近兩年來，醫(yī)院、醫(yī)療機(jī)構(gòu)發(fā)生重大安全事件，醫(yī)療行業(yè)的一些特征讓它們成了黑客眼中誘人的果實，醫(yī)療機(jī)構(gòu)在社會民生中的重要性也成為黑客盯上它們的重要因素，最具代表的就是遭遇勒索軟件攻擊，由于人命關(guān)天，在遭遇勒索軟件攻擊時，醫(yī)療機(jī)構(gòu)也更傾向于支付贖金。廣州天暢上期公眾號文章，從等保實施體現(xiàn)的七個方面，提出醫(yī)療系統(tǒng)信息安全建設(shè)的一些建議《抵御勒索從等保合規(guī)出發(fā)，建設(shè)醫(yī)療系統(tǒng)安全網(wǎng)絡(luò)世界》。今天，廣州天暢資深服務(wù)專家針對勒索病毒在醫(yī)院網(wǎng)絡(luò)安全的攻守方面給出了一套解決方案。

安全背景

2017 年 5 月，一種名為 WannaCry 的勒索病毒肆虐席卷全球，造成 100 多個國家和地區(qū)超過 10 萬臺電腦遭到了勒索病毒攻擊、感染。據(jù)統(tǒng)計，5 月份爆發(fā)的 WannaCry“蠕蟲式”勒索病毒在席卷全球僅僅一天的時間就有 242.3萬個 IP 地址遭受該病毒攻擊，近 3.5 萬個 IP 地址被該勒索軟件感染，其中我國境內(nèi)受影響 IP 約 1.8 萬個。高校、醫(yī)院、政府、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓，浙江、上海、江蘇等地成為受災(zāi)重區(qū)，各地隨后開展了一系列勒索病毒治理。

 圖 1：WannaCry 勒索病毒

圖 2：醫(yī)院勒索病毒原因分析

導(dǎo)致病毒發(fā)生主要有以下幾點原因，詳見圖2所示：

✍醫(yī)院配置了等保三級安全設(shè)備，但傳統(tǒng)安全設(shè)備規(guī)則庫機(jī)制無法防御未知新型網(wǎng)絡(luò)攻擊及病毒，醫(yī)院網(wǎng)絡(luò)邊界缺少未知攻擊防御措施

✍醫(yī)院內(nèi)外網(wǎng)屬于隔離狀態(tài)，外網(wǎng)病毒通過U盤等外設(shè)介質(zhì)進(jìn)入內(nèi)網(wǎng)，醫(yī)院終端設(shè)備缺少終端管控及行為感知措施

✍醫(yī)院服務(wù)器缺少系統(tǒng)加固措施，病毒入侵即可搶占系統(tǒng)權(quán)限

✍醫(yī)院重視傳統(tǒng)邊界防護(hù)，忽略了數(shù)據(jù)庫邊界防護(hù)，導(dǎo)致數(shù)據(jù)庫遭受攻擊后權(quán)限失控

✍醫(yī)院從業(yè)人員缺少安全意識，惡意鏈接、惡意郵件無法判斷，內(nèi)外網(wǎng)移動存儲介質(zhì)混用等一系列問題

醫(yī)院信息資產(chǎn)眾多，日常運(yùn)維乏力，風(fēng)險點處理緩慢。此時，傳統(tǒng)的解決方案或單薄的安全設(shè)備已經(jīng)無法解決勒索病毒的入侵，且傳統(tǒng)采購設(shè)備的方式既增加醫(yī)院負(fù)擔(dān)又增加運(yùn)維難度，所以醫(yī)院急需一種既會主動檢測又會被動防御的解決方案——醫(yī)院網(wǎng)絡(luò)安全攻守道服務(wù)解決方案。

攻：主動檢測安全服務(wù)方案

（一）主動檢查：醫(yī)院信息安全檢查服務(wù)

醫(yī)院信息安全檢查服務(wù)可提供：

✍由專業(yè)安全服務(wù)工程師針對醫(yī)院 HIS、LIS、EMR 等業(yè)務(wù)服務(wù)器、醫(yī)院 PC 終端提供病毒掃描服務(wù)

✍由專業(yè)安全服務(wù)工程師針對醫(yī)院 HIS、LIS、EMR 等業(yè)務(wù)系統(tǒng)提供代碼審計服務(wù)，及時發(fā)現(xiàn)代碼漏洞

✍由專業(yè)安全服務(wù)工程師模擬黑客對醫(yī)院 B/S 架構(gòu)業(yè)務(wù)系統(tǒng)提供滲透測試服務(wù)，及時發(fā)現(xiàn)未知漏洞

✍由專業(yè)安全服務(wù)工程師提供業(yè)務(wù)系統(tǒng)基礎(chǔ)安全服務(wù)，定期提醒修補(bǔ)操作系統(tǒng)漏洞，設(shè)置系統(tǒng)最小化權(quán)限，設(shè)置最大化安全策略

通過主動的醫(yī)院信息安全檢查服務(wù)可以對清楚明晰醫(yī)院設(shè)備資產(chǎn)，保障網(wǎng)絡(luò)運(yùn)行穩(wěn)定有序，提升系統(tǒng)配置合理性，做到服務(wù)管理有章可循，進(jìn)一步提升網(wǎng)絡(luò)支撐能力，提高網(wǎng)絡(luò)管理、安全管理和服務(wù)水平。

圖 3：醫(yī)院信息安全檢查服務(wù)

（二）主動探測：醫(yī)院外網(wǎng)威脅情報收集服務(wù)

威脅情報收集服務(wù)采用豐富的主動探測技術(shù)手段，在保證對目標(biāo)醫(yī)院網(wǎng)絡(luò)正常業(yè)務(wù)運(yùn)行最低限度影響前提下，完成對目標(biāo)醫(yī)院網(wǎng)絡(luò)全面而快速的探測。通過融合如 ICMP 探測、Telnet 探測、Http 探測以及網(wǎng)絡(luò)爬蟲等多種探測技術(shù)手段， 對設(shè)備信息、服務(wù)信息、漏洞信息等進(jìn)行全面收集，保證信息采集的全面性、實時性。威脅情報收集服務(wù)依托豐富的指紋庫、特征庫和 IP 地址信息庫，實現(xiàn)精準(zhǔn)識別目標(biāo)網(wǎng)絡(luò)節(jié)點詳細(xì)信息。同時，利用大數(shù)據(jù)分析技術(shù)對從個探測節(jié)點采集的海量數(shù)據(jù)進(jìn)行深度挖掘與分析，分析結(jié)果通過各種可視化方式進(jìn)行展示。

在現(xiàn)代化醫(yī)療服務(wù)流程中，先進(jìn)科技帶來應(yīng)有優(yōu)勢的同時，也增添了網(wǎng)絡(luò)安全隱患。隨著數(shù)字化和互聯(lián)醫(yī)療的普及應(yīng)用，網(wǎng)絡(luò)化、信息化帶來了巨大創(chuàng)新優(yōu)勢的同時，也揭示了與創(chuàng)新技術(shù)并存的網(wǎng)絡(luò)安全風(fēng)險?！爱?dāng)今復(fù)雜的醫(yī)療環(huán)境中，網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)是一個洋蔥問題：你解決了一個層面，然后會發(fā)現(xiàn)它下面還有更多的挑戰(zhàn)“。網(wǎng)絡(luò)安全問題不僅僅是制造商應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)，同時也是使用者，包括醫(yī)療機(jī)構(gòu)、醫(yī)生和技術(shù)人員、甚至患者本人應(yīng)當(dāng)引起重視和共同努力的事情。建設(shè)醫(yī)療系統(tǒng)安全網(wǎng)絡(luò)世界，我們?nèi)沃囟肋h(yuǎn)。