某三甲医院的HIS系统突然无法访问,挂号窗口排起长队,医生开不了处方,检查设备停摆。运维人员紧急排查后发现,攻击者通过开放在公网的老旧RDP端口入侵,植入勒索病毒加密了核心数据库服务器。这不是电影情节,而是2023年华东地区一家大型综合医院的真实事件。
边界失守:从一个暴露的端口开始
这家医院的IT架构曾被认为是区域标杆——部署了防火墙、日志审计系统和定期杀毒机制。但问题出在一个被遗忘的细节:为了方便远程维护,一台旧影像归档服务器仍开放着3389端口(RDP),且使用弱密码。攻击者利用自动化扫描工具发现该入口,在夜间登录并横向移动至内网其他主机。
真正致命的是,这台服务器与HIS系统共用同一个VLAN,没有做微隔离。一旦突破边界,攻击者就像拿到了医院数字世界的“万能钥匙”。
重构防线:医疗数据不能赌运气
事后整改中,该院引入零信任架构下的边界强化策略。第一步就是关闭所有非必要公网暴露面。对于必须对外服务的系统(如预约平台),采用反向代理模式:
<VirtualHost *:443>
ServerName appointment.hospital.gov.cn
ProxyPass / https://internal-appoint-srv:8443/
ProxyPassReverse / https://internal-appoint-srv:8443/
SSLProxyEngine on
</VirtualHost>这样外部只能访问代理层,真实业务服务器隐藏在DMZ之后。同时启用WAF规则拦截常见Web攻击,并强制HTTPS传输,防止患者信息在传输过程中泄露。
动态防御:让边界“活”起来
传统防火墙规则静态配置,容易被绕过。该院后来部署了基于行为分析的边界监测系统。例如当某个IP短时间内发起大量数据库连接请求,系统会自动触发限流或阻断。
更关键的是建立了资产联动机制。每当新增一台设备上线,CMDB系统会自动通知防火墙更新策略组。比如新采购的智能输液泵接入网络时,会被划分到独立物联网VLAN,并限制其仅能与护理站服务器通信,无法访问财务系统。
有次夜间值班护士发现某台床旁监护仪频繁尝试连接外网地址,安全团队介入后确认是固件遭篡改植入挖矿程序。由于边界策略已设定医疗设备禁止出向互联网连接,异常流量被立即拦截,避免了更大范围扩散。
人防才是最后一道墙
技术手段再完善,也抵不过人为疏忽。去年该院一名医生点击了伪装成“医保新政通知”的钓鱼邮件附件,好在EDR终端检测到可疑进程创建行为,同时边界防火墙识别到C2回连特征,双重防护下未造成数据外泄。
现在他们每季度组织“红蓝对抗”演练:模拟攻击团队尝试从Wi-Fi guest网络渗透到电子病历系统,检验边界策略有效性。结果发现即使攻陷了访客区设备,因严格的东西向访问控制,仍无法进入核心业务区。
医疗行业的网络边界从来不是一堵墙,而是一套动态协同的神经系统。每一次心跳监测、每份检验报告背后,都依赖这张看不见的安全网默默支撑。