医疗机构防勒索全向指南

2018年3月期间，国内医疗行业连续发生了两起严重黑客入侵事件：媒体报导有两地的医院系统遭到勒索攻击，黑客要求支付比特币才能恢复正常。另，据美国非营利性组织身份盗用资源中心(ITRC)的统计数据显示，医疗健康信息系统的漏洞数占全行业的43.8%，是黑客首要攻击目标；也有研究显示，超过90%的美国医疗保健机构存在数据泄露……

兵马已动，粮草未先行 —— 这是目前医疗行业数字化转型所处的状态。

一方面，网上医疗平台迅速扩张，海量数据开始传输，线下的系统、票据开始线上化，医院被“推着”走向数字化转型的风口。另一方面，许多医疗机构的IT系统能力和技术能力却无法跟上在线数据的高速增长，许多医院的系统版本还停留在“XP时代”，IT技术团队规模不到5人。

是救死扶伤的医院，也是勒索攻击的受害者 

医院之所以频繁遭遇勒索攻击，和两方面的原因有关。

首先是医疗机构在安全能力和意识上的明显短板，有专职安全工程师的医疗机构凤毛棱角，很多医院对安全的理解还停留在“关起门来就安全”的阶段；

第二是医院数据的重要性。价值往往和风险成正比，黑客又是追逐利益的，当医院的在线数据涉及大量个人隐私，甚至事关患者生命（如果考虑到对智能医疗设备的入侵），则成了众矢之的。 

勒索攻击者一般都会将医疗机构的挂号系统、住院管理系统、医疗设备、票据设备等，作为入侵的对象，攻陷之后，再将系统加密让其不可用，或直接盗取数据，又或会将机器加以利用，成为“傀儡”，攻击其他的受害者。

安全隔离的失效，和“预投资”时代的开始

在复杂的攻击形势下，60%的医疗行业的网络安全事故，都是因为同一个误区：认为隔离就是安全。

然而，把自己关在房子里来躲避灾难的逻辑，已经多次证明不奏效。2017年5月席卷全球的勒索病毒WannaCry爆发期间，全球150国，30万终端受到影响，许多受害的企业，都是只安装硬件防火墙，和传统的杀毒软件—— 把内网圈起来，建一堵墙，堆砌一些安全产品 —— 这样的思维定式是企业安全最大的短板。

攻击者并不会按传统套路出牌。以勒索软件为例，黑客通过邮件附件、第三方软件、445端口、漏洞等为突破口，将勒索病毒植入在医疗IT系统中。由于大多数医疗网络防护意识薄弱，病毒进入内网后，一般可长驱直入，不受任何阻碍。即使安装了传统的防火墙，它的更新速度也很难赶上新型的漏洞利用手法，和攻击策略。

在互联网发展较为领先的地区（江浙沪，北京等地），部分医疗机构也开始了信息安全管理的转型，强化预先投资的思维，提升企业安全的能力。

（1）在攻击来临之前提前部署安全防护措施，而非事后补救，

（2）不迷信物理隔离就是安全，不单纯地堆砌安全产品，而是重视持续运营，

（3）更加重视安全投资的ROI，采用新的安全技术，定期更新系统，将安全投资价值最大化。

云可帮助医疗机构用传统IT系统1/6的成本，实现计算能力、管理效率、安全水平的三提升。

完善的医疗保护体系应该如何搭建

按照公安部、卫生部和相关国家部门关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，一套完整的医疗行业安全体系，需要基本做到 “进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。

也就是说，对于一家想做好安全防护、合规与管理的医疗机构来说，这套理想的安全体系，应该包括：

- 基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

- 网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

- 主机系统的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

- 应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

- 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合医疗行业的实际情况，建立一套切实可行的安全管理体系。

遵循国家对各行业安全体系的建设要求，阿里云早在2017年5月就向用户推出防勒索解决方案，用数据备份、安全治理两层架构，来为医疗行业提供更加全面的安全防护。

并充分利用云上的计算能力、算法能力、威胁情报、产品联动优势，帮助IT运维负责人节省安全成本，做好安全管理的“预投资”。

简单来说，阿里云防勒索解决方案所提供的核心安全措施如下：

1、数据备份和恢复

这一措施能够帮助医疗行业把勒索软件带来的损失降到最小化，也是每个企业做好日常安全维护的基础手段，可确保发生勒索事件后，能够第一时间恢复数据，挽回损失。当然，在此基础上，医疗机构仍需要对这些数据备份进行安全防护，避免被感染和损坏。在阿里云上可通过ECS快照功能，RDS数据备份功能，OSS存储服务备份功能去实现。

2、强化网络访问控制

帮助医疗机构划分安全区域，加强对网络的访问控制。一旦勒索事件发生，安全隔离措施相当于“安全门”，阻止恶意木马快速蔓延。

3、定期安全测试，发现安全漏洞，减少可能被利用入侵的突破口。阿里云上主要通过先知众测服务和漏洞扫描实现。

4、建立全局的外部威胁和情报感知能力，能够及早发现潜在的威胁（态势感知）；并对医疗机构的IT系统做好基础防护：例如主机防护和漏洞修复（安骑士）、Web应用攻击防御（阿里云WAF），保障网站核心数据安全。

5、建立应急响应流程和预案，持续化的安全运营。

一个完善的企业安全方案有好的产品仍然不够，需要专业的安全人员持续运营、管理：阿里云会为安全运营能力不足的企业和机构推荐安全管家服务，做好每天的安全巡检并提前发现0day漏洞。同时，也建议医疗机构日常做好IT运维团队的安全意识培养，养成以下几个安全运营习惯：

首先，制定并遵循实施IT软件安全配置，对操作系统(Windows、Linux)和软件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服务)初始化安全加固，同时并定期核查其有效性。

第二，为Windows操作系统云服务器安装防病毒软件，并定期更新病毒库，确保定期更新补丁；也确保开启日志记录功能，并集中进行管理和审计分析。

第三，确保合理的分配账号、授权和审计功能，例如：为服务器、RDS数据库建立不同权限账号并启用审计功能，如果有条件，可以实施类似堡垒机、VPN等更严格的访问策略。

最后，确保实施强密码策略，并定期更新维护，对于所有操作行为严格记录并审计；确保对所有业务关键点进行实时监控，当发现异常时，立即介入处理。

产业安全扶助计划：愿为医疗机构提供安全公益排查支持 

除了防勒索解决方案之外，阿里云也通过产业安全扶助计划，为数百家初创公司及公益机构提供含主机安全、网络安全和抗DDoS在内的全套云安全防护，协助其抵御网络灰黑产业，平稳度过业务发展初期。

2018年3月开始，阿里云开始为全国医疗机构提供免费安全排查及策略建议：愿以自身多年云安全防护经验，帮助医疗提升安全分。

原文发布时间为：2018-03-23

本文作者：阿里云安全

本文来自云栖社区合作伙伴“阿里云安全”，了解相关信息可以关注“阿里云安全”微信公众号