北京友谊医院：医院网络边界安全建设的经验

图1 医院网络边界安全体系架构

所有准入认证机制避免使用“用户名+密码”，杜绝弱口令问题，同步建立设备入网审核机制和规范流程，新设备接入网络须经过入网资质审核、网络资源申请、设备信息登记、安全加固等环节，确保符合医院设备入网安全标准后方能入网。

入网操作、审核入网资质和分配网络资源3个环节分别由3组不同岗位角色人员负责，确保准入制度落实到位。

医院传统访问控制策略是以网络和安全域为单元进行设计的。

首先确定一个安全域可以访问哪些资源或其他网段，如果有设备需要入网，则根据设备的访问需求将其接入相应安全域的网络中。

这种模式下，各种不同类型、用途和需求的设备全部混入了同一个子网中，一旦有黑客突破边界防御进入网络内部，非常难以抑制其攻击扩散或继续渗透。

无效的边界访问控制导致医院虽然做了很多安全域划分，但在攻防演练中仍多次出现“单点突破即全面失守”的纵深防御薄弱问题。

例如在某次演练中，攻击方利用某1day漏洞突破医院边界防御后，仅使用端口扫描和弱口令暴力破解便迅速取得医院大量叫号屏等哑终端设备的Web UI管理权限。

因此，医院基于设备、人员和系统之间的访问需求重新梳理安全域，细化访问控制策略，综合利用ACL、防火墙、SDN微分段等技术对跨区域的流量进行管控，为更深层次的纵深安全防护体系建设奠定基础。

安全域划分越细，访问控制粒度越小，安全隔离效果越好，但后续维护管理成本会增加。

医院传统网络架构中，子网划分通常与接入交换机绑定，以楼层为基础进行规划，这样运维复杂度低，但不同设备混在同一个广播域中，大量哑终端设备难以有效进行安全加固，导致网络中存在大量安全短板。

对现网业务流量的分析发现，医院跨网段、跨设备类型的东西向流量交互需求很小，具备进一步提升网络访问控制粒度的条件。

为平衡访问控制粒度与后续运维复杂度，医院采用SDN技术对基础网络架构进行升级。

使用VN虚拟网络技术细化传统安全域，为不同类型、不同访问需求的设备划分不同的VN，相同VN内部使用VLAN按子类型、具体用途或位置对设备进行进一步细分以便于管理，同VN不同VLAN屏蔽敏感端口，不同VN之间不互通，VN边界使用ACL策略配合防火墙实现对服务器和其他网络的精细访问控制，最大限度减少设备间不必要的网络互访行为，以阻碍黑客的攻击渗透。

所有具体策略下发，VN、VLAN、路由配置等操作由SDN控制器自动下发，网络管理员主要负责网络的规划、入网设备的类型管理和入网注册审核。

为发挥纵深防御对攻击的感知能力优势，我院依托外部网络边界、内部网络边界和数据中心边界构筑了多重网络边界防线，并在电脑上部署具备行为管控和终端安全管控功能的终端安全软件，作为物理上用户与网络之间的第一道防线；

在服务器上部署具备应用层安全功能和微隔离能力的主机安全软件，作为最后一道防线。

任何与外部网络连通的区域，如DMZ区，办公外网，访客、员工无线网等不能直接访问医院核心业务系统，终端访问服务器至少经过两道防线的安全检测，任意位置的外网突破无法抵达核心业务系统，强迫黑客扩大攻击范围，寻找可用攻击路径，在持续攻击中暴露，提高医院识别攻击事件的检测概率。

每道防线采用不同厂商的安全产品，最大程度发挥不同厂商特征库的差异优势，提升对已知安全威胁的检出和拦截效率。

在纵深多重防线基础上，为最大化发挥安全设备使用价值，医院构建安全管理中心，将分布在网络各个节点的安全设备作为威胁感知探针，汇总不同防线、不同位置安全设备和服务器自身的安全审计日志。

使用多源日志关联分析、历史行为基线检测等方法，多维度分析网络内攻击渗透和横向扩散行为的告警日志，从全局角度感知网络安全态势，通过已知安全威胁感知未知安全威胁，一旦发现问题可快速定位失陷主机，提高对风险事件的检出概率和事件处置速度。

为进一步提升针对高级威胁的检测能力，医院在网络纵深的不同位置部署蜜罐系统，用于诱捕攻击者。

蜜罐是一种防守方专门构建的虚假系统，旨在诱骗黑客访问，暴露自己的存在和攻击方式，是主动防御思想的实践。

医院早期将蜜罐部署在医院互联网边界，用于感知互联网安全威胁，但互联网海量扫描器和漏洞利用工具的投机攻击污染了蜜罐的告警信息，使蜜罐难以发挥其攻击诱捕的作用；

此外在互联网部署存在漏洞的蜜罐可能引起不必要的安全监管麻烦，因此医院现在将蜜罐重点部署在医院内部网络区域，并且在DMZ高风险服务器内刻意遗留存有蜜罐访问地址和密码的“密饵”（如伪装成数据库配置说明、测试账号用例、堡垒机密码等），提高黑客访问蜜罐的概率，无论攻击者的渗透行为如何谨慎，访问蜜罐即暴露。