淺談醫療系統應對勒索病毒的安全防范

李東鋒

摘 ?要：互聯網的快速發展給生產生活帶來了很大便利，“互聯網+醫療”的好處也日益顯現，醫療系統的服務質量大幅提高。隨著醫療系統的業務系統越來越多，隨之而來的信息安全問題也日益嚴峻。該文就當前醫療系統遭受的“網絡勒索”事件，淺談醫療系統怎樣防范網絡安全問題，如何實施加強安全性的措施和方法，保障醫療系統的信息系統不被破壞、用戶數據不被他人竊取。

關鍵詞：信息系統 ?網絡安全 ?勒索病毒 ?安全防范

中圖分類號：TP309.5 ? 文獻標識碼：A 文章編號：1672-3791（2020）06（c）-0020-02

隨著計算機及網絡技術的迅速發展，我們的工作和生活方式發生了根本性改變，工作效率和生活便攜性大大提高。同時，網絡帶來便捷的同時也存在安全隱患，如果醫院信息系統發生故障，將會直接影響正常就醫。因此，保障醫院信息系統安全，保護重要數據不被破壞十分必要。

1 ?事件背景

2017年5月，英國大規模爆發WannaCry勒索病毒，十多家醫院網絡遭到勒索病毒攻擊，醫院信息系統被攻陷，很快又有更多醫院的電腦遭到攻擊破壞，這場網絡攻擊迅速席卷全球。

2018年2月，國內一家大型醫院服務器懷疑遭到勒索病毒攻擊，導致醫院信息系統數據文件被加密破壞，大量患者無法正常就醫，攻擊者要求院方為每臺終端支付1個比特幣贖金（當時1個比特幣價格約6.6萬元）來解鎖。事后專家分析懷疑是國外黑客通過互聯網進行攻擊，使醫院的HIS系統服務器感染了勒索病毒，并對文件進行了加密，直接導致醫院業務系統不可用[1]。

2019年勒索病毒再度來襲，如今，我國醫療信息安全事故頻發，多家醫院檢測出勒索病毒，醫院業務系統被攻擊，患者數據被加密。

據騰訊《醫療行業勒索病毒專題報告》顯示，自2018年7月以來，在全國三甲醫院中，有200多家醫院檢出了勒索病毒，廣東、湖北、江蘇等地區檢出勒索病毒最多。

經分析，醫院遭受的勒索病毒主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族;被勒索病毒攻擊的操作系統主要有Windows 7和Windows 10，還有Windows XP;而入侵方式主要利用系統漏洞入侵和端口爆破（常見的有1433、3389端口）方式。

為什么醫療單位屢被攻擊，主要有幾個方面原因：第一，醫療機構數據的重要性、隱私性。黑客看中的是醫院所涉及個人信息、患者病歷信息可以賣出高價。第二，隨著互聯網的發展，醫療系統為了方便群眾，提高服務質量，業務系統越來越多，并且大多數都與互聯網連接，網絡環境越來越復雜。第三，醫療機構信息化建設整體投入不足，安全設備欠缺，加上安全意識淡薄，導致黑客趁虛而入。

2 ?“中招”后如何解決

一般中毒后基本沒辦法破解，醫療機構數據資源非常重要，不能病急亂投醫，盲目相信一些廠商吹噓的可破解病毒。不過，當發生勒索病毒攻擊時，可以采納以下應急措施。

（1）馬上進行排查。進行內網檢測，查找所有終端和服務器是否開放445等高危端口，一旦發現電腦中毒，立即關閉所有網絡連接，禁用網卡。

（2）切斷傳播途徑。關閉潛在的SMB、RDP端口等共享傳播端口。關閉異常的外聯訪問。

（3）查找攻擊源。抓包分析攻擊源或借助態勢感知類產品分析。

（4）查殺病毒修復漏洞。中毒主機必須先查殺病毒、修復漏洞，并保證殺毒軟件、防火墻正常開啟，加強系統防護，確保風險消除后，再接入網絡，如果數據無法恢復怎啟用備份數據。

對于大家普遍關注的中招后的數據恢復，專家建議，可以嘗試使用數據恢復軟件找到被刪除的文件;通過解密工具破解、解密文件;通過winhex對比歷史文件分析文件頭內容恢復，以及通過支付贖金恢復數據等方式。但目前勒索病毒的數據恢復難度較大，部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件，因此建議防范還是以預防為主。

3 ?勒索病毒如何防范

應對勒索病毒主要靠防范，防范措施如下。

（1）及時給系統打補丁。勒索病毒特別是GandCrab，常喜歡通過應用漏洞層面進一步滲透，所以補丁一定要打。值得注意的是，給操作系統打補丁的同時，不要遺漏了應用程序尤其是中間件的補丁。

（2）安裝正版殺毒軟件，并開啟所有防護功能。雖然不要把希望都寄托在殺毒軟件上，但不裝殺毒軟件更是萬萬不可的。

（3）對外業務系統屏蔽遠程登錄端口以及其他高危端口，為你的系統設置復雜的強口令，有條件的部署應用防火墻或者漏洞掃描，及時發現和阻止通過漏洞進行的攻擊。

（4）最后，一定要做好備份，而且一定要注意，備份數據不可以和原始數據放在一起，一定要離線存儲。

4 ?如何加強醫療系統的信息安全防護

4.1 全面安全防護

運維管理區部署機監控與上網行為管理、堡壘機、SOC等安全設備進行防護，對網絡、系統設備進行漏洞掃描、漏洞修復，對潛在威脅進行管理、訪問進行控制，確保各接入點醫療信息數據可靠、運維人員統一可控、傳輸數據有源可溯，全面實現醫院內外網業務訪問控制[2]。

4.2 積極主動防御

邊界部署第二代防火墻、入侵防御系統，保護信息系統外網入口對各類病毒、木馬、拒絕服務攻擊、間諜軟件等防護，從網絡邊界入手，切斷傳播途徑的控制手段，實時掌控全網安全狀況，解決醫院信息系統潛藏和未知的安全威脅。

4.3 全面、準確的數據審計

數據安全方面，需要加強數據存儲加密、數據的備份與恢復的建設，部署數據庫審計系統、對數據庫系統漏洞、登錄賬號、登錄工具、服務器接入控制和數據操作過程的跟蹤，以及實時監測并智能地分析、還原各種數據庫操作過程，有效幫助管理員實現安全事件預警、溯源等。

5 ?結語

安全無小事，勒索病毒“可防不可解”，需要醫信廠商和醫療機構共同加強安全防御措施和意識，防范于未然。

參考文獻

[1] 孫海波，丁宇丹，陳哲，等.基于“網站勒索”事件談網絡安全問題防范[J].有線電視技術，2019，26（5）：22-23.

[2] 陸忍.關于信息通訊安全技術的探討[J].科技展望，2017（26）：14.

[3] 姚儉.SmartSPG防勒索系統在醫院信息服務中的應用[J].信息技術與信息化，2019（11）：68-71.