用“免疫学原理”解“防勒索难题”？重庆市某三甲医院这样答

从“侠盗”病毒 GandCrab 年入20亿美元，到附身国内用户的九尾狐 “死而不僵”；从“全新撒旦”卷土重来，到 Globelmposter 变种来袭。

2019年上半年，勒索病毒依旧如影随形，持续威胁着世界各地的数据和系统。

其中，医疗行业，更是成为勒索病毒大举进攻的“风暴中心”：

今年1月份，GlobeImposter 的升级变种病毒V3.0版本在全国医疗行业肆虐，某省互联互通平台上连接的几乎所有医院同时被加密，严重影响医院的正常业务。

2月末，可绕过部分杀毒软件的检测并避免被静态分析的 Gandcrab 家族的最新版本V5.2，在医院行业大爆发。

·····

5月， 《Verizon 2019年数据泄露调查报告》显示，在涉及大量隐私数据、且在安全能力和意识上存在明显短板的医疗行业，高达85%的恶意软件来自于勒索病毒。

勒索病毒正在成为威胁医疗行业数据安全的最大隐患之一。未来，随着技术发展、病毒产业化端倪初现，勒索病毒将越来越无孔不入，如流感一样定期大规模爆发。

那么，医疗行业如何未雨绸缪，在救死扶伤的同时，保障患者信息安全？重庆市某三甲医院这样实践。

一、救死扶伤的医院，更需安全感

坐落在西南地区的重庆市某医院，是一所集医疗、教学、科研、预防、保健为一体的国家三级甲等综合性医院。

医疗行业涉及大量的病患资料、医学记录等，且对业务的实时性具有较高的要求。一旦被勒索病毒“缠身”，医院将面临挂号系统瘫痪、诊疗流程无法运转、隐私数据被泄漏，以及监管部门的问责等众多压力。

因此，为了防患未然，该院亟需加强自身的防勒索安全建设，希望能全面保护服务器和数据库文件安全，防止因被勒索导致丢失。 

那么，如何防止勒索病毒入侵，彻底把勒索病毒屏蔽在外？在中病毒后，又该如何解决？

与众多医院一样，该综合医院早已部署入侵检测、防火墙等安全产品——把内网圈起来，以“城堡+护城河”（castle-and-moat）模式保证内部安全。

然而，这种“关起门来就安全”的逻辑，已经多次证明并不是最好的办法：

一方面，随着移动终端、应用上云的普及，过去医院严格的内外网边界逐步模糊，且医院网络越来越多的连接卫健委、新农合、医保平台、远程医疗等外部网络，犹如“幼童抱金行于闹市”，网络被黑客和病毒攻击的风险大增。

另一方面，黑客从不按传统的套路出牌，他们往往通过邮件附件、第三方软件、445端口、漏洞等为突破口，将勒索病毒植入在医疗IT系统中，从而进入内网。即使安装了传统的防火墙，黑客只要对勒索病毒进行简单的加壳、免杀或者碎片化传输，就可以轻松绕过此类产品。2017年5月勒索病毒 WannaCry 爆发，全球150国，30万终端受到影响，许多受害的企业，都是只安装硬件防火墙，和传统的杀毒软件。

显然，勒索病毒的巨大威胁性，使得常规性防御置医疗机构于巨大的不可预测风险之中。那么如何防？怎么防？经过多番考量，该综合医院最终选择“诺亚防勒索系统”事前防御解决方案。

二、像“治未病”一样“防勒索”？

追溯免疫学起源，在数千年前，我们古人曾提出 “上工治未病”、“圣人不治已病治未病”等“预防为主”的概念，也就是说，采取相应的措施，防止疾病的发生和发展，主要思想包括：未病先防和既病防变。

对防勒索而言，同样如此。

如上文所说，由于很多安全设备检测方式主要基于静态特征（即黑名单）检测，这种方式往往被动，且很难检测到新型变种的勒索病毒。

美创诺亚防勒索系统则打破传统杀毒软件基于黑名单（病毒库来防护和查杀）的技术，采用独特的底层白名单技术，对文档、数据库文件、终端、哑终端等进行主动防护，实现“未病先防”、“既病防变”：

未病先防

大多数安全产品往往通过特征库对已知勒索病毒进行查杀，对未知病毒使用诱捕模式进行防御，但由于病毒变种及新型病毒多样化等特点，这种防勒索方式存在较大纰漏。

诺亚防勒索系统基于零信任体系构建，并不关心病毒特征，使未经过授权的应用无法对受保护的文件和数据进行加密或破坏，从而防御各种未知及已知勒索病毒的侵袭。病毒诱捕系统进一步保证系统安全，第一时间检测未知病毒侵袭，获知现场第一手病毒数据进行研究分析。

既病防变

长期潜伏在医院系统且不易发现的勒索病毒，依然可以运行，从而造成医疗信息系统二次、三次感染等状况。

诺亚防勒索系统大大提升业务系统的带毒生存能力，可以在勒索病毒侵袭的终端和服务器上，保护关键机密文档和数据库不受破坏，即使病毒运行也无法修改机密文档及数据库，保障关键业务程序正常运行。同时，所有程序对机密文档及数据库的操作均被审计，方便事后追溯。

如图所示：诺亚防勒索系统分为后台管理中心和前端代理，后台管理中心部署在该医院数据中心的服务器上，设置固定IP地址，保证能与终端客户端联网访问；在被保护业务服务器上部署诺亚防勒索系统前端代理客户端。

三、一朝“诺亚”，带来的全方位免疫

勒索病毒对医疗行业的威胁是全方位的，重庆市这家大型三甲医院也同样如此：

（1）工作终端和自助服务终端，互联网接入和开放网络使医院工作终端极其容易受到勒索病毒的侵袭，如医生、护士等工作站的终端，医院挂号系统、自助查询机等哑终端。

（2）数据库文件，高价值的数据库文件是勒索病毒威胁的主要目标，往往导致数据和业务的双重损失。

（3）核心数据文档：勒索病毒入侵主机后，往往会遍历主机上的核心文档数据（如 WORD、EXCEL、PPT、PDF 等），继而以非对称算法进行加密，被加密的数据文档往往难以恢复，造成医院损失惨重。

对此，美创诺亚防勒索系统通过后台管理中心，从信任应用、应用保护、文档保护三个层面设置安全策略，并且下放到各个代理的终端，从而帮助医院构建“进不来、改不了、可审计、打不垮”的安全防线。

（1）针对医院挂号机、自助查询机等哑终端，是运行特定的应用软件的，诺亚防勒索系统提供“堡垒模式”，确保只有可信任的软件可以运行，其他任何新的软件都无法运行，勒索软件入侵后将运行失败，从而无法破坏或加密数据。 

（2）数据库无法通过后缀保护，美创独创应用白名单技术，指定 Oracle、SqlServer、DB2 等数据库类型和信任可执行程序为“白名单”，添加需要保护的现有的数据库文件，只有创建者才拥有“写”权限。未授权执行程序试图修改数据库文件，将认定为可疑勒索事件，及时被拦截。

（3）通过配置策略，对非结构化文件进行保护，只允许特定的应用程序具有“写”权限。如*.docx、*.xlsx等文件，限制只有 office 和 WPS 有写权限，其他软件（含勒索软件）不能篡改。

点击“阅读原文”，即可提交试用申请