题。利用微分隔和细粒度边界策略,通过风险汇聚与分析、持续的信任评估及不断地对外部风险进行评估、对漏洞进行修复来降低医院网络的访问风险。零信任安全架构应用于医院网络后,任何对医院数据的访问请求都必须经过认证、授权,提升了医院内部安全风险感知能力,显著降低医院网络安全风险和不良事件发生的概率。零信任安全架构可以解决医院现存的网络风险问题,有效提升医院网络安全防护水平。
随着计算机和互联网技术的快速发展,医院信息化程度不断加深,进一步推动医院网络规模日益庞大。由此,在带来业务方便性的同时,也随之带来了新的网络安全风险与挑战。2018年WannaCry勒索病毒暴发给了医疗行业以重击,医院网络安全危机事件时有发生。黑客针对医院网络的攻击不仅会中断医院业务,造成财产损失,甚至会引发公共安全危机。基于边界防护内外网隔离的医院网络安全架构难以应对医疗资源互联互通下日益复杂的安全问题,零信任安全架构亟待开发应用。
医院网络安全现状与问题
据腾讯智慧安全《医疗行业勒索病毒报告》发布的数据显示,2018年全国至少有247家三甲医院检出勒索病毒。美国Verizon发布的《2019年数据调查报告》显示医疗行业已成为勒索病毒攻击的重灾区。医院的医疗数据如患者隐私信息、实验数据、病例样本等都具有极高的价值,所以越来越多不法分子通过散播勒索病毒、加密服务器所有文件等方式中断公共卫生服务,并索取高额赎金,给医院造成不良影响以及经济损失。
随着“互联网+健康医疗”模式以及电子病历等智慧服务在医院的广泛应用,医院内外网之间信息交互的数据流量激增。传统的医院内外网通常采用防火墙、网闸等交互设备进行物理隔离,而互联网+模式下,由预约挂号、远程会诊、互联网医院等新业务产生的内网数据直接通过互联网传输,内外网数据交互频繁,导致内外网边界日渐模糊。零信任架构(zero trust architecture,ZTA)以用户身份认证和资源授权取代了传统内外网隔离的边界防护体系,并被倡导应用到医院网络中。
边界安全问题 简单的内外网分区使特定区域内受信任的用户、设备之间可以实现相对自由的互联互通,但是过于宽泛的信任也会造成网络安全边界模糊的问题。随着互联网医院发展水平和信息资源共享要求的不断提高,内外网数据的交互程度也在不断加深。数字化医院转型升级需要大量使用云计算和大数据技术,更多业务和数据被迁移到公有云,超出物理隔离范围的边界问题也日益凸显。
内网安全问题 基于边界防护的医院网络架构多默认内网环境绝对安全,病毒库通常不及时更新。医院外网接入单位复杂,通常部署Web应用防火墙、防病毒网关,所以黑客通过外部攻击的难度加大,此时防护能力薄弱的内网面临的风险激增。勒索病毒多利用服务器漏洞远程随机扫描端口,侵入外网前置主机或终端进行蠕虫式传播,使用RSA-2048和AES方法对所有文件进行加密。攻破前置机之后通过内网终端进行二次扫描攻击更多核心服务器,直接操纵HIS/LIS/PACS/EMR等医院核心业务系统,中断医院业务并引发严重的内网安全问题。
数据安全问题 随着大数据时代来临,医院进行了数字化转型,大量数据被迁移到云上,与此同时也带来数据过于集中的问题。有价值的医疗数据自然而然地成为黑客的攻击目标。进攻者主要通过密码爆破、弱口令等方式来突破医院的访问限制,进入医院内部数据库进行横向攻击,使医院数据中心防不胜防。可见传统的网络安全架构已不能满足医院数字化建设的安全防护需求。
零信任安全架构
零信任架构是由Forrester在2010年提出的安全模型,是一种网络/数据安全的实体到实体方法,是一种区别于传统安全方案只关注边界防护,而更关注数据保护的架构方法。零信任架构认为不论内网外网,一切网络实体都是不可信的,对所有请求访问的设备、用户和访问流量都要进行认证、授权和加密处理,即“从不信任、始终验证、强制使用最小权限”的原则。
零信任架构模型核心组件由数据平面、控制平面和身份保障基础设施组成,其中控制平面是零信任架构的支撑部分,数据平面是交互部分,身份保障基础设施是保障部分,控制平面实现对数据平面的指挥和配置,如图1所示。
图1 零信任架构模型核心组件
医院零信任安全架构及安全防护步骤
医院零信任安全架构应用 零信任架构应用实际是在医院员工数据区以及非医院员工数据区之间建立一个安全区,任何对医院数据访问的请求都必须经过认证、授权,只有获取信任凭证的用户才能获得对医院内部数据的访问权限。提升医院内部安全风险感知能力,通过风险汇聚与分析、持续的信任评估及不断地对外部风险进行评估、对漏洞进行修复来降低医院的访问风险。
用户身份验证 用户身份是用户在网络系统中一切访问和操作的基础,零信任授权方式是以身份为中心,即认证用户身份是否属实并且有效。目前大多数医院网络采用的基于公钥密码算法的身份认证技术,由于具备成熟的技术水平、安全性能高、方便快捷等优势条件,在零信任安全架构下仍被广泛使用。不同的是,传统公钥密码一经验证通过的用户便具备长期访问权限,攻击者通过冒用身份或破获密码即可侵入医院网络系统。而在零信任架构下,用户每次访问都要经过验证并受到持续的监控,从源头上降低了黑客攻击的风险。零信任模型下对用户行为的限制和监控可以有效地规避风险,提升医院网络的安全性。
终端安全 零信任架构下医院网络通过策略决策引擎(Policy Decision Point, PDP)和策略管理引擎(Policy Enforcement Point, PEP)对访问全过程进行严格验证和授权,采用证书系统来对访问进行安全认证。从终端到业务服务器切断非法访问的可能性,实现端到端的请求拦截,大幅度降低医院网络安全风险。
动态验证 零信任的动态验证一般依托于用户实体行为分析(User and Entity Behavior Analytics,UEBA)技术。医院网络验证多采用静态授权规则,初始访问只有一种验证方法,并且只对访问行为执行一次评估。零信任架构下采取访问、扫描、识别评估、调整的不断循环,执行动态的访问控制,每次授权范围会随着时间、身份信息、地理位置、请求、网络环境等因素的变化而重新定义,如图2所示。这种监控行为解决了静态授权下安全验证动态性不足的问题,进而达到效率和安全性的平衡。
图2 零信任访问架构
最小化授权 最小权限原则是零信任倚赖的监管策略之一,也就是只赋予用户完成特定工作所需的最小访问权限,实现精确访问。零信任架构采用细粒度策略持续分析访问请求,评估访问主体的信任度,确定用户(比如远程办公用户)可以访问院内哪些资源,对资源执行哪些操作(读、写、删除等),最大程度地减少用户与医院敏感数据的接触。
自适应控制 零信任架构的策略就是不相信任何人,对所有访问主体都要反复认证明确身份,相应的信任等级也随之不断调整。当医院高风险事件发生譬如发现漏洞和威胁时,零信任架构立即形成安全闭环,实时警报具有威胁性的访问行为,随即将接触网络的设备隔离和保护起来,进一步启动更高级别的验证模式。零信任架构的自适应控制,可以实现阻断风险和取证的目标。
医院零信任架构下安全防护步骤 ①打破医院内外网之间物理隔离,将内外网合并,所有终端统一采用主流的网络准入控制技术,符合安全基线的才能接入网络,充分识别和控制非法终端接入;②医院网络与卫生健康委、医保局等外部网络互动频繁,信息出口众多,所以出口防火墙应设置使用网络地址转换(Network Address Translation,NAT)方式进行互联网访问,尽量控制外部对医院内部网络的访问行为;③医院数据中心接入核心交换机,相关业务服务器均直接连接核心去除安全网关设备;④医院内所有终端主机和关键数据库均安装零信任安全软件,对所有外来访问进行认证。HIS\\LIS\\PACS\\EMR等业务系统部署的主机启动默认拒绝的防火墙策略,任何系统请求都将经过接入控制引擎判断是否合法,任何未经授权的非法访问行为都被禁止,如恶意进程、恶意内存访问、恶意权限提权等;⑤未安装零信任安全软件的主机禁止参与所有医院业务,通过终端检测响应(Endpoint Detection and Response,EDR)平台监管主机的操作系统,实现进程、驱动、内存、文件、内核的代理管理,任何未授权的数据访问都默认拒绝;⑥受保护的应用和敏感数据对非授权用户不可见,外来用户未经认证通过,无法访问已经安装零信任网络的主机,也不能和其他主机建立联系。杜绝服务器互联现象,防止木马在医院服务器之间横向传播;⑦使用堡垒机管理医院内部服务器远程账户访问。运维人员的账号由堡垒机的管理人员统一分配,原始密码作保密处理,避免越权操作等情况发生;⑧医院运维人员原则上应使用VPN连接内网,通过手机短信+账号密码的方式完成身份识别。每名运维人员账号开放权限仅限于其维护的服务器;⑨采用市场主流的EDR终端软件作为接入控制引擎,实现零信任客户端主机的访问授权,授权之后的请求将被允许通过。采用证书CA及安全传输协议来实现传输加密,防止数据被监听,保护医疗数据安全。
结语
“互联网+医疗”模式在提升医院信息化水平的同时带来了相应的网络安全隐患,也提出了更高的网络防护要求。零信任网络安全架构颠覆传统的物理隔离方式,打破网络边界。不论内部业务还是外部互联网,所有访问都做到可知可控,避免过度信任下主机被攻陷导致整个网络环境崩溃。医院网络环境变得更加开放、安全、高效。
【引用本文:李梦悦 陈敏.华中科技大学同济医学院医药卫生管理学院[J]. 中国数字医学,2021,16(9)106-109.】
声明:本文来自中国数字医学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。