醫(yī)療行業(yè)防御勒索病毒解決方案
醫(yī)療行業(yè)屢受勒索病毒攻擊
2018年2月,湖南省某醫(yī)院遭受勒索病毒攻擊,服務(wù)器所有數(shù)據(jù)文件被強行加密,導(dǎo)致醫(yī)院系統(tǒng)癱瘓,取號、辦卡、掛號、收費、診療等業(yè)務(wù)受到影響。攻擊者要求院方必須在六小時內(nèi)為每臺感染終端支付1個比特幣贖金,約合每臺終端解鎖需要支付人民幣66000余元。
國內(nèi)外越來越多的醫(yī)院正成為黑客攻擊的靶子:
國內(nèi)
2017年5月 | “永恒之藍”勒索軟件對成都市傳染病醫(yī)院等部分醫(yī)院造成影響 |
2018年2月 | 湖南省某三甲??漆t(yī)院也被爆疑似遭遇勒索病毒 |
2018年2月 | 上海某公立醫(yī)院系統(tǒng)被黑,黑客勒索價值2億元以太幣 |
國外
2017年5月 | 英國全民醫(yī)療體系屬下48個機構(gòu)受到勒索病毒沖擊 |
2017年5月 | 日本在國內(nèi)確認了2起,分別為某綜合醫(yī)院和個人電腦感染病毒 |
2017年6月 |
美國最大制藥商之一的默克 (Merck) 公司和賓夕法尼亞州西部經(jīng)營兩家醫(yī)院的醫(yī)療網(wǎng)絡(luò)機構(gòu) —— Heritage Valley 健康系統(tǒng)也成為新勒索病毒攻擊的犧牲品。 |
什么是勒索病毒?它會帶來多大的危害?
2017 年 5 月,一款名為 WannaCry 的勒索病毒席卷全球,包括中國、美國、俄羅斯及歐洲在內(nèi)的 100 多個國家受到影響。據(jù)瑞星與國家信息中心聯(lián)合發(fā)布的《2017中國網(wǎng)絡(luò)安全報告》稱,2017年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本92.99 萬個,感染共計 1,346 萬次,我國部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)遭受攻擊較為嚴重。
勒索病毒是一種特殊的惡意軟件,黑客將這類軟件植入受害機構(gòu)或者企業(yè)的系統(tǒng)中,將這類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件加密,然后索要贖金。受害者在沒有私鑰的情況下,一般無法恢復(fù)文件,如需恢復(fù)重要資料,只能被迫支付贖金。
為何救死扶傷的醫(yī)院正越來越多的成為黑客攻擊的靶子?
與其他機構(gòu)相比,醫(yī)院的信息系統(tǒng)比較特殊,如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等,都屬于需要緊急使用的信息,被勒索病毒加密后,會造成比較大的影響,所以勢必會想盡辦法以最快速度恢復(fù)數(shù)據(jù),比如,馬上交贖金。醫(yī)院信息系統(tǒng)遭遇勒索、發(fā)生故障,無論是哪種突發(fā)狀況,都將直接影響到患者正常就醫(yī),甚至?xí)P(guān)系到病患的生命安全。
醫(yī)療行業(yè)系統(tǒng)現(xiàn)狀:
HIS系統(tǒng) | 醫(yī)療信息系統(tǒng)(流程) |
LIS系統(tǒng) | 臨床試驗系統(tǒng)(臨床、患者狀況、用藥、療程) |
PACS系統(tǒng) | 影像(B超、彩超、X光……) |
EMR系統(tǒng) | 電子病歷(接收并存放LIS的信息) |
醫(yī)療行業(yè)信息系統(tǒng)特點:
1.高速的響應(yīng)速度和聯(lián)機事務(wù)處理能力
2.醫(yī)療信息數(shù)據(jù)的復(fù)雜性
3.信息的安全、保密度要求高
4.數(shù)據(jù)量大
5.穩(wěn)定性要求高
6.瞬間并發(fā)訪問量大
7.系統(tǒng)后期數(shù)據(jù)維護工作量大
醫(yī)院內(nèi)網(wǎng)安全面臨的主要問題有:
1.醫(yī)院之間的信息系統(tǒng)互聯(lián)互通,使得醫(yī)院面臨更多的外部安全威脅
2.醫(yī)院安全意識淡薄以及管理制度的不完善,沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系,已經(jīng)嚴重滯后信息化的發(fā)展速度
3.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價值,漸漸得到灰色產(chǎn)業(yè)鏈的覬覦
4.醫(yī)院對各類信息系統(tǒng)的依賴程度越來越高。以HIS系統(tǒng)為例,涉及到醫(yī)院所屬各部門,對人流、物流、財流全方位管理,患者從掛號、看診、繳費、手術(shù)、住院、出院等等各個環(huán)節(jié),都需與其直接掛鉤,一旦HIS信息系統(tǒng)出現(xiàn)問題,影響面巨大
針對勒索病毒攻擊可以采取如下防御措施:
1、系統(tǒng)漏洞攻擊
防御措施:
(1)及時更新系統(tǒng)補丁,防止攻擊者通過漏洞入侵系統(tǒng)
(2)安裝補丁不方便的組織,可安裝網(wǎng)絡(luò)版安全軟件,對局域網(wǎng)中的機器統(tǒng)一打補丁
(3)在不影響業(yè)務(wù)的前提下,將危險性較高的,容易被漏洞利用的端口修改為其它端口號,如139 、445端口。如果不使用,可直接關(guān)閉高危端口,降低被漏洞攻擊的風(fēng)險
2、遠程訪問弱口令攻擊
防御措施:
(1)使用復(fù)雜密碼
(2)更改遠程訪問的默認端口號,改為其它端口號
(3)禁用系統(tǒng)默認遠程訪問,使用其它遠程管理軟件
3、釣魚郵件攻擊
防御措施:
(1)安裝殺毒軟件,保持監(jiān)控開啟,及時更新病毒庫
(2)如果業(yè)務(wù)不需要,建議關(guān)閉office宏,powershell腳本等
(3)開啟顯示文件擴展名
(4)不打開可疑的郵件附件
(5)不點擊郵件中的可疑鏈接
4、web服務(wù)漏洞和弱口令攻擊
防御措施:
(1)及時更新web服務(wù)器組件,及時安裝軟件補丁
(2)web服務(wù)不要使用弱口令和默認密碼
5、數(shù)據(jù)庫漏洞和弱口令攻擊
防御措施:
(1)更改數(shù)據(jù)庫軟件默認端口
(2)限制遠程訪問數(shù)據(jù)庫
(3)數(shù)據(jù)庫管理密碼不要使用弱口令
(4)及時更新數(shù)據(jù)庫管理軟件補丁
(5)及時備份數(shù)據(jù)庫
醫(yī)療行業(yè)防御勒索病毒解決方案
(1)各計算機終端設(shè)備部署下一代網(wǎng)絡(luò)版殺毒軟件
對于規(guī)模較大、設(shè)備類型眾多、維護工作繁重的組織,推薦使用瑞星下一代網(wǎng)絡(luò)版殺毒軟件統(tǒng)一查殺,統(tǒng)一打補丁。
下一代網(wǎng)絡(luò)版殺毒軟件集病毒防護、網(wǎng)絡(luò)防護、桌面管理、終端準入、輿情監(jiān)控于一體,全網(wǎng)絡(luò)環(huán)境適用,可以實現(xiàn)物理機、虛擬機、Windows、Linux一體化管理,為企業(yè)用戶提供了一整套終端安全解決方案。
多種防護模式自由設(shè)定,ATM機、銀行自助終端機、地鐵閘機、售檢票系統(tǒng)、醫(yī)院掛號機等終端設(shè)備按需設(shè)置。
對全網(wǎng)終端漏洞進行掃描,自由設(shè)定修復(fù)策略,終端可同時設(shè)定多個補丁中心、多個補丁服務(wù)器支持樹形級聯(lián)。
(2)在網(wǎng)絡(luò)入口部署防毒墻
防毒墻是集病毒掃描、入侵檢測和網(wǎng)絡(luò)監(jiān)視功能于一身的網(wǎng)絡(luò)安全產(chǎn)品。它可在網(wǎng)關(guān)處對病毒進行初次攔截,配合病毒庫上億條記錄,可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡(luò)之外,幫助企業(yè)將病毒威脅降至最低。
(3)虛擬化設(shè)備,部署虛擬化專用版安全軟件
虛擬化系統(tǒng)安全軟件是公司推出的國內(nèi)首家企業(yè)級云安全防護解決方案,支持對虛擬化環(huán)境與非虛擬化環(huán)境的統(tǒng)一管控,包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統(tǒng)與Linux系統(tǒng)等,可以有效保障企業(yè)內(nèi)部虛擬系統(tǒng)和實體網(wǎng)絡(luò)環(huán)境不受病毒侵擾。
虛擬化系統(tǒng)安全軟件的完整防護體系由管理中心、升級中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端Linux殺毒和安全防護終端等子系統(tǒng)組成,各個子系統(tǒng)均包括若干不同的模塊,除承擔(dān)各自的任務(wù)外,還與其它子系統(tǒng)通訊,協(xié)同工作,共同完成企業(yè)內(nèi)部的安全防護。
(4)部署數(shù)據(jù)備份恢復(fù)系統(tǒng)
無論網(wǎng)絡(luò)防護級別有多高,備份是必不可少的。組織用戶由于業(yè)務(wù)復(fù)雜,數(shù)據(jù)庫類型眾多,無法手動實時備份,建議使用專業(yè)的備份恢復(fù)系統(tǒng)實時備份。
備份恢復(fù)系統(tǒng)可作為本地機房針對各種常見服務(wù)器故障的應(yīng)急系統(tǒng)。一臺安裝了瑞星備份恢復(fù)系統(tǒng)的設(shè)備可通過和其他備用服務(wù)器建立“集中應(yīng)急平臺”實現(xiàn)200-300臺X86服務(wù)器故障應(yīng)急系統(tǒng)應(yīng)急切換,幾分鐘完全頂替原機使用,實現(xiàn)系統(tǒng)及數(shù)據(jù)同步。
服務(wù)器的一體化備份和應(yīng)急,可支持windows平臺;VMware、Hyper-V等虛擬化平臺以及Oracle、SqlServer、MySql、Sybase、達夢等所有數(shù)據(jù)庫。
醫(yī)療行業(yè)防御勒索病毒解決方案,是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解,做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案,可以由安全預(yù)警系統(tǒng)、防毒墻、殺軟構(gòu)建深層次病毒攔截、監(jiān)測、查殺體系,不僅能有效地阻止勒索病毒對用戶電腦的攻擊,同時最大限度地防御勒索病毒對用戶文件的破壞和感染。