醫(yī)療行業(yè)屢受勒索病毒攻擊

2018年2月，湖南省某醫(yī)院遭受勒索病毒攻擊，服務(wù)器所有數(shù)據(jù)文件被強(qiáng)行加密，導(dǎo)致醫(yī)院系統(tǒng)癱瘓，取號(hào)、辦卡、掛號(hào)、收費(fèi)、診療等業(yè)務(wù)受到影響。攻擊者要求院方必須在六小時(shí)內(nèi)為每臺(tái)感染終端支付1個(gè)比特幣贖金，約合每臺(tái)終端解鎖需要支付人民幣66000余元。

國(guó)內(nèi)外越來越多的醫(yī)院正成為黑客攻擊的靶子：

國(guó)內(nèi)

國(guó)外

什么是勒索病毒？它會(huì)帶來多大的危害？

2017 年 5 月，一款名為 WannaCry 的勒索病毒席卷全球，包括中國(guó)、美國(guó)、俄羅斯及歐洲在內(nèi)的 100 多個(gè)國(guó)家受到影響。據(jù)瑞星與國(guó)家信息中心聯(lián)合發(fā)布的《2017中國(guó)網(wǎng)絡(luò)安全報(bào)告》稱，2017年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本92.99 萬(wàn)個(gè)，感染共計(jì) 1,346 萬(wàn)次，我國(guó)部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)遭受攻擊較為嚴(yán)重。

勒索病毒是一種特殊的惡意軟件，黑客將這類軟件植入受害機(jī)構(gòu)或者企業(yè)的系統(tǒng)中，將這類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復(fù)文件，如需恢復(fù)重要資料，只能被迫支付贖金。

為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子？

與其他機(jī)構(gòu)相比，醫(yī)院的信息系統(tǒng)比較特殊，如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等，都屬于需要緊急使用的信息，被勒索病毒加密后，會(huì)造成比較大的影響，所以勢(shì)必會(huì)想盡辦法以最快速度恢復(fù)數(shù)據(jù)，比如，馬上交贖金。醫(yī)院信息系統(tǒng)遭遇勒索、發(fā)生故障，無論是哪種突發(fā)狀況，都將直接影響到患者正常就醫(yī)，甚至?xí)P(guān)系到病患的生命安全。

醫(yī)療行業(yè)系統(tǒng)現(xiàn)狀：

醫(yī)療行業(yè)信息系統(tǒng)特點(diǎn)：

1.高速的響應(yīng)速度和聯(lián)機(jī)事務(wù)處理能力

2.醫(yī)療信息數(shù)據(jù)的復(fù)雜性

3.信息的安全、保密度要求高

4.數(shù)據(jù)量大

5.穩(wěn)定性要求高

6.瞬間并發(fā)訪問量大

7.系統(tǒng)后期數(shù)據(jù)維護(hù)工作量大

醫(yī)院內(nèi)網(wǎng)安全面臨的主要問題有：

1.醫(yī)院之間的信息系統(tǒng)互聯(lián)互通，使得醫(yī)院面臨更多的外部安全威脅

2.醫(yī)院安全意識(shí)淡薄以及管理制度的不完善，沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系，已經(jīng)嚴(yán)重滯后信息化的發(fā)展速度

3.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦

4.醫(yī)院對(duì)各類信息系統(tǒng)的依賴程度越來越高。以HIS系統(tǒng)為例，涉及到醫(yī)院所屬各部門，對(duì)人流、物流、財(cái)流全方位管理，患者從掛號(hào)、看診、繳費(fèi)、手術(shù)、住院、出院等等各個(gè)環(huán)節(jié)，都需與其直接掛鉤，一旦HIS信息系統(tǒng)出現(xiàn)問題，影響面巨大

針對(duì)勒索病毒攻擊可以采取如下防御措施：

1、系統(tǒng)漏洞攻擊

防御措施：

（1）及時(shí)更新系統(tǒng)補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)

（2）安裝補(bǔ)丁不方便的組織，可安裝網(wǎng)絡(luò)版安全軟件，對(duì)局域網(wǎng)中的機(jī)器統(tǒng)一打補(bǔ)丁

（3）在不影響業(yè)務(wù)的前提下，將危險(xiǎn)性較高的，容易被漏洞利用的端口修改為其它端口號(hào)，如139 、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)

2、遠(yuǎn)程訪問弱口令攻擊

防御措施：

（1）使用復(fù)雜密碼

（2）更改遠(yuǎn)程訪問的默認(rèn)端口號(hào)，改為其它端口號(hào)

（3）禁用系統(tǒng)默認(rèn)遠(yuǎn)程訪問，使用其它遠(yuǎn)程管理軟件

3、釣魚郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監(jiān)控開啟，及時(shí)更新病毒庫(kù)

（2）如果業(yè)務(wù)不需要，建議關(guān)閉office宏，powershell腳本等

（3）開啟顯示文件擴(kuò)展名

（4）不打開可疑的郵件附件

（5）不點(diǎn)擊郵件中的可疑鏈接

4、web服務(wù)漏洞和弱口令攻擊

防御措施：

（1）及時(shí)更新web服務(wù)器組件，及時(shí)安裝軟件補(bǔ)丁

（2）web服務(wù)不要使用弱口令和默認(rèn)密碼

5、數(shù)據(jù)庫(kù)漏洞和弱口令攻擊

防御措施：

（1）更改數(shù)據(jù)庫(kù)軟件默認(rèn)端口

（2）限制遠(yuǎn)程訪問數(shù)據(jù)庫(kù)

（3）數(shù)據(jù)庫(kù)管理密碼不要使用弱口令

（4）及時(shí)更新數(shù)據(jù)庫(kù)管理軟件補(bǔ)丁

（5）及時(shí)備份數(shù)據(jù)庫(kù)

醫(yī)療行業(yè)防御勒索病毒解決方案

（1）各計(jì)算機(jī)終端設(shè)備部署下一代網(wǎng)絡(luò)版殺毒軟件

對(duì)于規(guī)模較大、設(shè)備類型眾多、維護(hù)工作繁重的組織，推薦使用瑞星下一代網(wǎng)絡(luò)版殺毒軟件統(tǒng)一查殺，統(tǒng)一打補(bǔ)丁。

下一代網(wǎng)絡(luò)版殺毒軟件集病毒防護(hù)、網(wǎng)絡(luò)防護(hù)、桌面管理、終端準(zhǔn)入、輿情監(jiān)控于一體，全網(wǎng)絡(luò)環(huán)境適用，可以實(shí)現(xiàn)物理機(jī)、虛擬機(jī)、Windows、Linux一體化管理，為企業(yè)用戶提供了一整套終端安全解決方案。

多種防護(hù)模式自由設(shè)定，ATM機(jī)、銀行自助終端機(jī)、地鐵閘機(jī)、售檢票系統(tǒng)、醫(yī)院掛號(hào)機(jī)等終端設(shè)備按需設(shè)置。

對(duì)全網(wǎng)終端漏洞進(jìn)行掃描，自由設(shè)定修復(fù)策略，終端可同時(shí)設(shè)定多個(gè)補(bǔ)丁中心、多個(gè)補(bǔ)丁服務(wù)器支持樹形級(jí)聯(lián)。

（2）在網(wǎng)絡(luò)入口部署防毒墻

防毒墻是集病毒掃描、入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)視功能于一身的網(wǎng)絡(luò)安全產(chǎn)品。它可在網(wǎng)關(guān)處對(duì)病毒進(jìn)行初次攔截，配合病毒庫(kù)上億條記錄，可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡(luò)之外，幫助企業(yè)將病毒威脅降至最低。

（3）虛擬化設(shè)備，部署虛擬化專用版安全軟件

虛擬化系統(tǒng)安全軟件是公司推出的國(guó)內(nèi)首家企業(yè)級(jí)云安全防護(hù)解決方案，支持對(duì)虛擬化環(huán)境與非虛擬化環(huán)境的統(tǒng)一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統(tǒng)與Linux系統(tǒng)等，可以有效保障企業(yè)內(nèi)部虛擬系統(tǒng)和實(shí)體網(wǎng)絡(luò)環(huán)境不受病毒侵?jǐn)_。

虛擬化系統(tǒng)安全軟件的完整防護(hù)體系由管理中心、升級(jí)中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端Linux殺毒和安全防護(hù)終端等子系統(tǒng)組成，各個(gè)子系統(tǒng)均包括若干不同的模塊，除承擔(dān)各自的任務(wù)外，還與其它子系統(tǒng)通訊，協(xié)同工作，共同完成企業(yè)內(nèi)部的安全防護(hù)。

（4）部署數(shù)據(jù)備份恢復(fù)系統(tǒng)

無論網(wǎng)絡(luò)防護(hù)級(jí)別有多高，備份是必不可少的。組織用戶由于業(yè)務(wù)復(fù)雜，數(shù)據(jù)庫(kù)類型眾多，無法手動(dòng)實(shí)時(shí)備份，建議使用專業(yè)的備份恢復(fù)系統(tǒng)實(shí)時(shí)備份。

備份恢復(fù)系統(tǒng)可作為本地機(jī)房針對(duì)各種常見服務(wù)器故障的應(yīng)急系統(tǒng)。一臺(tái)安裝了瑞星備份恢復(fù)系統(tǒng)的設(shè)備可通過和其他備用服務(wù)器建立“集中應(yīng)急平臺(tái)”實(shí)現(xiàn)200-300臺(tái)X86服務(wù)器故障應(yīng)急系統(tǒng)應(yīng)急切換，幾分鐘完全頂替原機(jī)使用，實(shí)現(xiàn)系統(tǒng)及數(shù)據(jù)同步。

服務(wù)器的一體化備份和應(yīng)急，可支持windows平臺(tái)；VMware、Hyper-V等虛擬化平臺(tái)以及Oracle、SqlServer、MySql、Sybase、達(dá)夢(mèng)等所有數(shù)據(jù)庫(kù)。

醫(yī)療行業(yè)防御勒索病毒解決方案，是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解，做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案，可以由安全預(yù)警系統(tǒng)、防毒墻、殺軟構(gòu)建深層次病毒攔截、監(jiān)測(cè)、查殺體系，不僅能有效地阻止勒索病毒對(duì)用戶電腦的攻擊，同時(shí)最大限度地防御勒索病毒對(duì)用戶文件的破壞和感染。