一种卫生医疗安全监测与通报预警方法、电子设备及计算机可读存储介质与流程
本发明涉及一种卫生医疗安全监测与通报预警方法、电子设备及计算机可读存储介质。
背景技术:
目前,卫生医疗网站频繁被黑客入侵,被挂马是个比较普遍的现象,而直接受害者就是访问被挂马卫生医疗网站的患者,其使用电脑有可能因点击挂马网页而导致电脑中毒,电脑被植入木马而受到黑客控制,重要数据被窃取,在线交易行为被偷窥,网银账号信息被窃取,虚拟财产受到被盗的威胁等。
而卫生医疗网站是间接受害者,被黑客挂马的卫生医疗虽然没有受到直接的损失,但由于在黑客产业链中扮演了传播者角色,从而成为安全事件中的帮凶,也将会受到社会的谴责,导致医院声誉下降、主管卫生医疗机构受牵连等,并影响正常工作开展。
所以,如何全面监控区域内的重点保障网站的安全漏洞情况与整体态势,是目前最为迫切的需求。
技术实现要素:
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的卫生医疗安全监测与通报预警方法、电子设备和计算机可读存储介质。
依据本发明的一个方面,提供了一种卫生医疗安全监测与通报预警方法,包括:
统计设定区域内各级医疗机构的互联网资产;
根据所述互联网资产中发生的安全事件感知所述互联网资产的安全态势;
基于所述安全态势,对所述互联网资产的安全状况进行通报预警。
可选地,所述统计设定区域内的卫生医疗互联网资产,进一步包括:利用资源侦测工具对设定区域内的各级医疗机构的互联网资产进行自动遍历,并结合已知漏洞情况对所述互联网资产进行脆弱性分析;
所述对所述互联网资产的安全状况进行通报预警,进一步包括:向医疗机构反馈对应的漏洞情况。
可选地,所述利用资源侦测工具对设定区域内的各级医疗机构的互联网资产进行自动遍历,进一步包括:
针对每家医疗机构,对其域名/ip进行梳理,并基于多维度的数据索引方式,综合识别该医疗机构对外开放的全部互联网资产。
可选地,所述综合识别该医疗机构对外开放的互联网资产,进一步包括:
根据所述医疗机构前期的资产梳理情况形成ip列表,对所述医疗机构的新增资产进行ip列表的全端口扫描,根据端口扫描的banner信息确定相应端口所开放的服务,根据所述服务监测所述新增资产的安全状况。
可选地,所述安全事件包含apt攻击,所述感知的方式包括:依托apt攻击所产生的告警信息来进行反馈,收到反馈时,采集医疗机构本地的流量数据,用基于神经网络学习的离线分析模型分析所述流量数据,根据分析结果结合云端的威胁情报进行apt攻击识别。
可选地,所述安全事件包含ddos攻击,所述感知的方式包括:基于对云端的dns请求数据、网络连接数、netflow数据、udp数据、botnet活动数据的采集分析,追踪所述ddos攻击。
可选地,所述安全事件包含网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常,所述感知的方式包括:主动扫描网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常。
可选地,所述通报预警的方式具体包括:日常通报、专项通报、行业通报中的一者或多者的组合。
依据本发明的另一个方面,提供了一种卫生医疗安全监测与通报预警装置,包括:
统计模块,适于统计设定区域内各级医疗机构的互联网资产;
感知模块,适于根据所述互联网资产中发生的安全事件感知所述互联网资产的安全态势;
通报预警模块,适于基于所述安全态势,对所述互联网资产的安全状况进行通报预警。
根据权利要求1所述的装置,其特征是,所述统计模块,进一步适于:利用资源侦测工具对设定区域内的各级医疗机构的互联网资产进行自动遍历,并结合已知漏洞情况对所述互联网资产进行脆弱性分析;
所述通报预警模块,进一步适于:向医疗机构反馈对应的漏洞情况。
可选地,所述统计模块,进一步适于:
针对每家医疗机构,对其域名/ip进行梳理,并基于多维度的数据索引方式,综合识别该医疗机构对外开放的全部互联网资产。
可选地,所述统计模块,进一步适于:
根据所述医疗机构前期的资产梳理情况形成ip列表,对所述医疗机构的新增资产进行ip列表的全端口扫描,根据端口扫描的banner信息确定相应端口所开放的服务,根据所述服务监测所述新增资产的安全状况。
可选地,所述安全事件包含apt攻击,所述感知的方式包括:依托apt攻击所产生的告警信息来进行反馈,收到反馈时,采集医疗机构本地的流量数据,用基于神经网络学习的离线分析模型分析所述流量数据,根据分析结果结合云端的威胁情报进行apt攻击识别。
可选地,所述安全事件包含ddos攻击,所述感知的方式包括:基于对云端的dns请求数据、网络连接数、netflow数据、udp数据、botnet活动数据的采集分析,追踪所述ddos攻击。
可选地,所述安全事件包含网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常,所述感知的方式包括:主动扫描网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常。
可选地,所述通报预警的方式具体适于:日常通报、专项通报、行业通报中的一者或多者的组合。
依据本发明的另一个方面,提供了一种电子设备,其中,该电子设备包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行上述的方法。
依据本发明的另一个方面,提供了一种计算机可读存储介质,其中,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被处理器执行时,实现上述的方法。
有益效果:
本发明通过统计省内医疗机构的互联网资产,结合云端安全数据发现各种安全事件,进而能够有效地感知省内医疗机构的互联网资产信息安全状态,实现全面掌握省内医疗机构的网络安全情况,实现对省内医疗机构的网络安全隐患和安全事件的及时响应。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的卫生医疗安全监测与通报预警方法的流程示意图;
图2示出了根据本发明一个实施例的卫生医疗安全监测与通报预警装置的结构示意图;
图3示出了根据本发明一个实施例的电子设备的结构示意图;
图4示出了根据本发明一个实施例的计算机可读存储介质的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例依托海量互联网数据、等级保护数据及其它第三方数据,运用大数据、数据融合等技术手段,基于现有基础设施,整合多方资源,构建面向服务架构(soa)。架构中设有数据采集汇聚层和数据预处理层,数据采集汇聚层通过布点监测省内各级医疗机构的互联网数据,数据预处理层对汇聚的数据进行抽取、清洗、转换、加载、消重与合并、数据关联、条件比对等处理,使得数据格式相对统一、分类分级明确、标识清晰,利于数据的深度关联分析,经预处理后的数据存储至架构的数据资源中心中。
图1示出了根据本发明一个实施例的卫生医疗安全监测与通报预警方法的流程示意图。如图1所示,本发明实施例的方法包括:
s11:统计设定区域内各级医疗机构的互联网资产;
资产探查的目标是“摸清家底”,掌握各级医疗机构在互联网上开放的互联网资产,为后续的围绕“安全事件生命周期”各个环节开展的安全管理工作打好基础。通过在数据资源中心中获取数据,然后利用常规的资源侦测工具,对省内各级医疗机构中的互联网资产进行自动遍历探查、识别和梳理,再通过主动扫描、机构上报、等保系统对接等方式,采集各级医疗机构的外网资产及内网资产,从而对分布在设备上的资源情况进行统计,掌握网络中的it资产分布,实现实时获取全省医疗机构的域名整体数量及域名数量周期变化的情况,并结合已知漏洞情况对网络资产进行脆弱性分析,了解每家医疗机构的安全隐患,并向医疗机构反馈对应的漏洞情况。
具体地,针对每家医疗机构,对其域名/ip进行梳理,通过字典穷举、dns数据发现、搜索引擎数据挖掘、ip段扫描、大数据关联等多种数据索引方式,扫描梳理正常的网站域名、不可访问域名、访问异常域名和ip等信息,综合识别该医疗机构对外开放的全部互联网资产。
根据前期的资产梳理情况,形成资产ip列表,对医疗机构的新增资产进行安全监测。具体地,发现新增资产时,根据资产ip列表进行ip列表的全端口扫描,并根据端口扫描的banner信息确定该端口开放的服务,从而准确识别包括但不限于discuz、joomla、大汉cms等应用系统指纹信息和struts2、weblogic、jboss等web应用框架指纹信息,进而得以根据所述信息对新增资产进行监测,分析其安全状况。
s12:根据所述互联网资产中发生的安全事件感知所述互联网资产的安全态势;
所述安全事件具体指网站可用性、网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、访问异常、ddos攻击、高级持续性威胁攻击(apt)等。
其中,对于高级持续性威胁攻击(apt),事先以医疗机构的流量数据为训练样本,利用神经网络学习算法进行离线分析模型,模型输出一系列与apt攻击相关的组织和攻击行为信息等情报信息。在系统监测apt攻击的过程中,系统依托apt攻击所产生的告警信息来进行反馈,并在接收到反馈时,依赖于互联网大数据技术对流量数据上活跃的数百亿样本以及样本的行为做到实时追踪分析,从而采集医疗机构本地的流量数据,然后用基于神经网络学习的离线分析模型分析流量数据,根据分析结果结合云端的ioc威胁情报,挖掘出一系列与apt攻击相关的组织和攻击行为信息等情报信息,实现apt攻击识别。需要说明的是,云端ioc威胁情报覆盖攻击者使用的域名、ip、url、md5等一系列网络基础设施或攻击武器信息,同时威胁情报中还包含了通过互联网大数据分析得到的apt攻击组织的相关背景信息,这对于apt攻击监测将提供至关重要的作用。
所述ddos攻击包括synflood攻击、ackflood攻击、tcpflood攻击、udpflood攻击等,对于ddos攻击,可以通过互联网对ddos攻击的控制端进行监控,在云端实现对ddos攻击的监测与发现,具体地,可通过对云端的dns请求数据、网络连接数、netflow数据、udp数据、botnet活动数据进行采集并分析,实现对ddos攻击的追踪和监控,并针对ddos攻击的目标和流量等信息进行及时监测状态的反馈,从而提供及时的ddos监测动态信息。
对于网站可用性、网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、访问异常等,可采用定期主动扫描的方式,依托常规的网站监测技术进行监测,对监测到的http/https可用性、dns可用性、页面篡改或网页挂马等监测信息进行及时报告和技术支持,实现对安全漏洞、威胁隐患、发现和识别。
通过对上述安全事件的发生状况进行监测,基于监测结果,利用恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析,然后根据常规的风险评估算法给出当前被监测医疗机构的整体安全评估,并从城市安全指数、区域安全指数、单位安全指数、威胁来源、攻击分析、威胁同比、威胁环比、告警详细等多个维度呈现当前被监测医疗机构的整体安全态势,实现对省内医疗机构的安全监测。
s13:基于所述安全态势,对所述互联网资产的安全状况进行通报预警。
所述通报预警的方式具体包括日常通报、专项通报、行业通报中。
其中日常通报指在日常安全运营保障过程中,针对特定的医疗机构的当日整体安全态势进行信息安全通报;专项通报指对整体安全态势进行专项梳理,深挖某类数据对某些需求行业影响的范围,基于某类问题进行详细分析;行业通报指以外部安全通告为基础,周期性为收集全部医疗机构的安全态势报告,内容包括各行业安全事件推送、各行业每日或定期安全态势报告、被监管单位月度安全态势报告等。同时在出现高危漏洞和突发重要事件时,也将提供相应的紧急安全事件通告,内容将包含测试方法、影响范围、修复建议等内容。
通过移动app把所检测到的安全事件、网站漏洞进行通报,并启用相应的处置机制,从而形成安全事件管理体系。
本发明实施例通过统计省内医疗机构的互联网资产,结合云端安全数据发现各种安全事件,进而能够有效地感知省内医疗机构的互联网资产信息安全状态,实现全面掌握省内医疗机构的网络安全情况,实现对省内医疗机构的网络安全隐患和安全事件的及时响应。
图2示出了根据本发明一个实施例的卫生医疗安全监测与通报预警的结构示意图。如图2所示,本发明实施例的装置包括:
统计模块21,适于统计设定区域内各级医疗机构的互联网资产;
感知模块22,适于根据所述互联网资产中发生的安全事件感知所述互联网资产的安全态势;
通报预警模块23,适于基于所述安全态势,对所述互联网资产的安全状况进行通报预警。
在本发明的另一个实施例中,图2所示的装置中的统计模块21,进一步适于:利用资源侦测工具对设定区域内的各级医疗机构的互联网资产进行自动遍历,并结合已知漏洞情况对所述互联网资产进行脆弱性分析;图2所示的装置中的通报预警模块23,进一步适于:向医疗机构反馈对应的漏洞情况。
在本发明的另一个实施例中,图2所示的装置中的统计模块21,进一步适于:
针对每家医疗机构,对其域名/ip进行梳理,并基于多维度的数据索引方式,综合识别该医疗机构对外开放的全部互联网资产。
在本发明的另一个实施例中,图2所示的装置中的统计模块21,进一步适于:
根据所述医疗机构前期的资产梳理情况形成ip列表,对所述医疗机构的新增资产进行ip列表的全端口扫描,根据端口扫描的banner信息确定相应端口所开放的服务,根据所述服务监测所述新增资产的安全状况。
具体地,所述安全事件包含apt攻击,所述感知的方式包括:依托apt攻击所产生的告警信息来进行反馈,并采集本地的流量数据,用基于神经网络学习的离线分析模型分析所述流量数据,根据分析结果结合云端的威胁情报进行apt攻击识别。
所述安全事件包含ddos攻击,所述感知的方式包括:基于对云端的dns请求数据、网络连接数、netflow数据、udp数据、botnet活动数据的采集分析,追踪所述ddos攻击。
所述安全事件包含网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常,所述感知的方式包括:主动扫描网站漏洞、网站挂马、网站篡改、钓鱼网站或访问异常。
所述通报预警的方式具体适于:特定对象安全评估通报、定期综合通报、突发事件通报、专项通报中的一者或多者的组合。
本发明实施例的装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或模块或组件组合成一个模块或模块或组件,以及此外可以把它们分成多个子模块或子模块或子组件。除了这样的特征和/或过程或者模块中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或模块进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的检测电子设备的佩戴状态的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
例如,图3示出了根据本发明一个实施例的电子设备的结构示意图。该电子设备传统上包括处理器31和被安排成存储计算机可执行指令(程序代码)的存储器32。存储器32可以是诸如闪存、eeprom(电可擦除可编程只读存储器)、eprom、硬盘或者rom之类的电子存储器。存储器32具有存储用于执行实施例中的任何方法步骤的程序代码34的存储空间33。例如,用于程序代码的存储空间33可以包括分别用于实现上面的方法中的各种步骤的各个程序代码34。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘,紧致盘(cd)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为例如图4所述的计算机可读存储介质。该计算机可读存储介质可以具有与图3的电子设备中的存储器32类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常,存储模块存储有用于执行根据本发明的方法步骤的程序代码41,即可以由诸如31之类的处理器读取的程序代码,当这些程序代码由电子设备运行时,导致该电子设备执行上面所描述的方法中的各个步骤。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的模块权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
- 还没有人留言评论。精彩留言会获得点赞!