淺談醫(yī)療系統(tǒng)應(yīng)對(duì)勒索病毒的安全防范

李東鋒

摘 ?要：互聯(lián)網(wǎng)的快速發(fā)展給生產(chǎn)生活帶來(lái)了很大便利，“互聯(lián)網(wǎng)+醫(yī)療”的好處也日益顯現(xiàn)，醫(yī)療系統(tǒng)的服務(wù)質(zhì)量大幅提高。隨著醫(yī)療系統(tǒng)的業(yè)務(wù)系統(tǒng)越來(lái)越多，隨之而來(lái)的信息安全問(wèn)題也日益嚴(yán)峻。該文就當(dāng)前醫(yī)療系統(tǒng)遭受的“網(wǎng)絡(luò)勒索”事件，淺談醫(yī)療系統(tǒng)怎樣防范網(wǎng)絡(luò)安全問(wèn)題，如何實(shí)施加強(qiáng)安全性的措施和方法，保障醫(yī)療系統(tǒng)的信息系統(tǒng)不被破壞、用戶(hù)數(shù)據(jù)不被他人竊取。

關(guān)鍵詞：信息系統(tǒng) ?網(wǎng)絡(luò)安全 ?勒索病毒 ?安全防范

中圖分類(lèi)號(hào)：TP309.5 ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2020）06（c）-0020-02

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，我們的工作和生活方式發(fā)生了根本性改變，工作效率和生活便攜性大大提高。同時(shí)，網(wǎng)絡(luò)帶來(lái)便捷的同時(shí)也存在安全隱患，如果醫(yī)院信息系統(tǒng)發(fā)生故障，將會(huì)直接影響正常就醫(yī)。因此，保障醫(yī)院信息系統(tǒng)安全，保護(hù)重要數(shù)據(jù)不被破壞十分必要。

1 ?事件背景

2017年5月，英國(guó)大規(guī)模爆發(fā)WannaCry勒索病毒，十多家醫(yī)院網(wǎng)絡(luò)遭到勒索病毒攻擊，醫(yī)院信息系統(tǒng)被攻陷，很快又有更多醫(yī)院的電腦遭到攻擊破壞，這場(chǎng)網(wǎng)絡(luò)攻擊迅速席卷全球。

2018年2月，國(guó)內(nèi)一家大型醫(yī)院服務(wù)器懷疑遭到勒索病毒攻擊，導(dǎo)致醫(yī)院信息系統(tǒng)數(shù)據(jù)文件被加密破壞，大量患者無(wú)法正常就醫(yī)，攻擊者要求院方為每臺(tái)終端支付1個(gè)比特幣贖金（當(dāng)時(shí)1個(gè)比特幣價(jià)格約6.6萬(wàn)元）來(lái)解鎖。事后專(zhuān)家分析懷疑是國(guó)外黑客通過(guò)互聯(lián)網(wǎng)進(jìn)行攻擊，使醫(yī)院的HIS系統(tǒng)服務(wù)器感染了勒索病毒，并對(duì)文件進(jìn)行了加密，直接導(dǎo)致醫(yī)院業(yè)務(wù)系統(tǒng)不可用[1]。

2019年勒索病毒再度來(lái)襲，如今，我國(guó)醫(yī)療信息安全事故頻發(fā)，多家醫(yī)院檢測(cè)出勒索病毒，醫(yī)院業(yè)務(wù)系統(tǒng)被攻擊，患者數(shù)據(jù)被加密。

據(jù)騰訊《醫(yī)療行業(yè)勒索病毒專(zhuān)題報(bào)告》顯示，自2018年7月以來(lái)，在全國(guó)三甲醫(yī)院中，有200多家醫(yī)院檢出了勒索病毒，廣東、湖北、江蘇等地區(qū)檢出勒索病毒最多。

經(jīng)分析，醫(yī)院遭受的勒索病毒主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族;被勒索病毒攻擊的操作系統(tǒng)主要有Windows 7和Windows 10，還有Windows XP;而入侵方式主要利用系統(tǒng)漏洞入侵和端口爆破（常見(jiàn)的有1433、3389端口）方式。

為什么醫(yī)療單位屢被攻擊，主要有幾個(gè)方面原因：第一，醫(yī)療機(jī)構(gòu)數(shù)據(jù)的重要性、隱私性。黑客看中的是醫(yī)院所涉及個(gè)人信息、患者病歷信息可以賣(mài)出高價(jià)。第二，隨著互聯(lián)網(wǎng)的發(fā)展，醫(yī)療系統(tǒng)為了方便群眾，提高服務(wù)質(zhì)量，業(yè)務(wù)系統(tǒng)越來(lái)越多，并且大多數(shù)都與互聯(lián)網(wǎng)連接，網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜。第三，醫(yī)療機(jī)構(gòu)信息化建設(shè)整體投入不足，安全設(shè)備欠缺，加上安全意識(shí)淡薄，導(dǎo)致黑客趁虛而入。

2 ?“中招”后如何解決

一般中毒后基本沒(méi)辦法破解，醫(yī)療機(jī)構(gòu)數(shù)據(jù)資源非常重要，不能病急亂投醫(yī)，盲目相信一些廠商吹噓的可破解病毒。不過(guò)，當(dāng)發(fā)生勒索病毒攻擊時(shí)，可以采納以下應(yīng)急措施。

（1）馬上進(jìn)行排查。進(jìn)行內(nèi)網(wǎng)檢測(cè)，查找所有終端和服務(wù)器是否開(kāi)放445等高危端口，一旦發(fā)現(xiàn)電腦中毒，立即關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡。

（2）切斷傳播途徑。關(guān)閉潛在的SMB、RDP端口等共享傳播端口。關(guān)閉異常的外聯(lián)訪問(wèn)。

（3）查找攻擊源。抓包分析攻擊源或借助態(tài)勢(shì)感知類(lèi)產(chǎn)品分析。

（4）查殺病毒修復(fù)漏洞。中毒主機(jī)必須先查殺病毒、修復(fù)漏洞，并保證殺毒軟件、防火墻正常開(kāi)啟，加強(qiáng)系統(tǒng)防護(hù)，確保風(fēng)險(xiǎn)消除后，再接入網(wǎng)絡(luò)，如果數(shù)據(jù)無(wú)法恢復(fù)怎啟用備份數(shù)據(jù)。

對(duì)于大家普遍關(guān)注的中招后的數(shù)據(jù)恢復(fù)，專(zhuān)家建議，可以嘗試使用數(shù)據(jù)恢復(fù)軟件找到被刪除的文件;通過(guò)解密工具破解、解密文件;通過(guò)winhex對(duì)比歷史文件分析文件頭內(nèi)容恢復(fù)，以及通過(guò)支付贖金恢復(fù)數(shù)據(jù)等方式。但目前勒索病毒的數(shù)據(jù)恢復(fù)難度較大，部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件，因此建議防范還是以預(yù)防為主。

3 ?勒索病毒如何防范

應(yīng)對(duì)勒索病毒主要靠防范，防范措施如下。

（1）及時(shí)給系統(tǒng)打補(bǔ)丁。勒索病毒特別是GandCrab，常喜歡通過(guò)應(yīng)用漏洞層面進(jìn)一步滲透，所以補(bǔ)丁一定要打。值得注意的是，給操作系統(tǒng)打補(bǔ)丁的同時(shí)，不要遺漏了應(yīng)用程序尤其是中間件的補(bǔ)丁。

（2）安裝正版殺毒軟件，并開(kāi)啟所有防護(hù)功能。雖然不要把希望都寄托在殺毒軟件上，但不裝殺毒軟件更是萬(wàn)萬(wàn)不可的。

（3）對(duì)外業(yè)務(wù)系統(tǒng)屏蔽遠(yuǎn)程登錄端口以及其他高危端口，為你的系統(tǒng)設(shè)置復(fù)雜的強(qiáng)口令，有條件的部署應(yīng)用防火墻或者漏洞掃描，及時(shí)發(fā)現(xiàn)和阻止通過(guò)漏洞進(jìn)行的攻擊。

（4）最后，一定要做好備份，而且一定要注意，備份數(shù)據(jù)不可以和原始數(shù)據(jù)放在一起，一定要離線存儲(chǔ)。

4 ?如何加強(qiáng)醫(yī)療系統(tǒng)的信息安全防護(hù)

4.1 全面安全防護(hù)

運(yùn)維管理區(qū)部署機(jī)監(jiān)控與上網(wǎng)行為管理、堡壘機(jī)、SOC等安全設(shè)備進(jìn)行防護(hù)，對(duì)網(wǎng)絡(luò)、系統(tǒng)設(shè)備進(jìn)行漏洞掃描、漏洞修復(fù)，對(duì)潛在威脅進(jìn)行管理、訪問(wèn)進(jìn)行控制，確保各接入點(diǎn)醫(yī)療信息數(shù)據(jù)可靠、運(yùn)維人員統(tǒng)一可控、傳輸數(shù)據(jù)有源可溯，全面實(shí)現(xiàn)醫(yī)院內(nèi)外網(wǎng)業(yè)務(wù)訪問(wèn)控制[2]。

4.2 積極主動(dòng)防御

邊界部署第二代防火墻、入侵防御系統(tǒng)，保護(hù)信息系統(tǒng)外網(wǎng)入口對(duì)各類(lèi)病毒、木馬、拒絕服務(wù)攻擊、間諜軟件等防護(hù)，從網(wǎng)絡(luò)邊界入手，切斷傳播途徑的控制手段，實(shí)時(shí)掌控全網(wǎng)安全狀況，解決醫(yī)院信息系統(tǒng)潛藏和未知的安全威脅。

4.3 全面、準(zhǔn)確的數(shù)據(jù)審計(jì)

數(shù)據(jù)安全方面，需要加強(qiáng)數(shù)據(jù)存儲(chǔ)加密、數(shù)據(jù)的備份與恢復(fù)的建設(shè)，部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、對(duì)數(shù)據(jù)庫(kù)系統(tǒng)漏洞、登錄賬號(hào)、登錄工具、服務(wù)器接入控制和數(shù)據(jù)操作過(guò)程的跟蹤，以及實(shí)時(shí)監(jiān)測(cè)并智能地分析、還原各種數(shù)據(jù)庫(kù)操作過(guò)程，有效幫助管理員實(shí)現(xiàn)安全事件預(yù)警、溯源等。

5 ?結(jié)語(yǔ)

安全無(wú)小事，勒索病毒“可防不可解”，需要醫(yī)信廠商和醫(yī)療機(jī)構(gòu)共同加強(qiáng)安全防御措施和意識(shí)，防范于未然。

參考文獻(xiàn)

[1] 孫海波，丁宇丹，陳哲，等.基于“網(wǎng)站勒索”事件談網(wǎng)絡(luò)安全問(wèn)題防范[J].有線電視技術(shù)，2019，26（5）：22-23.

[2] 陸忍.關(guān)于信息通訊安全技術(shù)的探討[J].科技展望，2017（26）：14.

[3] 姚儉.SmartSPG防勒索系統(tǒng)在醫(yī)院信息服務(wù)中的應(yīng)用[J].信息技術(shù)與信息化，2019（11）：68-71.