老张是市立医院的信息科 technician,平日里负责机房和网络维护。上周三下午,他正准备下班,突然发现门诊系统的登录界面卡得厉害,好几个医生打不了电子病历。他一查日志,发现有大量来自境外的异常请求,目标全是挂号和医保接口。
这可不是普通卡顿,是有人在试探医院的网络边界。所谓网络边界安全,就是单位对外连接的第一道墙——比如防火墙、入侵检测系统、访问控制策略这些。一旦被突破,黑客就能顺着漏洞往里走,偷数据、锁文件,甚至瘫痪整个系统。
一次真实的攻击回放
那次攻击中,黑客先用自动化工具扫描医院公网IP,找到开放的80端口(网页服务),然后尝试利用已知漏洞上传木马。幸好医院半年前升级了下一代防火墙,启用了深度包检测功能,自动拦截了可疑流量,并触发告警。
事后复盘,发现攻击源头来自一个伪装成医疗设备更新服务器的IP。这类手法在医疗行业越来越常见——医院用的CT机、心电监护仪、自助挂号机,很多都联网运行,一旦边界防护松懈,一台小设备就能成为突破口。
为什么医院特别容易中招?
因为医疗系统复杂。一家三甲医院可能有上百个信息系统,HIS、LIS、PACS……很多还是十年前的老系统,没法频繁升级。更麻烦的是,很多设备厂商需要远程维护,不得不开放外网访问权限,这就等于给边界开了后门。
去年南方某妇幼保健院就吃过这个亏。厂商技术人员的远程账号被撞库破解,黑客通过一条跳板机进入内网,三天后把全院产检记录加密勒索。恢复系统花了两周,孕妇建档全靠手写,乱成一团。
防护不是买个防火墙就完事
真正有效的边界安全,得像小区门禁一样层层设防。比如医院可以配置如下规则:
<rule name="block-external-rdp">
<protocol>TCP</protocol>
<port>3389</port>
<action>deny</action>
<description>禁止外部直接访问远程桌面</description>
</rule>同时开启日志审计,任何非常规时间的访问行为自动上报。再配合定期的渗透测试,模拟黑客攻击路径,提前堵漏。
现在老张养成了习惯,每天早上第一件事就是看安全平台的威胁地图。上个月又拦下一次针对疫苗管理系统的DDoS攻击,虽然没人察觉,但他知道,这张看不见的网,正默默护着几千人的健康数据。