山石网科医疗核心系统勒索病毒安全防护解决方案

---

安全需求

自从WannaCry爆发以后，勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器，尤其是以弱口令爆破远程登录服务器、再植入勒索病毒的攻击方式最为常见。在近年来众多勒索病毒事件中，专门治病疗毒的医院却成为病毒感染重灾区，网络安全事故真正开始威胁生命安全。国内外频繁发生的医院遭受黑客攻击事件再次提醒，各大医院应该有意识地加强安全措施应对各种威胁，同时提供更加完善的应急方案保证紧急情况下的正常就医。

医院及医疗核心系统面临的安全问题：

• 高危未知漏洞及风险无法准确监测
• 外网区域边界容易被攻击绕过突破
• 终端PC系统老旧、不易升级打补丁
• 内部数据中心虚拟主机存在安全漏洞

解决方案

该方案以医院网络的基本结构为基础，充分考虑医院内网、外网勒索病毒攻击、防护的相关安全细节，从外到内全方位安全防护。

边界安全防护设计：

采用下一代智能防火墙技术对僵尸主机IP、暴露端口进行策略优化调整，防止黑客利用暴露的端口直接进入内部系统。入侵防御技术采用了大量基于攻击原理的新型检测技术，确保设备抵御未知漏洞攻击的能力，对L2-L7层攻击进行防御。新一代防火墙技术具备高级威胁检测能力，并能够和云沙箱技术及云端威胁情报能力与防火墙、入侵防御产品协同联动，形成整个边界安全防护闭环。

内网安全防护设计：

采用新一代威胁检测、网络流量分析技术，事前对内网网络流量、PC终端流量交互所产生的异常行为、未知威胁和风险进行分析和告警，事中对变异的勒索病毒样本或者攻击手段进行检测和分析，事后能够对整个攻击链进行溯源。同时采用主动探测、漏洞扫描技术，对内部资产进行探测、脆弱性评估、Webshell基线核查、网站监测，梳理整个内部资产及漏洞，形成整个内网脆弱性态势展现；

终端安全防护设计：

采用终端安全防护技术，对内外网PC终端进行杀毒、补丁更新等一体化安全管理，实时更新补丁杀毒，提高终端自身安全防护能力；同时采用EDR技术，结合自身的检测能力，对PC终端流量、进程、恶意文件、MD5等进行检测和分析，对勒索病毒变异攻击所产生的未知风险进行告警和风险，形成整个溯源闭环。

虚拟化（私有云）安全防护设计：

山石网科的“零信任、微隔离”架构体系为虚拟化提供全方位的安全防护。采用专利引流技术（发明专利ZL201410300904.6），实现网络微隔离。通过全面可视化技术，将内网虚拟数据风险、业务、流量、资产全面可视，让勒索病毒无所遁形；通过多维度的虚拟化安全防护技术，从网络病毒防护、Web攻击、URL攻击、入侵防御等方面对虚拟化环境下的业务系统进行全面防护。

安全服务：

基于PPDR医疗全生命周期动态防护模型，形成“预测”、“防御”、“监控”、“回溯”四阶段。结合医疗安全突发安全事件处置（如勒索病毒、挖矿所造成的大面积的C2C网络横向扩散，医疗单位无法形成有效杀毒覆盖及病毒清理）、业务系统攻击事件进行及时有效的安全应急方案及安全处置方案实施。通过服务打通产品形成整个勒索病毒解决防护闭环。