隨著醫院信息化建設不斷深入，醫院業務的連續性及醫療的及時性要求越來越重要，使信息系統成為醫療服務和醫院管理的重要內容之一。信息安全應急響應(以下簡稱“應急響應”，本文后續章節提到的“應急響應”均指“信息安全應急響應”)是指針對已經發生或可能發生的安全事件進行監控分析、協調、處理、保護資產安全的活動，主要是為了對信息安全有所認識、有所準備，以便在遇到突發安全事件時做到有序應對、妥善處理。

　　在安全建設早期，安全應急響應與信息化脫節，造成信息化的“房子”建好之后，安全不斷地做查缺補漏的“創可貼”工作，很多重要的內生安全沒有得到解決，處于救火階段，頭疼醫頭、腳疼醫腳，比體系化建設少了很多思考層面的工作。在新一輪的信息化大潮中，伴隨著大數據的影響，網絡、云計算等基礎設施都發生了變化，“創可貼”已經無法真正有效保護信息系統的安全。筆者認為，應急響應的體系化要從四個階段分別切入，即準備階段、執行階段、收尾階段、建設階段。本文著重介紹準備階段。

　　1 應急預案

　　應急預案文檔幾乎所有醫院都會有，筆者見過很多不同的應急預案，甚至有的預案是一張網絡地圖，指導操作人員到指定地點拔掉指定網線。這個應急預案肯定算不上高大上，但至少是可用的。而不可用的應急預案一般都不是設計者水平問題，大部分是因為應急預案沒能跟隨系統調整而調整導致的。對應急預案持續更新，并保持其一直可用是非常重要的。定期審視自己的應急預案是否有效和全面是非常重要的一項工作。

　　但是，應急預案的有效性有時候很難從紙面推演中得到正確的結論，只有在應急發生的時候才算是真正的考驗。但作為醫院肯定不能指望用實際事件來判定應急預案的有效性，介于二者之間的選擇就是應急演練。安全方面的演練主要都是攻防層面的、處理得當的情況下，一般不影響業務。

　　另外一個角度看，雖然每個醫院的應急預案都不一樣，但是總體來說規律還是有跡可循的。一般來說應急事件發生后，第一時間要做的是判斷問題點，并快速消除影響。從筆者經驗來看，如何有效應對當前工作“第一要務”的安全性至關重要，因為很多時候一旦恢復系統，可能順帶將問題原因也掩蓋了。為了查找原因，技術團隊會拖延服務恢復的時間。站在技術的角度說這種選擇也無可厚非，這時信息團隊負責人就需要快速權衡利弊，做出判斷。

　　2 應急工具

　　有了應急預案，就要思考預案執行的效率和效果。因為真正到應急的時候，不太可能臨時翻閱應急預案，也不能指望執行人100%準確地執行應急預案。所以，工具的重要性凸顯出來了，應急工作至少應包括檢測類工具和執行類工具。

　　檢測類工具的作用是在一些現象級故障發法確認是由哪些原因導致的，通過一系列檢測工具可確認實際的問題點。比如最簡單的，某個應用無法訪問，是服務停止還是被DDoS?如果是服務停止，原因是應用本身問題還是某個病毒爆發導致?這都需檢測(或監控)類工具幫助應急人員排查。

　　執行工具的作用主要是避免緊急情況下人工操作的失誤和效率低下的問題。要求操作人能夠在短時間內找到正確的設備，并用它獲取相應的權限正確的應急預案，并準確快速地執行操作。諸多環節中任何一個出現問題，可能會致使應急操作拖延甚至失敗。因此，在可能的情況下盡量采用工具執行應急操作是十分有效的。

　　以挖礦木馬為例，挖礦木馬是利用各種方法入侵計算機，利用被入侵計算機的算力挖掘加密數字貨幣以牟取利益的木馬。其既可以是一段自動化掃描、攻擊的腳本，也可以集成在單個可執行文件中。挖礦木馬為了能夠長期在服務器中駐留，會采用多種安全對抗技術，如修改任務計劃、修改防火墻配置、修改系統動態鏈接庫等， 使用這些技術手段嚴重時可能造成服務器業務中斷。傳播方法主要是漏洞傳播，攻擊者一般會通過自動化腳本掃描互聯網上的所有機器，尋找漏洞，然后部署挖礦進程。因此，大部分的挖礦都是由于受害者主機上存在常見漏洞。挖礦木馬入侵服務器所使用的漏洞主要有弱密碼、未授權訪問、命令執行漏洞。一般，每當有新的高危漏洞爆發時，很快便會出現一波大規模的全網掃描利用和挖礦。筆者實踐時儲備應急響應工具，有進程分析、資產掃描、漏掃、流量分析等。

　　(1)Process Explorer

　　Process Explorer是進程管理工具，它能管理隱藏在后臺運行的程序，可監視、掛起、重啟、強行終止任何程序，包括系統級的不允許隨便終止的關鍵進程等。

　　(2)PCHunter

　　PCHunter是一個功能強大的Windows系統信息查看軟件，同時也是手工殺毒軟件，它不但可以查看各類系統信息，還可以查出計算機中潛伏的挖礦木馬。

　　(3)Nmap

　　Nmap是資產掃描軟件。檢測目標主機是否在線、主機端口開放情況、檢測主機運行的服務類型及版本信息、檢測操作系統與設備類型等信息。

　　(4)巡風

　　適用于企業內網的漏洞快速應急、巡航掃描系統，通過搜索功能可清晰的了解內部網絡資產分布情況，并且可指定漏洞插件對搜索結果進行快速漏洞檢測并輸出結果報表。

　　(5)Wireshark

　　常用來檢測網絡問題、攻擊溯源、或者分析底層通信機制。

　　3 網絡資料/數據

　　在制定應急預案、判定故障原因、甚至執行應急操作的過程中，都需要相關信息的支持。在制定應急預案過程中，要對網絡拓撲圖、業務邏輯關系、相關負責人等信息有充分了解，有了這些資料和數據，在應急響應時才能根據實際情況準確找到相應的聯系人。

　　排除故障的過程除了上述信息外，還需要監控信息、系統日志等數據。這些數據為應急響應專家留有充足的數據作為判斷依據。

　　4 安全情報

　　情報可以有效降低安全威脅，建立與安全服務商建立良好的合作關系，幫助醫院選擇正確的威脅處置方式，目前情報集中在漏洞、病毒、攻擊手段等方面。

　　當下信息安全新技術、新概念層出不窮，但有些技術只是將實操層面進行擴展或者優化，但技術本質上沒有根本變化。如果一味追求新技術、新概念，信息安全工作就會進入死胡同。醫院信息工作人員還未搞明白某項安全技術的原理是解決什么問題的，而被一堆高大上的概念名詞所吸引，盲目跟風是不可取的。

　　醫院信息工作人員在完成日常繁雜的工作之余，應該扎扎實實地多學習一些信息安全技術，多向安全廠商技術人員請教，立足提高自身技術能力、加強技術儲備才是醫院信息安全工作的硬道理。

　　本文純屬技術交流，文中觀點僅供參考，不到之處還請批評指正。后期文章中，筆者將介紹應急響應建議中如何執行、收尾、復盤，相關觀點與大家共同探討，敬請期待。

　　作者簡介

　　董寅，現從事醫院信息化設計、建設與管理工作。