醫(yī)院信息系統(tǒng)勒索病毒防范技術(shù)應(yīng)用研究

張英時 曾海

摘要：為提高醫(yī)院信息系統(tǒng)在勒索病毒方面的整體應(yīng)對能力，該文分析了典型勒索病毒的入侵機(jī)制和過程，列舉了醫(yī)院信息系統(tǒng)在病毒應(yīng)對方面的風(fēng)險，提出了在P2DR動態(tài)安全模型下，如何結(jié)合等級保護(hù)要求，針對勒索病毒強(qiáng)化信息安全體系中的關(guān)鍵子系統(tǒng)的思路和舉措，為醫(yī)院等公共醫(yī)療機(jī)構(gòu)的反勒索病毒提供了系統(tǒng)化的解決思路。

關(guān)鍵詞：勒索病毒;網(wǎng)絡(luò)安全;醫(yī)院信息系統(tǒng)

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）10-0048-03

Abstract： To improve overall response capacity of Hospital Information System against ransomware， this paper analyzes the mechanism and the process of typical ransomware invasion， enumerates the risks of hospital information system in the area of anti-virus response， puts forward the idea of how to strengthen the key subsystems of information security system against ransomware under the P2DR dynamic security model and the level protection requirements. For hospitals and other public medical institutions， this paper provides a systematic solution to the threats of ransomware.

Key words： ransomware virus; network security; HIS

1 勒索病毒概述

隨著信息化應(yīng)用領(lǐng)域的不斷擴(kuò)展，網(wǎng)絡(luò)違法犯罪行為的技術(shù)化、隱蔽化和復(fù)雜化特征日益顯著。勒索病毒從惡意加密軟件改變升級而來，將技術(shù)手段與勒索相結(jié)合，主要用于控制和攻擊計算機(jī)系統(tǒng)基礎(chǔ)架構(gòu)，黑客將這類軟件植入受害機(jī)構(gòu)或者企業(yè)的系統(tǒng)中以實施惡意行為[1-2]。Stephen Cobb認(rèn)為，此軟件的滲透范圍已經(jīng)從服務(wù)器擴(kuò)展到終端、筆記本、智能終端甚至工控系統(tǒng)[3]，黑客將此類用戶的數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復(fù)文件，如需恢復(fù)重要資料，只能被迫支付贖金。

近年來典型的勒索病毒發(fā)作形式多樣，其中影響較大的包括發(fā)生于2017年5月的WannaCry全球大爆發(fā)，至少 150個國家人30萬名用戶中招，造成損失達(dá) 80 億美元，此蠕蟲通過永恒之藍(lán)漏洞感染計算機(jī)后，向計算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密[4]。其他病毒變種還有2017年出現(xiàn)的GlobeImposter 勒索，其攻擊目標(biāo)主要是開啟遠(yuǎn)程桌面服務(wù)的服務(wù)器，攻擊者通過暴力破解服務(wù)器密碼，對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密，即RDP爆破入侵。另外還有主要通過垃圾郵件傳播的Crysis/Dharma 勒索，感染主機(jī)桌面背景替換為勒索信息圖片的GandCrab 勒索，基于Windows&Linux 雙平臺攻擊的Satan 勒索，Sacrab 勒索及Matrix 勒索等[5]。

2 醫(yī)院信息系統(tǒng)存在的信息安全風(fēng)險

與其他機(jī)構(gòu)相比，醫(yī)院信息系統(tǒng)中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等屬于兼具敏感性和實時性的重要信息，被勒索病毒加密后將直接影響患者就醫(yī)過程，甚至事關(guān)病患生命安全，醫(yī)院的數(shù)據(jù)恢復(fù)需求更加迫切。

近年來國內(nèi)醫(yī)院信息化系統(tǒng)的建設(shè)力度不斷增強(qiáng)，與信息化系統(tǒng)復(fù)雜程度同步增加的是信息化系統(tǒng)的信息安全風(fēng)險，醫(yī)院之所以成為勒索病毒攻擊的重災(zāi)區(qū)[3]，與醫(yī)院信息系統(tǒng)存在的信息安全風(fēng)險相關(guān)。

（1）醫(yī)院網(wǎng)絡(luò)環(huán)境復(fù)雜。隨著醫(yī)療信息的互聯(lián)互通，醫(yī)療信息系統(tǒng)除了與社保、省市衛(wèi)計委連接外，還與掌上行、陽光醫(yī)保等互聯(lián)網(wǎng)便民服務(wù)應(yīng)用系統(tǒng)相連接，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜;醫(yī)院內(nèi)部存在多個緊密交互的業(yè)務(wù)系統(tǒng)，各部門電腦終端和醫(yī)療設(shè)備用終端品牌和型號雜亂，使用的操作系統(tǒng)類型多樣。

（2）醫(yī)院內(nèi)網(wǎng)安全防護(hù)強(qiáng)度偏弱。大部分醫(yī)院均配置了先進(jìn)的防火墻系統(tǒng)將內(nèi)部系統(tǒng)與外網(wǎng)隔離，部分醫(yī)院員工形成了內(nèi)網(wǎng)安全可靠的錯覺，在閱讀郵件、訪問網(wǎng)頁、使用優(yōu)盤等方面不注意采取安全措施，在主機(jī)防護(hù)不足及內(nèi)部網(wǎng)絡(luò)間防護(hù)措施不到位的情況下，以勒索病毒為代表的病毒很容易在醫(yī)院內(nèi)網(wǎng)中橫向傳播;醫(yī)院里的專用業(yè)務(wù)系統(tǒng)如HIS、PACS、LIS、EMR等軟件有特殊更新要求，屬于內(nèi)網(wǎng)中的易受攻擊的脆弱節(jié)點(diǎn)。

（3）信息安全運(yùn)營模式偏向靜態(tài)和被動。作為專業(yè)醫(yī)療機(jī)構(gòu)，醫(yī)院的主體人員是醫(yī)護(hù)人員，由于專業(yè)所限他們的網(wǎng)絡(luò)安全意識往往不強(qiáng)，作為安全負(fù)責(zé)部門的醫(yī)院信息科，技術(shù)力量不能和專業(yè)安全機(jī)構(gòu)相比，在復(fù)雜的醫(yī)療系統(tǒng)運(yùn)維過程中處于四處奔波和疲于應(yīng)對的狀態(tài)，面對動態(tài)的信息安全問題不得不采取被動應(yīng)對和事后補(bǔ)救的方法，整體態(tài)勢感知能力和動態(tài)安全策略的實施能力缺乏。

3 典型的勒索病毒的入侵及常規(guī)應(yīng)對方法

勒索病毒最早針對永恒之藍(lán)漏洞進(jìn)行入侵，近年來病毒滲透能力提升很快，已經(jīng)超越了簡單的利用漏洞自動傳播的技術(shù)階段，主要傳播手段是結(jié)合了各種手段的人工植入方式，一種典型的勒索病毒入侵流程見表1。

黑客以遠(yuǎn)程桌面為侵入點(diǎn)，采用一系列工具軟件終止主機(jī)上的各類監(jiān)控和防護(hù)軟件，使用口令破解軟件獲取密碼，利用內(nèi)網(wǎng)間防護(hù)不強(qiáng)的弱點(diǎn)對防護(hù)薄弱網(wǎng)絡(luò)鄰居繼續(xù)入侵并傳入勒索病毒，最后采用痕跡消除軟件清理現(xiàn)場隱蔽退出系統(tǒng)。

一旦在醫(yī)院信息系統(tǒng)中發(fā)現(xiàn)勒索病毒，第一時間采用隔離、排查、加固、還原、解密、重裝和威脅溯源的處理預(yù)案可以將損害降至最低限度。

4 醫(yī)療信息系統(tǒng)勒索病毒系統(tǒng)化防范策略

勒索病毒在與反病毒軟件的激烈斗爭中持續(xù)升級，變種病毒針對新的系統(tǒng)漏洞不斷變化出新的入侵方法，勒索病毒的行為特征和應(yīng)對預(yù)案都必須及時和動態(tài)地更新，以動態(tài)的觀點(diǎn)和系統(tǒng)化的視角針對勒索病毒對醫(yī)院信息安全進(jìn)行強(qiáng)化，形成系統(tǒng)化防范策略有其實際意義。

1）動態(tài)防護(hù)和靜態(tài)防護(hù)結(jié)合的P2DR模型

P2DR模型是國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的一個基于時間的安全模型。其全稱是P2DR（Policy Protection Detection Response）。在此模型中，信息系統(tǒng)的整體安全由安全策略定義和控制，在使用傳統(tǒng)網(wǎng)絡(luò)防護(hù)工具（防火墻，網(wǎng)絡(luò)存取控制、數(shù)據(jù)加密）的同時，通過漏洞掃描、IDS入侵檢測系統(tǒng)等手段動態(tài)評估信息系統(tǒng)安全狀態(tài)，在發(fā)現(xiàn)問題時及時執(zhí)行安全響應(yīng)動作，安全策略、防護(hù)檢測和響應(yīng)構(gòu)成了一個完整循環(huán)，能動態(tài)地對安全問題進(jìn)行主動發(fā)現(xiàn)并采取行動。

在醫(yī)院信息系統(tǒng)中，整體安全策略是系統(tǒng)合規(guī)，主要是必須符合國家網(wǎng)絡(luò)安全等級保護(hù)制度（以下簡稱等保）的技術(shù)要求。三甲醫(yī)院一般應(yīng)符合等保三級技術(shù)要求，如果建有云平臺還應(yīng)通過CSA-STAR認(rèn)證。

針對勒索病毒威脅制訂局部安全策略，即根據(jù)醫(yī)院內(nèi)部不同的邏輯區(qū)域針對勒索病毒攻擊的特點(diǎn)制定專門的應(yīng)對策略，配合人員信息安全素養(yǎng)提升教育、終端安全定期評估、信息安全獎懲等措施多管齊下，盡可能切斷勒索病毒的入侵線路。

表3將醫(yī)院信息化系統(tǒng)分為辦公區(qū)域、專用設(shè)備區(qū)域、醫(yī)護(hù)人員工作站區(qū)域、設(shè)備外包服務(wù)操作區(qū)域和第三方開發(fā)商部署區(qū)域等五個邏輯區(qū)域，通過端口開關(guān)設(shè)定、服務(wù)開關(guān)設(shè)定、優(yōu)盤管控、正式/測試區(qū)域隔離等方法落實反勒索病毒舉措。在人員管理方面，針對運(yùn)維人員和開發(fā)人員，嚴(yán)格實施正式系統(tǒng)和測試系統(tǒng)的分離，禁止3389遠(yuǎn)程維護(hù)訪問，新系統(tǒng)版本必須在信息化管理人員測試完成后，經(jīng)病毒掃描，備份工作后方可切換上線。對外來人員提供GUEST賬號，與醫(yī)院內(nèi)網(wǎng)完全隔離。

2）對應(yīng)等級保護(hù)要求的醫(yī)療信息系統(tǒng)反勒索病毒具體舉措

針對勒索病毒造成的具體威脅，對照信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)三級的技術(shù)要求，有必要考察整個信息安全防護(hù)體系，對提升勒索病毒防范能力所需要相應(yīng)部分內(nèi)容進(jìn)行特別強(qiáng)化，具體內(nèi)容如表4所示。

（1）漏洞掃描及補(bǔ)丁分發(fā)

勒索病毒掃描系統(tǒng)中存在的未修補(bǔ)漏洞進(jìn)行入侵，漏洞不僅存在于Windows平臺，還廣泛存在于醫(yī)院使用的各類醫(yī)療系統(tǒng)專用軟件平臺以及JBOSS、Weblogic等中間件中，后者通常需要廠家和醫(yī)院信息科工作人員人工進(jìn)行安全性檢測和加固，相對可以自動更新補(bǔ)丁的操作系統(tǒng)來說在安全方面更加脆弱。

醫(yī)院中所有安裝Windows操作系統(tǒng)的辦公用計算機(jī)均應(yīng)該打開自動更新，最大限度地防止黑客軟件利用可修補(bǔ)漏洞入侵的情況。對于專用軟件和中間件平臺應(yīng)在和軟件提供商的協(xié)議中規(guī)定在產(chǎn)品生命周期內(nèi)的安全保障服務(wù)，在產(chǎn)品補(bǔ)丁發(fā)布的第一時間到醫(yī)院進(jìn)行安裝。在等保服務(wù)購買過程中購買軟件平臺漏洞掃描服務(wù)，與WAF（Web應(yīng)用防火墻）聯(lián)動實施本地和云端的漏洞掃描聯(lián)動。

（2）弱口令的檢測及管理

醫(yī)院信息系統(tǒng)的運(yùn)行首先要在保證安全的情況下進(jìn)行，如果系統(tǒng)的安全密保策略和強(qiáng)度不夠，則很容易受到病毒的攻擊或入侵，比如勒索病毒入侵的主要途徑就是針對弱口令的RDP爆破。為了保障系統(tǒng)的密保安全，在醫(yī)院內(nèi)部不僅要以制度的形式規(guī)定口令的管理規(guī)則，同時還需要結(jié)合系統(tǒng)的運(yùn)行環(huán)境采用必要的技術(shù)防范措施以增加密保強(qiáng)度以及密碼設(shè)定的頻次。在進(jìn)行域管理的Windows網(wǎng)絡(luò)系統(tǒng)和Linux系統(tǒng)中可以設(shè)定策略強(qiáng)迫用戶定期設(shè)定符合強(qiáng)度規(guī)則的密碼。統(tǒng)一授權(quán)統(tǒng)一登錄平臺采用基于私有云存儲的密碼管理策略，不僅可以定期自動設(shè)置及提醒要生成高強(qiáng)度的密碼要求而且還能自動化的提醒更改密碼的時間，從而保障系統(tǒng)的密保安全。除此之外，平臺還具備良好的通用性和跨平臺使用的特點(diǎn)，可以集成醫(yī)院HIS、LIS、PACS以及EMR等專用信息系統(tǒng)，實現(xiàn)密碼的統(tǒng)一管理，在授權(quán)范圍內(nèi)，用戶只要一次登錄平臺，就可以訪問已授權(quán)的相關(guān)系統(tǒng)進(jìn)行使用，在保證安全性的同時還可以避免多次登錄的煩瑣工作，在方便用戶的同時又能夠極大地提升醫(yī)院的信息化安全保障體系，促進(jìn)醫(yī)院的信息化建設(shè)。

對于重要服務(wù)器和專用平臺的身份鑒別可以采用雙因素認(rèn)證，例如比較成熟的基于PKI技術(shù)的智能卡、指紋識別及人臉識別技術(shù)等，在進(jìn)行系統(tǒng)登錄、FTP系統(tǒng)備份等關(guān)鍵操作時進(jìn)行額外的安全認(rèn)證，阻斷勒索病毒的入侵流程。

在此基礎(chǔ)上實施權(quán)限最小化管理，即不同員工數(shù)據(jù)操作權(quán)限分級，即便勒索病毒通過低等級賬號入侵系統(tǒng)也不能鎖定關(guān)鍵數(shù)據(jù)對系統(tǒng)造成威脅。

（3）內(nèi)網(wǎng)安全體系及防護(hù)

等級保護(hù)要求通過科學(xué)構(gòu)建信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)提高系統(tǒng)安全防護(hù)水平。為防止被病毒單點(diǎn)突破導(dǎo)致系統(tǒng)安全全面崩潰的情況發(fā)生，醫(yī)院內(nèi)部應(yīng)劃分若干VLAN，VLAN間實施端口策略盡可能減少VLAN間的通訊流量;對重點(diǎn)的應(yīng)用服務(wù)器劃分專門的網(wǎng)段，設(shè)定專門的防火墻，進(jìn)行虛擬化統(tǒng)一管理;信息科負(fù)責(zé)維護(hù)醫(yī)院安全運(yùn)維區(qū)，實施包括審計、終端準(zhǔn)入控制、WAF在內(nèi)的智能管理;內(nèi)網(wǎng)所有機(jī)器遵守反病毒策略，統(tǒng)一安裝反病毒軟件，在單機(jī)上強(qiáng)制實施端口策略。

（4）惡意代碼檢測及防范

勒索病毒的傳播起始點(diǎn)往往是誘導(dǎo)用戶點(diǎn)擊含有惡意代碼的垃圾郵件或者點(diǎn)擊含有惡意代碼的惡意網(wǎng)頁。在通過網(wǎng)關(guān)進(jìn)行過濾防護(hù)的同時，針對醫(yī)護(hù)人員信息化安全意識較弱的問題，相關(guān)培訓(xùn)也需要重視。信息中心可以通過WAF網(wǎng)關(guān)實施過濾，由防火墻對內(nèi)至外的反向連接通過IDS進(jìn)行檢測，通過玄武盾等系統(tǒng)實施云查殺以防止惡意軟件的入侵。

（5）數(shù)據(jù)快速恢復(fù)及響應(yīng)

醫(yī)院信息化系統(tǒng)的核心服務(wù)器一般都有雙機(jī)熱備份功能，但對于勒索病毒而言，熱備份主要針對單機(jī)硬件失效，病毒感染時有很大的可能性備份也被同時感染。傳統(tǒng)的定時備份，多重備份策略仍需要重要考慮。

（6）制度構(gòu)建及體系防范

勒索病毒針對不斷涌現(xiàn)的新防范技術(shù)，本身也在不斷進(jìn)化。醫(yī)院應(yīng)根據(jù)自身信息系統(tǒng)的特點(diǎn)，緊跟信息安全的新威脅趨勢，不斷修訂信息安全制度、實施信息安全教育、自頂向下落實安全責(zé)任制度，做到技防和人防兩手抓、兩手硬。

5 結(jié)語

勒索病毒具有種類多、變化快、危害大的特點(diǎn)。通過將技防與人防相結(jié)合、 網(wǎng)關(guān)防御和終端防御相結(jié)合、 通用策略和專有策略相結(jié)合、自有團(tuán)隊和專業(yè)三方團(tuán)隊相結(jié)合，針對醫(yī)療信息系統(tǒng)的特點(diǎn)進(jìn)行有針對性的防范，有助于保護(hù)脆弱、敏感、高價值的醫(yī)療信息數(shù)據(jù)。在有條件的醫(yī)院，可以將防火墻與態(tài)勢感知（Situation Awareness，SA）系統(tǒng)結(jié)合，不僅防止已知的勒索病毒，更可以在病毒發(fā)生變種后趕在感染發(fā)生之前搶先處理，防患于未然。

參考文獻(xiàn)：

[1] Maigida A M，Abdulhamid S M，Olalere M，et al.Systematic literature review and metadata analysis of ransomware attacks and detection mechanisms[J].Journal of Reliable Intelligent Environments，2019，5（2）：67-89.

[2] 劉為軍，蘆天亮.論技術(shù)勒索的綜合治理[J].山東警察學(xué)院學(xué)報，2017，29（3）：39-47.

[3] Cobb S，Lee A.Malware is called malicious for a reason：The risks of weaponizing code[C]//2014 6th International Conference On Cyber Conflict （CyCon 2014）.June 3-6，2014，Tallinn，Estonia.IEEE，2014：71-84.

[4] 竇媛媛.勒索病毒來襲，醫(yī)療系統(tǒng)成了最怕捏的“軟柿子”[J].今日科苑，2017（6）：60-63.

[5] 張玉，謝林燕.關(guān)于常見勒索病毒與防范應(yīng)對措施的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（6）：7-9.

【通聯(lián)編輯：代影】