医疗系统安全防御

医疗信息化是时代发展的必然趋势,目前我国一部分拥有强大区域影响力的医院已经在该领域走到了国内领先的位置。然而在医疗信息化发展的同时,医疗信息安全的隐患越来越大,我作为国内某医药类大学计算机科学与技术(医疗信息化方向)的大一萌新,开始逐渐关注这一领域,并且有了一些相关想法,整理了一下思路总结如下,基本是给医院从业人员作为参考,同时也希望各位dalao指点。

0x01安全意识

用一个小案例简单引入一下。

2016年12月31日23时30分,我挖到了2016年最后一个漏洞,厂商为山东某医院,该医院官方网站存在一个简单而又严重的SQL注入漏洞,轻松拿到shell。满心欢喜的我到了补天准备提交这2016年的最后收获,结果一脸懵逼的发现这个漏洞2015年7月已经被提交过了,更让我惊讶的是,漏洞提交给厂商后,厂商居然一年多没有理会,更没有补救,由此可见,当前在医疗信息方面,我们的信息安全意识是有多弱。

在乌云平台上,我们只要搜索“医院”这一词条,就能发现数量巨大的漏洞,而且仔细研究之后,我不禁要感慨:这么低级的漏洞市面上已经很难见到了!很多漏洞让我仿佛置身于2004年——一个啊D或者明小子就能打天下的时代。并且这些漏洞泄露的信息量也非常惊人,大量的病人信息等都在其中一览无余。更为可怕的是很多的漏洞和我所遇见的一样,目前处于三不管的状态,一些做黑产的人可能不怎么不要技术就能够获得大量自己想得到的数据。

在我看来,目前黑产所做的事情基本都是在谋财,而医院一旦对医疗信息安全不重视,必将导致安全隐患害命这一恶果的发生,医疗信息安全防御体系的第一道防线是医院自己:

1.对自己的安全做一个合理的判断,不要高估自己的防御水平。

2.加强从业人员信息安全意识的培养,尤其是信息科。

3.与外界企业合作,建设更为安全的网络环境。

0x02医疗设备安全

物联网时代发展速度非常迅速,但是物联网安全的发展真的跟上了进度吗?答案是否定的。今年二月份我国一大型安全社区就发表了这样一篇文章:医疗设备已成为入侵医疗网络的关键切入点。

不知道大家是否看过美剧《国土安全》,剧中,黑客在得知了副总统的心脏起搏器序列号后,以这个起搏器为起点,入侵了医院的网络,切断了与起搏器的连接,在短短的几分钟后,副总统就这样命丧黄泉。这一电影在去年重新引起了广大的反响,原因就是美国的一支安全团队进行了模拟实验,成功依靠心脏起搏器杀死了一个模拟的人。

2015年,美国FDA发出警告,要求各大医院停止对输液泵的使用,原因是输液泵极易被攻破,然而事实上,各大医疗设备厂商往往都会把自己的源码作为专利,而不会向许多IT公司一样进行开源,这就导致了医疗设备的安全情况难以被检测,一旦被黑客利用,结果就绝对不会像“谋财”这样简单了。

总之,医疗设备安全是对于患者生命威胁最大的隐患,但是这个领域对于技术要求高,而且因为种种因素不好进行安全评估,难以进行安全检测,所以在这一道难以防御却又不得不防的防线上,我个人意见如下:

1.鉴于医疗设备安全可靠性较差,并且关系到设备厂商的核心利益,需要以监控的形式对其安全性进行制约。

2.对于医院方面,有必要提升自身的安全防御能力,以输液泵为例,对于用户的授权情况进行严密的审查,对于远程控制进行严格的审查。

3.FDA已经出台了相关的安全管理制度来约束医疗设备厂商的安全可靠性,我们政府相关部门也应该出台相关政策来对厂商提供的设备进行严格的安全检查。

0x03web安全

Web安全不管到了哪里都是重中之中,事实上我国更多的黑产从业者更喜欢web攻击,可能在很大程度上,这一领域的主要危害是谋财,但是如果患者信息被窃取,谁知道会不会像魏则西那样,最终……

Web安全相信医院相关部门的工作人员应该不陌生,解决方案往往是暴力WAF法和暴力安全狗法……很尴尬的是现在绕狗已经成为了信息安全从业人员必备的一项技能,至于WAF请允许我引用从容在2017先知白帽大会上的议题:没有绝对的WAF防御!

作为学校网络中心的成员,我多次和学校的web安全打交道,当我和学校网络中心领导交流时说道WAF是防不住一些dalao入侵的时候,老师的表情是震惊的:什么?防不住?于是我也用了暴力联想法,医院相关部门的领导是不是也是这个想法?

在web安全方向,其实医院相关部门的工作也很简单,除了拒绝服务攻击这一几乎无解的攻击方式,其他的无非就是补补漏洞,及时更新爆出漏洞的web组件,服务器操作系统、增加弱口令检测禁用程序等等。

我的这篇文章主要面向人群是医院的相关工作人员,我要说的是web安全在医院的地位一定是排在第一位的,没有了web安全,也许之前所说的医疗设备安全也就不复存在了,在这一方面,我提供的解决思路如下:

1.及时更新危险的操作系统、web组件等。

2.增添弱口令检测禁用程序,别让弱口令成为web安全的硬伤。

3.不要排斥众测,众测会给你爆出许多漏洞,尽全力修复它们!

4.与安全厂商合作,WAF还是要有的,毕竟能给抵御大多数的攻击,做做等保、渗透测试也是很重要的。

0x04信息传输安全

2017先知白帽大会会场——北京某酒店的工作人员的对话给我留下的非常深刻的印象:“这两天大家都不要连WIFI,全是黑客,非常不安全。”然而事实证明,他们是对的,据说会场确实有dalao在搞破坏(当然不一定出于恶意)。

在医院,信息传输安全就显得更加重要了,当今,很多大型医院开始极度依赖于信息化平台,患者从进医院到出医院完全都在信息化平台上完成,如果突然信息传输系统被黑,那么结局就很尴尬了。

这里信息传输的安全绝不只是信息化流程平台,还包括医疗设备的数据传输。距离我家最近的省内某知名三甲医院,非常依赖全覆盖的WIFI,原先血常规还提供纸质化验单,现在夜间急诊已经省去这个步骤,直接去急诊室再医生电脑上就会收到相关体检报告。

虽然现在世界上暂时没有出现过医院因为信息传输过程产生医疗事件的事情发生,但是,在这一领域还是不得不考虑的。信息传输安全作为未来可能出现的新型针对医院开展的攻击形式,我们要做的还是防患于未然:

1.对于可能被劫持的数据进行md5校验等。

2.不要太依赖信息化平台,毕竟纸质的化验单还是很必要的,万一换另一家医院呢?

3.对交换机、路由器等网络设备定期进行安全检测。

结语

以上全部内容是我站在医院相关部门的角度提出的相关分析与建议,虽然会有很多错误或者是遗漏,但是依然希望能够唤醒大家对医疗信息安全的重视,希望在不久的将来,我们医院的安全情况能够好转,给我们所有的人一个更为安全的医疗信息环境!

参考:CSDN博主「Richard_LEE_」

Recommended Posts