安全資訊

醫療行業(yè)屢受勒索病毒攻擊

2018年2月，湖南省某醫院遭受勒索病毒攻擊，服務(wù)器所有數據文件被強行加密，導致醫院系統癱瘓，取號、辦卡、掛號、收費、診療等業(yè)務(wù)受到影響。攻擊者要求院方必須在六小時(shí)內為每臺感染終端支付1個(gè)比特幣贖金，約合每臺終端解鎖需要支付人民幣66000余元。

國內外越來(lái)越多的醫院正成為黑客攻擊的靶子：

國內

國外

什么是勒索病毒？它會(huì )帶來(lái)多大的危害？

2017 年 5 月，一款名為 WannaCry 的勒索病毒席卷全球，包括中國、美國、俄羅斯及歐洲在內的 100 多個(gè)國家受到影響。據瑞星與國家信息中心聯(lián)合發(fā)布的《2017中國網(wǎng)絡(luò )安全報告》稱(chēng)，2017年瑞星“云安全”系統共截獲勒索軟件樣本92.99 萬(wàn)個(gè)，感染共計 1,346 萬(wàn)次，我國部分高校內網(wǎng)、大型企業(yè)內網(wǎng)和政府機構專(zhuān)網(wǎng)遭受攻擊較為嚴重。

勒索病毒是一種特殊的惡意軟件，黑客將這類(lèi)軟件植入受害機構或者企業(yè)的系統中，將這類(lèi)用戶(hù)的數據資產(chǎn)包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒(méi)有私鑰的情況下，一般無(wú)法恢復文件，如需恢復重要資料，只能被迫支付贖金。

為何救死扶傷的醫院正越來(lái)越多的成為黑客攻擊的靶子？

與其他機構相比，醫院的信息系統比較特殊，如其中的醫學(xué)記錄、數據、病患資料以及預約信息等，都屬于需要緊急使用的信息，被勒索病毒加密后，會(huì )造成比較大的影響，所以勢必會(huì )想盡辦法以最快速度恢復數據，比如，馬上交贖金。醫院信息系統遭遇勒索、發(fā)生故障，無(wú)論是哪種突發(fā)狀況，都將直接影響到患者正常就醫，甚至會(huì )關(guān)系到病患的生命安全。

醫療行業(yè)系統現狀：

醫療行業(yè)信息系統特點(diǎn)：

1.高速的響應速度和聯(lián)機事務(wù)處理能力

2.醫療信息數據的復雜性

3.信息的安全、保密度要求高

4.數據量大

5.穩定性要求高

6.瞬間并發(fā)訪(fǎng)問(wèn)量大

7.系統后期數據維護工作量大

醫院內網(wǎng)安全面臨的主要問(wèn)題有：

1.醫院之間的信息系統互聯(lián)互通，使得醫院面臨更多的外部安全威脅

2.醫院安全意識淡薄以及管理制度的不完善，沒(méi)有成立專(zhuān)門(mén)的信息安全管理組織、沒(méi)有成套規范的管理體系，已經(jīng)嚴重滯后信息化的發(fā)展速度

3.醫院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦

4.醫院對各類(lèi)信息系統的依賴(lài)程度越來(lái)越高。以HIS系統為例，涉及到醫院所屬各部門(mén)，對人流、物流、財流全方位管理，患者從掛號、看診、繳費、手術(shù)、住院、出院等等各個(gè)環(huán)節，都需與其直接掛鉤，一旦HIS信息系統出現問(wèn)題，影響面巨大

針對勒索病毒攻擊可以采取如下防御措施：

1、系統漏洞攻擊

防御措施：

（1）及時(shí)更新系統補丁，防止攻擊者通過(guò)漏洞入侵系統

（2）安裝補丁不方便的組織，可安裝網(wǎng)絡(luò )版安全軟件，對局域網(wǎng)中的機器統一打補丁

（3）在不影響業(yè)務(wù)的前提下，將危險性較高的，容易被漏洞利用的端口修改為其它端口號，如139 、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險

2、遠程訪(fǎng)問(wèn)弱口令攻擊

防御措施：

（1）使用復雜密碼

（2）更改遠程訪(fǎng)問(wèn)的默認端口號，改為其它端口號

（3）禁用系統默認遠程訪(fǎng)問(wèn)，使用其它遠程管理軟件

3、釣魚(yú)郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監控開(kāi)啟，及時(shí)更新病毒庫

（2）如果業(yè)務(wù)不需要，建議關(guān)閉office宏，powershell腳本等

（3）開(kāi)啟顯示文件擴展名

（4）不打開(kāi)可疑的郵件附件

（5）不點(diǎn)擊郵件中的可疑鏈接

4、web服務(wù)漏洞和弱口令攻擊

防御措施：

（1）及時(shí)更新web服務(wù)器組件，及時(shí)安裝軟件補丁

（2）web服務(wù)不要使用弱口令和默認密碼

5、數據庫漏洞和弱口令攻擊

防御措施：

（1）更改數據庫軟件默認端口

（2）限制遠程訪(fǎng)問(wèn)數據庫

（3）數據庫管理密碼不要使用弱口令

（4）及時(shí)更新數據庫管理軟件補丁

（5）及時(shí)備份數據庫

醫療行業(yè)防御勒索病毒解決方案

（1）各計算機終端設備部署下一代網(wǎng)絡(luò )版殺毒軟件

對于規模較大、設備類(lèi)型眾多、維護工作繁重的組織，推薦使用瑞星下一代網(wǎng)絡(luò )版殺毒軟件統一查殺，統一打補丁。

下一代網(wǎng)絡(luò )版殺毒軟件集病毒防護、網(wǎng)絡(luò )防護、桌面管理、終端準入、輿情監控于一體，全網(wǎng)絡(luò )環(huán)境適用，可以實(shí)現物理機、虛擬機、Windows、Linux一體化管理，為企業(yè)用戶(hù)提供了一整套終端安全解決方案。

多種防護模式自由設定，ATM機、銀行自助終端機、地鐵閘機、售檢票系統、醫院掛號機等終端設備按需設置。

對全網(wǎng)終端漏洞進(jìn)行掃描，自由設定修復策略，終端可同時(shí)設定多個(gè)補丁中心、多個(gè)補丁服務(wù)器支持樹(shù)形級聯(lián)。

（2）在網(wǎng)絡(luò )入口部署防毒墻

防毒墻是集病毒掃描、入侵檢測和網(wǎng)絡(luò )監視功能于一身的網(wǎng)絡(luò )安全產(chǎn)品。它可在網(wǎng)關(guān)處對病毒進(jìn)行初次攔截，配合病毒庫上億條記錄，可將絕大多數病毒徹底剿滅在企業(yè)網(wǎng)絡(luò )之外，幫助企業(yè)將病毒威脅降至最低。

（3）虛擬化設備，部署虛擬化專(zhuān)用版安全軟件

虛擬化系統安全軟件是公司推出的國內首家企業(yè)級云安全防護解決方案，支持對虛擬化環(huán)境與非虛擬化環(huán)境的統一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統與Linux系統等，可以有效保障企業(yè)內部虛擬系統和實(shí)體網(wǎng)絡(luò )環(huán)境不受病毒侵擾。

虛擬化系統安全軟件的完整防護體系由管理中心、升級中心、日志中心、掃描服務(wù)器、安全虛擬設備、安全終端Linux殺毒和安全防護終端等子系統組成，各個(gè)子系統均包括若干不同的模塊，除承擔各自的任務(wù)外，還與其它子系統通訊，協(xié)同工作，共同完成企業(yè)內部的安全防護。

（4）部署數據備份恢復系統

無(wú)論網(wǎng)絡(luò )防護級別有多高，備份是必不可少的。組織用戶(hù)由于業(yè)務(wù)復雜，數據庫類(lèi)型眾多，無(wú)法手動(dòng)實(shí)時(shí)備份，建議使用專(zhuān)業(yè)的備份恢復系統實(shí)時(shí)備份。

備份恢復系統可作為本地機房針對各種常見(jiàn)服務(wù)器故障的應急系統。一臺安裝了瑞星備份恢復系統的設備可通過(guò)和其他備用服務(wù)器建立“集中應急平臺”實(shí)現200-300臺X86服務(wù)器故障應急系統應急切換，幾分鐘完全頂替原機使用，實(shí)現系統及數據同步。

服務(wù)器的一體化備份和應急，可支持windows平臺；VMware、Hyper-V等虛擬化平臺以及Oracle、SqlServer、MySql、Sybase、達夢(mèng)等所有數據庫。

醫療行業(yè)防御勒索病毒解決方案，是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解，做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案，可以由安全預警系統、防毒墻、殺軟構建深層次病毒攔截、監測、查殺體系，不僅能有效地阻止勒索病毒對用戶(hù)電腦的攻擊，同時(shí)最大限度地防御勒索病毒對用戶(hù)文件的破壞和感染。