張英時 曾海

摘要：為提高醫(yī)院信息系統(tǒng)在勒索病毒方面的整體應對能力，該文分析了典型勒索病毒的入侵機制和過程，列舉了醫(yī)院信息系統(tǒng)在病毒應對方面的風險，提出了在P2DR動態(tài)安全模型下，如何結合等級保護要求，針對勒索病毒強化信息安全體系中的關鍵子系統(tǒng)的思路和舉措，為醫(yī)院等公共醫(yī)療機構的反勒索病毒提供了系統(tǒng)化的解決思路。

關鍵詞：勒索病毒;網絡安全;醫(yī)院信息系統(tǒng)

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）10-0048-03

Abstract： To improve overall response capacity of Hospital Information System against ransomware， this paper analyzes the mechanism and the process of typical ransomware invasion， enumerates the risks of hospital information system in the area of anti-virus response， puts forward the idea of how to strengthen the key subsystems of information security system against ransomware under the P2DR dynamic security model and the level protection requirements. For hospitals and other public medical institutions， this paper provides a systematic solution to the threats of ransomware.

Key words： ransomware virus; network security; HIS

1 勒索病毒概述

隨著信息化應用領域的不斷擴展，網絡違法犯罪行為的技術化、隱蔽化和復雜化特征日益顯著。勒索病毒從惡意加密軟件改變升級而來，將技術手段與勒索相結合，主要用于控制和攻擊計算機系統(tǒng)基礎架構，黑客將這類軟件植入受害機構或者企業(yè)的系統(tǒng)中以實施惡意行為[1-2]。Stephen Cobb認為，此軟件的滲透范圍已經從服務器擴展到終端、筆記本、智能終端甚至工控系統(tǒng)[3]，黑客將此類用戶的數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件加密，然后索要贖金。受害者在沒有私鑰的情況下，一般無法恢復文件，如需恢復重要資料，只能被迫支付贖金。

近年來典型的勒索病毒發(fā)作形式多樣，其中影響較大的包括發(fā)生于2017年5月的WannaCry全球大爆發(fā)，至少 150個國家人30萬名用戶中招，造成損失達 80 億美元，此蠕蟲通過永恒之藍漏洞感染計算機后，向計算機中植入敲詐者病毒，導致電腦大量文件被加密[4]。其他病毒變種還有2017年出現的GlobeImposter 勒索，其攻擊目標主要是開啟遠程桌面服務的服務器，攻擊者通過暴力破解服務器密碼，對內網服務器發(fā)起掃描并人工投放勒索病毒，導致文件被加密，即RDP爆破入侵。另外還有主要通過垃圾郵件傳播的Crysis/Dharma 勒索，感染主機桌面背景替換為勒索信息圖片的GandCrab 勒索，基于Windows&Linux 雙平臺攻擊的Satan 勒索，Sacrab 勒索及Matrix 勒索等[5]。

2 醫(yī)院信息系統(tǒng)存在的信息安全風險

與其他機構相比，醫(yī)院信息系統(tǒng)中的醫(yī)學記錄、數據、病患資料以及預約信息等屬于兼具敏感性和實時性的重要信息，被勒索病毒加密后將直接影響患者就醫(yī)過程，甚至事關病患生命安全，醫(yī)院的數據恢復需求更加迫切。

近年來國內醫(yī)院信息化系統(tǒng)的建設力度不斷增強，與信息化系統(tǒng)復雜程度同步增加的是信息化系統(tǒng)的信息安全風險，醫(yī)院之所以成為勒索病毒攻擊的重災區(qū)[3]，與醫(yī)院信息系統(tǒng)存在的信息安全風險相關。

（1）醫(yī)院網絡環(huán)境復雜。隨著醫(yī)療信息的互聯互通，醫(yī)療信息系統(tǒng)除了與社保、省市衛(wèi)計委連接外，還與掌上行、陽光醫(yī)保等互聯網便民服務應用系統(tǒng)相連接，網絡拓撲結構復雜;醫(yī)院內部存在多個緊密交互的業(yè)務系統(tǒng)，各部門電腦終端和醫(yī)療設備用終端品牌和型號雜亂，使用的操作系統(tǒng)類型多樣。

（2）醫(yī)院內網安全防護強度偏弱。大部分醫(yī)院均配置了先進的防火墻系統(tǒng)將內部系統(tǒng)與外網隔離，部分醫(yī)院員工形成了內網安全可靠的錯覺，在閱讀郵件、訪問網頁、使用優(yōu)盤等方面不注意采取安全措施，在主機防護不足及內部網絡間防護措施不到位的情況下，以勒索病毒為代表的病毒很容易在醫(yī)院內網中橫向傳播;醫(yī)院里的專用業(yè)務系統(tǒng)如HIS、PACS、LIS、EMR等軟件有特殊更新要求，屬于內網中的易受攻擊的脆弱節(jié)點。

（3）信息安全運營模式偏向靜態(tài)和被動。作為專業(yè)醫(yī)療機構，醫(yī)院的主體人員是醫(yī)護人員，由于專業(yè)所限他們的網絡安全意識往往不強，作為安全負責部門的醫(yī)院信息科，技術力量不能和專業(yè)安全機構相比，在復雜的醫(yī)療系統(tǒng)運維過程中處于四處奔波和疲于應對的狀態(tài)，面對動態(tài)的信息安全問題不得不采取被動應對和事后補救的方法，整體態(tài)勢感知能力和動態(tài)安全策略的實施能力缺乏。

3 典型的勒索病毒的入侵及常規(guī)應對方法

勒索病毒最早針對永恒之藍漏洞進行入侵，近年來病毒滲透能力提升很快，已經超越了簡單的利用漏洞自動傳播的技術階段，主要傳播手段是結合了各種手段的人工植入方式，一種典型的勒索病毒入侵流程見表1。

黑客以遠程桌面為侵入點，采用一系列工具軟件終止主機上的各類監(jiān)控和防護軟件，使用口令破解軟件獲取密碼，利用內網間防護不強的弱點對防護薄弱網絡鄰居繼續(xù)入侵并傳入勒索病毒，最后采用痕跡消除軟件清理現場隱蔽退出系統(tǒng)。

一旦在醫(yī)院信息系統(tǒng)中發(fā)現勒索病毒，第一時間采用隔離、排查、加固、還原、解密、重裝和威脅溯源的處理預案可以將損害降至最低限度。

4 醫(yī)療信息系統(tǒng)勒索病毒系統(tǒng)化防范策略

勒索病毒在與反病毒軟件的激烈斗爭中持續(xù)升級，變種病毒針對新的系統(tǒng)漏洞不斷變化出新的入侵方法，勒索病毒的行為特征和應對預案都必須及時和動態(tài)地更新，以動態(tài)的觀點和系統(tǒng)化的視角針對勒索病毒對醫(yī)院信息安全進行強化，形成系統(tǒng)化防范策略有其實際意義。

1）動態(tài)防護和靜態(tài)防護結合的P2DR模型

P2DR模型是國際互聯網安全系統(tǒng)公司（ISS）提出的一個基于時間的安全模型。其全稱是P2DR（Policy Protection Detection Response）。在此模型中，信息系統(tǒng)的整體安全由安全策略定義和控制，在使用傳統(tǒng)網絡防護工具（防火墻，網絡存取控制、數據加密）的同時，通過漏洞掃描、IDS入侵檢測系統(tǒng)等手段動態(tài)評估信息系統(tǒng)安全狀態(tài)，在發(fā)現問題時及時執(zhí)行安全響應動作，安全策略、防護檢測和響應構成了一個完整循環(huán)，能動態(tài)地對安全問題進行主動發(fā)現并采取行動。

在醫(yī)院信息系統(tǒng)中，整體安全策略是系統(tǒng)合規(guī)，主要是必須符合國家網絡安全等級保護制度（以下簡稱等保）的技術要求。三甲醫(yī)院一般應符合等保三級技術要求，如果建有云平臺還應通過CSA-STAR認證。

針對勒索病毒威脅制訂局部安全策略，即根據醫(yī)院內部不同的邏輯區(qū)域針對勒索病毒攻擊的特點制定專門的應對策略，配合人員信息安全素養(yǎng)提升教育、終端安全定期評估、信息安全獎懲等措施多管齊下，盡可能切斷勒索病毒的入侵線路。

表3將醫(yī)院信息化系統(tǒng)分為辦公區(qū)域、專用設備區(qū)域、醫(yī)護人員工作站區(qū)域、設備外包服務操作區(qū)域和第三方開發(fā)商部署區(qū)域等五個邏輯區(qū)域，通過端口開關設定、服務開關設定、優(yōu)盤管控、正式/測試區(qū)域隔離等方法落實反勒索病毒舉措。在人員管理方面，針對運維人員和開發(fā)人員，嚴格實施正式系統(tǒng)和測試系統(tǒng)的分離，禁止3389遠程維護訪問，新系統(tǒng)版本必須在信息化管理人員測試完成后，經病毒掃描，備份工作后方可切換上線。對外來人員提供GUEST賬號，與醫(yī)院內網完全隔離。

2）對應等級保護要求的醫(yī)療信息系統(tǒng)反勒索病毒具體舉措

針對勒索病毒造成的具體威脅，對照信息安全技術信息系統(tǒng)安全等級保護三級的技術要求，有必要考察整個信息安全防護體系，對提升勒索病毒防范能力所需要相應部分內容進行特別強化，具體內容如表4所示。

（1）漏洞掃描及補丁分發(fā)

勒索病毒掃描系統(tǒng)中存在的未修補漏洞進行入侵，漏洞不僅存在于Windows平臺，還廣泛存在于醫(yī)院使用的各類醫(yī)療系統(tǒng)專用軟件平臺以及JBOSS、Weblogic等中間件中，后者通常需要廠家和醫(yī)院信息科工作人員人工進行安全性檢測和加固，相對可以自動更新補丁的操作系統(tǒng)來說在安全方面更加脆弱。

醫(yī)院中所有安裝Windows操作系統(tǒng)的辦公用計算機均應該打開自動更新，最大限度地防止黑客軟件利用可修補漏洞入侵的情況。對于專用軟件和中間件平臺應在和軟件提供商的協(xié)議中規(guī)定在產品生命周期內的安全保障服務，在產品補丁發(fā)布的第一時間到醫(yī)院進行安裝。在等保服務購買過程中購買軟件平臺漏洞掃描服務，與WAF（Web應用防火墻）聯動實施本地和云端的漏洞掃描聯動。

（2）弱口令的檢測及管理

醫(yī)院信息系統(tǒng)的運行首先要在保證安全的情況下進行，如果系統(tǒng)的安全密保策略和強度不夠，則很容易受到病毒的攻擊或入侵，比如勒索病毒入侵的主要途徑就是針對弱口令的RDP爆破。為了保障系統(tǒng)的密保安全，在醫(yī)院內部不僅要以制度的形式規(guī)定口令的管理規(guī)則，同時還需要結合系統(tǒng)的運行環(huán)境采用必要的技術防范措施以增加密保強度以及密碼設定的頻次。在進行域管理的Windows網絡系統(tǒng)和Linux系統(tǒng)中可以設定策略強迫用戶定期設定符合強度規(guī)則的密碼。統(tǒng)一授權統(tǒng)一登錄平臺采用基于私有云存儲的密碼管理策略，不僅可以定期自動設置及提醒要生成高強度的密碼要求而且還能自動化的提醒更改密碼的時間，從而保障系統(tǒng)的密保安全。除此之外，平臺還具備良好的通用性和跨平臺使用的特點，可以集成醫(yī)院HIS、LIS、PACS以及EMR等專用信息系統(tǒng)，實現密碼的統(tǒng)一管理，在授權范圍內，用戶只要一次登錄平臺，就可以訪問已授權的相關系統(tǒng)進行使用，在保證安全性的同時還可以避免多次登錄的煩瑣工作，在方便用戶的同時又能夠極大地提升醫(yī)院的信息化安全保障體系，促進醫(yī)院的信息化建設。

對于重要服務器和專用平臺的身份鑒別可以采用雙因素認證，例如比較成熟的基于PKI技術的智能卡、指紋識別及人臉識別技術等，在進行系統(tǒng)登錄、FTP系統(tǒng)備份等關鍵操作時進行額外的安全認證，阻斷勒索病毒的入侵流程。

在此基礎上實施權限最小化管理，即不同員工數據操作權限分級，即便勒索病毒通過低等級賬號入侵系統(tǒng)也不能鎖定關鍵數據對系統(tǒng)造成威脅。

（3）內網安全體系及防護

等級保護要求通過科學構建信息化系統(tǒng)的網絡架構提高系統(tǒng)安全防護水平。為防止被病毒單點突破導致系統(tǒng)安全全面崩潰的情況發(fā)生，醫(yī)院內部應劃分若干VLAN，VLAN間實施端口策略盡可能減少VLAN間的通訊流量;對重點的應用服務器劃分專門的網段，設定專門的防火墻，進行虛擬化統(tǒng)一管理;信息科負責維護醫(yī)院安全運維區(qū)，實施包括審計、終端準入控制、WAF在內的智能管理;內網所有機器遵守反病毒策略，統(tǒng)一安裝反病毒軟件，在單機上強制實施端口策略。

（4）惡意代碼檢測及防范

勒索病毒的傳播起始點往往是誘導用戶點擊含有惡意代碼的垃圾郵件或者點擊含有惡意代碼的惡意網頁。在通過網關進行過濾防護的同時，針對醫(yī)護人員信息化安全意識較弱的問題，相關培訓也需要重視。信息中心可以通過WAF網關實施過濾，由防火墻對內至外的反向連接通過IDS進行檢測，通過玄武盾等系統(tǒng)實施云查殺以防止惡意軟件的入侵。

（5）數據快速恢復及響應

醫(yī)院信息化系統(tǒng)的核心服務器一般都有雙機熱備份功能，但對于勒索病毒而言，熱備份主要針對單機硬件失效，病毒感染時有很大的可能性備份也被同時感染。傳統(tǒng)的定時備份，多重備份策略仍需要重要考慮。

（6）制度構建及體系防范

勒索病毒針對不斷涌現的新防范技術，本身也在不斷進化。醫(yī)院應根據自身信息系統(tǒng)的特點，緊跟信息安全的新威脅趨勢，不斷修訂信息安全制度、實施信息安全教育、自頂向下落實安全責任制度，做到技防和人防兩手抓、兩手硬。

5 結語

勒索病毒具有種類多、變化快、危害大的特點。通過將技防與人防相結合、 網關防御和終端防御相結合、 通用策略和專有策略相結合、自有團隊和專業(yè)三方團隊相結合，針對醫(yī)療信息系統(tǒng)的特點進行有針對性的防范，有助于保護脆弱、敏感、高價值的醫(yī)療信息數據。在有條件的醫(yī)院，可以將防火墻與態(tài)勢感知（Situation Awareness，SA）系統(tǒng)結合，不僅防止已知的勒索病毒，更可以在病毒發(fā)生變種后趕在感染發(fā)生之前搶先處理，防患于未然。

參考文獻：

[1] Maigida A M，Abdulhamid S M，Olalere M，et al.Systematic literature review and metadata analysis of ransomware attacks and detection mechanisms[J].Journal of Reliable Intelligent Environments，2019，5（2）：67-89.

[2] 劉為軍，蘆天亮.論技術勒索的綜合治理[J].山東警察學院學報，2017，29（3）：39-47.

[3] Cobb S，Lee A.Malware is called malicious for a reason：The risks of weaponizing code[C]//2014 6th International Conference On Cyber Conflict （CyCon 2014）.June 3-6，2014，Tallinn，Estonia.IEEE，2014：71-84.

[4] 竇媛媛.勒索病毒來襲，醫(yī)療系統(tǒng)成了最怕捏的“軟柿子”[J].今日科苑，2017（6）：60-63.

[5] 張玉，謝林燕.關于常見勒索病毒與防范應對措施的探討[J].網絡安全技術與應用，2019（6）：7-9.

【通聯編輯：代影】