一、三甲医院行业数据防勒索共识探讨背景

2017年勒索病毒大规模爆发以来，对数据安全最大的威胁是勒索病毒，这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，需要拿到解密的私钥才有可能破解，拿到私钥则要支付高额的赎金。特别是近年来，新一代的勒索病毒的功能越来越强，出现了大量新型的勒索病毒。许多勒索病毒通过代码混淆等手段实现自身的隐藏，对用户数据信息、个人隐私等造成了较大的威胁。勒索病毒的发展趋势开始呈现出攻击多样性、多功能性、欺诈性乃至自我更新等特点。此外，暗网勒索病毒制作技术的公开、专业化勒索病毒制作工具的出现，极大的降低了勒索病毒的制作成本和犯罪成本，使得勒索病毒呈现出逆向追踪困难和赎金收益效果高的特点，进一步推动了勒索病毒的传播与发展。

目前，医疗行业频遭勒索病毒威胁，一旦破防，核心生产数据库文件会被修改为加密文件，造成医疗信息系统瘫痪，只有获取解密私钥才有可能对文件进行解密从而恢复医疗秩序。黑客正是通过这样的手段向受害用户勒索高昂赎金，这些赎金必须通过数字货币支付，很难溯源，因此危害巨大。

因此基于twt社区平台，多家医疗行业信息化的专家共同围绕主题：三甲医院PACS影像系统的数据安全防勒索措施进行了线上深入的讨论，突显了医疗行业中数据安全的重要性。为保障患者数据的安全和完整性，我们不断探索和更新技术手段。面对日益猖獗的勒索软件攻击，医疗机构需采纳多层防御策略以确保医疗数据的安全。重点讨论了保护医院PACS影像系统免受勒索软件攻击的技术路线，分享了最新如何基于NAS存储的安全解决方案、技术趋势和对抗不断进化的勒索攻击的最佳实践。会议吸引了医疗、信息技术和安全领域的众多专家，他们共同探讨了保护医疗数据的关键策略。

二、 共识结果：基于NAS存储技术路线实现三甲医院PACS影像系统数据安全防勒索的是必要的

1.传统防勒索技术手段如终端防病毒软件、网络隔离等仍然至关重要，但面对日益复杂的勒索威胁，我们需采纳新的技术方案和多层防护措施，以加强PACS影像系统的数据安全。这包括综合运用各种技术、加强数据备份及恢复、提升员工的安全意识和培训，以及与领先厂商合作，获取最新的安全解决方案。如下是社区48位用户对PACS系统影像系统数据安全防勒索技术路线调研结果（来自社区行业投票：https://www.talkwithtrend.com/Poll/465949 ）：

（1） 终端防病毒软件（23.6%）：被普遍认为是保护终端设备数据不受恶意软件和勒索病毒攻击的关键措施。
（2） 网络隔离（22.1%）：通过分隔网络段或限制访问来确保数据安全，有效预防恶意侵入和数据泄漏。
（3） 全量数据备份（20.7%）：定期备份数据，以便在受到攻击时迅速恢复。
（4） IP访问控制（14.3%）：通过控制特定IP地址的系统访问，增强数据安全。
（5） 入侵检测系统（IDS）（11.4%）：监测网络和系统行为，检测异常活动和潜在入侵。
（6） 存储设备防勒索（4.3%）：保护存储数据免受攻击。
（7） 数据库防勒索（2.1%）：专门保护数据库免受数据泄露和勒索攻击。
（8） 服务器虚拟化防勒索（1.4%）：利用虚拟化环境提供额外安全性。

2.超过（78.4%）的用户支持基于NAS存储技术来增强医院PACS影像系统的数据安全防勒索（数据来自社区行业投票：https://www.talkwithtrend.com/Poll/465951 ），反映出对该技术路线的高度认可和实践可行性。大多数人认为这是一种有效的解决方案，可在当前医疗行业中广泛应用，保护医院影像数据不受勒索软件威胁。

三、 基于NAS存储技术路线如何实现PACS影像系统数据防勒索的技术原理剖析

在PACS系统中实行数据防勒索措施是一种有效的解决方案，其技术原理主要包括以下几个关键方面：首先，数据加密技术用于保护存储和传输过程中的敏感信息；其次，身份验证和访问控制机制确保只有授权用户才能访问敏感数据。接着，版本控制和快照技术允许记录和恢复数据的历史版本，增强数据恢复能力。网络隔离和Air Gap技术通过在关键系统和外部网络之间建立物理或逻辑隔离，有效减少被网络攻击的风险。安全更新和漏洞修补是对系统软件和硬件进行持续安全加固的重要环节。此外，异常检测和行为分析通过监控网络和系统活动，识别并预防潜在的威胁。最后，完善的数据备份和恢复策略确保在数据遭受攻击或损坏时，可以迅速恢复业务运行。这些措施共同构成了PACS系统数据防勒索的全面解决方案。

核心关注点一：PACS影像数据的迅速增长对数据长期保存提出了挑战。

关注点共识解读：有效的应对策略包括建立分级存储架构，将数据根据访问频率和重要性分配到不同存储介质；运用数据压缩和去重技术以减少存储空间需求；实施定期备份和容灾计划，确保数据安全。此外，采用可扩展的存储方式，如NAS存储，建立PACS影像的存储池，并利用云存储实现数据的异地备份，可进一步增强数据保存的灵活性和安全性。

核心关注点二：在面对勒索软件攻击时，存储设备如NAS扮演着关键的角色，主要体现在其提供独特的数据安全恢复能力。

关注点共识解读： 虽然存储设备的核心功能是数据存储，但其在防勒索方面的作用不容忽视。首先，需要从传统的单一设备安全防护思维中脱离，构建一个多层次、全方位的安全防护体系。这包括从网络层到应用层、从边界防护到终端安全、以及从架构冗余到数据备份的全面考量。在存储设备层面，关键的防勒索技术包括防篡改技术（如安全快照、WORM），Air Gap（安全隔离）和侦测分析（如黑名单拦截、实时异常行为检测，数据副本深度检测）。这些技术能够在数据被攻击时提供有效的恢复机制，是构建综合安全防护体系的重要组成部分。综合来看，虽然存储设备的防勒索功能并非不可或缺，但它在整个安全防护体系中占据了不可忽视的位置，尤其是在数据恢复和安全备份方面起着至关重要的作用。

核心关注点三：数据存储作为数据安全的最后一道防线，发挥着至关重要的作用。

关注点共识解读： 首先，数据加密是基本的安全措施，通过对数据进行加密处理（如对称加密、非对称加密、哈希加密等方法），确保即便数据被窃取，也难以被未授权方解密和使用。其次，实施严格的访问控制，确保只有授权用户能够访问敏感数据，并定期审核访问权限以保持其有效性。此外，建立健全的数据备份机制（包括实时备份、定时备份、增量备份等）是保证数据完整性和业务连续性的关键。

四、NAS存储技术路线落地PACS系统数据防勒索项目难点探讨与共识

应用NAS存储技术于PACS系统防勒索时，需克服成本、数据迁移、合规性、技术兼容性等挑战，这依赖于各方共识与协作，包括资源投入、整合问题、遵循安全标准、技术集成及提升员工意识。

核心关注点一：设计高效且可靠的备份策略对于确保系统在勒索软件事件中的快速恢复至关重要。

关注点共识解读： 首先，应在存储系统上实施不同的数据保存周期策略，允许在系统受攻击时，迅速回滚数据至之前的健康状态。其次，建立基于Air Gap控制的数据隔离区，确保该区内数据大部分时间离线，从而不受生产区攻击的影响。在这个隔离区内，可以设置更长时间的数据保留策略来应对长期潜伏的勒索软件威胁。此外，在隔离区内搭建虚拟化系统，可以提高数据恢复能力。

核心关注点二： 医院在应对数据安全压力时，采用多种防勒索技术方案是必要的，但这确实可能对PACS系统的性能产生一定影响。

关注点共识解读： 数据加密可以增强数据安全，但加解密过程会增加计算负担；而异常行为检测则需要监控大量系统日志和网络流量，对存储和处理能力提出更高要求。虽然多重防勒索措施在某些环节对性能影响有限，如防篡改功能几乎不影响系统性能，侦测勒索的功能可以在系统空闲时进行，以减少性能损耗，但整体上，安全手段总会对原有业务流程带来一定影响。为解决这一挑战，需要在安全与性能之间寻找一个平衡点。不应为了安全而完全牺牲性能，也不能为了追求高效而忽视安全风险。合理搭配防护手段，提升硬件和网络性能，优化系统架构，是确保医院网络整体安全水平的关键。此外，通过强化网络资产管理、增强人防与机防力度、加强弱口令管理和灾备措施，可以加强医院整体网络安全而不影响系统性能。因此，三甲医院在实施多种防勒索技术时，应权衡各种因素，确保在保障系统安全的同时，尽可能减少对系统性能的影响。

核心关注点三：考虑PACS系统的存储层面防勒索与纯软件方式的成本对比

关注点共识解读：需要从大数据安全防护的整体架构出发。保证数据安全的通用IT架构包括多层防护：从网络边界、网络安全、主机安全、应用安全到数据安全防护。实现有效的勒索软件防护不是依靠单一手段，而是需要多种策略的结合，实现纵深防御和一体化安全建设。从成本角度看，长期使用时，硬件的成本相对较低，但需要综合考虑建设成本、运维成本和周期成本。在勒索软件攻击面前，这些成本变得微不足道。因此，在制定防勒索策略时，不能仅仅出于成本考虑而忽略了数据的安全性。就存储层面与纯软件层实现防勒索的成本而言，因具体实施方案的不同，成本也会有所差异。不能简单判断哪一种方法的成本更高，而应根据具体需求、系统环境和预期效果综合评估。最终，选择适合PACS系统的防勒索策略，旨在实现成本效益最大化的同时，确保数据安全和系统的稳定运行。

五、三甲医院用户群体与领先厂商华为NAS存储水平对话与共识

医疗数据的安全最新解决方案势必离不开优秀厂商的协作完成，因此为了确保数据安全并防范勒索病毒，医院应组织内部IT部门、医学专家以及与优质厂商的技术专家进行深入交流。这样的对话将集中于探讨目前面临的数据安全挑战和需求。同时，供应商的技术团队应提供关于如何利用NAS存储技术以抵御勒索病毒的技术方案。这包括讨论数据备份、数据加密、访问权限控制和入侵检测系统等方面；此外，明确安全性和合规性的要求对于用户群体来说至关重要；至于培训和支持，医院工作人员可能需要接受专业培训以确保他们能够正确操作和维护NAS存储系统，以防止勒索病毒的侵害。

核心关注点一：华为NAS存储防勒索方案与可信执行环境（TEE）在数据安全领域各有特点。

华为医疗数据安全专家解读：TEE依赖于硬件安全的CPU来实现基于内存隔离的安全计算环境，主要用于隐私保护和抵御常规软件攻击。其核心优势在于提供一个安全的执行空间，确保数据处理过程中的隐私和安全性，从而更有效地防止数据泄漏。而华为NAS存储防勒索方案则侧重于防篡改、Air Gap（空隙隔离）和侦测分析等功能，能够针对数据存储行为进行监控，及时发现和响应异常行为，从而防止勒索软件攻击和数据破坏。

核心关注点二：华为在开源软件治理方面采取了多项策略，以确保其NAS存储系统的安全性和可靠性。

华为医疗数据安全专家解读： 首先，华为实施全量统一管理开源软件的BOM（物料清单），通过此举持续量化并控制开源软件的风险。同时，他们建立了漏洞端到端管理工具链，这使得华为能够快速、准确地识别并解决开源软件的安全隐患。此外，基于华为鲲鹏全协议栈的支持，华为构建了一套运行环境，实现了数据的“可用不可见”和“应用空间隔离”，有效保障了数据和隐私安全。这确保开源软件在隐私计算环境中的安全运行。在防勒索方面，华为NAS存储选择安全可靠的开源软件，并及时更新补丁以保持软件安全。此外，他们限制开源软件的使用范围，加强安全管理，包括源代码审查、漏洞扫描和安全测试，并积极参与开源社区，共同维护软件的安全性。同时，华为即将开源open-eBackup备份软件，增强其软硬件生态多样性，提供统一且开放的用户体验。这些综合措施共同强化了华为NAS存储在开源软件治理方面的能力，降低了由开源软件带来的安全风险。

通过这种深入的交流与共识，医院与华为在技术、安全、合规性、支持等多个方面达成一致，有效实施NAS存储解决方案，保护PACS系统不受勒索软件威胁。这种合作不仅是技术层面的对接，也是一种长期的战略伙伴关系，确保系统能随技术进步和医院需求变化而持续演进。

六、全场交流活动的价值总结

本次基于twt社区平台的线上讨论聚焦于三甲医院行业PACS影像系统的数据安全和防勒索措施，凸显了当前勒索病毒对医疗数据安全构成的严重威胁。通过用户群体共识，明确了防勒索技术的重要性和多样性，同时强调了采纳新技术方案和多层防护措施的必要性。特别是基于NAS存储的技术路线，获得了广泛的认可和支持，体现了其在实际应用中的高效性和可行性。

其次，交流会议强调了NAS存储技术在医疗数据安全防护中的重要性，特别是在防篡改、Air Gap隔离和侦测分析方面。超过78.4%的医疗行业用户支持使用NAS存储技术，这反映了对这种技术的高度认可和可行性。

此外，与领先厂商华为的对话进一步加深了对NAS存储解决方案的理解，特别是在开源软件治理方面的策略和措施。这种深入的交流不仅加强了技术层面的合作，也建立了长期的战略伙伴关系，确保了技术解决方案能够适应医院的需求和技术进步。

总体而言，这次线上交流提供了一个多方位的视角来审视和解决医疗数据安全中的勒索软件问题，展现了医疗机构、技术专家和行业领导者之间有效合作的重要性。这不仅促进了对勒索软件威胁的深入了解，也推动了创新和实用的技术解决方案的发展，为保护医疗数据安全提供了宝贵的指导。

课题主持： 潘志强 暨南大学附属第一医院 资深工程师 ，从事医院信息化相关工作十多年，主要负责医院运维协调管理、信息安全与机房设备管理等工作，参编过医院信息化管理专著多篇，发表国内核心期刊论文多篇。

课题协作： pysx0503、sendayang、陈健、gzx001995、nicsen、lium、whwh、强哥、arzee86、zre35、Iorylv、black8hole、张小宝、jingyu、wusiliang82、旧少年、panlonyin、wangdd、sodas233、凌逝、wzjun119、zdan182、falangsige、妙菡_涵、nuxxlg123、麒麟雄风、Fly4793、wangfawang、tjok、黄工程师、63607、ddll2002、czhe、王波、xuzongkai、mingjingyun、sunlimiao、daoguo525、shlei6067、cqhunter

参与本课题协作者来自的医院名单：
广州市红十字会医院、河北省人民医院、武汉儿童医院、重庆市中医院、暨南大学附属顺德医院、安徽医科大学附属阜阳医院、武汉市中心医院 、郑大一附院、广东省中医院、华中科技大学协和深圳医院 、中山大学附属第一医院、北京崇文区妇幼保健院、龙华中心医院、廊坊市人民医院、南京市儿童医院、900医院、武汉协和医院、恩施土家族苗族自治州中心医院、咸宁市中心医院、务川仡佬族苗族自治县人民医院、甘肃省人民医院、监利市人民医院、九江市妇幼保健院、上海长征医院、仙桃市妇幼保健院、暨南大学附属第一医院(广州华侨医院)、广东医科大学附属东莞第一医院、德州市第二人民医院、广州医科大学附属第五医院、宜昌市中心人民医院、甘肃中医院、西安存济医学中心、北京房山区良乡医院、广西民族医院、北京朝阳医院