醫(yī)療行業(yè)防御勒索病毒解決方案
醫(yī)療行業(yè)屢受勒索病毒攻擊
2018年2月,湖南省某醫(yī)院遭受勒索病毒攻擊,服務(wù)器所有數(shù)據(jù)文件被強(qiáng)行加密,導(dǎo)致醫(yī)院系統(tǒng)癱瘓,取號(hào)、辦卡、掛號(hào)、收費(fèi)、診療等業(yè)務(wù)受到影響。攻擊者要求院方必須在六小時(shí)內(nèi)為每臺(tái)感染終端支付1個(gè)比特幣贖金,約合每臺(tái)終端解鎖需要支付人民幣66000余元。
國(guó)內(nèi)外越來(lái)越多的醫(yī)院正成為黑客攻擊的靶子:
國(guó)內(nèi)
2017年5月 | “永恒之藍(lán)”勒索軟件對(duì)成都市傳染病醫(yī)院等部分醫(yī)院造成影響 |
2018年2月 | 湖南省某三甲??漆t(yī)院也被爆疑似遭遇勒索病毒 |
2018年2月 | 上海某公立醫(yī)院系統(tǒng)被黑,黑客勒索價(jià)值2億元以太幣 |
國(guó)外
2017年5月 | 英國(guó)全民醫(yī)療體系屬下48個(gè)機(jī)構(gòu)受到勒索病毒沖擊 |
2017年5月 | 日本在國(guó)內(nèi)確認(rèn)了2起,分別為某綜合醫(yī)院和個(gè)人電腦感染病毒 |
2017年6月 |
美國(guó)最大制藥商之一的默克 (Merck) 公司和賓夕法尼亞州西部經(jīng)營(yíng)兩家醫(yī)院的醫(yī)療網(wǎng)絡(luò)機(jī)構(gòu) —— Heritage Valley 健康系統(tǒng)也成為新勒索病毒攻擊的犧牲品。 |
什么是勒索病毒?它會(huì)帶來(lái)多大的危害?
2017 年 5 月,一款名為 WannaCry 的勒索病毒席卷全球,包括中國(guó)、美國(guó)、俄羅斯及歐洲在內(nèi)的 100 多個(gè)國(guó)家受到影響。據(jù)瑞星與國(guó)家信息中心聯(lián)合發(fā)布的《2017中國(guó)網(wǎng)絡(luò)安全報(bào)告》稱,2017年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本92.99 萬(wàn)個(gè),感染共計(jì) 1,346 萬(wàn)次,我國(guó)部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)遭受攻擊較為嚴(yán)重。
勒索病毒是一種特殊的惡意軟件,黑客將這類軟件植入受害機(jī)構(gòu)或者企業(yè)的系統(tǒng)中,將這類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件加密,然后索要贖金。受害者在沒有私鑰的情況下,一般無(wú)法恢復(fù)文件,如需恢復(fù)重要資料,只能被迫支付贖金。
為何救死扶傷的醫(yī)院正越來(lái)越多的成為黑客攻擊的靶子?
與其他機(jī)構(gòu)相比,醫(yī)院的信息系統(tǒng)比較特殊,如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等,都屬于需要緊急使用的信息,被勒索病毒加密后,會(huì)造成比較大的影響,所以勢(shì)必會(huì)想盡辦法以最快速度恢復(fù)數(shù)據(jù),比如,馬上交贖金。醫(yī)院信息系統(tǒng)遭遇勒索、發(fā)生故障,無(wú)論是哪種突發(fā)狀況,都將直接影響到患者正常就醫(yī),甚至?xí)P(guān)系到病患的生命安全。
醫(yī)療行業(yè)系統(tǒng)現(xiàn)狀:
HIS系統(tǒng) | 醫(yī)療信息系統(tǒng)(流程) |
LIS系統(tǒng) | 臨床試驗(yàn)系統(tǒng)(臨床、患者狀況、用藥、療程) |
PACS系統(tǒng) | 影像(B超、彩超、X光……) |
EMR系統(tǒng) | 電子病歷(接收并存放LIS的信息) |
醫(yī)療行業(yè)信息系統(tǒng)特點(diǎn):
1.高速的響應(yīng)速度和聯(lián)機(jī)事務(wù)處理能力
2.醫(yī)療信息數(shù)據(jù)的復(fù)雜性
3.信息的安全、保密度要求高
4.數(shù)據(jù)量大
5.穩(wěn)定性要求高
6.瞬間并發(fā)訪問(wèn)量大
7.系統(tǒng)后期數(shù)據(jù)維護(hù)工作量大
醫(yī)院內(nèi)網(wǎng)安全面臨的主要問(wèn)題有:
1.醫(yī)院之間的信息系統(tǒng)互聯(lián)互通,使得醫(yī)院面臨更多的外部安全威脅
2.醫(yī)院安全意識(shí)淡薄以及管理制度的不完善,沒有成立專門的信息安全管理組織、沒有成套規(guī)范的管理體系,已經(jīng)嚴(yán)重滯后信息化的發(fā)展速度
3.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值,漸漸得到灰色產(chǎn)業(yè)鏈的覬覦
4.醫(yī)院對(duì)各類信息系統(tǒng)的依賴程度越來(lái)越高。以HIS系統(tǒng)為例,涉及到醫(yī)院所屬各部門,對(duì)人流、物流、財(cái)流全方位管理,患者從掛號(hào)、看診、繳費(fèi)、手術(shù)、住院、出院等等各個(gè)環(huán)節(jié),都需與其直接掛鉤,一旦HIS信息系統(tǒng)出現(xiàn)問(wèn)題,影響面巨大
針對(duì)勒索病毒攻擊可以采取如下防御措施:
1、系統(tǒng)漏洞攻擊
防御措施:
(1)及時(shí)更新系統(tǒng)補(bǔ)丁,防止攻擊者通過(guò)漏洞入侵系統(tǒng)
(2)安裝補(bǔ)丁不方便的組織,可安裝網(wǎng)絡(luò)版安全軟件,對(duì)局域網(wǎng)中的機(jī)器統(tǒng)一打補(bǔ)丁
(3)在不影響業(yè)務(wù)的前提下,將危險(xiǎn)性較高的,容易被漏洞利用的端口修改為其它端口號(hào),如139 、445端口。如果不使用,可直接關(guān)閉高危端口,降低被漏洞攻擊的風(fēng)險(xiǎn)
2、遠(yuǎn)程訪問(wèn)弱口令攻擊
防御措施:
(1)使用復(fù)雜密碼
(2)更改遠(yuǎn)程訪問(wèn)的默認(rèn)端口號(hào),改為其它端口號(hào)
(3)禁用系統(tǒng)默認(rèn)遠(yuǎn)程訪問(wèn),使用其它遠(yuǎn)程管理軟件
3、釣魚郵件攻擊
防御措施:
(1)安裝殺毒軟件,保持監(jiān)控開啟,及時(shí)更新病毒庫(kù)
(2)如果業(yè)務(wù)不需要,建議關(guān)閉office宏,powershell腳本等
(3)開啟顯示文件擴(kuò)展名
(4)不打開可疑的郵件附件
(5)不點(diǎn)擊郵件中的可疑鏈接
4、web服務(wù)漏洞和弱口令攻擊
防御措施:
(1)及時(shí)更新web服務(wù)器組件,及時(shí)安裝軟件補(bǔ)丁
(2)web服務(wù)不要使用弱口令和默認(rèn)密碼
5、數(shù)據(jù)庫(kù)漏洞和弱口令攻擊
防御措施:
(1)更改數(shù)據(jù)庫(kù)軟件默認(rèn)端口
(2)限制遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)
(3)數(shù)據(jù)庫(kù)管理密碼不要使用弱口令
(4)及時(shí)更新數(shù)據(jù)庫(kù)管理軟件補(bǔ)丁
(5)及時(shí)備份數(shù)據(jù)庫(kù)
醫(yī)療行業(yè)防御勒索病毒解決方案
(1)各計(jì)算機(jī)終端設(shè)備部署下一代網(wǎng)絡(luò)版殺毒軟件
對(duì)于規(guī)模較大、設(shè)備類型眾多、維護(hù)工作繁重的組織,推薦使用瑞星下一代網(wǎng)絡(luò)版殺毒軟件統(tǒng)一查殺,統(tǒng)一打補(bǔ)丁。
下一代網(wǎng)絡(luò)版殺毒軟件集病毒防護(hù)、網(wǎng)絡(luò)防護(hù)、桌面管理、終端準(zhǔn)入、輿情監(jiān)控于一體,全網(wǎng)絡(luò)環(huán)境適用,可以實(shí)現(xiàn)物理機(jī)、虛擬機(jī)、Windows、Linux一體化管理,為企業(yè)用戶提供了一整套終端安全解決方案。
多種防護(hù)模式自由設(shè)定,ATM機(jī)、銀行自助終端機(jī)、地鐵閘機(jī)、售檢票系統(tǒng)、醫(yī)院掛號(hào)機(jī)等終端設(shè)備按需設(shè)置。
對(duì)全網(wǎng)終端漏洞進(jìn)行掃描,自由設(shè)定修復(fù)策略,終端可同時(shí)設(shè)定多個(gè)補(bǔ)丁中心、多個(gè)補(bǔ)丁服務(wù)器支持樹形級(jí)聯(lián)。
(2)在網(wǎng)絡(luò)入口部署防毒墻
防毒墻是集病毒掃描、入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)視功能于一身的網(wǎng)絡(luò)安全產(chǎn)品。它可在網(wǎng)關(guān)處對(duì)病毒進(jìn)行初次攔截,配合病毒庫(kù)上億條記錄,可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡(luò)之外,幫助企業(yè)將病毒威脅降至最低。
(3)虛擬化設(shè)備,部署虛擬化專用版安全軟件
虛擬化系統(tǒng)安全軟件是公司推出的國(guó)內(nèi)首家企業(yè)級(jí)云安全防護(hù)解決方案,支持對(duì)虛擬化環(huán)境與非虛擬化環(huán)境的統(tǒng)一管控,包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系統(tǒng)與Linux系統(tǒng)等,可以有效保障企業(yè)內(nèi)部虛擬系統(tǒng)和實(shí)體網(wǎng)絡(luò)環(huán)境不受病毒侵?jǐn)_。
虛擬化系統(tǒng)安全軟件的完整防護(hù)體系由管理中心、升級(jí)中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端Linux殺毒和安全防護(hù)終端等子系統(tǒng)組成,各個(gè)子系統(tǒng)均包括若干不同的模塊,除承擔(dān)各自的任務(wù)外,還與其它子系統(tǒng)通訊,協(xié)同工作,共同完成企業(yè)內(nèi)部的安全防護(hù)。
(4)部署數(shù)據(jù)備份恢復(fù)系統(tǒng)
無(wú)論網(wǎng)絡(luò)防護(hù)級(jí)別有多高,備份是必不可少的。組織用戶由于業(yè)務(wù)復(fù)雜,數(shù)據(jù)庫(kù)類型眾多,無(wú)法手動(dòng)實(shí)時(shí)備份,建議使用專業(yè)的備份恢復(fù)系統(tǒng)實(shí)時(shí)備份。
備份恢復(fù)系統(tǒng)可作為本地機(jī)房針對(duì)各種常見服務(wù)器故障的應(yīng)急系統(tǒng)。一臺(tái)安裝了瑞星備份恢復(fù)系統(tǒng)的設(shè)備可通過(guò)和其他備用服務(wù)器建立“集中應(yīng)急平臺(tái)”實(shí)現(xiàn)200-300臺(tái)X86服務(wù)器故障應(yīng)急系統(tǒng)應(yīng)急切換,幾分鐘完全頂替原機(jī)使用,實(shí)現(xiàn)系統(tǒng)及數(shù)據(jù)同步。
服務(wù)器的一體化備份和應(yīng)急,可支持windows平臺(tái);VMware、Hyper-V等虛擬化平臺(tái)以及Oracle、SqlServer、MySql、Sybase、達(dá)夢(mèng)等所有數(shù)據(jù)庫(kù)。
醫(yī)療行業(yè)防御勒索病毒解決方案,是基于勒索病毒的傳播方式、感染方式、事后勒索行為等的分析理解,做出的一套從終端安全、云安全到網(wǎng)關(guān)安全的一套全面、立體的解決方案,可以由安全預(yù)警系統(tǒng)、防毒墻、殺軟構(gòu)建深層次病毒攔截、監(jiān)測(cè)、查殺體系,不僅能有效地阻止勒索病毒對(duì)用戶電腦的攻擊,同時(shí)最大限度地防御勒索病毒對(duì)用戶文件的破壞和感染。