HIT专家网
来源:HIT专家网 作者:南京医科大学第二附属医院柳明
勒索病毒,大概是进入2018年之后最火热、最令人恐惧、最被人津津乐道的安全威胁了。它的影响之广、攻击力之强、恼人程度之深是较为罕见的。医疗行业也未能幸免,频频有医院中招,轻则处于半瘫痪状态,重则登上新闻黄金档。如何防范、应对来势汹汹的勒索病毒,很多途径都有详细讲解,这里不再赘述。本文尝试从其他角度看待这一安全事件。
图1是国内某大型HIT厂商发给各医院客户的关于防范勒索病毒的通知截图。通知中重点强调了关闭3389端口或只对特定IP开放。3389端口是啥?百度百科的解释是:它属于Windows远程桌面的初始端口,一般用于Windows Server版操作系统上。通过这个端口,可以使用“远程桌面”等连接工具来控制目标服务器。
图1 防范勒索病毒的通知截图
远程服务是系统维护的首要方式
说到这里,有的看官会说,既然这么紧张3389端口,干脆关闭了不是最彻底?其实不然,让我们来唠一唠为什么要使用远程桌面。
对医院来说,大部分软件是购买厂商的成熟产品。主动权不在自己手中,有了问题就得找厂商解决,但是并不是所有医院都有驻场工程师,也不是所有厂商都愿意驻场。平时碰上个急茬,如果等着工程师赶来现场处理,那临床科室肯定不答应。思来想去,远程处理确实是可行的方法。
就厂商而言,用最小成本追求最大利润是亘古不变的铁律,人力成本自然需要考虑。战线拉长了、摊子铺大了、客户变多了,服务方式就得调整。每个客户那里都驻扎工程师不现实,有了问题就让工程师出外勤恐怕差旅费也吃不消,于是远程处理成为首选方式。
作者于2018年初进行了一次面向医院的信息系统在线调研,回收的数据覆盖了新疆、重庆、北京、上海、云南、浙江、湖南、辽宁、江苏、河南等18个省(直辖市)。其中在系统维护方式上,远程占据了首位(如图2)。这从侧面印证了远程处理已经被甲乙双方共同认可。
图2 医院信息系统维护方式
强自身最重要
一方面远程处理性价比最高,另一方面勒索病毒对远程穷追猛打。面对突出的矛与盾,医院信息中心是不是该做点儿什么?其实说白了,强自身最重要。如何做?除了加强信息网络安全建设(业内黄昊主任是专家,此处直接省去几千字)之外,我觉着有这么两条可以参考。
1. 适度自行研发
专业的事交给专业的人做没错,做事讲究团队配合也没错。不少医院都认为,信息中心要开发干啥,市面上都有现成的,花钱买好了。但是我始终认为,医院信息中心保留若干开发人员还是有必要的。外围的、个性化的小程序,各种接口由开发人员来做,既省了银子(包括购置费、维保费),有问题也可以自己解决,响应及时度还高。毕竟主动权在自己手里最安心。
2. 加强学习
殊不知,有些医院信息中心已经习惯了有问题打个电话,之后把远程打开,剩下的交给厂商工程师了。长此以往,有业务生疏、技能荒废的危险。另外,厂商工程师不会也不可能坐在那儿专门处理一家医院的问题,有时他们在赶路,根本不具备远程条件。
身为信息中心工程师,应该对自己所辖项目的情况了如指掌,包括但不限于各类账号密码、服务器地址、位置、数据库类型、表结构、核心表关联情况、常见问题处理方法等等。如果都等着厂商远程解决,估计领导的电话早被打爆了。学习,学习,再学习。平时的问题你能处理个八九不离十,自然就用不着远程咯。
面对勒索病毒,我们不能因噎废食,一刀切了所有远程途径;也不能盲目自信,认为安全措施一定无懈可击。不断提升信息中心自身实力,配合谨慎、认真的工作态度,相信可以将勒索病毒及其他安全威胁带来的风险降至最低。
【作者简介】
柳明:八零后,南京医科大学第二附属医院信息科工程师。奋战在HIT第一线,得过课题(国自然够不上),发过论文(SCI还没有),拿过软件著作权证书(还不够多),写过专栏(作家谈不上),带过学生(没几个)。以追求极致的态度对待每一件事情,力争保稳定、讲数据、要实效。欢迎来拍砖。
想加入HIT专家网专业交流群?请添加“HIT专家网”小助手微信好友后提交你的申请哦
(请注明姓名、单位名称、职务、主管技术或产品领域,以便有针对性加群交流)
【责任编辑:谭啸】
评论前必须登录!
注册