专栏名称: 安全祖师爷

国内领先的互联网安全媒体，WEB安全爱好者们交流与分享安全技术的最佳平台！这里聚集了XSS牛、SQL牛、提权牛、WEB牛、开发牛、运维牛，公众号定期分享安全教程及相关工具。与其在别处仰望不如在这里并肩！

从勒索病毒看医院网络安全体系建设

安全祖师爷 · 公众号 · · 2020-02-05 19:29

正文

注：昨天，参加OWASP和河南省医疗联盟组织的安全沙龙，我做了“从勒索病毒看医院网络安全体系建设”的引导发言，会后一些朋友问我有没有PPT，其实我事先准备有一页PPT，不过会场并没有放，今天有空把当时讲的内容大概记录如下：

这两年，最热闹的话题就是勒索病毒了，据不完全统计，这两年时间，河南省仅我公司处理的被勒索的医院客户就有三十多家，如果加上被永恒之蓝攻击的医院就不下百家。再加上一些没有通知我们的，这个数量只会更多，经过对这些单位的取证分析，我们发现现在很多医院在安全建设中存在的很大的问题。经常有信息中心的人问我，怎么样才可以避免被勒索病毒感染？做了等保为什么还是不行？我们到底该学什么知识才可以？近半年来，我一直在参与医疗行业网络安全岗位能力认证（CISAW-HSP）的课件和教材编写工作，也有一些体会，今天就这些话题谈谈我个人的看法。

做好网络安全，我觉得要从三个方面着手，简单来说就是做好PPT：

第一个P，指的是People，人

第二个P，指的是Process，流程

第三个T，指的是Technology，技术

首先来看第一个P——人。

人是网络安全中最重要的因素，同时也是最薄弱的因素，这一点已经得到大家的共识，在我们处理的这么多勒索病毒的案例中，很大一部分因素都是因为安全意识的问题。一个最典型的例子就是弱口令。很多单位最后取证的结果都是因为管理员使用的非常简单的口令，黑客完全不需要费多大力气就可以破解出来，就象是花巨资购买的防盗门，却把钥匙挂在门把手上，所有的安全措施就形同虚设。再比如有些单位为了文件传输的方便，在服务器上开共享，而且是完全权限的共享，任何人都可以写入，其结果我想大家都可以想象出来。去年，我因病住院，在医生办公室，看到该医院信息中心的工作人员正在为医生电脑做维护，我就问了一句，你们用的什么杀毒软件？该工作人员的回答竟然是，我们是内网，不用装杀毒软件。做为一个信息中心的工作人员其安全意识如此的淡薄，整个单位的安全状况可以想而知。

需要提升安全意识的，不仅仅是信息中心的人，还包括每一位医生和护士。在医院里，我经常遇到的一个场景就是，护士站一个人都没有，电脑开着没有锁屏，或者我说我是信息中心让我来安装杀毒软件的时候，每一个护士都热情的把电脑交给我，然后自己去忙自己的事了。当然医生护士们态度热情，这是好事，可能我长的比较像一个好人，但如果我是坏人呢？如果我趁机做点坏事呢？攻破医院完全不需要什么特别高深的技术。而且据我们分析取证的这么多被勒索的单位后也发现，大部分服务器都不是直接被外网IP进行攻击的，都是从内部一台电脑做为跳板进行的攻击。

除了信息中心和医生护士之外，更需要提高安全意识的是领导。领导如果不重视，我们很多工作难以开展，领导不给批钱，不给批人，信息中心也难为无米之炊。

提升安全意识最主要的方法就是通过培训，在全院开展网络安全意识培训，通过培训让所有人意识到网络安全的重要性，了解国家法律，知道基本的安全常识，具备必要的安全知识，提升网络安全意识。尤其是领导，只所以不重视是因为没有了解到法律的要求，不知道自己的责任，通过培训和讲座，知道了自己应承担的法律责任，在面对安全问题时就会重视很多。

第二个P是指——Process，流程

很多人在提起安全时会想到技术和产品，而忽略流程的重要性。安全事件是不可能被完全避免的，就象勒索病毒一样，不管我们采取措施，想要完全避免被病毒感染几乎是一个不可能完成的任务，除非你的电脑完全不和外界有任何的数据交换，这显然是不可能的。虽然风险不可避免，但我们是可以通过一些手段在事前尽量降低被感染的可能，事后降低被感染后所产生的影响，以及被感染时及时有效的响应措施。举个简单的例子，为了防止被永恒之蓝的攻击，我们要对系统打补丁，但在实际工作中，很多医院的服务器是不敢打补丁的，有时候是HIS厂商不让打，担心打补丁会引起系统死机，但是不打补丁又容易被病毒攻击，打还是不打成了信息中心非常纠结的一个问题。其实如果我们有一个标准的补丁测试流程，这一切都不是问题，在打补丁之前，先要搞清楚你要打的是功能补丁还是安全补丁，是热补丁还是冷补丁，然后构建模拟环境，然后再进行补丁的测试和验证，再多批次小批量的进行补丁分发，制定好万一出现问题之后的应急措施，一切按步就班，也没有什么可纠结的。再比如，很多单位没有制定响应流程，一旦中了勒索病毒，马上就会手忙脚乱，不知道如何是好，为了快速恢复业务，总是第一时间格式化系统，重新安装，殊不知这样不仅会破坏证据，还无法发现黑客到底攻破了哪些系统，所以，往往这一台刚处理好没几天另外一台又被拿下了。如果有一套响应流程，从发现攻击到遏制、根除，都有标准的步骤，我相信就不会如此手忙脚乱了。

从安全运营到安全服务再到安全体系建设，国际国内都相关的标准体系，ITIL、ITSS、ISO27001，这些都是前人整理好的最佳实践，我们只要参照这些标准，再结合自己医院的实际情况，制定好流程去执行就好了，除此之外，还有很多的安全模型，比如我以前经常讲的APPDRR模型、IATF模型，包括我们国家现在正在大力推广的等保，其实也是一种标准和流程，但可惜的是，很多人只是简单的把等保当成一个合规的东西去应付，而不是从安全的角度去考虑为什么要这么做。所以往往是花了很多钱买了很多安全产品，只是为了应付等保检查，很多产品就是摆设，根本没有发挥其应有的作用。

最基本的，我们要制定业务连续性计划（BCP），应急响应计划和灾难恢复计划（DRP），有些这些流程，再定期进行演练，让每个人都能了解当灾难发生时，自己要做什么，才能真正做到“手中有粮，心中不慌”。大家可能都看过电影《中国机长》，为什么他能在出现这么大的灾难事故的时候安全的把飞机开回来，就是因为飞机上有详细的指导手册，当什么样的事故发生，应该如何操作，机长对这些了然于胸，所以才能临危不乱。信息安全也是一样。

第三个要素才是技术，Technology

技术也是非常重要的一个因素，我们规划网络，需要技术支撑，设置安全策略，需要技术支撑，提升安全意识也需要一些技术支撑。很多时候我们做的不好，也是因为不懂技术，因为不懂，所以不知道该如何优化和设置安全产品，因为不懂，所以不知道如何选择安全产品。因为不懂，所以被厂商牵着鼻子走。

说起技术，不得不提的就是产品。不同的产品性能当然是有差别的，有的差别还比较大，到底什么样的产品才是适合自己的？

从勒索病毒看医院网络安全体系建设

正文

请到「今天看啥」查看全文