安信华医疗行业信息化安全解决方案

一、 医疗互联网信息化发展及面临的问题

互联网发展到今天取得了巨大成功。各级医院利用这种优势逐步建设了网上挂号、网站医疗信息等应用系统,给人们的生活带来了方便,与此同时,Web应用也越来越容易遭到黑客、病毒等攻击,数据被篡改和窃取、文件被破坏,人们在享受互联网带来便利的同时也面临着各种各样的Web安全威胁。 以下是一些医疗系统中的Web攻击事件:

2009年4月7日“世界卫生日”当天共有300万人次的网民遭到木马攻击。网民关注健康、医院网站,导致黑客对此类网站集中挂马;

甲流疫苗引发大批医院网站遭挂马攻击;

某市中医院网站服务器受到恶意代码攻击;

一些门户网站的健康频道由于外包给了其它公司,安全措施防护不够,也导致被黑客植入木马;

某市的孕妇信息库泄露事件,导致孕妇信息被兜售给孕婴用品类商家

医院信息化建设是比较复杂的,核心是病人信息的共享,包括医院各个科室之间、医院之间、医院与社区、医疗保险、卫生行政部门等的信息共享。卫生部曾强调“国内三甲以上的医院都需要实行信息化管理”,为此各省卫生厅在2011、2012年分别发布了关于加强互联网医疗保健信息服务管理的各类通知,明确指出要确保医疗卫生机构网站安全,进一步加强医疗卫生机构网站建设,规范医疗卫生机构开展互联网医疗保健信息服务。要遵从相关信息系统安全管理要求和条例的规定,加强网站系统的安全管理,防止网站系统被篡改、挂码,保障网站安全稳定运行。对于医疗卫生机构网站开展预约挂号、健康咨询等医疗卫生服务过程收集的个人信息,不得将信息泄露给第三方,要做好个人信息保护措施。

目前,各级医院大都已建立自己的网站系统,但由于各类原因,常会出现以下几种主要威胁:

网页挂马:将网页中植入恶意代码或链接,以便在用户打开网页时向用户的电脑安装木马软件;

网站网页中存在恶意脚本,容易被跨站脚本(XSS)攻击;

SQL注入攻击:未经授权状况下操作数据库中的数据、恶意篡改网页内容、私自添加系统帐号或者是数据库使用者帐号、网页挂木马;

篡改Web系统数据

Cookie监听、Cookie投毒

二、 安信华Web应用防火墙解决方案

安信华Web应用防火墙保护系统是针对解决上述Web应用安全问题设计的网络设备。安信华WAF产品通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤,来精确判定并阻止各种Web应用入侵行为,阻断对Web服务器的恶意访问与非法操作,适应Web2.0时代的主动实时监测过滤风险技术,而不是被动的遭受攻击后的恢复,将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范,从而做到对Web服务器的多重保护,确保Web应用安全的最大化,防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止Cookie监听、防止Cookie投毒,防SQL注入,防跨站脚本(XSS)攻击等。常用部署方式如下图所示:

安信华WAF产品部署示意图-1

三、 实施效果

积极、主动式Web应用防护

通常的网页被篡改是由于Web系统被通过SQL注入或命令行注入攻击渗透了,获得了网站的权限,从而被修改。安信华 Web应用防火墙通过积极地阻断针对Web服务系统的攻击,达到积极、前瞻式的防止Web内容被篡改,而不是篡改后的被动恢复。

网站挂马检测、过滤与监控、报警

网页挂马是一种相对隐蔽的网页篡改方式,挂马后的页面从表面页面内容呈现上不易察觉,本质上却破坏了页面的完整性,其攻击目标为页面访问的最终用户,能够在访问者不知情的状态下,将木马植入访问主机,从而达到下一步获取用户机密信息,甚至达到发展僵尸网络(Botnet)傀儡机的目的。挂马网站作为木马的传播帮凶,严重影响了站点的信誉度。安信华 Web应用防火墙能够对用户输入或上传的内容进行检测过滤,一旦发现挂马企图,将及时阻断。在未部署Web应用防火墙之前,用户的Web页面可能已经被挂马,因此基于这样的现状需求,安信华 Web应用防火墙不仅能对Web应用的交互行为进行行为分析,还能够对Web页面中的嵌入式内容进行检测过滤,一旦发现被挂马将及时通知管理员,并且提供客户可定制的替换页面,直到网页恢复正常。

独有的恶意文件上传过滤功能

安信华 Web应用防火墙针对HTTP/HTTPS应用交互中上传附件进行病毒检测过滤,并内置强大的病毒特征库,防止感染病毒的文件上传到Web服务器后造成大范围的病毒扩散,致使服务器瘫痪;更重要的是能阻断后门病毒上传到服务器,从而获取服务器的控制权限,达到攻击Web应用系统的目的。

双向深度数据解码及内容级多重检测过滤

安信华 Web应用防火墙作为Web客户端与服务器端请求与响应的中间人,避免Web服务器直接暴露在互联网上,检测过滤HTTP/HTTPS双向交互流量数据,对其中的恶意成分进行实时在线清洗过滤。通过对HTTP/HTTPS协议进行深入的解析,精确的识别出协议中的各种要素,比如 Cookie、Get参数、Post表单等,并对这些数据进行必要的解码,以还原原始信息,根据这些解码后的原始信息,准确的检测识别是否包含攻击内容。

可有效应对零日未知攻击

安信华 Web应用防火墙能实时对HTTP/HTTPS的请求进行异常检测,目的是为了检测是否是一个正常的HTTP请求,检测请求中是否包含不合理内容、非法字符、未知请求、畸形构造等,这些都有可能造成攻击或危害,甚至是零日未知的攻击。

自动生成动态攻击黑名单

安信华 Web应用防火墙将被确认为攻击的源IP自动加入黑名单,并且提供自动解禁时间,不需要任何人工的操作,大大方便了管理员的维护与管理。

易于部署与管理

安信华 Web应用防火墙可纯透明式在线部署,能够即插即用,自动升级,无需更改网络和Web服务系统架构,且与网络中已有的防火墙、路由器、交换机等设备均能直接连通。针对不同的Web域、Web服务地址、Web目录、URL等可提供不同的防护策略,基本防护策略与高级防护策略配合使用,达到对Web应用交互内容的检测与合规性、安全性过滤。

高性能的产品平台

具有专利技术、优化重写TCP协议栈且支持多核的AnchivaOS,是安信华高性能的技术保障,为客户提供了高性能的产品平台,并且随着硬件配置的提升,性能可近似线性增长。