文章摘要：

安全区域边界在近几年变得越来越精细越来越模糊，因为攻击的形式、病毒传播的途径层出不穷，我以攻击者的角度去看，任何一个漏洞都可以成为勒索病毒传播和利用的方式，我们要做到全面补丁压力重重，通过边界划分，依靠不同的边界安全防护，在发生问题的情况下将损失降到最低。

通过等保2.0分析我们系统的脆弱性：安全区域边界篇

边界防护

**a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；
d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。**
自从出现了统方的情况后，医院对于终端准入的关注度日益增加，出现了非法接入医院内网，获取处方数据的情况，在我看过大部分医院准入系统后，在数据盗取者面前这个准入做了和没有做一样，这真的是一个防君子不防小人的系统，而那些统方者肯定已经超出了君子的范畴；通过传统的 IP/MAC 绑定很容易被绕过，缺乏对终端上特征的判断，而我目前更推荐是桌管 + 准入相结合，但这也不能完全避免非法接入的情况，并且医院设备种类众多，如设备仪器、摄像头、门禁等，我曾经写过一篇医院零信任网络安全架构的文章，想象着能通过操作系统、网络、安全结合大数据分析、 SDN 的方式去严格控制医院的准入，可能想象是美好的，但是国内的产品还不能完全满足这个要求，因为结合了多个厂家的领先技术。

我们理解准入的时候其实很多时候已经走入一个死胡同，我们缺乏了对移动设备接口、电脑接口、物联网通信、 5G/4G 通信都有可能成为准入的缺口，通过这些技术可以将外部网络中转后接入到内网，这些其实在我们的环境中已有很多案例。考虑大型设备的质控问题，进口品牌厂商就会在设备上安装移动网络 SIM 卡设备，除了大型设备，还有进口品牌的存储上我也发现了这个情况，所以我们要管的不仅仅是能看到的这张“有形网”，更是这张不太能看到的“无形网”。

传统的网络安全都设置了三个区域， T rust 、 U nTrust 和 DMZ ， 而在当今的网络安全中，任何事物其实都不可能完全信任，我们不仅要防外敌，同时也要防内鬼，一台中勒索病毒的内网终端可能比来自互联网的 DD oS 攻击更加可怕，这样看来要针对每一台终端都要有相应防火墙的进出保护，而且该防护墙也不限于传统意义的包过滤访问控制，还要有 IPS 、 WAF 、 防毒、行为管理等库，同时要配合外部的安全大脑，联动其他安全产品共同防御，想到这里我又想到了新冠病毒，可能不亚于防护生物病毒的复杂度。

医院有很多移动医疗业务场景，医生 PAD 查房，护理 PDA 扫码发药、库房 PDA 扫码入库等情况，有线的准入限制就如此薄弱，无线的准入限制就更加脆弱，曾经我就听说有医院出现非法授权人员通过无线网络进行统方的行为，这听起来已经是一件没什么技术含量的操作， PC 端的桌面管理很多时候在移动终端上都没有考虑，其实 MDM 移动终端管理这项技术已经很早就有。

近几年出现的“零信任”模型，无非就是在传统网络准入上更近一步，结合传输层、应用层的判断，对准入控制更加细化，原先一个终端对于网络接入只有“是”或者“否”，而零信任的环境下就算终端接入网络，终端上的程序是否能运行还要经过判断，程序走的网络流量要经过层层过滤和安全防护，就和疫情防控一般，从外地过来的，首先判断是不是中高风险地区，如果是中高风险直接劝返或者隔离（准入控制），如果是低风险地区，依然隔离多日通过多次核酸确认后才能入境（沙箱），境内我们限制了部分场所的使用，如限制了电影院、 KTV 、 棋牌室等风险场所，限制了入境人员可能去的风险区域（桌面管理），通过各场所的健康码扫码记录形成（日志审计），时刻要佩戴口罩进入公共场所（防火墙），最后该人员依然出现了疫情症状，传播的范围也可以控制到最小，并且通过扫码行程和其他运营商信号关联出其时空伴随者（态势感知），并一同隔离（杀毒软件）。

2 、 访问控制

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；
b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；
c）应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；
d）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力；
e）应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
在我原来工作的行业中，这块的内容其实是一项基本要求，每天有大量的工作是对防火墙上添加访问控制策略，要对工单表格中的内容进行合并同列项、归类，还要在访问沿途的防火墙上开通对应的策略，工作繁杂，对技术的要求其实不高，可能会遇到一些小问题，也就是长链接、 FTP 这些开放时要注意的问题。但是到了医疗行业，我咨询了好几家医院，基本都没有做访问控制的，我分析了一下有几个原因：①考虑性能问题，其实这已经不是问题，云数据中心、 IDC 等出口都有包过滤防火墙设备，并且内部还有租户单独的防火墙设备，原单位的迪普防火墙号称并发可以达到 8000 万，当我用容器环境做并发链接测试的时候打到过 500 万，防火墙的 CPU 、 内存没有一丝波动，而基本上没有医院的数据中心链接并发能达到 500 万的，而当时 J uniper 的 ISG 设备最高只能达到 2 万的连接数，几千的并发，所以设备合不合适要看设备的性能指标和新老，而这些都和投入的成本有关，这些都要严格要求集成商，不能配置低配的设备，造成后续业务升级过程中不必要的麻烦；②缺乏规划性，因为 IP 地址的规划和终端 IP 功能的规划，可能在开通防火墙的时候就要开通一个大段，这样的做法不太符合最小化原则，这时候其实先要考虑前期 I P 的规划，不同的 IP 网段有不同的功能，然后在开通防火墙的时候可以尽可能的按照最小化原则，而不至于有太大的工作量；③服务资产不清，不清楚数据中心服务开放端口的资产情况，大部分服务器端的软件都由软件厂家管理，并且开放端口医院信息科的人不清楚，连乙方部署的人都不一定清楚，很难在这样一个基础下建立起防火墙开放的流程；④高可用性的担心，在传统的防火墙设计中，一般就考虑将防火墙串联到网络当中，实际在部署的时候有很多种方式，当时对于医院这样的环境，我们尽可能考虑最小影响，我推荐透明串联 + 旁路 bypass 功能、策略路由旁挂 +SLA 检测、 vxlan 安全服务链引流，其中都要确保单台防火墙满足网络中最大流量，并且能够在出现故障时实现主主切换、主备切换、故障旁路，将业务的影响降到最低，并且尽量确保那些长链接会话不受影响。

在医院防火墙部署的位置上，我们要考虑信任和非信任两个方面，首先相对于内部网络，对互联网和专网我们应该列入非信任（专网包括医保、卫生专网等一切非医院自己内部的网络），相对于医院内网，医院的外网也是非信任区，相对于数据中心网络，医院的门诊、住院等办公网段也是非信任区，在这几处我们都应该确保有防火墙防护，对应策略默认拒绝，按需开通服务。可能大家觉得部署这么多防火墙并没有感受到很大的用处，大家在想想勒索病毒通过什么方式传播，见的最多的是 SMB 服务，其实只要是漏洞在我看来都有可能被勒索病毒利用，如果在全网终端没有打上补丁的情况下，我们除非有自动化工具能够批量对终端进行防火墙下发，那在便捷性和实用性折中的情况下，我们还是会考虑使用网络防火墙对勒索病毒传播端口进行封堵，如果单位本来就建立了良好的按需开通访问机制，在这个时候也就不会有很多担忧。

3 、 入侵防范

a）应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；
b）应在关键网络节点处检测防止或限制从内部发起的网络攻击行为；
c）应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；
d）当检测到攻击行为时。记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。
这里提到了外到内的网络攻击和内到外的网络攻击，外到内的防护毋庸置疑，而内到外的防护其实也是我们要考虑的，在网络安全法颁布起，攻击我国境内的网络资产都会受到法律的制裁，为了保护自己单位不受影响，那对内到外攻击的防护自然而然要被纳入管理的范围，像 C&C 攻击、 DD o S 攻击的肉鸡，像对勒索病毒外联的防护都是我们要考虑的，在保护他人的同时保护了自己。

对新型网络攻击行为的分析，其实早在 2014 年我就了解到了当时的 APT 产品（ 高级可持续威胁攻击 ），深思现在的网络架构，如果要发现新型的攻击行为，那我们就要排除掉一切以攻击库、病毒库为基础的设备，包括传统的防火墙、杀毒软件等，在此基础上，要联动下一代墙、态势感知、 EDR 等新型安全产品，甚至还要联动产品公司外部的实时信息，关联全球的安全情报，通过这样的要求，我对这套体系的考虑是尽可能通过同一家公司的产品实现，可以想象一个中国人对一个不会说中国话的外国人说汉语的时候是什么样的结果，就算双方都是中国人，不同的方言理解起来其实也有困难（就好像不同的产品线在传输日志和分析日志的时候都有不同的方法），所以对新型网络攻击行为的分析，其实任重而道远。

对于安全日志的收集、记录、分析、告警对整个安全运营中心平台也有很大的压力，打个比方，在同一原地址对医院多个互联网地址进行攻击时，原始的日志可能是成千上万条的，如果这成千上万条的日志不经过分析，直接告警，可能告警的短信平台、微信平台都会搞垮，安全日志分析汇聚的工作就尤为重要，不仅要对同一攻击源的不同攻击进行汇总，还要对不同攻击源的同种攻击进行汇总，甚至还要关联前后攻击的线索进行溯源。

4 、安全审计
a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
b）审计记录应包括事件的日期和时间用户、事件类型、事件是否成功及其他与审计相关的信息；
c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；
d）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
说到审计看似很简单，只要把日志传递到日志审计服务器记录，可以通过各式各样的参数查询即可，但是日志记录全不全、有没有遗漏，我之前就碰到过好几次溯源到一半失败的情况，一次是访问过程中有 NAT 设备，这个时间点 NAT 的日志没有，没办法把前后的日志关联起来，一次是设备上的攻击源地址是白名单地址，而白名单地址攻击不记录在日志中，还有很多次因为终端上的日志没有开启，导致最后一步溯源失败。

如果要将所有资产的日志进行审计记录，并且记录到位，还要做备份，其实这个量远远已经超过了 HIS 数据库的增长量，而且网络安全法的要求是日志记录 180 天，我看了下我们光数据库审计的日志每天就有 20 多 GB ， 180 天将近 4TB 的容量，我们还有网络设备日志、安全日志、操作系统日志、存储日志、应用日志等等，加起来每天的量可能就达到上百 GB ， 如此大量的细小碎片化数据，要做到日志查询不仅仅是一台日志审计服务器能做到，我在购买数据库审计的时候就测试了多家厂家的产品，不是日志遗漏保存，就是日志查询速度慢，或者是日志查询功能不全，如果是有能力的医院，其实建议还是单独自建开源的日志平台，对日志流量进行清洗、汇总，通过相匹配的 N oSQL 数据库记录，简单方便的可以考虑下 E lastic S earch ，在查询速度快的情况下，可视化也做的较好。

相关阅读：

通过等保2.0分析我们系统的脆弱性：安全物理环境篇
通过等保2.0分析我们系统的脆弱性：安全通信网络篇
通过等保2.0分析我们系统的脆弱性：安全计算环境篇