项目背景

医院信息系统勒索病毒防护
    距2017年5月12日WannaCry的大爆发过去很久,但勒索病毒的威胁却从来不曾远离,反而呈现愈演愈烈之势,传播方式更多元,病毒更新迭代加快,勒索病毒俨然成为近两年来最严峻的网络安全威胁之一。
    勒索病毒的攻击方式从原来的广撒网逐渐转向定向攻击高价值目标,已经从对个人客户的攻击转移到对重要行业(如医院)、政府机构(法院、公安)、重要制造业(如台积电)等攻击对象演变 ,当前对勒索病毒的防护几乎成了全民运动。
    安盟信息通过对WannaCry变种跟踪及在信息安全行业的技术积累,针对WannaCry病毒攻击制作了医院信息系统防护方案。

现状分析

随着医院的网络挂号、电子病历查询、移动医疗、医保结算、银医一卡通等应用系统的上线,这些系统均需与医院的HIS系统进行互联互通和数据交换。对于医院来说,HIS系统是医院的核心业务,在与其他系统互联过程中需要保证不会受到攻击,从而保证HIS系统安全。
医院应围绕医院核心业务系统(HIS系统、LIS系统、PACS系统等)深入进行信息安全等级保护评估和整改,并在此基础上进行信息化建设和系统安全防护。

需求分析

    勒索病毒主要特点主要以邮件、恶意程序、网页挂马的形式进行传播,且传播速度极快!当前,医院面临的主要威胁主要来自于第三方系统(甚至是互联网)的互联互通。与第三方系统互联会引入病毒、木马的攻击以及受到黑客的直接攻击,同时如果未按照等级保护要求进行必要的安全防护:
1. 对外服务平台(网站、网络挂号、三方APP)及数据交换平台(医保、监管)等与外部网络互联的应用场景,需要进行高安全隔离。
2. 外部交换应用的网络安全防护,如防止对网站的篡改,对挂号系统的入侵等。
3. 对应用访问进行严格限制,只允许访问特定系统的特定端口和服务。
4. 能对与第三方网络边界访问的流量进行防病毒和入侵监测。
5. 对业务环境下的网络操作行为,特别是对核心数据库的操作,要能做到细粒度的合规审计,做到在发生安全事件时有据可查。

方案设计

    根据勒索病毒的特点,除通过简单关闭端口外(445、135、137、139、3389等),在内外网数据交换时,需要对协议进行剥离,与第三方网络边界访问限制,非法网络请求无法穿透系统进入医院业务系统:为了防止第三方网络攻击,医院业务内网与第三方系统(如社保专网)边界处,部署中铁信安安全隔离与信息交换系统,颗粒化实施基于源、目的IP、源目的端口、协议、时间等访问控制,同时开启防病毒模块。

方案总结

屏蔽勒索病毒及勒索病毒变种法传播到医院业务系统内网。

满足《卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知》(卫办综函【2011】1126号)要求。

满足《网络安全法》相关要求。