实战攻防演练对加强医院网络安全防护的探索

通过实战应急演练检验医院网络安全实战防护能力，培养医院网络安全团队应对网络攻击的响应和处置能力。由专业网络安全攻击团队与医院网络安全团队在真实网络空间进行对抗。通过实战攻防演练，医院积累了应对网络攻击的处置经验，发现了安全防护体系的薄弱环节，为下一步网络安全建设打下了基础。实战攻防演练可以帮助医院发现安全防护体系的弱点，是检验提升网络安全防护能力的重要手段。

引言

实战攻防演练是在真实网络环境中，以攻陷指定靶机为目标的网络安全攻防演练。实战攻防演练不限攻击路径及攻击手段，可全面评估目标所在网络的整体安全防护能力，检验防守方安全监测、防护和应急响应机制及措施的有效性，锻炼应急响应队伍提升安全事件处置的能力。随着国家对网络安全的重视，评价网络安全建设的标准逐渐从安全合规性转变为对实战网络安全的保障能力。在此背景下，实战攻防演练作为提升安全团队技术能力、积累攻防对抗经验及挖掘医院网络安全建设漏洞的重要手段，对加强医院实战背景下的网络安全防护能力具有重要价值。

实战攻防演练的意义

随着医院对网络安全工作的重视，系统漏洞扫描、应用安全测试等安全自查和安全加固已成为医院维护网络安全的日常措施。这些措施虽然能在一定程度上解决网络安全问题，但却存在明显的被动性和滞后性，导致网络安全建设存在盲区，久而久之，医院网络安全团队会对未来医院网络安全建设方向感到迷茫，也会对现有网络安全防护体系建设盲目自信。针对这些问题，实战攻防演练作为“以攻促防”网络安全建设思想的体现，对医院网络安全建设具有重要意义。

在网络安全体系建设中，实战攻防演练可帮助医院网络安全团队摆脱防御者视角的局限性，从攻击者的视角重新审视医院网络安全防护体系，学习攻击者如何发现和利用网络中潜在的薄弱环节完成目标攻击。实战攻防演练可以挖掘现有安全防护体系中潜藏的安全漏洞，攻防对抗的实战经验也将成为指引医院未来网络安全规划和建设方向的重要指导。

医院在进行实战攻防演练过程中可以充分检验现有网络安全事件应急响应流程的可行性和有效性，医院网络安全团队在演练过程中可以提升自身网络安全维护的技能，积累网络安全事件处置经验，利用安全可控的实战攻防演练环境，推进医院网络安全应急保障体系的完善，培养网络安全保障人才。

实战攻防演练的流程

准备阶段 为确保攻防演练过程顺利进行、演练过程不对医院正常业务造成影响，演练开始前需制定详细的演练计划，明确演练目标、演练时间、限制行为和保障措施等重要内容，建立沟通渠道和应急机制，降低意外风险，演练相关人员需要签署安全协议和保密协议，并在演练开始前召开启动会，向演练双方明确演练方案和应急措施，避免因演练导致安全事件。

攻防对抗阶段 实战攻防演练中攻击方在不影响医院业务正常开展的前提下，采用“不限制攻击路径、不限制攻击手段”的攻击方式，对医院网络进行“有组织”的网络攻击，考验医院网络安全防护体系的应急保障能力和网络安全团队应对复杂网络安全事件的处置能力。在攻防对抗阶段，以“蜜罐”为代表的攻击诱捕和欺骗技术发挥了巨大作用，在攻防对抗的第一天即识别出攻击方超过100个用于发动攻击的IP地址，枯竭了攻击方IP资源池，严重打乱了攻击方的攻击节奏。

总结与改进阶段 演练结束后，医院安全团队需要总结演练过程中得到的经验和教训，针对发现的安全漏洞和问题制订整改方案，完善应急流程，将演练成果切实转化为医院网络安全防护和保障的能力。

通过实战攻防演练促进医院网络安全建设

医院通过实战攻防演练发现的问题和总结的经验如下。

问题讨论 首都医科大学附属北京友谊医院通过实战攻防演练检验医院网络安全防护能力，对演练过程进行复盘和总结。在复盘过程中发现医院互联网虽然组织了由外到内的多层防御，但只有最外层的互联网边界防护发挥了显著的防护效用，特别是通过攻击诱捕和威胁识别防御手段，显著拦阻和迟滞了攻击方的大量恶意行为。但随着攻击逐渐侵入核心网络区域，攻击方攻陷医院互联网系统的难度越来越低，防守方识别和处置攻击行为的难度越来越高，最终攻击方利用“弱密码”漏洞轻松攻陷目标靶机，内层安全防护未起到应有作用。演练结果说明医院网络安全过于依赖边界防护，越核心的系统和区域安全管控反而越松散，导致攻击方一旦获得初始访问权限，进入到医院网络内部，内部网络安全威胁识别和处置体系很难及时、有效地对攻击行为做出响应。

防守经验总结 善于利用攻击欺骗技术建立防守优势。基于网络诱捕技术的“蜜罐”和“蜜网”在对抗网络攻击时因其精确的攻击检测和显著的攻击迟滞能力而展现出巨大的防守应用价值。一个有效的蜜罐系统可以吸引攻击者大量注意力，浪费攻击时间，使防守方在此时间内收集攻击者信息，为防守方攻击溯源和阻断攻击源提供情报。

加固网络安全设备的自身安全漏洞。相较于持续不断地对业务信息系统的加固，医院容易忽视对网络设备和安全设备自身安全漏洞的检查和加固。这些信息基础设备如防火墙、VPN和蜜罐系统等本身就部署在网络边界或对外提供服务的安全设备内，一旦自身存在安全漏洞，极易成为攻击者突破网络边界防护的重要途径。因此，必须重视安全设备自身的安全加固，关注安全动态，当安全设备爆出漏洞时第一时间进行修复。

注意网络内部访问权限管理，特别注意服务器的互联网访问权限管理。系统一旦失陷，攻击者会利用具有互联网任意地址访问权限的服务器建立远程控制隧道，方便对内网的持续渗透。限制服务器主动连接互联网任意地址的能力，可提高攻击者访问和利用失陷服务器的难度，提高攻击成本，为防守方检测和处置攻击创造了有利条件。

重视基础安全加固。因弱密码、非最小必要权限等安全问题过于常见等原因容易在网络安全工作中被忽视。然而攻防演练的经验表明，一旦发生网络攻击事件，这些安全漏洞会给攻击者带了可乘之机。攻击者可利用这些常见高危漏洞快速攻陷脆弱系统，在短时间内快速扩散攻击战果，大幅度提高了医院的应急响应难度，甚至可能导致安全事件升级。

加强网络内部纵深安全建设。在互联网时代，医院必须重视纵深安全防御体系的构筑，确保即使互联网边界防护被突破，内网安全防护能力仍足以迟滞攻击者行动，为安全团队识别网络攻击、抑制事态发展创造机会。

未来建设规划 基于实战攻防演练的经验，医院在加强基础网络安全建设的基础上，将重点开展主动防护和纵深防御能力建设，加强安全运维。通过安全运维将威胁识别、威胁防护、威胁检测和安全事件响应能力整合，通过威胁识别能力提供安全情报和防御策略，通过威胁防护能力强化主动和被动防护，通过威胁检测能力提供安全威胁数据并实施威胁猎杀，通过安全事件响应能力总结安全经验。通过持续改进威胁识别和防护能力，构建以威胁识别、威胁防护、威胁检测和事件响应4个维度所组成的持续循环、持续改进的闭环安全防护体系。

【引用本文：赵现 王力华.首都医科大学附属北京友谊医院[J]. 中国数字医学,2021,16(11)113-115.】

声明：本文来自中国数字医学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。