项目背景

医(yī)院信息系统勒索病毒防护
    距2017年5月(yuè)12日WannaCry的大爆发过去很久(jiǔ),但勒(lè)索(suǒ)病(bìng)毒的威(wēi)胁却(què)从来不(bú)曾(céng)远离,反而呈现愈演愈烈之势(shì),传播(bō)方式更多元(yuán),病毒更新迭代(dài)加快,勒索病毒俨然成为近两年来最(zuì)严峻的网(wǎng)络安(ān)全(quán)威胁之一。
    勒索病毒的攻击方式(shì)从(cóng)原来的广撒网逐渐转向定向(xiàng)攻击高价值目标,已经从对个人客(kè)户的攻击转移到对重要行业(如医(yī)院)、政府机(jī)构(法(fǎ)院、公安)、重要制造业(如台积电)等(děng)攻(gōng)击对象演(yǎn)变 ,当前对勒索病毒的防(fáng)护几乎成了全民运动。
    安盟(méng)信息(xī)通过(guò)对WannaCry变种跟踪及在信息(xī)安全行(háng)业的技术积(jī)累,针对WannaCry病毒(dú)攻(gōng)击制作了医院信息系统防(fáng)护方案。
�

现状分(fèn)析(xī)

�
随着(zhe)医院(yuàn)的网(wǎng)络挂号、电(diàn)子(zǐ)病(bìng)历查询、移动医疗(liáo)、医保结算、银(yín)医一卡通(tōng)等应用系统的上线,这些系统均(jun1)需与(yǔ)医院的(de)HIS系统进行(háng)互联(lián)互通和数据交换。对(duì)于医院来说(shuō),HIS系统是(shì)医(yī)院(yuàn)的核心业务(wù),在与其他系统互联(lián)过程中需要保证不会受到攻击(jī),从而保证HIS系统安全。
医院应围绕医院核心(xīn)业(yè)务系统(tǒng)(HIS系统、LIS系统、PACS系(xì)统(tǒng)等)深(shēn)入进行(háng)信息安全等级保护评估和(hé)整改,并在(zài)此基础上进(jìn)行信息化建设和系统安全防护。

需求分析(xī)

    勒(lè)索病毒主要特点主要以邮件、恶(è)意程序、网页挂马的形式进行传播,且传播速度极快!当前(qián),医(yī)院面临(lín)的主要威胁(xié)主要来自于第三方系(xì)统(甚至是(shì)互联网(wǎng))的(de)互联(lián)互通(tōng)。与第三方系统互联会引入(rù)病毒、木马的攻击以及受(shòu)到(dào)黑(hēi)客的(de)直接攻击(jī),同时如(rú)果未(wèi)按(àn)照等级保护要求进行(háng)必要的安全(quán)防护(hù):
1. 对(duì)外服务平台(网站、网络挂号、三方APP)及数据(jù)交(jiāo)换平台(医保、监(jiān)管)等与外部网络互联的应用场景,需要进行高(gāo)安全隔离。
2. 外部(bù)交(jiāo)换应用的网络安全防护,如防止对网站的篡改(gǎi),对挂(guà)号系统的入(rù)侵(qīn)等。
3. 对应(yīng)用访(fǎng)问进行(háng)严格限(xiàn)制,只(zhī)允(yǔn)许访问特定系统的特定端口和服务(wù)。
4. 能对与第三方网络边界访问(wèn)的流量(liàng)进(jìn)行防病毒和入(rù)侵监测。
5. 对业务环境下的网(wǎng)络操(cāo)作行为(wéi),特别是对核心数据库的操作,要能做到细粒度的合规审计,做到在发生安全事件时有据可查。
�

方案设(shè)计(jì)

    根据勒索病毒的特点,除通(tōng)过简单关闭端口外(445、135、137、139、3389等),在内外网数据(jù)交(jiāo)换时,需要对协议进行剥离(lí),与第三方网络(luò)边界访(fǎng)问限制,非(fēi)法(fǎ)网络(luò)请求无法穿(chuān)透系统进入(rù)医院业务系统:为了防止第三(sān)方网络攻击,医院业务内网与第(dì)三方系统(如社保专(zhuān)网(wǎng))边界处(chù),部署中铁和信安安全隔离与信息交换系统,颗粒(lì)化实(shí)施(shī)基(jī)于源、目(mù)的IP、源目的端口、协(xié)议(yì)、时间等访问控(kòng)制,同(tóng)时(shí)开启(qǐ)防病毒模块。
�

方案总结

�

屏(píng)蔽勒(lè)索病毒(dú)及(jí)勒(lè)索病毒(dú)变种法传播到医院(yuàn)业务系统内网。

满足(zú)《卫生部办公厅(tīng)关于开展全国卫生(shēng)行业信息(xī)安全等(děng)级保护工作(zuò)的(de)通知》(卫办综函【2011】1126号)要求(qiú)。

满(mǎn)足(zú)《网络安全(quán)法》相关要求(qiú)。