林雙年

（阜寧縣人民醫(yī)院，江蘇 鹽城 224400）

0 引言

2017年5月，一款名為WannaCry的勒索病毒席卷全球，包括中國(guó)、美國(guó)、俄羅斯及歐洲在內(nèi)的100多個(gè)國(guó)家受到影響。據(jù)國(guó)家信息中心聯(lián)合發(fā)布的《2017中國(guó)網(wǎng)絡(luò)安全報(bào)告》稱，2017年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本 92.99萬個(gè)，感染共計(jì) 1,346萬次，我國(guó)部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)遭受攻擊較為嚴(yán)重。

勒索病毒是一種特殊的惡意軟件，黑客將這類軟件植入受害機(jī)構(gòu)或者企業(yè)的系統(tǒng)中，將這類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復(fù)文件，如需恢復(fù)重要資料，只能被迫支付贖金[1]。

為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子？與其他機(jī)構(gòu)相比，醫(yī)院的信息系統(tǒng)比較特殊，如其中的病例、醫(yī)學(xué)記錄、、病患資料以及預(yù)約掛號(hào)信息等，都屬于緊急使用的信息，被勒索病毒給加密后，會(huì)造成比較大的危害，因此會(huì)想盡辦法以最快速度恢復(fù)，最簡(jiǎn)單的方法就是：馬上交贖金。醫(yī)院信息系統(tǒng)遭遇勒索或發(fā)生故障，無論是哪種突發(fā)狀況，都將直接影響到患者正常就醫(yī)，甚至?xí)P(guān)系到病患的生命安全[2-4]。

1 醫(yī)療行業(yè)系統(tǒng)現(xiàn)狀

大部分醫(yī)院都獨(dú)立擁有的HIS系統(tǒng)、EMR系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)幾大主系統(tǒng)，還有手麻系統(tǒng)、供應(yīng)追溯系統(tǒng)、心電系統(tǒng)、移動(dòng)護(hù)理系統(tǒng)、移動(dòng)查房系統(tǒng)等等。有的大型醫(yī)院有近上百個(gè)子系統(tǒng)組成。雖然大部分醫(yī)院設(shè)有信息科室，但是有的信息科卻得不到重視，甚至有的主要工作變成維修電腦、打印機(jī)等，讓人心生無奈。有很多的醫(yī)院網(wǎng)絡(luò)安全策略不當(dāng)。有的購(gòu)買過不少的安全設(shè)備，但是這些設(shè)備卻如同擺件一樣放置一旁。比如，很多都部署過防火墻，但里面設(shè)置的幾乎是透明的原始模式，有的購(gòu)買安裝殺毒軟件，但并沒有在服務(wù)器上安裝，也沒有按時(shí)為軟件打補(bǔ)丁[5]。雖然有不少都部署了安全設(shè)備，但密碼卻是類似12345678這樣弱到爆的口令，設(shè)備雖然齊全但是對(duì)于安全意識(shí)卻缺乏的可憐，只有在遭到網(wǎng)絡(luò)攻擊后才會(huì)逐漸的重視起這些網(wǎng)絡(luò)安全問題。

2 醫(yī)療行業(yè)信息系統(tǒng)特點(diǎn)

（1）高速的響應(yīng)速度和聯(lián)機(jī)事務(wù)處理能力

（2）醫(yī)療信息數(shù)據(jù)的復(fù)雜性

（3）信息的安全、保密度要求高

（4）數(shù)據(jù)量大

（5）穩(wěn)定性要求高

（6）瞬間并發(fā)訪問量大

（7）系統(tǒng)后期數(shù)據(jù)維護(hù)工作量大

3 醫(yī)院內(nèi)網(wǎng)安全面臨的主要問題有

（1）醫(yī)院之間的信息系統(tǒng)互聯(lián)互通，使得醫(yī)院面臨更多的外部安全威脅。

（2）醫(yī)院安全意識(shí)淡薄以及管理制度的不完善，沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系，已經(jīng)嚴(yán)重滯后信息化的發(fā)展速度。

（3）醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦。

（4）醫(yī)院對(duì)各類信息系統(tǒng)的依賴程度越來越高。以核心HIS系統(tǒng)為例，涉及到醫(yī)院所屬各部門，對(duì)人流、物流、財(cái)流全方位管理，患者從掛號(hào)、看診、掛號(hào)、繳費(fèi)、用藥、掛水、手術(shù)、住院、出院等等各個(gè)環(huán)節(jié)，都需與其直接掛鉤，一旦HIS信息系統(tǒng)出現(xiàn)問題，影響面巨大。甚至導(dǎo)致醫(yī)院運(yùn)行癱瘓。

4 針對(duì)勒索病毒攻擊可以采取如下防御措施

4.1 系統(tǒng)漏洞攻擊

防御措施：

（1）及時(shí)更新系統(tǒng)補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)。

（2）安裝補(bǔ)丁不方便的組織，可安裝網(wǎng)絡(luò)版安全軟件，對(duì)局域網(wǎng)中的機(jī)器統(tǒng)一打補(bǔ)丁。

（3）在不影響業(yè)務(wù)的前提下，將危險(xiǎn)性較高的，容易被漏洞利用的端口修改為其它端口號(hào)，如139、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)。

4.2 遠(yuǎn)程訪問弱口令攻擊

防御措施：

（1）使用復(fù)雜密碼。

（2）更改遠(yuǎn)程訪問的默認(rèn)端口號(hào)，改為其它端口號(hào)。

（3）禁用系統(tǒng)默認(rèn)遠(yuǎn)程訪問，使用其它遠(yuǎn)程管理軟件。

4.3 釣魚郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監(jiān)控開啟，及時(shí)更新病毒庫。

（2）如果業(yè)務(wù)不需要，建議關(guān)閉 office宏，powershell腳本等。

（3）開啟顯示文件擴(kuò)展名。

（4）不打開可疑的郵件附件。

（5）不點(diǎn)擊郵件中的可疑鏈接。

4.4 web服務(wù)漏洞和弱口令攻擊

防御措施：

（1）及時(shí)更新web服務(wù)器組件，及時(shí)安裝軟件補(bǔ)丁。

（2）web服務(wù)不要使用弱口令和默認(rèn)密碼。

4.5 數(shù)據(jù)庫漏洞和弱口令攻擊

防御措施：

（1）更改數(shù)據(jù)庫軟件默認(rèn)端口。

（2）限制遠(yuǎn)程訪問數(shù)據(jù)庫。

（3）數(shù)據(jù)庫管理密碼不要使用弱口令。

（4）及時(shí)更新數(shù)據(jù)庫管理軟件補(bǔ)丁。

（5）及時(shí)備份數(shù)據(jù)庫。

5 如果中招勒索病毒怎么辦？

（1）隔離：快速將中毒機(jī)器從網(wǎng)絡(luò)中隔離開，比如斷開網(wǎng)線。

（2）取證：中毒之后，因?yàn)橹被謴?fù)業(yè)務(wù)和數(shù)據(jù)，所以很多人選擇格式化系統(tǒng)重新部署系統(tǒng)，大家的心情可以理解，但建議大家在恢復(fù)之前一定要等應(yīng)急響應(yīng)人員去做完相關(guān)的取證工作之后再進(jìn)行恢復(fù)工作。只有經(jīng)過取證分析，才可以知道被感染的原因何在，才能做好防御措施避免下次被再次加密。千萬不可以直接把系統(tǒng)格式化。

（3）加固：檢查其他還沒有中毒的機(jī)器，對(duì)于沒有打補(bǔ)丁的趕緊打補(bǔ)丁，沒有安裝殺毒軟件的馬上安裝殺毒軟件，有弱口令密碼要及時(shí)修改。

（4）殺毒：安裝專業(yè)殺毒軟件對(duì)內(nèi)網(wǎng)電腦（包括工作站和服務(wù)器）進(jìn)行全網(wǎng)掃描，及時(shí)清除網(wǎng)內(nèi)病毒。

6 醫(yī)療行業(yè)防御勒索病毒解決方案

6.1 各計(jì)算機(jī)終端設(shè)備部署下一代網(wǎng)絡(luò)版殺毒軟件——主流的網(wǎng)絡(luò)版殺毒軟件都可以實(shí)現(xiàn)（306天擎、亞信officescan、瑞星ESM等）

對(duì)于規(guī)模較大、設(shè)備類型眾多、維護(hù)工作繁重的組織，下一代網(wǎng)絡(luò)版殺毒軟件統(tǒng)一查殺，統(tǒng)一打補(bǔ)丁[6-8]。

必須集病毒防護(hù)、網(wǎng)絡(luò)防護(hù)、桌面管理、終端準(zhǔn)入、輿情監(jiān)控于一體，全網(wǎng)絡(luò)環(huán)境適用，可以實(shí)現(xiàn)物理機(jī)、虛擬機(jī)、Windows、Linux一體化管理，為企業(yè)用戶提供了一整套終端安全解決方案如（圖 1）。

圖1 終端安全解決方案Fig.1 Terminal security solution

多種防護(hù)模式自由設(shè)定，針對(duì)不同用途終端使用不同策略，醫(yī)生工作站、護(hù)士工作站、門診工作站、醫(yī)技檢查終端、醫(yī)院掛號(hào)繳費(fèi)終端、各種自助設(shè)備等按需設(shè)置。對(duì)全網(wǎng)終端漏洞進(jìn)行掃描，自由設(shè)定修復(fù)策略，終端可同時(shí)設(shè)定多個(gè)補(bǔ)丁中心、多個(gè)補(bǔ)丁服務(wù)器支持樹形級(jí)聯(lián)。

6.2 在網(wǎng)絡(luò)入口部署防毒墻

防毒墻是集病毒掃描、入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)視功能于一身的網(wǎng)絡(luò)安全產(chǎn)品。它可在網(wǎng)關(guān)處對(duì)病毒進(jìn)行初次攔截，配合病毒庫上億條記錄，可將絕大多數(shù)病毒徹底剿滅在醫(yī)院網(wǎng)絡(luò)之外，幫助醫(yī)院將病毒威脅降至最低。

6.3 虛擬化設(shè)備，部署虛擬化專用版安全軟件

云安全防護(hù)解決方案如（圖2）。

圖2 云安全防護(hù)解決方案Fig.2 Cloud security solutions

必須支持對(duì)虛擬化環(huán)境與非虛擬化環(huán)境的統(tǒng)一管控，包括 VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮 InCloud Sphere、Windows系統(tǒng)與Linux系統(tǒng)等，可以有效保障企業(yè)內(nèi)部虛擬系統(tǒng)和實(shí)體網(wǎng)絡(luò)環(huán)境不受病毒侵?jǐn)_。虛擬化系統(tǒng)安全軟件的完整防護(hù)體系由管理中心、升級(jí)中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端 Linux殺毒和安全防護(hù)終端等子系統(tǒng)組成，各個(gè)子系統(tǒng)均包括若干不同的模塊，除承擔(dān)各自的任務(wù)外，還與其它子系統(tǒng)通訊，協(xié)同工作，共同完成企業(yè)內(nèi)部的安全防護(hù)[9]。

6.4 部署數(shù)據(jù)備份恢復(fù)系統(tǒng)

無論網(wǎng)絡(luò)防護(hù)級(jí)別有多高，備份是必不可少的。組織用戶由于業(yè)務(wù)復(fù)雜，數(shù)據(jù)庫類型眾多，無法手動(dòng)實(shí)時(shí)備份，必須使用專業(yè)的備份恢復(fù)系統(tǒng)實(shí)時(shí)備份。

備份恢復(fù)系統(tǒng)可作為本地機(jī)房針對(duì)各種常見服務(wù)器故障的應(yīng)急系統(tǒng)。一臺(tái)安裝了備份恢復(fù)系統(tǒng)的設(shè)備可通過和其他備用服務(wù)器建立“集中應(yīng)急平臺(tái)”實(shí)現(xiàn)多臺(tái)X86服務(wù)器故障應(yīng)急系統(tǒng)應(yīng)急切換，幾分鐘完全頂替原機(jī)使用，實(shí)現(xiàn)系統(tǒng)及數(shù)據(jù)同步。服務(wù)器的一體化備份和應(yīng)急，可支持 windows平臺(tái)；VMware、Hyper-V 等虛擬化平臺(tái)以及 Oracle、SqlServer、MySql、Sybase、達(dá)夢(mèng)等所有數(shù)據(jù)庫。醫(yī)療行業(yè)防御勒索病毒解決方案，是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解，做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案，可以由專業(yè)的安全預(yù)警系統(tǒng)、防毒墻、殺毒軟件等構(gòu)建深層次病毒攔截、監(jiān)測(cè)、查殺體系，不僅能有效地阻止勒索病毒對(duì)用戶電腦的攻擊，同時(shí)最大限度地防御勒索病毒對(duì)用戶文件的破壞和感染[10]。

7 結(jié)論

綜上所述，醫(yī)療生產(chǎn)環(huán)境中大量應(yīng)用計(jì)算機(jī)系統(tǒng)，不僅需要對(duì)計(jì)算機(jī)病毒進(jìn)行及時(shí)處理，還需要能夠全面分析和研究計(jì)算機(jī)病毒，才能確保全方位判斷計(jì)算機(jī)病毒發(fā)展情況，并且能夠做到先發(fā)制毒，基于此還需加大投入，建立和完善防范體系。