1年1.6亿次攻击如何挡？三总从实战练出7措施11方法打造更强防御

三总是全台最大军医院，也屡屡成为资安攻击的标靶，曾经1年遭受过上亿次攻击。在这些经验中，三总先是以切割DMZ、分割网段等7个措施，再进一步用11个方法来围堵缺口，最后收紧USB的使用，才维持每个季度病毒量在200、300以下。三总总结医疗资安3心法：可视监控、隔离管制、关键保护，未来还要建置自动化资安应变系统。

医疗资安事件频传，2019年国家级资安事件让医院加码重视

三总是国防部所属14家国军医院之一，不仅是北部医院中心，也是全台最大的军医院。三总医疗资讯组系统工程组组长林靖指出，近年医疗资安事件频传，像是新加坡医疗系统遭骇外泄150万笔个资，或是德国医院因勒索病毒发生病患死亡事件，甚至像在台湾，2019年勒索软件侵袭全台30多家医院，造成了国家级医疗资安事件。

2019年那次攻击之所以影响多家医院，是因为骇客入侵健保VPN网络，再从卫福部电子病历交换中心的EEC闸道器，蔓延到多家医院。林靖解释，攻击者透过远端桌面连线和暴力破解，入侵了健保申报主机，再横向扩散到不同的EEC闸道器，也就是医院与卫福部交换电子病历的平台。

骇客等于是攻进了健保内网，在医院与健保署共用的内部网络扩散，才导致30多家医院受到攻击。这次事件后，全台医院更加注重资安，纷纷投入资安防护建设，卫福部也开始改善EEC内网安全。

身为全台最大军医院成为攻击标靶，AD都曾遭骇变成散播跳板

但对三总来说，“资安攻击司空见惯。”林靖指出，早从2004年开始，三总就不断受到攻击，尤其在2018年，全台军医院频频遭受攻击，甚至，“一年共有1.6亿次攻击，大多针对三总。”

不过，他认为，最严重的攻击发生在2013年，中国网军透过社交工程，把医院最重要的网域主控站（AD）“打挂了”。骇客取得AD控制权后，在内部网络环境部署多个控制管道来扩散。

事后，三总统计，当时高达46个恶意程式和36个骇客工具，入侵了59台电脑和伺服主机，而且在网站主机上，还发现了7种不同功能类型的后门程式。

林靖分析，那次灾情只因一封电子邮件而起。收信者开启信中档案，后门程式顺势触发，骇客便透过中继站操控受害电脑，来下载破解密码的恶意程式，对AD展开攻击。

当骇客掌握AD控制权后，也就取得医院网域内所有账号密码资讯，开始在内网横向扩散，攻击其他电脑和服务器。不只如此，骇客还透过跳板程式来操控这些电脑、上传资料。（如下图）

三总第一次调整，用7招防护措施来改善

2013年事件发生前，三总原有资安架构是，外部设置一套入侵防护系统（IPS），来管理对外网络区域（DMZ），包括了AD、网络、邮件主机和网域名称服务器DNS。IPS下还建置了外部防火墙和网页内容过滤器，对内则有2套不同型号的内部防火墙搭配，来保护三总不同院区（包括台北门诊中心、松山院区、北投院区、澎湖院区）以及国防医学院的资讯安全。（如下图，不过，IPS位置错置，应位于更外层）

内部防火墙之后设有闸道器，除了一端连接到健保VPN外，还有一端连接到紧急医疗网与服务器运算农场（Server Farm），其下有内部的AD、交换主机、急诊系统等。三总还有另一个闸道器来连结汀州院区、行政网、医疗网和资管室网段。

林靖解释，采用不同型号防火墙的原因，是为了预防一款遭攻陷，还有另一款可防护。即使做到了如此的防御纵深，但那起事件中，骇客还是能入侵，三总认为，这代表当时的架构不够强韧。因此找来资安业者讨论，用了几个方法来更进一步来精进资安架构。

第1个方法是将DMZ按业务特性和风险程度细分，再切割成多个DMZ区，比如将提供外部服务的网络挂号等主机，移到外部DMZ区，或是将服务器农场再分割，比如分为行政网DMZ区、内部网络DMZ区等。

再来，三总也隔离了外部邮件，不让外部信件进入医院内部。

第3，为确保分院和总院安全，各院区（包括汀州院区、国防医学院、台北门诊中心、松山院区、北投院区、澎湖院区）改由总院单一闸道连线至网络。同时，各院区专线应经过防火墙把关，而且要在防火墙内限定可存取的指定资源。

接下来，则是在网段间设置存取控制清单（ACL），包括医疗网、行政网、资管处网段、紧急医疗网和服务器农场等。第5个方法则是在服务器农场中，将医疗系统和资料独立出一个网段，安装防火墙来限定可存取来源和协定。不只如此，三总对外也采取更严格的措施，比如院外连线需透过VPN，而且还要双因数认证。

此外，三总也逐年改善资安防护措施，比如在DMZ区前增加防护、在后端也增设APT防火墙等更多系统来防护。

“加了这么多层的纵深防御架构，就够了吗？”林靖坦言，在2017年，三总再次遭到攻击，来自内部国防医学院网络渗透过来的攻击，成功入侵了三总系统。

三总第二次调整，11措施全面防堵医院资安缺口

这起事件发生后，国防部紧急要求三总再次盘点所有资安缺口。林靖指出，医院端使用网络的单位包括了临床医疗、教学部、研究部，其中“教学和研究部，与国防医学院完全分不开，”因为国防医学院每年都派实习生到医院受训，而三总主治医师，也经常要到国防医学院教课，双方需要资讯可共享的网络服务。

三总原本就将医院内网封闭、只开放虚拟桌面VDI连接，但却未将国防医学院的路径隔离在外，因此造成缺口，才酿成了这起攻击事件，骇客入侵后便横向扩散到医院其他主机。

三总盘点缺口后，开始进行防堵，要建造完善的医疗资安防御网。他们采取11项措施，首先是网系隔离，这次将国防医学院学术网实体隔离，彻底与三总分割。再来是网络管理方面，医疗网电脑对外连线，只开放给白名单上医疗业务所需的IP，其他对外连线一律禁止。如果需使用网络资源，只能透过虚拟桌面方式上网，并进行黑名单管制，甚至使用完立即中断连线。

第3个措施是，全院管控行动储存设备，比如随身碟。三总管控之严，连医师用随身碟都必须先注册，来掌握每一个使用者。

再来是安装档案加解密系统。安装系统后，资料携出三总时会经过加密，读取者需要解密才行，林靖指出，若连这么做都发生资料外泄，那就表示有人刻意为之，这也是三总想要杜绝的事。

除此之外，三总也全面建构端点防护作为，不只在使用者端，全面安装防毒软件，来防范已知病毒，也安装资安监控软件，透过渗透行为鉴识，来辨识未知的攻击行为。

其他措施还包括禁止非必要性软件安装（如Line）、管制高危连接埠和指令码（如网络芳龄139和445、PowerShell）、定期资安健检和医护人员资安训练等。另外，由于当时资讯工程师只有4位，人力不足，因此委外资安厂商来建置SOC机制。

另一个措施是定期更新操作系统修补档。“我相信许多医疗院所都对这点很头痛，”林靖解释，因为一般PC有更新程式可修补，但医疗电脑连接了大型医疗装备，这类电脑的操作系统多半为Windows XP，“根本更换不了，”除非连医疗装备一起汰换。即便如此，三总还是找到方法来解决，也计划采购IoT资安闸道器来应对。

三总用内部侦测到的病毒程式量，来观察资安架构对外的防护强度，数量越少，代表多数病毒程式被层层拦截了。三总统计后发现，2013年第三季，内部监测到的病毒数量高达4,500支，资安架构经过第一次调整后，每季度的病毒量下降至500支以下，而2017年第二次调整后，每季度病毒量也微幅下降。最近在2020年的第三次调整，三总更决定全院封锁外部USB，只保留一个简易站电脑，需使用USB的医护人员，得将自带USB的档案先拷贝到这台电脑，再用公发USB来存取，才能到内部使用，来降低恶意程式的攻击。此时，每季内部侦测到的病毒量已经小于200支。（如下图）

医疗资安3大心法：可视监控、隔离管制、关键保护

“因为严格的防护措施，2019年勒索软件攻击全台医院事件中，三总反而没有受到影响。”三总经过多次攻击、久病成良医，林靖也分享医疗资安的3大心法，也就是可视监控、隔离管制、关键保护。

可视监控的第一步，“网络是骇客攻击的第一目标，因此要建立网络可视化系统，来监控异常流量。”他提醒，传统网络流量监控的设备，无法监控SSDL加密资料，因此，三总也采购了进阶的加密资料监控设备，能解开加密式内容，来加强监控。

再者，三总也锁定医疗装备等物联网设备，要采购IoT资安闸道器，来扫描IoT设备状况，进而实现可视监控。再来，三总也建立SIEM平台，来汇整上述两种资料，来进行即时性分析，未来还要导入AI大数据分析，来自动找出异常活动，降低人力负荷。

而第2个心法“隔离管制”则要做到4个要件，也就是边界防护（防火墙）、网络区段隔离，比如分行政网、医疗网等，再来是实体隔离和单机隔离，像三总就将国防医学院的网络直接切割，进行实体隔离。

至于关键保护，首先在程式面，三总要建立零信任监控，针对PC、服务器等，建立应用程序白名单，来有效避免恶意程式。再来是账号权限管控，因为，三总经历过AD遭控制、账号密码权限全失的事件，因此借助不同资安软件来管控账号。

林靖推荐各家医疗院所，参考卫福部去年8月发布的“基层医疗院所资安防护参考指引”，“医院只要做到指引中的措施，就能大幅提高资安层级。”他指出。

与攻击共存，把资安当作一种管理流程

他也坦言，不管任何产业，都没有绝对安全的系统，因此，“学习接受可接受的风险，与攻击共存，”当遇到骇客发动攻击时，有能力尽早找出问题点，解决问题。

在他看来，资安就是一种管理流程，包括预防、侦测、控制、复原、修正。预防要做到的是，避免未授权而获取资料或资源；侦测则是找出资讯系统内的不法案件；控制是要启动安全措施，遏止不法事件发生；而复原则是要建立资安事件后的复原能力，最后的修正，则是加强管理工作，一有缺失就立即更正。如此，医院才能尽情发展智慧医疗应用。

未来，三总还要建立自动化资安应变系统，透过大数据分析来快速掌握资安情资，此外还要透过微分割和SDN机制，来即时响应告警，快速阻止有限和无线网络中的威胁。