醫(yī)療行業(yè)屢受勒索病毒攻擊

2018年2月，湖南省某醫(yī)院遭受勒索病毒攻擊，服務(wù)器所有數(shù)據(jù)文件被強行加密，導(dǎo)致醫(yī)院系統(tǒng)癱瘓，取號、辦卡、掛號、收費、診療等業(yè)務(wù)受到影響。攻擊者要求院方必須在六小時內(nèi)為每臺感染終端支付1個比特幣贖金，約合每臺終端解鎖需要支付人民幣66000余元。

國內(nèi)外越來越多的醫(yī)院正成為黑客攻擊的靶子：

國內(nèi)

國外

什么是勒索病毒？它會帶來多大的危害？

2017 年 5 月，一款名為 WannaCry 的勒索病毒席卷全球，包括中國、美國、俄羅斯及歐洲在內(nèi)的 100 多個國家受到影響。據(jù)瑞星與國家信息中心聯(lián)合發(fā)布的《2017中國網(wǎng)絡(luò)安全報告》稱，2017年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本92.99 萬個，感染共計 1,346 萬次，我國部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)遭受攻擊較為嚴重。

勒索病毒是一種特殊的惡意軟件，黑客將這類軟件植入受害機構(gòu)或者企業(yè)的系統(tǒng)中，將這類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復(fù)文件，如需恢復(fù)重要資料，只能被迫支付贖金。

為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子？

與其他機構(gòu)相比，醫(yī)院的信息系統(tǒng)比較特殊，如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等，都屬于需要緊急使用的信息，被勒索病毒加密后，會造成比較大的影響，所以勢必會想盡辦法以最快速度恢復(fù)數(shù)據(jù)，比如，馬上交贖金。醫(yī)院信息系統(tǒng)遭遇勒索、發(fā)生故障，無論是哪種突發(fā)狀況，都將直接影響到患者正常就醫(yī)，甚至?xí)P(guān)系到病患的生命安全。

醫(yī)療行業(yè)系統(tǒng)現(xiàn)狀：

醫(yī)療行業(yè)信息系統(tǒng)特點：

1.高速的響應(yīng)速度和聯(lián)機事務(wù)處理能力

2.醫(yī)療信息數(shù)據(jù)的復(fù)雜性

3.信息的安全、保密度要求高

4.數(shù)據(jù)量大

5.穩(wěn)定性要求高

6.瞬間并發(fā)訪問量大

7.系統(tǒng)后期數(shù)據(jù)維護工作量大

醫(yī)院內(nèi)網(wǎng)安全面臨的主要問題有：

1.醫(yī)院之間的信息系統(tǒng)互聯(lián)互通，使得醫(yī)院面臨更多的外部安全威脅

2.醫(yī)院安全意識淡薄以及管理制度的不完善，沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系，已經(jīng)嚴重滯后信息化的發(fā)展速度

3.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦

4.醫(yī)院對各類信息系統(tǒng)的依賴程度越來越高。以HIS系統(tǒng)為例，涉及到醫(yī)院所屬各部門，對人流、物流、財流全方位管理，患者從掛號、看診、繳費、手術(shù)、住院、出院等等各個環(huán)節(jié)，都需與其直接掛鉤，一旦HIS信息系統(tǒng)出現(xiàn)問題，影響面巨大

針對勒索病毒攻擊可以采取如下防御措施：

1、系統(tǒng)漏洞攻擊

防御措施：

（1）及時更新系統(tǒng)補丁，防止攻擊者通過漏洞入侵系統(tǒng)

（2）安裝補丁不方便的組織，可安裝網(wǎng)絡(luò)版安全軟件，對局域網(wǎng)中的機器統(tǒng)一打補丁

（3）在不影響業(yè)務(wù)的前提下，將危險性較高的，容易被漏洞利用的端口修改為其它端口號，如139 、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險

2、遠程訪問弱口令攻擊

防御措施：

（1）使用復(fù)雜密碼

（2）更改遠程訪問的默認端口號，改為其它端口號

（3）禁用系統(tǒng)默認遠程訪問，使用其它遠程管理軟件

3、釣魚郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監(jiān)控開啟，及時更新病毒庫

（2）如果業(yè)務(wù)不需要，建議關(guān)閉office宏，powershell腳本等

（3）開啟顯示文件擴展名

（4）不打開可疑的郵件附件

（5）不點擊郵件中的可疑鏈接

4、web服務(wù)漏洞和弱口令攻擊

防御措施：

（1）及時更新web服務(wù)器組件，及時安裝軟件補丁

（2）web服務(wù)不要使用弱口令和默認密碼

5、數(shù)據(jù)庫漏洞和弱口令攻擊

防御措施：

（1）更改數(shù)據(jù)庫軟件默認端口

（2）限制遠程訪問數(shù)據(jù)庫

（3）數(shù)據(jù)庫管理密碼不要使用弱口令

（4）及時更新數(shù)據(jù)庫管理軟件補丁

（5）及時備份數(shù)據(jù)庫

醫(yī)療行業(yè)防御勒索病毒解決方案

（1）各計算機終端設(shè)備部署下一代網(wǎng)絡(luò)版殺毒軟件

對于規(guī)模較大、設(shè)備類型眾多、維護工作繁重的組織，推薦使用瑞星下一代網(wǎng)絡(luò)版殺毒軟件統(tǒng)一查殺，統(tǒng)一打補丁。

下一代網(wǎng)絡(luò)版殺毒軟件集病毒防護、網(wǎng)絡(luò)防護、桌面管理、終端準入、輿情監(jiān)控于一體，全網(wǎng)絡(luò)環(huán)境適用，可以實現(xiàn)物理機、虛擬機、Windows、Linux一體化管理，為企業(yè)用戶提供了一整套終端安全解決方案。

多種防護模式自由設(shè)定，ATM機、銀行自助終端機、地鐵閘機、售檢票系統(tǒng)、醫(yī)院掛號機等終端設(shè)備按需設(shè)置。

對全網(wǎng)終端漏洞進行掃描，自由設(shè)定修復(fù)策略，終端可同時設(shè)定多個補丁中心、多個補丁服務(wù)器支持樹形級聯(lián)。

（2）在網(wǎng)絡(luò)入口部署防毒墻

防毒墻是集病毒掃描、入侵檢測和網(wǎng)絡(luò)監(jiān)視功能于一身的網(wǎng)絡(luò)安全產(chǎn)品。它可在網(wǎng)關(guān)處對病毒進行初次攔截，配合病毒庫上億條記錄，可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡(luò)之外，幫助企業(yè)將病毒威脅降至最低。

（3）虛擬化設(shè)備，部署虛擬化專用版安全軟件

虛擬化系統(tǒng)安全軟件是公司推出的國內(nèi)首家企業(yè)級云安全防護解決方案，支持對虛擬化環(huán)境與非虛擬化環(huán)境的統(tǒng)一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統(tǒng)與Linux系統(tǒng)等，可以有效保障企業(yè)內(nèi)部虛擬系統(tǒng)和實體網(wǎng)絡(luò)環(huán)境不受病毒侵擾。

虛擬化系統(tǒng)安全軟件的完整防護體系由管理中心、升級中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端Linux殺毒和安全防護終端等子系統(tǒng)組成，各個子系統(tǒng)均包括若干不同的模塊，除承擔各自的任務(wù)外，還與其它子系統(tǒng)通訊，協(xié)同工作，共同完成企業(yè)內(nèi)部的安全防護。

（4）部署數(shù)據(jù)備份恢復(fù)系統(tǒng)

無論網(wǎng)絡(luò)防護級別有多高，備份是必不可少的。組織用戶由于業(yè)務(wù)復(fù)雜，數(shù)據(jù)庫類型眾多，無法手動實時備份，建議使用專業(yè)的備份恢復(fù)系統(tǒng)實時備份。

備份恢復(fù)系統(tǒng)可作為本地機房針對各種常見服務(wù)器故障的應(yīng)急系統(tǒng)。一臺安裝了瑞星備份恢復(fù)系統(tǒng)的設(shè)備可通過和其他備用服務(wù)器建立“集中應(yīng)急平臺”實現(xiàn)200-300臺X86服務(wù)器故障應(yīng)急系統(tǒng)應(yīng)急切換，幾分鐘完全頂替原機使用，實現(xiàn)系統(tǒng)及數(shù)據(jù)同步。

服務(wù)器的一體化備份和應(yīng)急，可支持windows平臺；VMware、Hyper-V等虛擬化平臺以及Oracle、SqlServer、MySql、Sybase、達夢等所有數(shù)據(jù)庫。

醫(yī)療行業(yè)防御勒索病毒解決方案，是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解，做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案，可以由安全預(yù)警系統(tǒng)、防毒墻、殺軟構(gòu)建深層次病毒攔截、監(jiān)測、查殺體系，不僅能有效地阻止勒索病毒對用戶電腦的攻擊，同時最大限度地防御勒索病毒對用戶文件的破壞和感染。