蘭州市第三人民醫院關于應對Globelmposter3.0 變種勒索病毒的通知

昨日3月10日11:00左右，我院收到通知，我省內區縣醫院多家醫院感染勒索病毒，造成醫院服務器宕機，醫院相關系統崩潰，數據庫被加密無法使用等功能。本次病毒攻擊較為嚴重，我院信息科決定暫時關閉醫衛專網，以及互聯網外網功能。關閉后會影響醫保結算，各病區盡量不要在此期間辦理醫保結算業務。2019年3月11日至2019年3月12日期間我院停止醫保結算。

病毒名稱：Globelmposter3.0 變種

病毒性質：勒索病毒

影響范圍：已有多家醫院中招，呈現爆發趨勢

危害等級：高危

Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫院已經爆發過Globelmposter2.0勒索病毒攻擊，攻擊手法極其豐富，可以通過社會工程，RDP爆破，惡意程序捆綁等方式進行傳播，其加密的后綴名也不斷變化，有：

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種后綴為.Ox4444。

?這次爆發的樣本為Globelmposter3.0家族的變種，其加密文件使用Ox4444擴展名，由于Globelmposter采用RSA+AES算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會被加上Ox4444后綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件，顯示受害者的個人ID序列號以及黑客的聯系方式等。

?針對醫院計算機應對措施：

1、開機前，斷開網線，關閉無線wifi開關；

2、備份自己的重要文件和數據；

3、連接網絡，啟用windows自動更新，打補丁。確認補丁修復成功后，可正常使用計算機；

4、安裝并升級防病毒軟件；

5、預防病毒期間，禁止使用任何移動設備接入我院終端（手機、移動硬盤、U盤等）。

?

蘭州市第三人民醫院信息科

2019年3月11日

等級保護，構筑醫療信息系統安全壁壘

醫院擁有大量需要緊急使用的信息和數據，難以承受信息系統停止工作的影響，一旦受到黑客攻擊，醫院可能會面臨電腦無法聯網、計算機斷層掃描和磁共振、掃描等診斷無法開展，患者檢查結果和病歷無法查閱等情況。最糟糕的情況下，部分危重患者將不得不轉院治療；另一方面，醫療數據包括個人姓名、住址、聯系方式、社會保險號碼、銀行賬號信息、索賠數據和臨床資料等海量信息，這些特別受到勒索病毒的“青睞”。

早在2011年，原衛生部就下發了《關于全面開展衛生行業信息安全等級保護工作的通知》，要求三級甲等醫院的核心業務信息系統信息安全保護等級不低于第三級(第三級為安全標記保護級，它要求對訪問者和訪問對象指定不同安全標記，監督、限制訪問者的權限，實現對訪問對象的強制訪問控制)，同時要求各醫院于2015年12月30日前完成信息安全等級保護建設整改工作，并通過等級測評。

在《網絡安全法》和各政策的高壓態勢下，很多醫院在信息化建設方面都非常重視，但通過等保測評的醫院數量仍差強人意，信息安全投入遠遠不夠，存在很多風險，給各種勒索病毒可乘之機。

“望、聞、問、切、控”醫院安全問題

“望”——查看信息安全建設情況，了解已有安全防護措施。查看醫院信息化建設情況，重點關注信息安全建設情況。查閱醫院信息安全方針文件、規章制度及相關過程管理記錄，查閱信息系統安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、網絡圖表、配置管理文檔等，了解和掌握醫院信息系統安全防護機制建設情況。

“聞”——聆聽醫院信息安全愿景，明確信息安全建設目標。訪談醫院信息安全管理者，聆聽他們對醫院信息安全的愿景，包括安全管理機構設置、安全崗位職責分工、信息安全工作目標等。與醫院安全運維相關人員交流，聆聽他們對安全運維工作的改進建議，包括運維方式、運維流程等。通過這些方面的訪談交流，從而明確出醫院信息安全的建設目標。

“問”——詢問信息安全相關人員，把脈信息安全工作痛點。與醫院信息安全相關人員進行深入交流，了解和掌握醫院在信息安全投入、制度頂層設計、安全防護機制建設、系統安全運維、安全意識教育等方面存在的突出問題，把脈醫院信息安全工作的痛點。

“切”——依據網絡安全相關標準，評估醫院信息安全現狀。依據國家網絡安全相關技術標準，參照醫療領域安全防護最近實踐，從技術和管理兩個方面對醫院信息系統進行全面的安全防護能力評估，準確掌握醫院信息系統安全防護現狀，以及與國家相關技術標準之間的差距，為下一步開展信息系統安全防護能力建設整改奠定基礎。

“控”——多措并舉加強安全防護，建立信息安全保障體系。針對醫院信息系統存在的安全問題，從技術和管理兩個方面開展系統安全防護能力建設，建立滿足醫院需求的信息安全保障體系。技術方面重點關注邊界安全防護、網絡訪問控制、身份鑒別、安全審計、數據備份恢復等，管理方面重點關注制度頂層設計、安全崗位職責分工、安全管理制度建立等。

2.部署雙（多）因素認證

3.保證數據安全

GB/T 22239-20XX 《信息安全技術 網絡安全等級保護基本》

8.1.4.6 數據完整性

本項要求包括：

a) 應采用校驗技術或密碼技術保證重要數據在 傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息

鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；

b) 應采用校驗技術或密碼技術保證重要數據在 存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。

8.1.4.7 數據保密性

本項要求包括：

a) 應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息鑒別數據、重要業務數據和重要個人信息等；

b) 應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。

4.提高系統災難恢復能力

系統災難恢復的實踐建議：

① 系統數據備份

● 應用程序及配置文件

● 中間件配置文件

● 數據庫系統備份

● 操作系統配置信息

② 系統部署完畢并正常運行后，做好所有服務器的災難鏡像及恢復演練工作 。

③ 條件允許情況下熱備關鍵服務器，如Web服務器、中間件服務器和數據庫服務器。

5.提高系統源代碼質量

GB/T 22239-20XX《信息安全技術網絡安全等級保護基本》

8.2.3.5 外包軟件開發

本項要求包括：

a) 應在軟件交付前檢測其中可能存在的惡意代碼；

b) 應保證開發單位提供軟件設計文檔和使用指南；

c) 應保證開發單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

6.防范特種木馬或新型網絡攻擊

GB/T 22239-20XX 《信息安全技術網絡安全等級保護基本要求》

8.1.2.5 入侵防范

本項要求包括：

a) 應在關鍵網絡節點處檢測、防止或限制 應在關鍵網絡節點處檢測、防止或限制從外部發起 的網絡攻擊行為；

b) 應在關鍵網絡節點處檢測、防止或限制 應在關鍵網絡節點處檢測、防止或限制從內部發起 的網絡攻擊行為；

c) 應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；

d) 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

特種木馬或新型網絡攻擊產生的問題：

① 長期潛伏在系統中，隨機、定時或關鍵時刻激活。

● 國家兩會期間

● 國家其他重大活動期間，如國慶閱兵、APEC會議和互聯網大會等等

● 國際政治敏感期間

② 竊取業務系統高敏感、海量數據。

③ 刪除重要業務數據且無法恢復。

④ 監控網絡通信，包括聊天記錄、短信、通話聯系人、網絡音視頻窺視等等。

加強人員技能培訓，提高人員攻防能力。因為攻防對抗的本質是“人與人”的對抗，以人為本是網絡安全體系建設的根本！

總結

有人曾吐槽，安全工作好比是一丑遮百好，醫院也一樣，宣傳工作再多、醫療水平再高，一旦失去了安全保障，一切都無從談起。等保2.0時代，信息安全從業者身上擔負的責任更重了，安全工作一定要做到前面，以實施等級保護為契機，使醫院信息網絡安全上一個新的臺階。

現在醫院已經全部聯網，安全威脅指數直線上升，相關從業人員更應該通過等級保護學習新知識、新技術，在內網系統的安全規劃和建設以及綜合防護方面，提升技術能力和水平，做好等保合規性工作? ，完善醫院的信息化建設，保證重要數據完整、內網核心業務連續，構筑醫療信息系統安全壁壘！

（來源：e安在線）