5. 专网被攻击，58家医院连锁感染勒索病毒

事件概述

某日，某地骨科医院爆发勒索病毒，不到一天，全省另外57家医院相继爆发勒索病毒，每家医院受感染服务器数量为3-8台不等，受灾医院网络业务瘫痪，无法正常开展诊疗服务。

现场排查显示，此次事件可认定为人工投毒，感染的病毒为Globelmposte家族勒索病毒，受感染医院专网前置机因使用弱口令而被暴破，在成功感染第一家医院后，攻击者利用卫生专网暴破3389登录到各医院专网前置机，再以前置机为跳板向医院内网其他服务器暴破投毒，感染专网未彻底隔离的其他57家医院。

通过本次安全事件，医院信息系统暴露了诸多安全隐患，包括未定期开展安全评估工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍需加强等。

系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现
禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制
有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口
部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据
后续完善强化安全域划分与隔离策略；修改弱密码；关闭防火墙一切不必要的访问端口；配置完善全流量采集分析能力
构建安全行业生态合作，有效利用威胁情报和应急服务，提升安全防护和处置水平