战“疫”日记⑧|河南“小汤山”援建团队:战“疫”不停,我们不停;协和医院网络安全保卫者的心声
作者: 日期:2020年02月10日 阅:4,445

1

河南“小汤山”医院援建团队:
战“疫”不停,我们不停

这是一个特殊的元宵佳节,13个小时,几个工程师也是年轻的爸爸,通宵奋战在河南“小汤山”医院的援建现场,紧密配合协同作战,终于完成了网络安全设施的安装调试,并交付成功了!

2

协和医院网络安全保卫者的心声:这是我们义不容辞的责任

1
奇安信卫生行业负责人车志斌:
保证协和的网络安全万无一失是我的责任

2020年的北京的这个冬天注定有些寒冷。不是因为飘着雪花的天空,也不因为年味的缺少,而是一场突如其来的疫情,让原本应该喧闹的春节变得有一些不知所措。即便出门呼吸一下新鲜空气也显得有些胆战心惊。

肆虐的病毒将我们以家庭为单位紧密的联系在一起。年初二原本是中国人春节中最重要的日子,走亲串友,祈福拜年。但绝大多数人得以呆在家里,也就是趴在网上,拿着手机打发漫漫时光。但我知道雪花飘飘的窗外,全国那些白衣天使们正舍生忘死奋战在抵抗疫情的一线。

如果在此紧急关头一旦医院的信息系统被勒索软件勒索而不能无法接诊、检查、手术或者住院的话,那就不是天灾又加上人祸了吗?作为集团医疗行业的负责人,长期奋战在卫生安全一线的工作者,我非常清楚国家重大公共卫生事件对于卫生行业意味着什么。多年与医院打交道的背景让我知道此时的IT系统就是医院最重要的生命线的保证。

叮铃铃,急促的手机铃声让我瞬间清醒。因为心里总想着会有事自己也是迷迷糊糊一直没怎么睡着。这么早给电话一定是有事。我拿起电话,果不出所料,是集团分管卫生的领导老何的电话。

“集团成立了抗击疫情指挥团,老齐任命我是团长,你马上前往国家卫健委,国家疾控中心以及协和医院了解一下,我们已经提供了8项免费服务保障网络安全,如果他们还有什么特殊需求,只要需要我们不惜任何代价第一时间进行应急响应,全力做好保障。噢,别忘了带口罩!”一如老何一贯的特点语速极快但又说的明明白白。

疫情就是命令,安全就是责任,公司的号令,就是给我的冲锋号!

每当国家有重大事情发生的时候,总是有不同目的人会通过网络攻击来实现他们的利益最大化,甚至是亡我之心。在国家发生疫情的时候,我们的情报中心已经预判出多个组织可能会利用多种手段对我国境内的目标发动攻击。国家卫健委、疾控中心、医院等单位是我国抗疫的关键节点,他们的高价值数据肯定会成为APT组织关心的首要目标,情况十分紧急。

分秒必争!这是一场应对境内外黑客组织一场决战,是国难期间不同战线上的战斗!到底是奇安信的安全保障部署更快,还是那些伺机发国难财的不法分子更为猖獗!这是速度的较量,技术的较量,也是能力与责任的较量!

放下电话,我一头扎进了空旷的北京城。行业部门只有我一个北京人,其他同事一时也赶回不来。只要第一时间能够部署上相关的监测设备就能够早发现问题,早解决问题,是我们的能力和职责与担当所在!就如世间武功唯快不破的道理一样。

从年初二到初四的三天里我反复辗转在四个地方,国家疾控中心、北京协和医院、国家卫健委规信司、统计信息中心。经常半夜到家我才发现,自己整天的食粮都在精神上,忘吃饭了。不过,也难怪,北京空旷的城市里想找个吃饭的地方还真难。

在众多医疗机构里,北京协和医院作为国家级三甲医院,各种网络安全防控措施一直是同行参照的标杆。经历非典洗礼、出色完成抗击非典任务的他们这次又是抗击新冠病毒的前线。协和医院订立下了“员工零感染、住院患者零感染”的责任状。这个目标我们要坚决保障达成!


协和医院资料图

通过与北京协和医院进行沟通协调,医院本身部署的天眼威胁分析系统是2019年10月上线试用,平时由现场人员进行威胁分析。目前非常时期不能放过任何安全隐患,为了保障分析结果的准确和高效,我紧急协调了二线专家资源,制定了工作方案:杨巍在现场协助,二线专家常东东和武占民结合相关信息进行深入排查。

一切就绪,现场却出现了一个意外。用于网络流量威胁分析的天眼设备没有实时流量,流量中断的日期为1月26日中午12点。没有流量就无法检测网络环境中存在的危机,对整体网络的安全态势失去了感知能力。我现场临时决定由杨巍先进行流量问题故障排查,二线分析人员先对已采集的近一个月数据进行安全事件深度分析,两项工作同时开展。


图 杨巍和厂家技术人员一起排除分流器故障

经过多番分析测试,发现问题出在一台分流设备上。该设备为进口设备,所有镜像出口配置信息不能保存,配置完成后一分钟便会自动删除。正值春节假期,几经波折,我们联系上了该设备代理商的技术人员。通过沟通发现问题竟然出在设备授权上,现有授权文件已经过期。情况紧急,我们又迅速协调代理商和厂家,重新申请导入授权。经过重新配置后,镜像端口的流量恢复正常,一块石头终于落地。

经过一天的紧张分析、排查、核实得出天眼的部署期间(2019.12.1-2020.1.31),医院每天面临的安全威胁事件多达三四千起,共计发现危急事件8起,高危事件2起,中危事件2起,受害对象包含普通终端和服务器,其中发现勒索病毒样本、挖矿蠕虫活动事件、系统漏洞、恶意软件活动行为等。

2月1日16:00,我们向医院出具了安全监测报告和一份详细的安全整改方案。院方对整改方案予以了全面采纳。驻场安服团队的翟佳辉、方仲秋立刻跟进,通知并协助各业务系统负责人及厂商进行相关漏洞的整改。


图 翟佳辉、方仲秋现场值守

经过一个通宵的奋战,2月2日14:00,整改工作全部完成。
一直密切关注这项工作进展的院领导感慨地对我说:“非常感谢您在第一时间为协和医院提供咱们的安全服务团队!这是一场疫情灾难中第一场及时雨,我代表协和医院表示真切的感谢!”

2月2日18:00,下雪了,天色暗得很快。我走出协和的大门,回头看了一眼,整个医院已经灯火通明。随着人员陆续返京,这里将越来越忙碌。虽然我们无法把时针驳回到去年的12月,把新冠病毒遏制在早期,这一次我们却把一场网络威胁化解于无形。一所网络机体健康的北京协和医院,能给无数人带来健康。还有什么比这更欣慰的事呢?

因为我的责任就是要让协和医院的网络安全万无一失。
当然,战斗还得继续,因为安全永远在路上!

2
奇安信“协和”项目安全服务驻场经理杨巍:
安全服务为医疗机构网络安全保驾护航

今天是大年初三,新型冠状病毒疫情肆虐的消息正在通过电视,网络以及各种媒体传遍千家万户。短时间,信息量的巨大,好似高峰时的地铁,拥挤而又让人感到窒息。一时间,闭门不出成为百姓们平息恐惧保证安全的最佳举措。

在这样的背景下,经过公司卫生行业部门的多方联系,身为在协和医院驻场的安全服务人员,我背上平日工作的行囊,紧急奔赴那个平日最为熟悉而又略感焦虑的战场!说到焦虑,我不知道这个承载着我多年网络安全保障荣誉的地方现在情况如何了。

我想通过近期的一些媒体报道大家也能够知道,在这全国抗击疫情的关键时刻,出现了一些利用疫情发起的钓鱼以及黑客攻击事件,医院的信息系统一旦被攻击,或出现事故而不能使用,将会极大影响救治患者的效率。

我知道,作为最具影响力的头部医院,北京协和医院很有可能成为潜在攻击的对象,这个时候,公司一声召唤,我,必须上!为了进一步排查是否存在相关网络攻击行为,保障医院疫情期间诊疗业务系统安全平稳运行,我仔细对安全隐患和可能的攻击开展紧急排查和深入分析。

按照医院和公司紧急安排,早上6:00,我从家里出发赶往医院数据中心,地铁里的乘客很少,四十分钟便到达了数据中心。平时人员拥挤的办公区今天显得尤为空荡,整个楼层只有我一个人。

按照事先安排我开始联系二线分析专家并准备远程分析所需环境。早上7:30,所有准备工作完成,二线分析专家武占民开始了远程分析工作,而我则开始对云端WAF、本地WAF、天眼等安全设备开展安全事件分析。

系统在几天时间里已经积累了大量的安全事件需要分析,分析工作逐步开展,一上午时间很快就过去了,就在下午开展分析的时候发现天眼分析系统所需网络流量在中午12点时中断,无法对后续网络安全事件进行有效的采集和分析,在确认不是天眼设备问题之后,二线专家继续对近一个月的数据进行分析,我开始排查流量丢失原因。

最终排查到问题出在一台分流设备上,设备配置丢失,尝试重新配置并保存后一分钟便会自动删除配置,情况紧急必须马上解决,几经波折最终经该设备的国内代理商协调了两位技术工程师才排查到问题根源并最终解决,终于松一口气。在这个只有机器运行的嗡嗡声,几乎听不到人声的数据中心里,时间不知不觉到了晚上18:04。

天眼二线分析专家经过一天的深入分析在18:27向用户提交了安全分析报告和安全整改加固建议,排查发现危急事件8起,高危事件2起。

夜色阑珊,当我走出数据中心大门时,得知医院领导对奇安信的感谢已早于我一步,先传达到了公司。我心想:“为了对抗疫情、保障人民生命健康,广大医护工作者在一线直面危险毫不退缩,为保障医疗业务网络安全,为保障前线的白衣天使,这是我我们的一份职责与担当。”

明早再见吧,这个我引以为傲的地方,回望夜幕中北京协和医院金字招牌,我狂笑一声!这是我的阵地,没有人可以攻得上来!!!人在,阵地在。
点击阅读原文查看更多战“疫”日记

奇安信支援新冠疫情防控动态播报

从总部到分区,从北京到各地,物资在运输,使命在传递,一切为了抗“疫”战争的胜利!

2月9日下午,奇安信集团对北京小汤山医院提供的疫情期间的网络安全产品及服务方案正式提交审批。

2月9日上午,奇安信集团对江西赣州第五人民医院捐赠的网络安全产品及运营服务正式上线。

2月8日16点,捐赠郑州第一人民医院港区医院(河南”火神山”医院)的设备物资正式交付医院。

2月8日上午,奇安信集团对吉林省结核病医院(吉林省指定的”火神山”医院)提供的疫情期间的网络安全产品及服务方案正式提交审批。

2月6日下午,蓝信首次直播活动顺利完成,峰值8000人同时在线,全程流畅,开拓了在线培训的应用场景。

2月5日,奇安信对南宁人民医院、青海人民医院提供的免费8项服务方案正式确认。

2月5日凌晨1点,奇安信员工仅用5个小时完成所有交付工作,提前11小时完成任务,撤离雷神山医院。

2月4日14点10分,从北京发往雷神山医院的捐赠物资完成交接,顺利抵达武汉;20点进入医院进行调试安装。

2月4日,奇安信安全服务针对医院、疾控等疫情防控相关机构推出免费APP隐私安全远程快速检测服务,涵盖了隐私政策检测、应用行为检测及主要人工检测项目,共7大类50+检测项。

2月3日,向温州医科大学附属第二医院瓯江口院区免费援助的价值百余万的专业网络安全产品已经发往医院,同时为医院信息系统提供网络安全运维服务,直至疫情结束。

2月3日,奇安信火神山小分队将网络安全设备正式交付给院方,并正式为火神山医院网络设施保驾护航,确保万无一失。同时,向武汉雷神山捐赠的150万专业设备和安全服务启动,援建雷神山医院的设施,已经从北京启程。

2月2日上午,价值300万的疫情防控网络安全专项捐赠项目已正式交付郑州市第一人民医院港区医院。奇安信工程师即将进驻现场进行安装部署,并为医院信息系统提供免费的网络安全运维服务,直至疫情结束。

2月1日15点37分,向武汉火神山医院捐赠的价值400万的安全设备,已经进场医院机房,奇安信一线九位“勇士”开始安装施工和部署设备。

2月1日11点28分,由奇安信紧急捐赠、价值近80万元的安全设备已经顺利交付给长沙市公共卫生救治中心(长沙市一医院北院),并完成签收。

2月1日9点32分,和北京协和医院达成捐赠意向的价值230万元网络安全产品和服务,正在完成最后流程。奇安信安服工程师已于1月26日进驻现场,7×24小时提供网络安全保障。

2月1日8点58分,捐赠郑州版“小汤山”医院、即河南郑州第一人民医院港区医院的网络安全设备,已经到达郑州,物流公司已从机场提出准备发货,正送往医院。

1月31日12点12分,经过全国接力,在9位员工的护送下,奇安信集团向火神山医院捐赠的首批价值400万元专业物资顺利交付给医院建设指挥部并履行完正式签收程序。

1月28日,奇安信宣布扩大捐赠范围,同时为武汉火神山医院捐献的首批价值400万元物资已经发出,第一批进入火神山医院负责网络安全应急保障的小分队即将奔赴前线。

1月25日,奇安信成立新型冠状病毒感染的肺炎疫情防控支援团,并第一时间开展工作,捐赠8项免费产品及服务。

(战“疫”仍在继续)

附:奇安信向全国疫情防控压力较大地区的医疗、疾控等一线机构,以及新建专业医院捐助安全产品和服务的计划仍在继续,凡符合捐赠条件的单位,可随时拨打“支援团”7×24小时免费服务热线4008136360-6,奇安信即可提供援助。

附:奇安信宣布的8项免费捐助产品及服务:
1、应急协同与指挥平台(蓝信)
2、终端杀毒(天擎)
3、自适应广域网组网系统(SD-WAN)
4、网站云监测(全球鹰)
5、网站云防护(安域)
6、SSL VPN(远程安全接入)
7、远程在线支持服务(7×24)
8、现场应急服务(7×24)

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章