張英時(shí) 曾海

摘要：為提高醫(yī)院信息系統(tǒng)在勒索病毒方面的整體應(yīng)對(duì)能力，該文分析了典型勒索病毒的入侵機(jī)制和過(guò)程，列舉了醫(yī)院信息系統(tǒng)在病毒應(yīng)對(duì)方面的風(fēng)險(xiǎn)，提出了在P2DR動(dòng)態(tài)安全模型下，如何結(jié)合等級(jí)保護(hù)要求，針對(duì)勒索病毒強(qiáng)化信息安全體系中的關(guān)鍵子系統(tǒng)的思路和舉措，為醫(yī)院等公共醫(yī)療機(jī)構(gòu)的反勒索病毒提供了系統(tǒng)化的解決思路。

關(guān)鍵詞：勒索病毒;網(wǎng)絡(luò)安全;醫(yī)院信息系統(tǒng)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）10-0048-03

Abstract： To improve overall response capacity of Hospital Information System against ransomware， this paper analyzes the mechanism and the process of typical ransomware invasion， enumerates the risks of hospital information system in the area of anti-virus response， puts forward the idea of how to strengthen the key subsystems of information security system against ransomware under the P2DR dynamic security model and the level protection requirements. For hospitals and other public medical institutions， this paper provides a systematic solution to the threats of ransomware.

Key words： ransomware virus; network security; HIS

1 勒索病毒概述

隨著信息化應(yīng)用領(lǐng)域的不斷擴(kuò)展，網(wǎng)絡(luò)違法犯罪行為的技術(shù)化、隱蔽化和復(fù)雜化特征日益顯著。勒索病毒從惡意加密軟件改變升級(jí)而來(lái)，將技術(shù)手段與勒索相結(jié)合，主要用于控制和攻擊計(jì)算機(jī)系統(tǒng)基礎(chǔ)架構(gòu)，黑客將這類軟件植入受害機(jī)構(gòu)或者企業(yè)的系統(tǒng)中以實(shí)施惡意行為[1-2]。Stephen Cobb認(rèn)為，此軟件的滲透范圍已經(jīng)從服務(wù)器擴(kuò)展到終端、筆記本、智能終端甚至工控系統(tǒng)[3]，黑客將此類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒(méi)有私鑰的情況下，一般無(wú)法恢復(fù)文件，如需恢復(fù)重要資料，只能被迫支付贖金。

近年來(lái)典型的勒索病毒發(fā)作形式多樣，其中影響較大的包括發(fā)生于2017年5月的WannaCry全球大爆發(fā)，至少 150個(gè)國(guó)家人30萬(wàn)名用戶中招，造成損失達(dá) 80 億美元，此蠕蟲(chóng)通過(guò)永恒之藍(lán)漏洞感染計(jì)算機(jī)后，向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密[4]。其他病毒變種還有2017年出現(xiàn)的GlobeImposter 勒索，其攻擊目標(biāo)主要是開(kāi)啟遠(yuǎn)程桌面服務(wù)的服務(wù)器，攻擊者通過(guò)暴力破解服務(wù)器密碼，對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密，即RDP爆破入侵。另外還有主要通過(guò)垃圾郵件傳播的Crysis/Dharma 勒索，感染主機(jī)桌面背景替換為勒索信息圖片的GandCrab 勒索，基于Windows&Linux 雙平臺(tái)攻擊的Satan 勒索，Sacrab 勒索及Matrix 勒索等[5]。

2 醫(yī)院信息系統(tǒng)存在的信息安全風(fēng)險(xiǎn)

與其他機(jī)構(gòu)相比，醫(yī)院信息系統(tǒng)中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等屬于兼具敏感性和實(shí)時(shí)性的重要信息，被勒索病毒加密后將直接影響患者就醫(yī)過(guò)程，甚至事關(guān)病患生命安全，醫(yī)院的數(shù)據(jù)恢復(fù)需求更加迫切。

近年來(lái)國(guó)內(nèi)醫(yī)院信息化系統(tǒng)的建設(shè)力度不斷增強(qiáng)，與信息化系統(tǒng)復(fù)雜程度同步增加的是信息化系統(tǒng)的信息安全風(fēng)險(xiǎn)，醫(yī)院之所以成為勒索病毒攻擊的重災(zāi)區(qū)[3]，與醫(yī)院信息系統(tǒng)存在的信息安全風(fēng)險(xiǎn)相關(guān)。

（1）醫(yī)院網(wǎng)絡(luò)環(huán)境復(fù)雜。隨著醫(yī)療信息的互聯(lián)互通，醫(yī)療信息系統(tǒng)除了與社保、省市衛(wèi)計(jì)委連接外，還與掌上行、陽(yáng)光醫(yī)保等互聯(lián)網(wǎng)便民服務(wù)應(yīng)用系統(tǒng)相連接，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜;醫(yī)院內(nèi)部存在多個(gè)緊密交互的業(yè)務(wù)系統(tǒng)，各部門(mén)電腦終端和醫(yī)療設(shè)備用終端品牌和型號(hào)雜亂，使用的操作系統(tǒng)類型多樣。

（2）醫(yī)院內(nèi)網(wǎng)安全防護(hù)強(qiáng)度偏弱。大部分醫(yī)院均配置了先進(jìn)的防火墻系統(tǒng)將內(nèi)部系統(tǒng)與外網(wǎng)隔離，部分醫(yī)院?jiǎn)T工形成了內(nèi)網(wǎng)安全可靠的錯(cuò)覺(jué)，在閱讀郵件、訪問(wèn)網(wǎng)頁(yè)、使用優(yōu)盤(pán)等方面不注意采取安全措施，在主機(jī)防護(hù)不足及內(nèi)部網(wǎng)絡(luò)間防護(hù)措施不到位的情況下，以勒索病毒為代表的病毒很容易在醫(yī)院內(nèi)網(wǎng)中橫向傳播;醫(yī)院里的專用業(yè)務(wù)系統(tǒng)如HIS、PACS、LIS、EMR等軟件有特殊更新要求，屬于內(nèi)網(wǎng)中的易受攻擊的脆弱節(jié)點(diǎn)。

（3）信息安全運(yùn)營(yíng)模式偏向靜態(tài)和被動(dòng)。作為專業(yè)醫(yī)療機(jī)構(gòu)，醫(yī)院的主體人員是醫(yī)護(hù)人員，由于專業(yè)所限他們的網(wǎng)絡(luò)安全意識(shí)往往不強(qiáng)，作為安全負(fù)責(zé)部門(mén)的醫(yī)院信息科，技術(shù)力量不能和專業(yè)安全機(jī)構(gòu)相比，在復(fù)雜的醫(yī)療系統(tǒng)運(yùn)維過(guò)程中處于四處奔波和疲于應(yīng)對(duì)的狀態(tài)，面對(duì)動(dòng)態(tài)的信息安全問(wèn)題不得不采取被動(dòng)應(yīng)對(duì)和事后補(bǔ)救的方法，整體態(tài)勢(shì)感知能力和動(dòng)態(tài)安全策略的實(shí)施能力缺乏。

3 典型的勒索病毒的入侵及常規(guī)應(yīng)對(duì)方法

勒索病毒最早針對(duì)永恒之藍(lán)漏洞進(jìn)行入侵，近年來(lái)病毒滲透能力提升很快，已經(jīng)超越了簡(jiǎn)單的利用漏洞自動(dòng)傳播的技術(shù)階段，主要傳播手段是結(jié)合了各種手段的人工植入方式，一種典型的勒索病毒入侵流程見(jiàn)表1。

黑客以遠(yuǎn)程桌面為侵入點(diǎn)，采用一系列工具軟件終止主機(jī)上的各類監(jiān)控和防護(hù)軟件，使用口令破解軟件獲取密碼，利用內(nèi)網(wǎng)間防護(hù)不強(qiáng)的弱點(diǎn)對(duì)防護(hù)薄弱網(wǎng)絡(luò)鄰居繼續(xù)入侵并傳入勒索病毒，最后采用痕跡消除軟件清理現(xiàn)場(chǎng)隱蔽退出系統(tǒng)。

一旦在醫(yī)院信息系統(tǒng)中發(fā)現(xiàn)勒索病毒，第一時(shí)間采用隔離、排查、加固、還原、解密、重裝和威脅溯源的處理預(yù)案可以將損害降至最低限度。

4 醫(yī)療信息系統(tǒng)勒索病毒系統(tǒng)化防范策略

勒索病毒在與反病毒軟件的激烈斗爭(zhēng)中持續(xù)升級(jí)，變種病毒針對(duì)新的系統(tǒng)漏洞不斷變化出新的入侵方法，勒索病毒的行為特征和應(yīng)對(duì)預(yù)案都必須及時(shí)和動(dòng)態(tài)地更新，以動(dòng)態(tài)的觀點(diǎn)和系統(tǒng)化的視角針對(duì)勒索病毒對(duì)醫(yī)院信息安全進(jìn)行強(qiáng)化，形成系統(tǒng)化防范策略有其實(shí)際意義。

1）動(dòng)態(tài)防護(hù)和靜態(tài)防護(hù)結(jié)合的P2DR模型

P2DR模型是國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的一個(gè)基于時(shí)間的安全模型。其全稱是P2DR（Policy Protection Detection Response）。在此模型中，信息系統(tǒng)的整體安全由安全策略定義和控制，在使用傳統(tǒng)網(wǎng)絡(luò)防護(hù)工具（防火墻，網(wǎng)絡(luò)存取控制、數(shù)據(jù)加密）的同時(shí)，通過(guò)漏洞掃描、IDS入侵檢測(cè)系統(tǒng)等手段動(dòng)態(tài)評(píng)估信息系統(tǒng)安全狀態(tài)，在發(fā)現(xiàn)問(wèn)題時(shí)及時(shí)執(zhí)行安全響應(yīng)動(dòng)作，安全策略、防護(hù)檢測(cè)和響應(yīng)構(gòu)成了一個(gè)完整循環(huán)，能動(dòng)態(tài)地對(duì)安全問(wèn)題進(jìn)行主動(dòng)發(fā)現(xiàn)并采取行動(dòng)。

在醫(yī)院信息系統(tǒng)中，整體安全策略是系統(tǒng)合規(guī)，主要是必須符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（以下簡(jiǎn)稱等保）的技術(shù)要求。三甲醫(yī)院一般應(yīng)符合等保三級(jí)技術(shù)要求，如果建有云平臺(tái)還應(yīng)通過(guò)CSA-STAR認(rèn)證。

針對(duì)勒索病毒威脅制訂局部安全策略，即根據(jù)醫(yī)院內(nèi)部不同的邏輯區(qū)域針對(duì)勒索病毒攻擊的特點(diǎn)制定專門(mén)的應(yīng)對(duì)策略，配合人員信息安全素養(yǎng)提升教育、終端安全定期評(píng)估、信息安全獎(jiǎng)懲等措施多管齊下，盡可能切斷勒索病毒的入侵線路。

表3將醫(yī)院信息化系統(tǒng)分為辦公區(qū)域、專用設(shè)備區(qū)域、醫(yī)護(hù)人員工作站區(qū)域、設(shè)備外包服務(wù)操作區(qū)域和第三方開(kāi)發(fā)商部署區(qū)域等五個(gè)邏輯區(qū)域，通過(guò)端口開(kāi)關(guān)設(shè)定、服務(wù)開(kāi)關(guān)設(shè)定、優(yōu)盤(pán)管控、正式/測(cè)試區(qū)域隔離等方法落實(shí)反勒索病毒舉措。在人員管理方面，針對(duì)運(yùn)維人員和開(kāi)發(fā)人員，嚴(yán)格實(shí)施正式系統(tǒng)和測(cè)試系統(tǒng)的分離，禁止3389遠(yuǎn)程維護(hù)訪問(wèn)，新系統(tǒng)版本必須在信息化管理人員測(cè)試完成后，經(jīng)病毒掃描，備份工作后方可切換上線。對(duì)外來(lái)人員提供GUEST賬號(hào)，與醫(yī)院內(nèi)網(wǎng)完全隔離。

2）對(duì)應(yīng)等級(jí)保護(hù)要求的醫(yī)療信息系統(tǒng)反勒索病毒具體舉措

針對(duì)勒索病毒造成的具體威脅，對(duì)照信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)的技術(shù)要求，有必要考察整個(gè)信息安全防護(hù)體系，對(duì)提升勒索病毒防范能力所需要相應(yīng)部分內(nèi)容進(jìn)行特別強(qiáng)化，具體內(nèi)容如表4所示。

（1）漏洞掃描及補(bǔ)丁分發(fā)

勒索病毒掃描系統(tǒng)中存在的未修補(bǔ)漏洞進(jìn)行入侵，漏洞不僅存在于Windows平臺(tái)，還廣泛存在于醫(yī)院使用的各類醫(yī)療系統(tǒng)專用軟件平臺(tái)以及JBOSS、Weblogic等中間件中，后者通常需要廠家和醫(yī)院信息科工作人員人工進(jìn)行安全性檢測(cè)和加固，相對(duì)可以自動(dòng)更新補(bǔ)丁的操作系統(tǒng)來(lái)說(shuō)在安全方面更加脆弱。

醫(yī)院中所有安裝Windows操作系統(tǒng)的辦公用計(jì)算機(jī)均應(yīng)該打開(kāi)自動(dòng)更新，最大限度地防止黑客軟件利用可修補(bǔ)漏洞入侵的情況。對(duì)于專用軟件和中間件平臺(tái)應(yīng)在和軟件提供商的協(xié)議中規(guī)定在產(chǎn)品生命周期內(nèi)的安全保障服務(wù)，在產(chǎn)品補(bǔ)丁發(fā)布的第一時(shí)間到醫(yī)院進(jìn)行安裝。在等保服務(wù)購(gòu)買(mǎi)過(guò)程中購(gòu)買(mǎi)軟件平臺(tái)漏洞掃描服務(wù)，與WAF（Web應(yīng)用防火墻）聯(lián)動(dòng)實(shí)施本地和云端的漏洞掃描聯(lián)動(dòng)。

（2）弱口令的檢測(cè)及管理

醫(yī)院信息系統(tǒng)的運(yùn)行首先要在保證安全的情況下進(jìn)行，如果系統(tǒng)的安全密保策略和強(qiáng)度不夠，則很容易受到病毒的攻擊或入侵，比如勒索病毒入侵的主要途徑就是針對(duì)弱口令的RDP爆破。為了保障系統(tǒng)的密保安全，在醫(yī)院內(nèi)部不僅要以制度的形式規(guī)定口令的管理規(guī)則，同時(shí)還需要結(jié)合系統(tǒng)的運(yùn)行環(huán)境采用必要的技術(shù)防范措施以增加密保強(qiáng)度以及密碼設(shè)定的頻次。在進(jìn)行域管理的Windows網(wǎng)絡(luò)系統(tǒng)和Linux系統(tǒng)中可以設(shè)定策略強(qiáng)迫用戶定期設(shè)定符合強(qiáng)度規(guī)則的密碼。統(tǒng)一授權(quán)統(tǒng)一登錄平臺(tái)采用基于私有云存儲(chǔ)的密碼管理策略，不僅可以定期自動(dòng)設(shè)置及提醒要生成高強(qiáng)度的密碼要求而且還能自動(dòng)化的提醒更改密碼的時(shí)間，從而保障系統(tǒng)的密保安全。除此之外，平臺(tái)還具備良好的通用性和跨平臺(tái)使用的特點(diǎn)，可以集成醫(yī)院HIS、LIS、PACS以及EMR等專用信息系統(tǒng)，實(shí)現(xiàn)密碼的統(tǒng)一管理，在授權(quán)范圍內(nèi)，用戶只要一次登錄平臺(tái)，就可以訪問(wèn)已授權(quán)的相關(guān)系統(tǒng)進(jìn)行使用，在保證安全性的同時(shí)還可以避免多次登錄的煩瑣工作，在方便用戶的同時(shí)又能夠極大地提升醫(yī)院的信息化安全保障體系，促進(jìn)醫(yī)院的信息化建設(shè)。

對(duì)于重要服務(wù)器和專用平臺(tái)的身份鑒別可以采用雙因素認(rèn)證，例如比較成熟的基于PKI技術(shù)的智能卡、指紋識(shí)別及人臉識(shí)別技術(shù)等，在進(jìn)行系統(tǒng)登錄、FTP系統(tǒng)備份等關(guān)鍵操作時(shí)進(jìn)行額外的安全認(rèn)證，阻斷勒索病毒的入侵流程。

在此基礎(chǔ)上實(shí)施權(quán)限最小化管理，即不同員工數(shù)據(jù)操作權(quán)限分級(jí)，即便勒索病毒通過(guò)低等級(jí)賬號(hào)入侵系統(tǒng)也不能鎖定關(guān)鍵數(shù)據(jù)對(duì)系統(tǒng)造成威脅。

（3）內(nèi)網(wǎng)安全體系及防護(hù)

等級(jí)保護(hù)要求通過(guò)科學(xué)構(gòu)建信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)提高系統(tǒng)安全防護(hù)水平。為防止被病毒單點(diǎn)突破導(dǎo)致系統(tǒng)安全全面崩潰的情況發(fā)生，醫(yī)院內(nèi)部應(yīng)劃分若干VLAN，VLAN間實(shí)施端口策略盡可能減少VLAN間的通訊流量;對(duì)重點(diǎn)的應(yīng)用服務(wù)器劃分專門(mén)的網(wǎng)段，設(shè)定專門(mén)的防火墻，進(jìn)行虛擬化統(tǒng)一管理;信息科負(fù)責(zé)維護(hù)醫(yī)院安全運(yùn)維區(qū)，實(shí)施包括審計(jì)、終端準(zhǔn)入控制、WAF在內(nèi)的智能管理;內(nèi)網(wǎng)所有機(jī)器遵守反病毒策略，統(tǒng)一安裝反病毒軟件，在單機(jī)上強(qiáng)制實(shí)施端口策略。

（4）惡意代碼檢測(cè)及防范

勒索病毒的傳播起始點(diǎn)往往是誘導(dǎo)用戶點(diǎn)擊含有惡意代碼的垃圾郵件或者點(diǎn)擊含有惡意代碼的惡意網(wǎng)頁(yè)。在通過(guò)網(wǎng)關(guān)進(jìn)行過(guò)濾防護(hù)的同時(shí)，針對(duì)醫(yī)護(hù)人員信息化安全意識(shí)較弱的問(wèn)題，相關(guān)培訓(xùn)也需要重視。信息中心可以通過(guò)WAF網(wǎng)關(guān)實(shí)施過(guò)濾，由防火墻對(duì)內(nèi)至外的反向連接通過(guò)IDS進(jìn)行檢測(cè)，通過(guò)玄武盾等系統(tǒng)實(shí)施云查殺以防止惡意軟件的入侵。

（5）數(shù)據(jù)快速恢復(fù)及響應(yīng)

醫(yī)院信息化系統(tǒng)的核心服務(wù)器一般都有雙機(jī)熱備份功能，但對(duì)于勒索病毒而言，熱備份主要針對(duì)單機(jī)硬件失效，病毒感染時(shí)有很大的可能性備份也被同時(shí)感染。傳統(tǒng)的定時(shí)備份，多重備份策略仍需要重要考慮。

（6）制度構(gòu)建及體系防范

勒索病毒針對(duì)不斷涌現(xiàn)的新防范技術(shù)，本身也在不斷進(jìn)化。醫(yī)院應(yīng)根據(jù)自身信息系統(tǒng)的特點(diǎn)，緊跟信息安全的新威脅趨勢(shì)，不斷修訂信息安全制度、實(shí)施信息安全教育、自頂向下落實(shí)安全責(zé)任制度，做到技防和人防兩手抓、兩手硬。

5 結(jié)語(yǔ)

勒索病毒具有種類多、變化快、危害大的特點(diǎn)。通過(guò)將技防與人防相結(jié)合、 網(wǎng)關(guān)防御和終端防御相結(jié)合、 通用策略和專有策略相結(jié)合、自有團(tuán)隊(duì)和專業(yè)三方團(tuán)隊(duì)相結(jié)合，針對(duì)醫(yī)療信息系統(tǒng)的特點(diǎn)進(jìn)行有針對(duì)性的防范，有助于保護(hù)脆弱、敏感、高價(jià)值的醫(yī)療信息數(shù)據(jù)。在有條件的醫(yī)院，可以將防火墻與態(tài)勢(shì)感知（Situation Awareness，SA）系統(tǒng)結(jié)合，不僅防止已知的勒索病毒，更可以在病毒發(fā)生變種后趕在感染發(fā)生之前搶先處理，防患于未然。

參考文獻(xiàn)：

[1] Maigida A M，Abdulhamid S M，Olalere M，et al.Systematic literature review and metadata analysis of ransomware attacks and detection mechanisms[J].Journal of Reliable Intelligent Environments，2019，5（2）：67-89.

[2] 劉為軍，蘆天亮.論技術(shù)勒索的綜合治理[J].山東警察學(xué)院學(xué)報(bào)，2017，29（3）：39-47.

[3] Cobb S，Lee A.Malware is called malicious for a reason：The risks of weaponizing code[C]//2014 6th International Conference On Cyber Conflict （CyCon 2014）.June 3-6，2014，Tallinn，Estonia.IEEE，2014：71-84.

[4] 竇媛媛.勒索病毒來(lái)襲，醫(yī)療系統(tǒng)成了最怕捏的“軟柿子”[J].今日科苑，2017（6）：60-63.

[5] 張玉，謝林燕.關(guān)于常見(jiàn)勒索病毒與防范應(yīng)對(duì)措施的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（6）：7-9.

【通聯(lián)編輯：代影】