勒索病毒带来的安全警示

小时候过年最喜欢手拿小鞭炮，看到人来了，点着了甩过去，啪的一声响，招来一阵臭骂，换做小屁孩作鸟兽散，然后又继续换个地方上演着类似的恶作剧。现在拜燃放禁令所赐，走在大街上也再不会被爆竹声吓到了，过年嘛，主要就是旅游，吃吃喝喝，放松心情。但是，这假期刚结束，勒索病毒就给还沉浸在节日喜庆中的我们，一个大大的惊吓。“平地一声惊雷”让中招的医院心惊肉跳，让围观的我们暗自庆幸。

随着此次病毒的相关资讯陆续公开，加之对勒索病毒的分析，也让我们了解了它的端倪。通过对它的认识，可以发现安全威胁出现了新变化，勒索病毒事件提醒我们应该提早准备相关应对措施了。

勒索病毒原理：病毒伪装成邮件，诱使用户受骗，感染了病毒的计算机首先运行勒索软件，然后它会遍历硬盘中的文件，将文件加密，导致文件无法读取，接着生成勒索通知，要求用户支付赎金，否则删除文件。

2017年的“永恒之蓝”让我们开始认识勒索病毒，它采用蠕虫方式进行传播，攻击者利用微软公布的漏洞MS17-010，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。主要感染Windows系统，它使用加密技术锁死文件，禁上用户访问，并以此勒索用户。该病毒让很多的内网用户面对蓝色屏幕不知所措，能做的只能是断网重装系统，打补丁。当大家加班加点打补丁，安全厂商也及时推出了查杀工具。“永恒之蓝”也知趣的跑开了。

天空依旧很蓝，生活还是这样过。时间让我们基本上忘记了勒索病毒的存在了。其实它并没有走远，只是躲在某个角落，重新换了个装扮，终于在节后上班跳出来了。而且威力更大，被感染的服务器中的数据被加密，所有的系统无法提供服务。医院能做的也只有启动应急预案，相信那几天对信息科来说，一定天空是黑暗的。

其实这一次的勒索病毒与2017年的永恒之蓝原理基本类似，为啥却有更多的医院中招了呢，面对未来的各种安全威胁，医院应该如何应对呢？是不是真如很多人说的，这病毒基本上没法防范。中招的只是运气不好呢？相信在未来以这种方式传播的病毒或者网络威胁会越来越多，我们是不是就只有自怨自艾，束手无策，甚至求签保佑呢？

其实，《ISO27001》、《信息安全等级保护管理办法》、《网络安全法》等网络标准和法律法规才是我们保障网络安全的平安符。网络安全已不是原来购买一个杀毒软件，安装一台防火墙这种管理模式了，必须是人、技术、流程、制度想结合的安全体系建设。我们更应该从中招的案例所了解的信息来做根源分析。进而寻找出一条可行的安全管理新思路，构建安全体系的必要性。而这个安全体系如何构建才合理，这就有必要系统的学习信息安全管理体系了。

在医疗信息化建设中安全和应用是医院信息化的两翼，一同承载让业务腾飞的重任。然而一直以来由于信息化建设经费的不足，信息安全往往让路于应用建设，安全建设上缺少资金投入，安全人员培养上更是空白，安全意识上麻木，等等现实困境制约着网络安全建设。医院片面强调应用，强调数据共享，强调方便临床。表面看安全是约束性要求，比如我们规定：禁止使用移动设备、接入信息网络必须得到批准、内外网必须隔离……等等这些设置和安全要求，无疑是增加了信息科工作量，也带来了科室用户的抱怨。安全要求无论是对用户还是对信息科工程师都是感觉一种额外负担，你需要配置交换机，定期去检查终端电脑，加上对于任何一个人来说，都不喜欢被约束；长时间的坚持，并没有人看到效果，不像应用项目建设是可以看到效果的。因为安全的最好状态就是不出现安全事件，但是不出现安全事件就容易让人松懈，也容易被质疑投入的成本。

应用的不断发展，让安全隐患越来越大，网络的开放，数据的利用，医疗设备的加入，未来的医院信息化一定是与医学信息与医学工程的高度协同，医疗物联网的大范围实现让安全更变得重要，网络安全已经与医疗安全息息相关。

技术的不断进步，让犯罪越来越低成本。虚拟货币使得罪犯能够安全的拿钱并且逃脱法律制裁，这就让更多的人看到了犯罪带来的丰厚利润，进而走上“黑客”道路。

医疗数据的价值不断提升，让针对数据的窃取事件越来越多。虽然不断有数据窃取的案情被侦破，但是这仅仅是冰山一角。信息科作为医院数据安全的守门人，身上的责任重大，需要不断的提升自身的能力和水平。

弱口令、共享服务、漏洞管理、杀毒软件、数据备份，这些措施是目前为大家熟知的预防勒索病毒的系列措施，由此我们看出其实勒索病毒传播是需要很多条件的。而能引起病毒爆发，说明我们的网络安全漏洞太多，才让勒索病毒长驱直入，最终造成无法挽回的损失。

27001体系介绍

ISO27001认为：网络安全问题根源分布在技术、人员和管理等多个层面，必须统一规划并建立信息安全管理体系，并最终落实到管理措施和技术措施，才能确保信息安全。

整个体系包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性等方面。

在建立安全体系之初，首先要做安全评估。在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。

个人认为27001是安全的体系建设，有点扎起篱笆防豺狼的味道，而等级保护条例是告诉你，公社的羊群不能被狼吃了。网络安全法则是给你说，羊群被吃了你该受啥处分。

院长的责任

国家为了让各单位重视网络安全，在网络安全法中明确了单位法人代表所负的法律责任。也就是说，当出现网络安全事件时，我们的院长也会成为“背锅侠”。这已经有切实的案例了，所以呀，我们网络管理者们要切实的提供意识，及早重视网络安全。

案例分享

2017年7月22日，宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位，导致网站存在高危漏洞，造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据《网络安全法》第五十九条第一款的规定：决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定，对翠屏区教师培训与教育研究中心处一万元罚款，对法人代表唐某某处五千元罚款。

这篇文章我反复改了很多遍，文章中对于网络安全的建议也来自我们团队的实践。当得知兄弟医院被感染的事件后，我们就开始收集相关资讯，咨询相关安全技术团队了解情况，准备应对方案。也感谢江西的金忠林主任的分享，让我们能了解到病毒爆发的第一手资料，并调整了应对方案。我为我的团队而自豪，在案例分析会上，大家从网络、病毒防护、终端管理、补丁管理、备份措施等多个环节进行重新评估和管控，加班加点的完成了安全管控措施。我们今天的网络安全得益于我们团队的努力，得益于各临床科室的配合。有你们的认真负责的工作，我才有底气写这文章。谢谢大家！