客视角看医疗数据安全摘要：本文通过对近似真实情况下的医疗行业信息攻击实例进行考察，对黑客的攻击思路和途径，以及用到的黑客软件和技术手段进行描述，帮助大家初步了解黑客攻击的过程，同时分析国内安全监管单位的政策要求，提出有针对性的安全建议。一.背景这个故事的背景发生在美国，时间也并不久远，主人公杰克是一个曾在金融行业炼就了高超的信息安全攻击之术的黑客，他实施信息安全攻击的意图非常明显，就是要获取经济利益，而不只是通过恶作剧来达到炫耀自己的目的。随着金融行业如银行信息安全防护能力越来越强，杰克找到攻击的缺口也越来越不容易，所以杰克萌发了转“行”的念头，从金融行业转向医疗行业。他通过互联网了解到，全球电子医疗保健记录系统中的数据在以每年5.5%的速度增长，可想而知其中的数据量是非常惊人的。从医院到内科医生、急诊门诊，再到健康保障组织，无不覆盖着病人的敏感数据。过去几年间，美国政府倾注数百亿的资金来扶植医疗保障行业使用电子医疗保健记录，病人的医疗记录可以被所有的医疗机构共享。杰克想，医疗系统在快速的信息化建设过程中，信息安全建设可能跟不上，安全保障和风险管理措施落后，窃取病人的敏感数据过程相对简单、花费时间较少，而且还不容易被察觉到。杰克瞄准医疗行业中的医疗记录，还有另外一个原因：这些数据的流动性大，数据分类好，可以轻而易举地找到利益相关的数据，包括姓名、家庭住址、邮箱地址、生日，甚至还包括保单号码、检验结果、诊断结果等，医疗健康保险数据和医药处方数据的价值越来越高。二.诱惑与行动作为一个深谙攻击之术的黑客，杰克在发动攻击之前对医疗单位更多资料展开收集，切入口首先是立刻开始针对医疗单位的侦察行动。杰克先是通过域名管理系统查看网络系统的IP地址，通过互联网浏览或注册医指通账户登录系统，轻松掌握医疗机构的信息系统是使用何种开发技术完成的。杰克基于自身知识积累可以轻松判断出这种通用的开发技术存在最常见的漏洞，比如：asp、php、jsp文件上传控件存在的漏洞、SQL注入漏洞，弱口令，远程访问漏洞等。最关键的是医疗机构存在一个很大的安全疏忽，就是他们不会定期检查医疗信息系统基础设施是否含有漏洞，据统计，在美国87%的医疗机构基本上一年或者两年才对其基础设置检查一次。杰克为了尽可能避开被网络防火墙发觉和拦截，避免自己的系统直接暴露，在互联网上找到了可被当作替罪羊的系统，使用Nmap软件（Nmap提供四项基本功能主机发现、端口扫描、服务与版本侦测、OS侦测，绕开防火墙，扫描web站点），发现医疗单位网络的DMZ（隔离区）中TCP端口80开发的是web服务器，UDP53端口开发的是DNS服务器，同时发现有个包过滤防火墙，至此，杰克基本摸清了web服务器的一般结构。接着杰克用Nessus工具对系统漏洞进行扫描与分析，想找到存在的安全漏洞或没有打安全补丁的服务器可以利用。另一方面，由于医疗单位人员的安全技能没能随着安全威胁同步进化，安全方面的预算严重不足，传统系统亟待更新，被攻击的安全漏洞也来不及修复，新的物联网医疗设备不断应用于实际的医疗活动，比如只需通过输入几行命令就可以控制病人胰岛素输送管中的激素计量。试想一下，杰克如果发现可利用的安全漏洞，入侵医院网络，进而入侵物联网医疗设备，不仅能够窃取病人的敏感数据，甚至可以控制医疗设备“杀人于无形”，那将是一件多么可怕的事情。杰克再次使用Nmap扫描到住院网络的服务器打开了22端口，一般是SSH服务（管理员用来远程管理Linux操作系统的服务），具有系统控制功能，运行Hydra口令猜测工具（Hydralinux下暴力破解工具，利用密码字典生成器生成强大的字典破解SSH）,对root、admin和operator等一系列常规的用户账户进行逐个口令猜测。令杰克高兴的是operator账户口令竟是rotarepo，仅仅是账户名字的反转，于是利用这个账户堂而皇之登录到住院网络服务器。仅仅是建立对服务器访问，杰克还不能达到获取批量敏感数据获利的目的，通过VPN网络连接到医疗单位总部的中央网络系统中的服务器，通过运行Nmap工具对服务器进行端口扫描，发现该服务器开放TCP443端口，这表明该服务器应提...