兰州市第三人民医院关于应对Globelmposter3.0 变种勒索病毒的通知
昨日3月10日11:00左右,我院收到通知,我省内区县医院多家医院感染勒索病毒,造成医院服务器宕机,医院相关系统崩溃,数据库被加密无法使用等功能。本次病毒攻击较为严重,我院信息科决定暂时关闭医卫专网,以及互联网外网功能。关闭后会影响医保结算,各病区尽量不要在此期间办理医保结算业务。2019年3月11日至2019年3月12日期间我院停止医保结算。
病毒名称:Globelmposter3.0 变种
病毒性质:勒索病毒
影响范围:已有多家医院中招,呈现爆发趋势
危害等级:高危
Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:
.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。
这次爆发的样本为Globelmposter3.0家族的变种,其加密文件使用Ox4444扩展名,由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
针对医院计算机应对措施:
1、开机前,断开网线,关闭无线wifi开关;
2、备份自己的重要文件和数据;
3、连接网络,启用windows自动更新,打补丁。确认补丁修复成功后,可正常使用计算机;
4、安装并升级防病毒软件;
5、预防病毒期间,禁止使用任何移动设备接入我院终端(手机、移动硬盘、U盘等)。
兰州市第三人民医院信息科
2019年3月11日
等级保护,构筑医疗信息系统安全壁垒
医院拥有大量需要紧急使用的信息和数据,难以承受信息系统停止工作的影响,一旦受到黑客攻击,医院可能会面临电脑无法联网、计算机断层扫描和磁共振、扫描等诊断无法开展,患者检查结果和病历无法查阅等情况。最糟糕的情况下,部分危重患者将不得不转院治疗;另一方面,医疗数据包括个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息,这些特别受到勒索病毒的“青睐”。
早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级,它要求对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制),同时要求各医院于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
在《网络安全法》和各政策的高压态势下,很多医院在信息化建设方面都非常重视,但通过等保测评的医院数量仍差强人意,信息安全投入远远不够,存在很多风险,给各种勒索病毒可乘之机。
“望、闻、问、切、控”医院安全问题
“望”——查看信息安全建设情况,了解已有安全防护措施。查看医院信息化建设情况,重点关注信息安全建设情况。查阅医院信息安全方针文件、规章制度及相关过程管理记录,查阅信息系统安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、网络图表、配置管理文档等,了解和掌握医院信息系统安全防护机制建设情况。
“闻”——聆听医院信息安全愿景,明确信息安全建设目标。访谈医院信息安全管理者,聆听他们对医院信息安全的愿景,包括安全管理机构设置、安全岗位职责分工、信息安全工作目标等。与医院安全运维相关人员交流,聆听他们对安全运维工作的改进建议,包括运维方式、运维流程等。通过这些方面的访谈交流,从而明确出医院信息安全的建设目标。
“问”——询问信息安全相关人员,把脉信息安全工作痛点。与医院信息安全相关人员进行深入交流,了解和掌握医院在信息安全投入、制度顶层设计、安全防护机制建设、系统安全运维、安全意识教育等方面存在的突出问题,把脉医院信息安全工作的痛点。
“切”——依据网络安全相关标准,评估医院信息安全现状。依据国家网络安全相关技术标准,参照医疗领域安全防护最近实践,从技术和管理两个方面对医院信息系统进行全面的安全防护能力评估,准确掌握医院信息系统安全防护现状,以及与国家相关技术标准之间的差距,为下一步开展信息系统安全防护能力建设整改奠定基础。
“控”——多措并举加强安全防护,建立信息安全保障体系。针对医院信息系统存在的安全问题,从技术和管理两个方面开展系统安全防护能力建设,建立满足医院需求的信息安全保障体系。技术方面重点关注边界安全防护、网络访问控制、身份鉴别、安全审计、数据备份恢复等,管理方面重点关注制度顶层设计、安全岗位职责分工、安全管理制度建立等。
下面是更为详细的具体措施:
1.及时更新补丁,修补已知漏洞
2.部署双(多)因素认证
3.保证数据安全
GB/T 22239-20XX 《信息安全技术 网络安全等级保护基本》
8.1.4.6 数据完整性
本项要求包括:
a) 应采用校验技术或密码技术保证重要数据在 传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息
鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b) 应采用校验技术或密码技术保证重要数据在 存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8.1.4.7 数据保密性
本项要求包括:
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息鉴别数据、重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
4.提高系统灾难恢复能力
系统灾难恢复的实践建议:
① 系统数据备份
● 应用程序及配置文件
● 中间件配置文件
● 数据库系统备份
● 操作系统配置信息
② 系统部署完毕并正常运行后,做好所有服务器的灾难镜像 及恢复演练工作 。
③ 条件允许情况下热备关键服务器,如Web服务器、中间件服务器和数据库服务器。
5.提高系统源代码质量
GB/T 22239-20XX《信息安全技术 网络安全等级保护基本》
8.2.3.5 外包软件开发
本项要求包括:
a) 应在软件交付前检测其中可能存在的恶意代码;
b) 应保证开发单位提供软件设计文档和使用指南;
c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
6.防范特种木马或新型网络攻击
GB/T 22239-20XX 《信息安全技术 网络安全等级保护基本要求》
8.1.2.5 入侵防范
本项要求包括:
a) 应在关键网络节点处检测、防止或限制 应在关键网络节点处检测、防止或限制 从外部发起 的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制 应在关键网络节点处检测、防止或限制 从内部发起 的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
特种木马或新型网络攻击产生的问题:
① 长期潜伏在系统中,随机、定时或关键时刻激活。
● 国家两会期间
● 国家其他重大活动期间,如国庆阅兵、APEC会议和互联网大会等等
● 国际政治敏感期间
② 窃取业务系统高敏感、海量数据。
③ 删除重要业务数据且无法恢复。
④ 监控网络通信,包括聊天记录、短信、通话联系人、网络音视频窥视等等。
加强人员技能培训,提高人员攻防能力。因为攻防对抗的本质是“人与人”的对抗,以人为本是网络安全体系建设的根本!
总结
有人曾吐槽,安全工作好比是一丑遮百好,医院也一样,宣传工作再多、医疗水平再高,一旦失去了安全保障,一切都无从谈起。等保2.0时代,信息安全从业者身上担负的责任更重了,安全工作一定要做到前面,以实施等级保护为契机,使医院信息网络安全上一个新的台阶。
现在医院已经全部联网,安全威胁指数直线上升,相关从业人员更应该通过等级保护学习新知识、新技术,在内网系统的安全规划和建设以及综合防护方面,提升技术能力和水平,做好等保合规性工作 ,完善医院的信息化建设,保证重要数据完整、内网核心业务连续,构筑医疗信息系统安全壁垒!
(来源:e安在线)