醫(yī)療行業(yè)網(wǎng)絡安全分析及措施

復旦大學附屬腫瘤醫(yī)院 王駿杰

一、國內(nèi)外醫(yī)療行業(yè)近年網(wǎng)絡安全事件

在國際上，發(fā)生了多起因網(wǎng)絡安全導致的重大危害事件，甚至造成了政府部門的倒臺。比如，2007年4月至5月間，愛沙尼亞遭受全國性網(wǎng)絡攻擊，大量網(wǎng)站被迫關(guān)閉。2010年伊朗核設施遭受“震網(wǎng)”病毒攻擊，導致1000多臺離心機癱瘓，無法工作。“震網(wǎng)”病毒攻擊癱瘓物理設施，這個病毒使用了4個0day漏洞組成，并且能自動判斷設備的型號來發(fā)起攻擊，引起世界的震動。2015年12月23日，烏克蘭電力基礎設施遭受到惡意代碼攻擊，導致大面積地區(qū)數(shù)小時的停電事故，造成嚴重社會的嚴重恐慌。2018年，在西班牙“Denis.K”團伙通過釣魚郵件控制ATM設備，造成40多個國家的銀行總計10億美元的損失。這些具備信息戰(zhàn)水平的網(wǎng)絡安全攻擊，所帶來的慘痛教訓以及所反映的共同問題，就是網(wǎng)絡安全防護工作沒有跟上信息化的腳步，使得國家政權(quán)、基礎設施、社會生活和大量資產(chǎn)面臨極大的安全風險。

在醫(yī)療行業(yè)同樣如此，隨著新冠疫情在全球蔓延，針對醫(yī)療行業(yè)的各類網(wǎng)絡安全攻擊事件愈演愈烈。不同于其他關(guān)鍵信息基礎設施行業(yè)，醫(yī)療衛(wèi)生系統(tǒng)更關(guān)系到人們的生命安全。醫(yī)療行業(yè)的特殊性質(zhì)也使得它們成為攻擊者關(guān)注的重點，以此獲得更豐厚的回報。一篇Verizon發(fā)布的網(wǎng)絡安全報告顯示，在全世界范圍內(nèi)，醫(yī)療行業(yè)是內(nèi)部威脅高于外部威脅的一個行業(yè)，內(nèi)部從業(yè)人員對醫(yī)療數(shù)據(jù)的泄露達到了驚人的程度。

該報告稱內(nèi)部人員泄露信息的原因主要有三個：一是受經(jīng)濟利益驅(qū)使；二是處于好奇而窺視名人的隱私信息；三是因為這些信息觸手可及。除了“內(nèi)鬼”，黑客攻擊是醫(yī)療信息另一個安全隱患。眼保健集團Luxottica受到了黑客入侵，4天時間竊取了多達829萬名患者的處方、健康保險詳細信息、預約日期和時間、信用卡信息。而且我國也同樣如此。廣東、重慶多家三甲醫(yī)院服務器被黑客入侵，攻擊者暴力破解醫(yī)院服務器的遠程登錄服務，之后利用有道筆記的分享文件功能下載多種挖礦木馬。攻擊者將挖礦木馬偽裝成遠程協(xié)助工具Teamviewer運行，攻擊者的挖礦木馬會檢測多達50個常用挖礦程序的進程，將這些程序結(jié)束進程后獨占服務器資源挖礦。該挖礦木馬還會通過修改注冊表，破壞操作系統(tǒng)安全功能：禁用UAC（用戶賬戶控制）、禁用Windows Defender，關(guān)閉運行危險程序時的打開警告等等。據(jù)有關(guān)機構(gòu)統(tǒng)計分析，我國醫(yī)療機構(gòu)開放遠程登錄服務的比例高達50%，這意味著有一半的服務器可能遭遇相同的攻擊。

而勒索軟件，醫(yī)療行業(yè)也是其重災區(qū)。醫(yī)院和一些醫(yī)療機構(gòu)的重要性成為其“脆弱”的主要原因。一旦醫(yī)院受到攻擊，短暫的系統(tǒng)停擺都會造成重大的災難，關(guān)乎患者的性命，正因為如此，醫(yī)院一直是勒索軟件的主要攻擊目標之一，因為他們不敢不支付贖金。此外，隨著物聯(lián)網(wǎng)滲透到醫(yī)療領域的各個層面，暴露在聯(lián)網(wǎng)設備上的數(shù)據(jù)也為惡意分子發(fā)起攻擊提供了更多的可能，而醫(yī)療數(shù)據(jù)價值高、勒索金額巨大也吸引著惡意分子。據(jù)了解，從2018年開始，我國醫(yī)療體系遭受攻擊的頻率就呈明顯上升趨勢。國內(nèi)曾出現(xiàn)過多起醫(yī)院遭遇勒索病毒的事件，攻擊者入侵醫(yī)院信息系統(tǒng)，導致部分文件和應用被病毒加密破壞，影響醫(yī)院正常運行，患者無法正常接受治療。目前，在新冠病毒感染患者的確認、治療關(guān)鍵時期，一旦勒索病毒入侵醫(yī)院，發(fā)生干擾CT掃描、竊聽診療信息或劫持系統(tǒng)的情況，可能造成難以挽回的傷害。

挖礦木馬，這是一類利用漏洞入侵計算機，并植入挖礦軟件以挖掘加密數(shù)字貨幣的木馬。2018年7月，騰訊御見威脅情報中心監(jiān)測到多家醫(yī)院服務器被黑客入侵，攻擊者暴力破解醫(yī)院服務器的遠程登錄服務，之后利用云分享文件功能下載多種挖礦木馬，挖山寨加密幣。從而導致醫(yī)院業(yè)務系統(tǒng)性能變差、速度變慢，因而錯過患者的黃金診療時間。醫(yī)院的“業(yè)務”是什么?救死扶傷。而挖礦木馬的運行不僅會導致計算機CPU占用明顯增加、系統(tǒng)卡頓，甚至會使業(yè)務服務無法正常使用。另一方面，挖礦木馬為了不被清除，還會通過防火墻配置、修改計劃任務等方式進行安全對抗，再次影響業(yè)務的開展。在《2019健康醫(yī)療行業(yè)網(wǎng)絡安全觀測報告》中，被觀測的15339家醫(yī)療健康相關(guān)單位中近400家單位已經(jīng)存在挖礦木馬。其中，此次疫情重災區(qū)湖北省，在報告中“醫(yī)療行業(yè)網(wǎng)絡安全現(xiàn)狀”的風險級別為“較大風險”，即威脅種類較多、攻擊頻率較高，存在較多安全隱患。報告還對各省單位存在僵木蠕等惡意程序的占比情況進行了對比分析，湖北省同樣處在占比最高的序列。

對醫(yī)療行業(yè)的網(wǎng)絡安全隱憂，并不是無稽之談。在挖礦木馬消耗計算機資源、醫(yī)療設備資源的背景下，甚至并不排除這類網(wǎng)絡攻擊引發(fā)延誤診療的可能。

二、醫(yī)療行業(yè)網(wǎng)絡現(xiàn)狀分析

（1）目前“互聯(lián)網(wǎng)+醫(yī)療”、大數(shù)據(jù)、移動化、平臺化以及云計算等新業(yè)務的發(fā)展，打破傳統(tǒng)的防護體系，更多的醫(yī)療系統(tǒng)漏洞暴露于公眾視野下。床頭卡、監(jiān)護儀、輸液泵、攝像頭等物聯(lián)網(wǎng)新客戶端也進入醫(yī)院的網(wǎng)絡系統(tǒng)。

（2）醫(yī)院信息工作繁重，網(wǎng)絡安全專業(yè)人才少，整體網(wǎng)絡安全意識不強。工作龐雜，單個信息中心難以推動網(wǎng)絡安全的發(fā)展，并且跨部門協(xié)調(diào)流程多，效率較低，以及團隊之間職責分工不明確。

（3）供應商數(shù)量眾多且安全意識薄弱，為醫(yī)院帶來潛在風險。一家醫(yī)院內(nèi)除了醫(yī)護人員、行政人員，會有保安、保潔或者第三方供應商駐場人員，人員構(gòu)成復雜以及流動性大。

（4）醫(yī)院的預警、感知、溯源、風險識別、漏洞管理等能力較為薄弱；設備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統(tǒng)的一般方法首先是猜測或爆破登錄口令然后再進行其他破壞操作。身份鑒別是設備和軟件安全的重要模塊，使用復雜密碼，可以有效阻止三分之一以上的網(wǎng)絡攻擊行為；互聯(lián)網(wǎng)邊界防護策略過于寬松，邊界完整性破壞，導致高危系統(tǒng)錯誤暴露；應用系統(tǒng)缺陷，對外發(fā)布的系統(tǒng)存在缺陷，易被攻破；內(nèi)部網(wǎng)絡隔離失效，導致攻擊者可以間接攻擊高價值資產(chǎn)；內(nèi)部安全意識淡薄，被有心人有機可乘，非授權(quán)獲取數(shù)據(jù)；內(nèi)部管控策略失效，越權(quán)竊取數(shù)據(jù)，蓄意泄露。

三、措施及建議

（1）建立新的網(wǎng)絡安全防護體系，核心資產(chǎn)具備“縱橫”防御體系；梳理業(yè)務流量，保證所有流量都在防御體系的監(jiān)控范圍內(nèi)；設備防御能力合理搭配，防御能力覆蓋前面（應用、網(wǎng)絡、主機）；設備特點相互補充，進行冗余部署；盡量實現(xiàn)自動化封禁；應急響應流程明確。

（2）高層領導重視是前提條件，跨部門團結(jié)合作是必備條件，組織攻防項目組，覆蓋測試、開發(fā)、應用、運維多個部門。增強醫(yī)務工作者網(wǎng)絡安全意識，定期開展網(wǎng)絡安全培訓，養(yǎng)成良好的安全習慣。

（3）加強供應商及第三方駐場人員管理：配備專用運維計算機，供廠商用于日常信息系統(tǒng)開發(fā)、運維工作；專用運維計算機按照“最小化”安裝原則進行軟硬件適配；通過技術(shù)措施，禁用相關(guān)接口，達到“數(shù)據(jù)可以使用，但無法帶走”的目的；通過部署堡壘機等技術(shù)手段，對所有運維操作保留記錄；通過準入控制設備、IP/MAC綁定等措施禁止個人/供應商電腦接入本單位網(wǎng)絡；運維人員進出機房等重點區(qū)域必須登記；專人定期檢查已經(jīng)結(jié)束運維服務的運維人員的訪問權(quán)限回收情況。

相關(guān)鏈接

由于基礎設施建（僅表示信息化基礎）設不到位，中國的醫(yī)療信息化建設主要集中在大城市的大醫(yī)院（中國有1300家左右的三甲醫(yī)院，醫(yī)療信息化大多集中于此），在中小城市、特別是縣、鄉(xiāng)鎮(zhèn)醫(yī)院除了辦公自動化之外，對信息化建設是有心無力，而本次醫(yī)改的一個重要特點，就是將加強基層醫(yī)療，擴大基本醫(yī)療保障覆蓋面，醫(yī)療信息化在這方面發(fā)揮著重要作用，本次醫(yī)改使得醫(yī)療信息化的主體從此前的單個的醫(yī)院轉(zhuǎn)向了片區(qū)整合。

更多人首選社區(qū)醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院和診所就診。

共同體一般會建設一個共同體協(xié)管中心，共同體協(xié)管中心是醫(yī)院、社區(qū)醫(yī)院、衛(wèi)生院和診所的信息聚集點，使患者就診信息的雙向傳遞成為可能。

共同體的建設提升了社區(qū)醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院和診所的服務水平，能夠有名醫(yī)會診，可以雙向轉(zhuǎn)診，大大降低了患者就醫(yī)的風險，越來越多的患者開始了首診就醫(yī)在社區(qū)，中小醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院或診所。

共同體協(xié)管中心是整個共同體的信息聚集點和協(xié)調(diào)部門，共同體的建設處于試點階段，尚未全面實行。