探讨针对勒索病毒的医院安全防护体系设计_高涌皓.pdf

1、dianzi yuanqijian yu xinxijishu 电 子 元 器 件 与 信 息 技 术196|探讨针对勒索病毒的医院安全防护体系设计高涌皓延安大学附属医院，陕西延安716000摘要：科学技术的进步为社会的信息化发展提供了机遇，使人类的生产和生活变得更加便利，但同时也为社会安全带来了一定的隐患，数据信息泄露严重，造成了一系列的经济损失。计算机病毒对各行各业都能造成较大的危害，医院系统则是其中的典型代表。由于医院系统的防护等级较低，极易受到勒索病毒的侵害，造成病例数据的丢失；而对于医院来说，患者的病例信息是最为重要的隐私数据，倘若丢失，则会导致病人看病困难，甚至影响病人的生命安全。

2、随着国内对于勒索病毒的了解程度不断加深，提高系统的防范能力成为当前研究的重点问题。本文针对性地研究了勒索病毒，对其进行了详细的介绍，希望为提升数据安全做出相应的贡献。关键词：医院；勒索病毒；网络安全；计算机病毒中图分类号:TN915.08 文献标志码:A DOI:10.19772/ki.2096-4455.2022.11.045 0引言勒索病毒最早出现在2017年，其名字为“WannaCry”，病毒问世之后，瞬间席卷全球，造成了一系列的影响，带来了不可挽回的损失。据相关的报告可知，我国瑞星的云系统截获该病毒样本的数量接近百万，其具体数值为92.99万个，而受到该病毒感染最为严重的区域则是高校、

3、企业和政府机关等网站，影响其生产经营及教学工作的正常进行。该病毒指的是黑客编写的不良软件，该软件具有特殊功能，能够通过多种手段越过防护系统，进入到机构或者企业的内网中，同时，将公司系统内部的数据文件（用户资料、数据库、图片等）进行加密，然后向其公司敲诈，索要巨额钱财。在这期间，受害者无法使用及恢复该数据，为了得到相应的资料，只能交钱购买密码。从信息的安全防护来看，医院的安全信息系统较为特殊，其内部存储了大量的数据信息（病例、挂号、治疗方案等），这些数据都属于重要的隐私信息，使用较为频繁，因此受到了大量的黑客攻击，影响了正常医疗秩序。一般情况下，为了尽快维护医疗秩序，保障看病的正常进行，医院在受

4、到勒索病毒威胁后，都需要想办法尽快恢复数据，因此，大部分医院都会不得已地向不法分子交赎金，使其医疗数据恢复正常。否则，当医院系统发生故障肯定会影响患者，造成大量的经济损失，甚至会使患者的生命受到威胁1。1医疗行业系统现状从系统的构成来看，医院使用的主流系统有HIS、EMR、LIS、PACS系统等，除此之外，医院内部还使用了供应追溯、移动护理及查房等多个系统。医院是一个大型的机构，其内部主要集成了上百个子系统，他们之间相互配合，共同维护了医院的正常运行。从科室构成来看，大部分医院都会设立相应的信息科，但是该科室存在感较低，没有得到相应的重视，其日常工作主要是维修电脑及打印机，忽视了对于信息安全系

5、统的建设。而相当多的医院购置安全设备保障信息安全，但是，由于对其科室的不重视，这些设备没有发挥出应有的效果，极易出现安全隐患。例如，医院对于防火墙的管理不到位，使用的仍是系统内部自带的原始模式，也没有及时更新补丁及漏洞，其服务器内部没有安装相应的防护防火作者简介：高涌皓，男，陕西延安，工程师，本科，研究方向：医院内网环境下对杀毒软件技术的应用。电 子 元 器 件 与 信 息 技 术|197网络与信息安全墙，仅仅使用简单的杀毒软件抵御病毒，进一步产生了泄露风险2。同时，部分医院会充分利用其安全设备，但是，设备的安全密码设置的较为简单，极易使黑客破解，进而产生信息泄露。虽然安全设备发挥了一定的作用

6、，但是仍然无法面对较高水平的黑客。另外，医院的安全意识不足，仅仅在受到相应的攻击后才会提升自身的安全系统，提升网络安全意识。2医疗行业系统特征医疗行业系统有如下特征。响应速度快，处理事件能力强。医疗数据具有一定的特色，其覆盖面较广，信息内容复杂。医疗数据较为重要，对安全性及隐私性的标准高。医院数据内容较多，具有较大的数据量。为了保障医院的秩序，其系统必须符合稳定性特点。系统内部的用户量较大，其瞬间访问量较大，处理并发需求的要求较高。系统内部数据量大，其维护的难度较大。3医疗行业系统面临的问题医疗行业系统面临的问题如下。医疗系统内部集成了上百个子系统，而各个系统之间都可以进行数据交流，这进一步加

7、大了抵御病毒的难度，医院面临着更大的挑战，医疗数据面临泄露的风险加大。医院等卫生行业对信息安全过于轻视，安全意识不高，往往只重视其他科室的建设，而忽视信息科的建设，更没有建立相应的信息安全组织，使其信息管理能力较低。同时，也没有建立起相应的管理体系，导致信息化发展落后，进一步加剧了信息泄露的风险。医院内部储存的数据往往是患者的数据，其内部集成了大量的身份证等隐私信息，而这类信息具有较高的价值，其真实性较大，因此会吸引不法分子的注意力，使其通过多种途径得到该数据，用于灰色产业，谋取不法利益。随着信息化办公的发展，医院信息系统的使用度逐渐升高，管理人流及物流、患者挂号缴费及住院等都需要使用到该系统

8、，因此，信息化系统在医院中扮演着重要的角色，当它出现问题，患者看病就会受到干扰，导致医院工作无法正常进行，提高了看病的难度3。4常见勒索病毒种类在2017年“永恒之蓝”出现后，勒索病毒出现了多个变形，进一步影响了信息安全。下面将对出现的勒索病毒进行分类，并详细介绍病毒的相关信息，了解其传播方式，进而增强网络的安全性，避免遭受较大的损失。4.1WannaCry勒索这是一款2017年出现的勒索病毒，该病毒凭借其传播能力强及传播范围广等特点在全球肆意传播，造成了80亿美元损失，严重影响了全球的生产秩序。该病毒能够在全球内流行，最主要的原因则是借助了永恒之蓝的漏洞，通过WannaCry病毒感染计算机，

9、并对重要的文件加密，进而达到敲诈的目的4。后缀名：wncry。传播方式：利用系统漏洞传播。4.2GlobeImposter勒索该病毒最早出现在2017年，主要针对服务器进行攻击的一类勒索病毒，当服务器开启远程桌面功能时，不法分子则会破解服务器密码进而进入到服务器内部，通过一系列方式投放病毒，进而导致文件无法使用。从目前来看，对该类病毒的预防手段较少，无法自行对文件解密。后缀名：auchentoshan、动物名+4444。传播方式：邮件、软件及RDP破解。4.3Crysis/Dharma勒索该病毒与GlobeImposter病毒的攻击原理相似，针对性攻击用户的服务器。该病毒出现较早，经过多年的发

10、展后，其破坏力较大，系统一旦感染后，其解密困难。一般来说，该病毒使用了AES及RSA两种方式结合的加密算法。dianzi yuanqijian yu xinxijishu 电 子 元 器 件 与 信 息 技 术198|后缀名：id+邮箱+后缀。传播方式：RDP破解。4.4GandCrab勒索该病毒在2018年问世，其文件加密算法复杂，通过Salsa20及RSA-2048相结合的方式实现加密，另外，该病毒会改变文件名（变为GDCB、GRAB等）。同时，在计算机感染该病毒后，会修改主界面的图片，提供相应的勒索信息。通常来说，旧版本的病毒可以解密，但随着病毒发展，最新版本的病毒（GandCrab5.

11、2）解密较难。后缀名：GDCB、GRAB及随机。传播方式：邮件、软件及RDP破解等。4.5Satan勒索该病毒主要针对常见的电脑操作系统，通过攻击Windows或者Linux系统，进入到系统内部并修改文件的后缀，主要利用系统漏洞进行传播。后缀名：evopro、sick。传播方式：RDP爆破及系统漏洞（JBOSS、Tomcat、Weblogic等类型）。4.6Sacrab勒索该病毒主要利用僵尸网络进行传播，其种类变形较多，其中最为典型的则是Scarabey，该类型病毒与其他传播方式不同，内部代码编写也不同，影响范围较广。后缀名：.krab、.Sacrab、.bomber、.Crash。传播方式：

12、邮件、网络及RDP爆破。4.7Matrix勒索该病毒主要是通过远程桌面的方式入侵电脑系统，进入到服务器内部并上传病毒，同时可实时显示其感染进度。在系统感染后，会对文件进行修改，修改为勒索邮箱。后缀名：.GRHAN、.PRCP、.SPCT、.PEDANT。传播方式：RDP破解。4.8STOP勒索该病毒是常见的木马类型病毒，可通过多种途径感染计算机，除此之外，有的病毒还能够利用木马对计算机进行控制。后缀名：.TRO、.djvu、.puma、.pumas、.pumax、.djvuq。传播方式：软件。4.9Paradise勒索这是一种特殊的病毒，会在文件末尾添加长后缀，同时在文件夹内部会生成勒索信。据

13、相关统计，该病毒最早出现在2017年，危害性较高。后缀名：文件名_%ID 字符串%_邮箱.后缀。5勒索病毒的传播方式5.1勒索病毒勒索病毒是新一代的病毒，其感染能力较强，主要通过漏洞、木马及邮件等方式进行感染，同时，当该病毒进入到计算机内部时，会对系统内部文件进行操作，通过对文件、视频、图片等信息进行加密，使其无法查看和使用。另外，为了达到勒索的目的，一般会向用户发送相应的信息，让其支付解密文件的费用。假若用户不按规定支付费用后，会将加密后的资料删除，使其无法找回，给计算机用户带来了难以挽回的损失。该类病毒的防护能力较强，用户无法自行解密，只能受到相应的威胁，向病毒制造者妥协，支付相应的资金来

14、购买信息的解密密码。该类病毒对企业及社会造成的影响较大，传播范围较广，造成了较为恶劣的社会影响5。5.2传播途径通过整理相关的受害者数据并对其进行分析可知，该病毒的传播方式较为复杂，大致可分为以下几种情况。该病毒会利用相应的系统漏洞进行传播，通过扫描随机端口的IP地址，感染445端口来侵入计算机内部，而当病毒进入到医院系统内部，则会大面积传播。利用暴力破解的方式侵入系统内部，黑客通过远程操作，使用RDP弱口令等工具对系统内部的安全防护软件进行卸载，使其丧失防护功能，进而进入到系统内部，达到感染的目的。利用伪装的方式进入到医院系统内部，其主要的伪装形式有钓鱼网站、网页挂 电 子 元 器 件 与

15、信 息 技 术|199网络与信息安全马等，通过伪装成正常的形式要求用户点击，使其系统防护失效，进而遭到计算机病毒的侵蚀。一般情况下，想要病毒发挥作用，必须侵入到系统内部，通过控制系统的数据信息才能实现其勒索的目的，会结合钓鱼邮件、木马及RDP、SSH暴力破解等手段渗透，使其系统内部数据受到威胁，将其进行加密。同时，该病毒一旦进入到系统内部，其会利用各类漏洞进行广泛传播，其传播速度快，造成了较大的影响6。5.3医院感染勒索病毒的途径通过整理该病毒的传播方式可知，病毒会从以下几方面入手来感染医院系统，使其数据受到相应的威胁。系统内部的存储介质（U盘、硬盘等）。当勒索病毒潜入在移动存储介质中，一旦该

16、介质接入到系统内部的电脑中，病毒就通过外网进入到系统的内网中，使系统及数据库中的数据受到影响。医院系统存在安全漏洞，当系统内部的病毒库未及时更新，且系统没有进行打补丁，消除漏洞，极易感染该病毒，给工作造成影响。医院内网的端口出现漏洞。当系统未对潜在的高危端口进行禁用，比如135、137等端口，一旦主机受到感染，则会通过这类端口传播到整个主机内部，造成大范围的影响 医院内网边界出现漏洞。通常，医院内部会对连接相应的外网，进而获得患者的医保信息，而勒索病毒也会通过相应的端口进入到系统内部，使医院内网受到感染。医院连接准入漏洞。不安全的计算机通过准入漏洞与系统进行连接，非法进入到系统内部。6医疗系统

17、感染勒索病毒的解决方案（1）隔离：当发现勒索病毒时，马上断开网络连接，同时将该中毒主机隔离，降低其影响的范围。（2）取证：在系统感染勒索病毒后，为了恢复正常的工作秩序，通常会对系统进行格式化，重新设置其系统参数。但是，为了保障下次不受到相应的感染，在对数据进行恢复时，需要找到相应的原因，做好信息的取证工作，只有对这次感染事件进行全面的分析，才能得知其感染原因，进而做好应对措施，避免下次再受到病毒的侵害。（3）加固：对未被病毒感染的机器做好防护工作，加大漏洞的扫描，安装相应的补丁，同时在主机内部安装杀毒软件，及时更新病毒数据库。（4）杀毒：利用专业软件对主机进行扫描，及时查杀病毒，发现病毒时要及

18、时清除，降低感染系统的风险。7医疗行业抵御勒索病毒方案7.1提升终端设备的杀毒软件版本当前市面上的主流杀毒软件都能防止病毒侵入到电脑内部，也能够管理众多的设备终端，维护系统的安全，而使用新一代的杀毒软件能够提升病毒查杀能力，通过全方位查找及修补漏洞的方式，进一步加强了系统的防护力。新一代的病毒防护软件功能较为丰富，内置了网络及病毒防护、桌面管理及监控等一系列功能，可实现主机及虚拟机的一体化管理，为不同领域的企业及机构提供了较为完善的病毒防护方案。新一代的终端防护软件提供了不同的设置模式，根据终端的情况不同，针对性地使用不同的管理策略，为系统提供更为人性化的服务。当前医院系统下内置了多个子系统，

19、其中包含了医生、护士、门诊工作站等，而防护软件都需要对其子系统进行全方位的管理，通过打系统补丁等方式修复内部漏洞，同时建立树形级联的补丁中心，方便内部对漏洞进行管理7。7.2部署防毒墙防火墙是电脑系统中最为重要的软件之一，它内部集成了多种功能，是能够实时扫描病毒、监控网络的安全产品。一般情况下，它能够在网关处拦截病毒，使其无法干扰电脑，进而降低了主机感染病毒的风险。7.3部署虚拟化安全软件利用当前的云技术能够提升电脑系统的防dianzi yuanqijian yu xinxijishu 电 子 元 器 件 与 信 息 技 术200|护等级。云安全防护方案能够提升系统的管控能力，实现虚拟及非虚拟

20、化环境的统一管理，提升了系统的安全等级，进而使企业内部不会受到相应的病毒感染，进而保障了虚拟环境及实体网络的安全。通常来说，该安全防护软件体系主要由管理、升级、日志中心等多个子系统构成，内部集成了大量的功能模块，不仅能够完成各自的任务，还可以与其他子系统进行数据交换，进一步提升整个系统的防护能力。7.4加大数据备份恢复系统的建设当前系统中，最为重要的则是数据的存储与保护，而网络防护等级体现了抵御病毒的能力，但为了保障系统的稳定运行，需要对其进行备份，以满足恢复数据的需要。从数据库的复杂度来看，数据库类型较为复杂，其业务量较大，利用手动备份较为麻烦，需要借助专业的备份软件实现实时备份功能。数据备

21、份恢复系统是系统应急系统的一部分，能够处理服务器的故障，针对性地恢复相应的数据。另外，通过安装备份恢复系统的设备能够与其他服务器建立高效的应急管理平台，实现不同处理器之间的切换，利用备用服务器代替功能异常的服务器，仅需要几分钟便可实现数据的同步，完成数据的备份功能。从目前来看，医疗行业抵御病毒的方法多种多样，目前已经形成较为完整的病毒防护方案，通过分析病毒的传播及感染方式，构建了较为完整的解决方案，该方案功能丰富，能够有效地查杀病毒，保障企业系统的安全，使其内部数据不再遭受病毒的破坏8。8结语综上所述，为了保障医疗行业系统安全，不仅需要加强系统抵御病毒的能力，还要提升对于病毒的研究力度，通过分

22、析当前的病毒发展趋势，掌握最新的发展趋势，构建较为系统的防护方案。参考文献1 杨霞,王菲菲,陈金栋.新形势下智慧医院网络安全风险分析及对策研究J.网络安全技术与应用,2022(5):126-127.2 李超.医院安全防护体系的架构分析J.智慧中国,2022(4):84-86.3 臧璆,汪春亮.基于安全等级保护的医院网络安全优化方案实践J.医学信息学杂志,2022,43(3):79-83.4 陈鹏岗,方健军,王科.基于BA-RVM的医院网络安全量化评估预测J.微型电脑应用,2022,38(3):4-8.5 王亚萍.面向5G的智慧医院网络安全系统设计J.电脑编程技巧与维护,2022(2):56-5

23、8.6 郑志峰.论医院网络安全防护体系的架构J.电子元器件与信息技术,2021,5(7):251-252.7 林双年.医院该如何解决勒索病毒威胁J.软件,2020,41(5):225-227+278.8 李放,韩亚坤,李曙光.针对勒索病毒的医院安全防护体系设计J.中国数字医学,2019,14(11):85-87.（上接第83页）运营成本、提升管理效率、保障安全等方面具备了传统桌面技术无可比拟的优点，这也促使了云桌面技术更多地运用于计算机管理。所以，云桌面技术在大学图书馆与电子阅览室中的广泛应用，将极大地提高图书馆的数字资源建设能力与管理水平。参考文献1 谢永盛,韦涛.桌面云管理系统在高校计算机

24、实验室中的应用J.计算机产品与流通,2019(2):228.2 佘杰.基于桌面云的多媒体计算机实验室管理J.信息与电脑,2019,31(19):151-152.3 聂建博.桌面云在高校图书馆电子阅览室中的应用探究J.文化创新比较研究,2018,2(20):62+65.4 高燕琼.国内高校图书馆桌面云平台建设探析J.四川图书馆学报,2016(3):20-22.5 戴丽娜,魏评.云桌面在高职院校图书馆的应用浅析J.电脑知识与技术,2016,12(5):18-19.6 李镇伟.基于桌面云技术的电子阅览室升级初探J.图书馆工作与研究,2013,1(9):45-47.7 孙小平.高校图书馆桌面云服务J.农业图书情报学刊,2018,30(3):162-165.