“上医治未病”——医疗行业防护勒索病毒解决方案

发布日期：2018/02/28

      春节刚过，勒索病毒便不甘寂寞，改头换面，换套“马甲”，再度跳出来兴风作浪。远望信息未雨绸缪防范未然，及早应对并提供一系列“强身健体”综合防护方案，为客户信息安全提供多重保护伞。

      2月23日，湖北襄阳南漳县人民医院系统被植入GlobeImposter勒索病毒后瘫痪，黑客要求支付比特币才能恢复正常。

      2月24日，湖南省儿童医院全院所有医疗系统均无法正常使用，经查实，该院多台服务器感染GlobeImposter勒索病毒，数据库文件被病毒加密破坏，医院内部系统已瘫痪，同时数据库文件被加密破坏，正常就医秩序受到严重影响。　　

      医院拥有大量重要而紧急的信息数据，包括各种医学记录及数据、病患个人资料等，信息系统一旦停止工作，将导致医院秩序停摆，甚至威胁到病患生命安全，造成医院“无法承受之重”。

      GlobeImposter是目前流行的一类勒索病毒，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

      医疗行业几个主要的病毒传播原因分析：

      1、医疗行业信息化，需要与人社、卫计委、银行等多家单位进行数据交互，网络边界安全管理不当，存在非法互联网连接，会导致病毒的传播和黑客入侵；

      2、终端安全缺乏有效管理，弱口令，未安装杀毒软件、病毒库未及时更新等容易造成入侵和病毒传播；

      3、移动介质、存储介质等缺乏使用管理，内外网交叉使用，也容易引起病毒传播；

      4、终端设备非法接入，未做安全体检和登记就接入网络，存在较大安全隐患；

      5、不必要服务端口的开启，如Windows共享服务、远程桌面等，极易导致病毒木马的快速传播；

      6、医院使用的信息系统（HIS）均为C/S架构，服务器被感染，不仅影响正常业务，还会造成病毒向终端传播；

      从国内外屡次爆发的网络安全事件可以看出，由于病毒木马变化莫测，特征多样，单纯依靠杀毒软件、防火墙等传统安全防护设备类的被动防御手段，并不能完全避免安全事件的发生；一定要加强日常网络安全管理，综合采用终端管理、准入控制、边界防护、病毒查杀等多种措施，“防治结合，强身健体”，堵住病毒木马入侵的源头，才能“治标又治本”，有效保障网络安全，并减少安全事件可能带来的损失。

      针对此次医院遭受勒索病毒攻击感染的情况，远望信息应急中心结合多年信息安全管理经验和医疗行业信息系统特性，提出针对医疗行业防护勒索病毒的解决方案：

1、终端系统防护措施：

◆通过远望终端安全监管防护系统禁止相关传播端口

◆禁止病毒进程运行

◆对外接设备进行控制

◆及时安装系统安全漏洞补丁，远望终端安全监管防护系统提供补丁检查和分发功能；

◆设置系统口令，并强化口令复杂度，至少8位，同时包含数字、大写字母、小写字母、特殊字符两种以上，远望终端安全监管系统支持弱口令检查(后台有收录弱口令字典库，同时支持自定义弱口令)

◆安装防病毒软件，远望终端监管防护系统支持杀毒软件安装检查；

◆关闭不必要的服务,远望终端监管防护系统支持对终端服务进行控制

2、网络安全防护措施

◆部署远望网络资产与边界感知系统，发现内网中各类边界，对不合规边界进行整改或关闭

◆部署远望网络接入控制系统，对设备接入进行安全管控和入网体检

3、移动介质安全管理

◆部署远望移动存储注册管理系统及安全U盘对移动存储设备进行注册管理，杜绝U盘在内外网交叉使用。