瑞星卡卡安全论坛

医疗行业屡受勒索病毒攻击

2018年2月，湖南省某医院遭受勒索病毒攻击，服务器所有数据文件被强行加密，导致医院系统瘫痪，取号、办卡、挂号、收费、诊疗等业务受到影响。攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金，约合每台终端解锁需要支付人民币66000余元。

国内外越来越多的医院正成为黑客攻击的靶子：

国内

2017年5月	“永恒之蓝”勒索软件对成都市传染病医院等部分医院造成影响
2018年2月	湖南省某三甲专科医院也被爆疑似遭遇勒索病毒
2018年2月	上海某公立医院系统被黑，黑客勒索价值2亿元以太币

国外

2017年5月	英国全民医疗体系属下48个机构受到勒索病毒冲击
2017年5月	日本在国内确认了2起，分别为某综合医院和个人电脑感染病毒
2017年6月	美国最大制药商之一的默克 （Merck） 公司和宾夕法尼亚州西部经营两家医院的医疗网络机构 —— Heritage Valley 健康系统也成为新勒索病毒攻击的牺牲品。

什么是勒索病毒？它会带来多大的危害？

2017 年 5 月，一款名为 WannaCry 的勒索病毒席卷全球，包括中国、美国、俄罗斯及欧洲在内的 100 多个国家受到影响。
据瑞星与国家信息中心联合发布的《2017中国网络安全报告》称，2017年瑞星“云安全”系统共截获勒索软件样本92.99 万个，感染共计 1,346 万次，
我国部分高校内网、大型企业内网和政府机构专网遭受攻击较为严重。

勒索病毒是一种特殊的恶意软件，黑客将这类软件植入受害机构或者企业的系统中，将这类用户的数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件加密，
然后索要赎金。受害者在没有私钥的情况下，一般无法恢复文件，如需恢复重要资料，只能被迫支付赎金。

为何救死扶伤的医院正越来越多的成为黑客攻击的靶子？

与其他机构相比，医院的信息系统比较特殊，如其中的医学记录、数据、病患资料以及预约信息等，都属于需要紧急使用的信息，被勒索病毒加密后，会造成比较大的影响，所以势必会想尽办法以最快速度恢复数据，比如，马上交赎金。医院信息系统遭遇勒索、发生故障，无论是哪种突发状况，都将直接影响到患者正常就医，甚至会关系到病患的生命安全。

医疗行业系统现状：

HIS系统	医疗信息系统（流程）
LIS系统	临床试验系统（临床、患者状况、用药、疗程）
PACS系统	影像（B超、彩超、X光……）
EMR系统	电子病历（接收并存放LIS的信息）

医疗行业信息系统特点：

1.高速的响应速度和联机事务处理能力
2.医疗信息数据的复杂性
3.信息的安全、保密度要求高
4.数据量大
5.稳定性要求高
6.瞬间并发访问量大
7.系统后期数据维护工作量大

医院内网安全面临的主要问题有：

1.医院之间的信息系统互联互通，使得医院面临更多的外部安全威胁

2.医院安全意识淡薄以及管理制度的不完善，没有成立专门的信息安全管理组织、没有成套规范的管理体系，已经严重滞后信息化的发展速度

3.医院拥有的患者信息、诊疗信息更加具有商业价值，渐渐得到灰色产业链的觊觎

4.医院对各类信息系统的依赖程度越来越高。以HIS系统为例，涉及到医院所属各部门，对人流、物流、财流全方位管理，患者从挂号、看诊、缴费、手术、住院、出院等等各个环节，
都需与其直接挂钩，一旦HIS信息系统出现问题，影响面巨大

针对勒索病毒攻击可以采取如下防御措施：

1、系统漏洞攻击防御措施：

（1）及时更新系统补丁，防止攻击者通过漏洞入侵系统
（2）安装补丁不方便的组织，可安装网络版安全软件，对局域网中的机器统一打补丁
（3）在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号，如139 、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险

2、远程访问弱口令攻击防御措施：

（1）使用复杂密码
（2）更改远程访问的默认端口号，改为其它端口号
（3）禁用系统默认远程访问，使用其它远程管理软件

3、钓鱼邮件攻击防御措施：

（1）安装杀毒软件，保持监控开启，及时更新病毒库
（2）如果业务不需要，建议关闭office宏，powershell脚本等
（3）开启显示文件扩展名
（4）不打开可疑的邮件附件
（5）不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击防御措施：

（1）及时更新web服务器组件，及时安装软件补丁
（2）web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击防御措施：

（1）更改数据库软件默认端口
（2）限制远程访问数据库
（3）数据库管理密码不要使用弱口令
（4）及时更新数据库管理软件补丁
（5）及时备份数据库

瑞星医疗行业防御勒索病毒解决方案
（1）各计算机终端设备部署瑞星下一代网络版杀毒软件——瑞星ESM

对于规模较大、设备类型众多、维护工作繁重的组织，推荐使用瑞星下一代网络版杀毒软件统一查杀，统一打补丁。
瑞星ESM（瑞星下一代网络版杀毒软件）集病毒防护、网络防护、桌面管理、终端准入、舆情监控于一体，全网络环境适用，可以实现物理机、虚拟机、Windows、Linux一体化管理，为企业用户提供了一整套终端安全解决方案。

多种防护模式自由设定，ATM机、银行自助终端机、地铁闸机、售检票系统、医院挂号机等终端设备按需设置。
对全网终端漏洞进行扫描，自由设定修复策略，终端可同时设定多个补丁中心、多个补丁服务器支持树形级联。

（2）在网络入口部署防毒墙

瑞星防毒墙是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它可在网关处对病毒进行初次拦截，配合瑞星病毒库上亿条记录，可将绝大多数病毒彻底剿灭在企业网络之外，帮助企业将病毒威胁降至最低。

（3）虚拟化设备，部署虚拟化专用版安全软件

瑞星虚拟化系统安全软件是瑞星公司推出的国内首家企业级云安全防护解决方案，支持对虚拟化环境与非虚拟化环境的统一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系统与Linux系统等，可以有效保障企业内部虚拟系统和实体网络环境不受病毒侵扰。

瑞星虚拟化系统安全软件的完整防护体系由管理中心、升级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子系统组成，各个子系统均包括若干不同的模块，除承担各自的任务外，还与其它子系统通讯，协同工作，共同完成企业内部的安全防护。

（4）部署数据备份恢复系统

无论网络防护级别有多高，备份是必不可少的。组织用户由于业务复杂，数据库类型众多，无法手动实时备份，建议使用专业的备份恢复系统实时备份。

瑞星备份恢复系统可作为本地机房针对各种常见服务器故障的应急系统。一台安装了瑞星备份恢复系统的设备可通过和其他备用服务器建立“集中应急平台”实现200-300台X86服务器故障应急系统应急切换，几分钟完全顶替原机使用，实现系统及数据同步。

服务器的一体化备份和应急，可支持windows平台；VMware、Hyper-V等虚拟化平台以及Oracle、SqlServer、MySql、Sybase、达梦等所有数据库。

瑞星医疗行业防御勒索病毒解决方案，是基于勒索病毒的传播方式、感染方式、事后勒索行为等的分析理解，做出的一套从终端安全、云安全到网关安全的一套全面、立体的解决方案，可以由瑞星安全预警系统、防毒墙、瑞星ESM/杀软构建深层次病毒拦截、监测、查杀体系，不仅能有效地阻止勒索病毒对用户电脑的攻击，同时最大限度地防御勒索病毒对用户文件的破坏和感染。

瑞星方案技术优势——瑞星之剑技术

瑞星医疗行业防勒索病毒解决方案运用了全球领先的“瑞星之剑”技术，该技术通过监控诱饵文件的变化和监测勒索病毒代码行为，可以在早期发现异常，做到早期预防并阻止用户正常文件被勒索病毒篡改，能够有效地防御已知未知勒索病毒。“瑞星之剑”技术融合了“智能诱饵”、“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”技术，这项技术目前在全球范围内属于首创，技术达到国际领先水平。经测试和验证，达到了良好的预期效果，目前该技术已申请国家专利。

“瑞星之剑”技术，既能实现安全防御，又不影响正常工作和系统性能，已通过赛可达专业认证。测试显示，瑞星成功防御所有病毒样本，检出率高达100%。

瑞星勒索病毒防御工作受到公安部表彰

瑞星在永恒之蓝WanaCry蠕虫勒索病毒爆发当天，就紧急启动最高级应急响应机制，成立专项团队，第一时间分析病毒，提供解决方案、防御方案，提供专杀免疫工具并向社会、政府、用户通报和提供技术支持。瑞星第一时间参与到了公安部和国家网络与信息安全信息通报中心的研判工作中。瑞星公司通过与公安部信息中心的通力配合，针对病毒情况进行分析和深入研究，提供了切实有效的紧急方案，研发人员连续多个昼夜坚守工作一线，优秀的专业能力和高度的敬业精神得到了公安部领导的高度认可。

瑞星部分医疗用户成功案例

济宁医学院附属医院
苏州大学附属第一医院
苏州大学第一附属医院
四川省人民医院
哈尔滨医科大学附属第一医院
梅州市人民医院
郴州市第一人民医院
山西医科大学第二医院
兰州大学第二医院
大庆市人民医院
无锡市人民医院
新疆自治区人民医院 信息中心
内蒙古自治区医院信息中心
恩施土家族苗族自治州中心医院
新疆喀什地区第一人民医院
大连市中心医院
华润武钢(湖北)医院管理有限公司
苏州大学附属第一人民医院
华润武钢医院
佛山市中医院网络中心
北京协和医院
新疆自治区人民医院计算机中心
深圳市龙岗中心医院
长治市人民医院
成都军区总医院
西北妇女儿童医院（陕西省妇幼保健院）
中国中医科学院望京医院
宁夏自治区固原市人民医院
北京电力医院
济宁市第一人民医院
莱州市人民医院
沈阳军区总医院
苏州大学附属第二医院
大连市妇产医院
上海仁济医院
南京军区南京总医院
四川大学华西第二医院
抚州市第一人民医院
抚州市第一人民医院
山东省淄博市中心医院
上虞市人民医院
解放军第309医院
河北联合大学煤医附属医院
湖南省郴州市第一人民医院
北京天坛医院信息中心
梧州市工人医院
武威市凉州医院
重庆医科大学附属儿童医院
广州市番禺区中医院
新疆医科大学附属肿瘤医院
南阳市中心医院
兰州大学第二医院
喀什地区第一人民医院
广州市番禺区何贤纪念医院
秦皇岛市第一医院
四川大学华西第二医院
成都中医药大学附属医院
秦皇岛第一医院
四川大学华西第二医院
中国医科大学361医院
眉山市人民医院
哈尔滨二四二医院
厦门市第五医院
哈尔滨市第三医院
宁波市中医院
鹤山市人民医院
自贡市第三人民医院
中山市中医院
解放军第四十四医院
克拉玛依市人民医院
进贤县人民医院
克孜勒苏柯尔克孜自治州人民医院
浙江金华广福肿瘤医院
叶城县人民医院
黄岛区人民医院
北京中医药大学第三附属医院
安溪县医院
拉萨市人民医院
上虞市中医院
鹤壁市人民医院
新疆维吾尔自治区第一济困医院
黄河三门峡医院
河南省周口市西华县人民医院
河北省人民医院
武汉市东西湖区人民医院
昆明市第一医院甘美国际医院
秦皇岛市海港医院
河南省立医院
庄浪县人民医院
深圳市龙岗区第三人民医院专业
解放军四xxx医院
深圳市人民医院龙华分院
重庆市沙坪坝区人民医院
齐齐哈尔市中医医院
四川省科学城医院
启东市中医院
新疆维吾尔自治区第一济困医院
深圳市人民医院龙华分院
德阳市旌阳区中医院
新疆省昌吉市人民医院

。。。好气，本来在这里写了点东西。。后来觉得这里发布可能不合适，就像移到别的地方，借贴复活，
结果搬运的过程中，试了事故，写的东西丢了。。

真够倒霉的，我也丢过，你写的啥？