一次真实的医院攻防演练
去年夏天,某三甲医院参与了一场省级组织的网络安全攻防演练。红队通过一个未及时更新的HIS(医院信息系统)接口,成功获取了内网访问权限。他们并没有急于横向移动,而是先在门诊区域的自助挂号机上部署了一个轻量级嗅探工具。
这些设备运行的是定制化Linux系统,常年不重启,补丁更新滞后。更关键的是,它们和核心业务系统共享同一个VLAN。不到两个小时,红队就捕获到了包含医生工号、患者身份证号在内的明文传输数据包。
问题出在哪儿?
表面上看是终端安全缺失,但根子在整体网络架构设计。很多医院为了“方便运维”,把影像归档系统、电子病历、药房管理甚至后勤水电控制系统全都放在一个大内网里。就像老式居民楼,一户人家失火,整栋楼都得跟着遭殃。
真正的隔离不是靠防火墙策略堆出来的,而是从物理层面划分信任域。比如检验科的数据流转路径应该独立于行政办公网,哪怕两者都在院区内。
动态分段的实际应用
后来这家医院引入了基于角色的微隔离方案。每个业务单元被划分为独立的安全组,通信规则由系统自动下发。例如放射科的PACS服务器只能接收来自指定影像设备的DICOM请求,其他任何访问尝试都会被阻断并告警。
这种架构下,即便攻击者拿到某个科室的工作站权限,也无法直接扫描到财务系统的IP地址。相当于每间诊室都有独立门禁,护士站不会把钥匙随便交给穿白大褂的人。
API网关成突破口
另一起案例发生在区域医疗平台对接过程中。一家社区卫生服务中心需要向市级平台上传慢病管理数据,开发人员图省事,在API网关上开启了调试模式,并保留了默认token验证逻辑。
攻击方利用公开的接口文档,构造了一条带有恶意参数的GET请求:
GET /api/v1/patient/export?deptId=*&token=debug_mode_2023 HTTP/1.1\nHost: emr-gateway.cityhealth.gov.cn\nUser-Agent: Mozilla/5.0\nAccept: */*这个看似普通的请求触发了后台SQL注入漏洞,最终导致超过两万名患者的随访记录被导出。事件暴露的问题在于,对外服务的网关节点没有与内部核心数据库做二次校验隔离。
日志链的断层
攻防演练中最常见的现象是“看得见攻击,追不到源头”。某次模拟勒索病毒传播时,安全团队发现NFS存储服务器异常,但查看防火墙日志时却发现前三天的日志文件已被清理。
原来为了节省空间,IT部门设置了自动清理策略,而SIEM系统又没接入存储设备的syslog。这就像是小区监控录像只保存48小时,小偷偏偏挑第三天动手。
后续改进措施是在交换机镜像端口部署独立日志采集器,所有关键节点的原始流量至少保留30天,且不允许本地删除操作。
无线网络的隐秘通道
住院部护士站旁边通常设有家属休息区,配有专用Wi-Fi。这套网络本应与医疗设备网络完全隔离,但由于AP控制器配置错误,两个SSID实际上共用同一台三层交换机。
演练中,攻击者用一部普通手机连接公众Wi-Fi后,通过ARP欺骗成功让监护仪的数据流经过其设备中转。虽然没有实际窃取数据,但证明了低权限网络向高敏感区域渗透的可能性。
整改方式是将公众接入点改接到独立出口路由器,并在核心层实施严格的MAC地址绑定和802.1X认证。