医疗行业防御勒索病毒解决方案
医疗行业屡受勒索病毒攻击
2018年2月,湖南省某医院遭受勒索病毒攻击,服务器所有数据文件被强行加密,导致医院系统瘫痪,取号、办卡、挂号、收费、诊疗等业务受到影响。攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金,约合每台终端解锁需要支付人民币66000余元。
国内外越来越多的医院正成为黑客攻击的靶子:
国内
2017年5月 | “永恒之蓝”勒索软件对成都市传染病医院等部分医院造成影响 |
2018年2月 | 湖南省某三甲专科医院也被爆疑似遭遇勒索病毒 |
2018年2月 | 上海某公立医院系统被黑,黑客勒索价值2亿元以太币 |
国外
2017年5月 | 英国全民医疗体系属下48个机构受到勒索病毒冲击 |
2017年5月 | 日本在国内确认了2起,分别为某综合医院和个人电脑感染病毒 |
2017年6月 |
美国最大制药商之一的默克 (Merck) 公司和宾夕法尼亚州西部经营两家医院的医疗网络机构 —— Heritage Valley 健康系统也成为新勒索病毒攻击的牺牲品。 |
什么是勒索病毒?它会带来多大的危害?
2017 年 5 月,一款名为 WannaCry 的勒索病毒席卷全球,包括中国、美国、俄罗斯及欧洲在内的 100 多个国家受到影响。据瑞星与国家信息中心联合发布的《2017中国网络安全报告》称,2017年瑞星“云安全”系统共截获勒索软件样本92.99 万个,感染共计 1,346 万次,我国部分高校内网、大型企业内网和政府机构专网遭受攻击较为严重。
勒索病毒是一种特殊的恶意软件,黑客将这类软件植入受害机构或者企业的系统中,将这类用户的数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件加密,然后索要赎金。受害者在没有私钥的情况下,一般无法恢复文件,如需恢复重要资料,只能被迫支付赎金。
为何救死扶伤的医院正越来越多的成为黑客攻击的靶子?
与其他机构相比,医院的信息系统比较特殊,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被勒索病毒加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。医院信息系统遭遇勒索、发生故障,无论是哪种突发状况,都将直接影响到患者正常就医,甚至会关系到病患的生命安全。
医疗行业系统现状:
HIS系统 | 医疗信息系统(流程) |
LIS系统 | 临床试验系统(临床、患者状况、用药、疗程) |
PACS系统 | 影像(B超、彩超、X光……) |
EMR系统 | 电子病历(接收并存放LIS的信息) |
医疗行业信息系统特点:
1.高速的响应速度和联机事务处理能力
2.医疗信息数据的复杂性
3.信息的安全、保密度要求高
4.数据量大
5.稳定性要求高
6.瞬间并发访问量大
7.系统后期数据维护工作量大
医院内网安全面临的主要问题有:
1.医院之间的信息系统互联互通,使得医院面临更多的外部安全威胁
2.医院安全意识淡薄以及管理制度的不完善,没有成立专门的信息安全管理组织、没有成套规范的管理体系,已经严重滞后信息化的发展速度
3.医院拥有的患者信息、诊疗信息更加具有商业价值,渐渐得到灰色产业链的觊觎
4.医院对各类信息系统的依赖程度越来越高。以HIS系统为例,涉及到医院所属各部门,对人流、物流、财流全方位管理,患者从挂号、看诊、缴费、手术、住院、出院等等各个环节,都需与其直接挂钩,一旦HIS信息系统出现问题,影响面巨大
针对勒索病毒攻击可以采取如下防御措施:
1、系统漏洞攻击
防御措施:
(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统
(2)安装补丁不方便的组织,可安装网络版安全软件,对局域网中的机器统一打补丁
(3)在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号,如139 、445端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险
2、远程访问弱口令攻击
防御措施:
(1)使用复杂密码
(2)更改远程访问的默认端口号,改为其它端口号
(3)禁用系统默认远程访问,使用其它远程管理软件
3、钓鱼邮件攻击
防御措施:
(1)安装杀毒软件,保持监控开启,及时更新病毒库
(2)如果业务不需要,建议关闭office宏,powershell脚本等
(3)开启显示文件扩展名
(4)不打开可疑的邮件附件
(5)不点击邮件中的可疑链接
4、web服务漏洞和弱口令攻击
防御措施:
(1)及时更新web服务器组件,及时安装软件补丁
(2)web服务不要使用弱口令和默认密码
5、数据库漏洞和弱口令攻击
防御措施:
(1)更改数据库软件默认端口
(2)限制远程访问数据库
(3)数据库管理密码不要使用弱口令
(4)及时更新数据库管理软件补丁
(5)及时备份数据库
医疗行业防御勒索病毒解决方案
(1)各计算机终端设备部署下一代网络版杀毒软件
对于规模较大、设备类型众多、维护工作繁重的组织,推荐使用瑞星下一代网络版杀毒软件统一查杀,统一打补丁。
下一代网络版杀毒软件集病毒防护、网络防护、桌面管理、终端准入、舆情监控于一体,全网络环境适用,可以实现物理机、虚拟机、Windows、Linux一体化管理,为企业用户提供了一整套终端安全解决方案。
多种防护模式自由设定,ATM机、银行自助终端机、地铁闸机、售检票系统、医院挂号机等终端设备按需设置。
对全网终端漏洞进行扫描,自由设定修复策略,终端可同时设定多个补丁中心、多个补丁服务器支持树形级联。
(2)在网络入口部署防毒墙
防毒墙是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它可在网关处对病毒进行初次拦截,配合病毒库上亿条记录,可将绝大多数病毒彻底剿灭在企业网络之外,帮助企业将病毒威胁降至最低。
(3)虚拟化设备,部署虚拟化专用版安全软件
虚拟化系统安全软件是公司推出的国内首家企业级云安全防护解决方案,支持对虚拟化环境与非虚拟化环境的统一管控,包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系统与Linux系统等,可以有效保障企业内部虚拟系统和实体网络环境不受病毒侵扰。
虚拟化系统安全软件的完整防护体系由管理中心、升级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子系统组成,各个子系统均包括若干不同的模块,除承担各自的任务外,还与其它子系统通讯,协同工作,共同完成企业内部的安全防护。
(4)部署数据备份恢复系统
无论网络防护级别有多高,备份是必不可少的。组织用户由于业务复杂,数据库类型众多,无法手动实时备份,建议使用专业的备份恢复系统实时备份。
备份恢复系统可作为本地机房针对各种常见服务器故障的应急系统。一台安装了瑞星备份恢复系统的设备可通过和其他备用服务器建立“集中应急平台”实现200-300台X86服务器故障应急系统应急切换,几分钟完全顶替原机使用,实现系统及数据同步。
服务器的一体化备份和应急,可支持windows平台;VMware、Hyper-V等虚拟化平台以及Oracle、SqlServer、MySql、Sybase、达梦等所有数据库。
医疗行业防御勒索病毒解决方案,是基于勒索病毒的传播方式、感染方式、事后勒索行为等的分析理解,做出的一套从终端安全、云安全到网关安全的一套全面、立体的解决方案,可以由安全预警系统、防毒墙、杀软构建深层次病毒拦截、监测、查杀体系,不仅能有效地阻止勒索病毒对用户电脑的攻击,同时最大限度地防御勒索病毒对用户文件的破坏和感染。