醫(yī)院該如何解決勒索病毒威脅

林雙年

（阜寧縣人民醫(yī)院，江蘇 鹽城 224400）

0 引言

2017年5月，一款名為WannaCry的勒索病毒席卷全球，包括中國、美國、俄羅斯及歐洲在內的100多個國家受到影響。據國家信息中心聯合發(fā)布的《2017中國網絡安全報告》稱，2017年瑞星“云安全”系統共截獲勒索軟件樣本 92.99萬個，感染共計 1,346萬次，我國部分高校內網、大型企業(yè)內網和政府機構專網遭受攻擊較為嚴重。

勒索病毒是一種特殊的惡意軟件，黑客將這類軟件植入受害機構或者企業(yè)的系統中，將這類用戶的數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復文件，如需恢復重要資料，只能被迫支付贖金[1]。

為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子？與其他機構相比，醫(yī)院的信息系統比較特殊，如其中的病例、醫(yī)學記錄、、病患資料以及預約掛號信息等，都屬于緊急使用的信息，被勒索病毒給加密后，會造成比較大的危害，因此會想盡辦法以最快速度恢復，最簡單的方法就是：馬上交贖金。醫(yī)院信息系統遭遇勒索或發(fā)生故障，無論是哪種突發(fā)狀況，都將直接影響到患者正常就醫(yī)，甚至會關系到病患的生命安全[2-4]。

1 醫(yī)療行業(yè)系統現狀

大部分醫(yī)院都獨立擁有的HIS系統、EMR系統、LIS系統、PACS系統幾大主系統，還有手麻系統、供應追溯系統、心電系統、移動護理系統、移動查房系統等等。有的大型醫(yī)院有近上百個子系統組成。雖然大部分醫(yī)院設有信息科室，但是有的信息科卻得不到重視，甚至有的主要工作變成維修電腦、打印機等，讓人心生無奈。有很多的醫(yī)院網絡安全策略不當。有的購買過不少的安全設備，但是這些設備卻如同擺件一樣放置一旁。比如，很多都部署過防火墻，但里面設置的幾乎是透明的原始模式，有的購買安裝殺毒軟件，但并沒有在服務器上安裝，也沒有按時為軟件打補丁[5]。雖然有不少都部署了安全設備，但密碼卻是類似12345678這樣弱到爆的口令，設備雖然齊全但是對于安全意識卻缺乏的可憐，只有在遭到網絡攻擊后才會逐漸的重視起這些網絡安全問題。

2 醫(yī)療行業(yè)信息系統特點

（1）高速的響應速度和聯機事務處理能力

（2）醫(yī)療信息數據的復雜性

（3）信息的安全、保密度要求高

（4）數據量大

（5）穩(wěn)定性要求高

（6）瞬間并發(fā)訪問量大

（7）系統后期數據維護工作量大

3 醫(yī)院內網安全面臨的主要問題有

（1）醫(yī)院之間的信息系統互聯互通，使得醫(yī)院面臨更多的外部安全威脅。

（2）醫(yī)院安全意識淡薄以及管理制度的不完善，沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系，已經嚴重滯后信息化的發(fā)展速度。

（3）醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價值，漸漸得到灰色產業(yè)鏈的覬覦。

（4）醫(yī)院對各類信息系統的依賴程度越來越高。以核心HIS系統為例，涉及到醫(yī)院所屬各部門，對人流、物流、財流全方位管理，患者從掛號、看診、掛號、繳費、用藥、掛水、手術、住院、出院等等各個環(huán)節(jié)，都需與其直接掛鉤，一旦HIS信息系統出現問題，影響面巨大。甚至導致醫(yī)院運行癱瘓。

4 針對勒索病毒攻擊可以采取如下防御措施

4.1 系統漏洞攻擊

防御措施：

（1）及時更新系統補丁，防止攻擊者通過漏洞入侵系統。

（2）安裝補丁不方便的組織，可安裝網絡版安全軟件，對局域網中的機器統一打補丁。

（3）在不影響業(yè)務的前提下，將危險性較高的，容易被漏洞利用的端口修改為其它端口號，如139、445端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。

4.2 遠程訪問弱口令攻擊

防御措施：

（1）使用復雜密碼。

（2）更改遠程訪問的默認端口號，改為其它端口號。

（3）禁用系統默認遠程訪問，使用其它遠程管理軟件。

4.3 釣魚郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監(jiān)控開啟，及時更新病毒庫。

（2）如果業(yè)務不需要，建議關閉 office宏，powershell腳本等。

（3）開啟顯示文件擴展名。

（4）不打開可疑的郵件附件。

（5）不點擊郵件中的可疑鏈接。

4.4 web服務漏洞和弱口令攻擊

防御措施：

（1）及時更新web服務器組件，及時安裝軟件補丁。

（2）web服務不要使用弱口令和默認密碼。

4.5 數據庫漏洞和弱口令攻擊

防御措施：

（1）更改數據庫軟件默認端口。

（2）限制遠程訪問數據庫。

（3）數據庫管理密碼不要使用弱口令。

（4）及時更新數據庫管理軟件補丁。

（5）及時備份數據庫。

5 如果中招勒索病毒怎么辦？

（1）隔離：快速將中毒機器從網絡中隔離開，比如斷開網線。

（2）取證：中毒之后，因為著急恢復業(yè)務和數據，所以很多人選擇格式化系統重新部署系統，大家的心情可以理解，但建議大家在恢復之前一定要等應急響應人員去做完相關的取證工作之后再進行恢復工作。只有經過取證分析，才可以知道被感染的原因何在，才能做好防御措施避免下次被再次加密。千萬不可以直接把系統格式化。

（3）加固：檢查其他還沒有中毒的機器，對于沒有打補丁的趕緊打補丁，沒有安裝殺毒軟件的馬上安裝殺毒軟件，有弱口令密碼要及時修改。

（4）殺毒：安裝專業(yè)殺毒軟件對內網電腦（包括工作站和服務器）進行全網掃描，及時清除網內病毒。

6 醫(yī)療行業(yè)防御勒索病毒解決方案

6.1 各計算機終端設備部署下一代網絡版殺毒軟件——主流的網絡版殺毒軟件都可以實現（306天擎、亞信officescan、瑞星ESM等）

對于規(guī)模較大、設備類型眾多、維護工作繁重的組織，下一代網絡版殺毒軟件統一查殺，統一打補丁[6-8]。

必須集病毒防護、網絡防護、桌面管理、終端準入、輿情監(jiān)控于一體，全網絡環(huán)境適用，可以實現物理機、虛擬機、Windows、Linux一體化管理，為企業(yè)用戶提供了一整套終端安全解決方案如（圖 1）。

圖1 終端安全解決方案Fig.1 Terminal security solution

多種防護模式自由設定，針對不同用途終端使用不同策略，醫(yī)生工作站、護士工作站、門診工作站、醫(yī)技檢查終端、醫(yī)院掛號繳費終端、各種自助設備等按需設置。對全網終端漏洞進行掃描，自由設定修復策略，終端可同時設定多個補丁中心、多個補丁服務器支持樹形級聯。

6.2 在網絡入口部署防毒墻

防毒墻是集病毒掃描、入侵檢測和網絡監(jiān)視功能于一身的網絡安全產品。它可在網關處對病毒進行初次攔截，配合病毒庫上億條記錄，可將絕大多數病毒徹底剿滅在醫(yī)院網絡之外，幫助醫(yī)院將病毒威脅降至最低。

6.3 虛擬化設備，部署虛擬化專用版安全軟件

云安全防護解決方案如（圖2）。

圖2 云安全防護解決方案Fig.2 Cloud security solutions

必須支持對虛擬化環(huán)境與非虛擬化環(huán)境的統一管控，包括 VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮 InCloud Sphere、Windows系統與Linux系統等，可以有效保障企業(yè)內部虛擬系統和實體網絡環(huán)境不受病毒侵擾。虛擬化系統安全軟件的完整防護體系由管理中心、升級中心、日志中心、掃描服務器、安全虛擬設備、安全終端 Linux殺毒和安全防護終端等子系統組成，各個子系統均包括若干不同的模塊，除承擔各自的任務外，還與其它子系統通訊，協同工作，共同完成企業(yè)內部的安全防護[9]。

6.4 部署數據備份恢復系統

無論網絡防護級別有多高，備份是必不可少的。組織用戶由于業(yè)務復雜，數據庫類型眾多，無法手動實時備份，必須使用專業(yè)的備份恢復系統實時備份。

備份恢復系統可作為本地機房針對各種常見服務器故障的應急系統。一臺安裝了備份恢復系統的設備可通過和其他備用服務器建立“集中應急平臺”實現多臺X86服務器故障應急系統應急切換，幾分鐘完全頂替原機使用，實現系統及數據同步。服務器的一體化備份和應急，可支持 windows平臺；VMware、Hyper-V 等虛擬化平臺以及 Oracle、SqlServer、MySql、Sybase、達夢等所有數據庫。醫(yī)療行業(yè)防御勒索病毒解決方案，是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解，做出的一套從終端安全、云安全到網關安全的一套全面、立體的解決方案，可以由專業(yè)的安全預警系統、防毒墻、殺毒軟件等構建深層次病毒攔截、監(jiān)測、查殺體系，不僅能有效地阻止勒索病毒對用戶電腦的攻擊，同時最大限度地防御勒索病毒對用戶文件的破壞和感染[10]。

7 結論

綜上所述，醫(yī)療生產環(huán)境中大量應用計算機系統，不僅需要對計算機病毒進行及時處理，還需要能夠全面分析和研究計算機病毒，才能確保全方位判斷計算機病毒發(fā)展情況，并且能夠做到先發(fā)制毒，基于此還需加大投入，建立和完善防范體系。