淺述醫院加強防范勒索病毒的途徑

龐焱

摘 要 勒索病毒對公共安全造成了重大的不良影響，設計與部署帶有縱深拓撲結構的醫院信息化網絡安全防御體系，既是一種保障正常醫療秩序與數據業務系統連續性的措施，更是一種對人民群眾生命安全負責人的保障體系。本文從勒索病毒域內感染的概念展開介紹，對醫院安全防護的非電子防護、主機防護、網絡防護與數據備份四個方面展開分析。在醫院信息化系統建設之中，針對勒索病毒以及其他可能的網絡攻擊與信息泄露進行專業化的安全防控與部署，以期維護正常的醫療秩序，保障患者享有及時的醫療照護。

關鍵詞 醫院網絡安全;勒索病毒;安全設計

Hospitals are stepping up efforts to prevent ransomware

Pang Yan

Guiping People's Hospital， Guiping Guangxi 537200

Abstract Ransomware has caused a significant adverse impact on public security. The design and deployment of hospital information network security defense system with deep topology structure is not only a measure to ensure the continuity of normal medical order and data business system， but also a safeguard system for peoples life safety. This paper introduces the concept of infection in the ransomware domain and analyzes the non-electronic protection， host protection， network protection and data backup of hospital security protection. In the construction of hospital information system， specialized security prevention and control and deployment are carried out against ransomware and other possible network attacks and information leakage， so as to maintain normal medical order and ensure timely medical care for patients.

Key words Hospital network security; Ransomware; Safety design

醫院在三年來成為勒索病毒攻擊的重點目標，在歐美許多的大型醫院都受到了勒索病毒的侵入和攻擊。醫院的信息系統極為特殊，且大多屬于緊急信息和緊急操作，所以許多醫院處于患者生命安全考慮選擇繳納贖金。一旦醫療系統受到勒索，都會直接影響到整個醫院的治療活動，嚴重危害患者生命安全。

1勒索病毒的概念與傳播

勒索病毒是一種電腦病毒，通過網絡漏洞侵入到用戶的主機之中將主機內的數據文件全部封鎖加密，向用戶發出勒索信息索要贖金?；颊咝枰谙拗茣r間內繳納高昂的贖金，政府機關、學校和醫院是其首選。一旦繳納贖金稍有延遲，整個系統文件將會被永久刪除。在研究分析過程之中可以發現，勒索病毒的傳播與常規狀況下的網絡攻擊有近乎相同的傳播模式，其傳播途徑為：端口傳播，進入內網之后通過固定端口進行掃描感染;弱口令暴力破解，黑客卸載用戶殺毒軟件后直接傳播病毒;釣魚文件，郵件、網頁、外掛軟件等誘導手段展開病毒[1]。

2醫院安全防護設計

2.1 非電子防護設計

對于非數據性的電子信息管理如處方藥藥柜、醫療器材柜等，其接入網絡本身意在規范化管理，但是一旦被勒索病毒等惡意侵入，造成藥柜、器材柜、甚至大廳隔離門等緊急上鎖，會對許多正在進行的緊急治療造成嚴重影響。所以對于非系統性的儲存設備要加入人工打開的渠道。在美國某醫院進行手術時遭受勒索病毒襲擊，手術室被緊急上鎖，病人在等待血漿。醫院臨時調配鋁熱劑將電子鎖燒開，才將血漿及時送入。如果在一開始的設計上就考慮到這一點，在此類設備上加入人工機械操作的選項，如液壓桿、齒輪結構、緊急開關等，都能夠避免臨時上鎖對患者治療帶來的突然危害?？偟膩碚f，除了網絡安全設計之外，醫院工作具有不能停工的特殊屬性，所以提前要做好受到網絡攻擊的行動備案，即在所有注冊設備如處方藥柜、手術器材柜、防火門等系統設計時，要留有緊急狀態下人工開啟的準備，以防病人臨時出現生命危險[2]。

2.2 主機安全加固設計

醫院內的各個終端機以及服務器要統一進行安全加固，其具體措施有：①更新系統安全補丁，彌補系統漏洞;②終端統一使用專業殺毒軟件系統，對各種專殺軟件進行定期升級，維護殺毒軟件數據庫更新;③使用終端機統一備份和一鍵還原措施，定期將系統及終端儲存一鍵還原，防止病毒文件長期留存;④主機、路由、數據庫使用動態密碼、硬件解鎖等措施，加大特殊字符庫密碼的使用，將弱口令風險降到最低;⑤在內網之中摒棄私自的移動儲存介質，必要的數據導入導出使用專門的內網閃存，殺毒之后再接入內網數據之中。數據庫一定要保持橋接狀態，不得獨自連接數據庫。⑥內網主機只能是內網專用，禁止連接互聯網或者在內網之中連入外部主機，有必要上網需求的，可以通過專用互聯網主機虛擬投影實現。⑦完全卸載共享服務，對于通信端口設定優先級，不必要的135/445端口等都應當卸載關閉。

2.3 網絡安全設計

除主機安全之外使用內網安全策略進一步部署能夠合理且有效避免病毒入侵與內網傳播。首先，在內網準入協議之中加入先進的認證或終端管理，對每一個單一用戶實行注冊準入，讓非授權用戶無法進入到內網之中，規避外來主機的傳播風險[3]。

其次，在內網網段實行分布式隔離措施，在135/445等高危接口全部關閉之后，對服務器網絡端口連接實行高度限制政策，禁止使用3389/5900等高危端口訪問服務器，采用堡壘轉接策略對使用遠程桌面對服務器保持訪問。這樣能夠保證在單一計算機中毒時將病毒隔離在一個小內網結構之中，阻止跨網段的傳播可能，降低整體爆發的可能性。

再次，在網絡外聯專線上需要使用最小授權原則，運用業務系統上的認證操作過濾其他訪問，避免外部病毒的入侵。

最后，在數據庫之中使用入侵防御系統或硬體防火墻，在醫院數據庫的使用之中單獨加以一層防御措施，避免主機病毒感染數據庫。

2.4 數據備份設計

醫院可以效仿互聯網企業設計數據備份措施，對重要的中心服務器數據設計數據備份設備，利用備份覆蓋方法對重要數據進行定期備份。除了病毒勒索之外，其他的誤操作、損傷等情況也會讓核心數據遭到損害，數據備份是一種最后的還原方法。數據備份策略可以使用傳統的全量備份和增量備份相結合的模式，根據業務系統的重要性將系統分為一天一次的全量備份和一天多次的增量備份。一般的數據庫可以采用一天一次的全量備份便可。對于陳舊的儲藏性數據，使用磁帶進行保存，能夠有效地將數據庫的內部存儲解放開來，避免勒索病毒的損害。在服務器中毒之后將整體服務器按照備份進行全盤恢復，能夠將服務器中毒的影響力降到最低，數據損失也降低到最小[4]。

3結束語

勒索病毒不僅危害醫院的正常運營，更加損害患者的生命安全，對社會造成極其不良的影響。當然通過相應的防御手段和謹慎的網絡加固，能夠針對勒索病毒秉持網絡防御、主機防御和數據庫防御三重體系，保障醫院的醫療秩序。

參考文獻

[1] 林雙年.醫院該如何解決勒索病毒威脅[J].軟件，2020，41（5）：225-227，278.

[2] 瞿朗，左秀然，楊國良.疫情期間醫院網絡安全風險及防范措施[J].中國數字醫學，2020，15（5）：92-95.

[3] 姚儉.SmartSPG防勒索系統在醫院信息服務中的應用[J].信息技術與信息化，2019（11）：68-71.

[4] 陸昊. 基于等級保護要求的某醫院感染勒索病毒案例分析和探討[C]. 信息產業信息安全測評中心.2018第七屆全國安全等級保護技術大會論文集.信息產業信息安全測評中心：北京市海淀區太極計算機培訓中心，2018：139-141.