近年來(lái)�,醫(yī)療行業(yè)信息化快速發(fā)展,互聯(lián)網(wǎng)、大數(shù)據(jù)�、云計(jì)算等新興網(wǎng)絡(luò)技術(shù)與傳統(tǒng)醫(yī)療不斷融合���,促進(jìn)了醫(yī)療服務(wù)水平提升。很多醫(yī)院��、基層醫(yī)療衛(wèi)生機(jī)構(gòu)�、專業(yè)公共衛(wèi)生機(jī)構(gòu)等通過互聯(lián)網(wǎng)提供在線問診�、智能問藥��、藥品快遞到家等服務(wù)�����,減少了接觸傳染的風(fēng)險(xiǎn),增強(qiáng)了就醫(yī)的便捷性�����,提高了優(yōu)質(zhì)醫(yī)療資源的利用效率。但與此同時(shí)�,醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也逐漸增多����。雖各方高度重視�����,但我國(guó)醫(yī)療行業(yè)網(wǎng)絡(luò)安全仍處于工作起步較晚、整體風(fēng)險(xiǎn)較高����、防護(hù)水平相對(duì)落后的局面�,網(wǎng)絡(luò)安全形勢(shì)不容樂觀。
醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻:
Ⅰ.等級(jí)保護(hù)工作落實(shí)情況不佳 自 2017 年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布以來(lái)�����,網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度成為法律要求����,而整個(gè)醫(yī)療行業(yè)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作開展情況一般��。在CHIMA《2018-2019 年度中國(guó)醫(yī)院信息化調(diào)查報(bào)告》中��,參與調(diào)查的 839 家醫(yī)院中僅有 43.95%通過了等級(jí)保護(hù)測(cè)評(píng)���,其中三級(jí)醫(yī)院比例明顯大于三級(jí)以下醫(yī)院�����,三級(jí)以下醫(yī)院中 75%未開展過等級(jí)保護(hù)測(cè)評(píng)��。可以看出醫(yī)院對(duì)網(wǎng)絡(luò)安全愈發(fā)重視��,但整體推進(jìn)態(tài)勢(shì)仍顯緩慢���。醫(yī)療行業(yè)亟需加快落實(shí)步伐�,進(jìn)一步梳理信息系統(tǒng)�,開展等級(jí)保護(hù)測(cè)評(píng)和系統(tǒng)安全加固工作���。
Ⅱ.醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高
1.醫(yī)療行業(yè)網(wǎng)絡(luò)安全隱患普遍存在
根據(jù)《2019 健康醫(yī)療行業(yè)觀測(cè)報(bào)告》數(shù)據(jù),醫(yī)療行業(yè)總體處于“較大風(fēng)險(xiǎn)”級(jí)別�����,存在多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患�,安全防護(hù)能力較弱��。報(bào)告顯示���,通過對(duì) 15339 家醫(yī)療行業(yè)相關(guān)單位的觀測(cè),存在僵尸��、木馬或蠕蟲等惡意程序的單位共計(jì) 1029 家�,應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中的單位有6446 家�,4546 家單位網(wǎng)站存在被篡改安全隱患,其中 261 家單位已發(fā)生網(wǎng)站被篡改情況
根據(jù) 2018 年騰訊智慧安全發(fā)布的《醫(yī)療行業(yè)勒索病毒專題報(bào)告》顯示�����,在全國(guó)三甲醫(yī)院中����,有 247 家醫(yī)院檢出了勒索病毒����,以廣東��、湖北�、江蘇等地區(qū)檢出勒索病毒最多����。2019 年初�,某省幾十家互聯(lián)互通醫(yī)院同時(shí)感染 GlobeImposter3.0 變種勒索病毒而被加密����,GlobeImposter 勒索病毒十分偏愛醫(yī)療行業(yè)����,在眾多感染GlobeImposter 勒索病毒的行業(yè)中����,醫(yī)療行業(yè)占比約50%�����。醫(yī)療行業(yè)信息系統(tǒng)數(shù)據(jù)價(jià)值高����、業(yè)務(wù)連續(xù)性要求強(qiáng)�,成為勒索病毒攻擊的主要目標(biāo)��,極有可能使醫(yī)療單位遭遇巨大經(jīng)濟(jì)損失����。
1.缺乏必要的網(wǎng)絡(luò)安全防護(hù)設(shè)備
根據(jù) CHIMA《2018-2019 年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》顯示��,現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全����,對(duì)網(wǎng)絡(luò)進(jìn)行 VPN/VLAN 劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。醫(yī)院對(duì)網(wǎng)閘���、防入侵、防毒墻等設(shè)備的采用率均小于 50%��?��?梢姶蟛糠轴t(yī)院都缺乏必要的網(wǎng)絡(luò)防護(hù)設(shè)備。
2.缺少必要的系統(tǒng)防護(hù)及數(shù)據(jù)保護(hù)措施
醫(yī)療信息系統(tǒng)中大部分的服務(wù)器操作系統(tǒng)安裝了防病毒軟件���,主要應(yīng)用服務(wù)器采用雙機(jī)熱備或者集群部署,減少了服務(wù)器宕機(jī)帶來(lái)的故障����,但缺少必要的網(wǎng)絡(luò)準(zhǔn)入機(jī)制����,對(duì)接入網(wǎng)絡(luò)的終端沒有進(jìn)行 IP 限制,也沒有必要的認(rèn)證機(jī)制�����。
近年來(lái)���,國(guó)內(nèi)外由于醫(yī)療信息系統(tǒng)被入侵而導(dǎo)致的信息泄露事件多次發(fā)生。2016 年 7 月�����,白樺林全國(guó)聯(lián)盟共接到來(lái)自 30 多個(gè)省份至少有 275 位艾滋病患者的個(gè)人信息遭到泄露而導(dǎo)致的詐騙報(bào)告��。2017 年 10 月�����,杭州某科技公司在承接某疾病預(yù)防控制部門網(wǎng)站信息化建設(shè)時(shí)�,從部門網(wǎng)站上非法下載接種疫苗兒童及其家長(zhǎng)個(gè)人信息共計(jì) 370 余萬(wàn)條�,造成了極其惡劣的影響��。惡意攻擊事件頻繁發(fā)生�����,數(shù)據(jù)泄露成為家常便飯��,醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻�。
以上內(nèi)容來(lái)源于:中國(guó)軟件評(píng)測(cè)中心·網(wǎng)絡(luò)空間安全測(cè)評(píng)工程技術(shù)中心《醫(yī)療行業(yè)網(wǎng)絡(luò)安全白皮書(2020年)》
目前醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)面臨的主要安全問題如下:
網(wǎng)絡(luò)出口邊界區(qū)域缺少相應(yīng)的入侵防護(hù)系統(tǒng)�����,無(wú)法對(duì)來(lái)自外部的蠕蟲��、木馬��、病毒�����、惡意軟件及僵尸網(wǎng)絡(luò)進(jìn)行安全防護(hù);
在互聯(lián)網(wǎng)邊界區(qū)域缺乏相應(yīng)的防病毒系統(tǒng)����,無(wú)法對(duì)來(lái)自互聯(lián)網(wǎng)的惡意代碼攻擊�����、病毒等進(jìn)行檢測(cè)和攔截���;
在內(nèi)部網(wǎng)絡(luò)中缺乏相應(yīng)的安全審計(jì)系統(tǒng),無(wú)法對(duì)內(nèi)部的網(wǎng)絡(luò)行為��、服務(wù)器訪問操作行為等進(jìn)行審計(jì)和日志記錄�����;
在Web類服務(wù)器前端缺少相應(yīng)的Web安全防護(hù)設(shè)備�����,無(wú)法對(duì)針對(duì)Web服務(wù)器的SQL注入�、跨站腳本(XSS)�、跨站偽造攻擊等進(jìn)行安全防護(hù)�,同時(shí)缺乏相應(yīng)的網(wǎng)頁(yè)防篡改系統(tǒng);網(wǎng)絡(luò)內(nèi)部缺乏漏洞掃描設(shè)備���,無(wú)法對(duì)內(nèi)部服務(wù)器系統(tǒng)進(jìn)行漏洞掃描及漏洞管理�;
在內(nèi)部網(wǎng)絡(luò)缺乏相應(yīng)的運(yùn)維審計(jì)系統(tǒng)��,無(wú)法針對(duì)內(nèi)部服務(wù)器��、數(shù)據(jù)庫(kù)�、網(wǎng)絡(luò)設(shè)備及安全設(shè)備進(jìn)行統(tǒng)一的安全運(yùn)維��;內(nèi)部重要服務(wù)器上沒有安裝防病毒系統(tǒng)�,無(wú)法對(duì)服務(wù)器進(jìn)行安全防護(hù)���,容易遭受病毒的攻擊。
國(guó)家層面極其重視醫(yī)療衛(wèi)生行業(yè)信息安全問題����,醫(yī)療行業(yè)等保工作要求歷程如下:
2011年�����,《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》衛(wèi)辦綜函【2011】1126號(hào)
要求三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全保護(hù)等級(jí)不低于第三級(jí)(第三級(jí)為安全標(biāo)記保護(hù)級(jí)�����,它要求對(duì)訪問者和訪問對(duì)象指定不同安全標(biāo)記�,監(jiān)督、限制訪問者的權(quán)限���,實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問控制),同時(shí)要求各醫(yī)院于2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作��,并通過等級(jí)測(cè)評(píng)��。
《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》衛(wèi)辦發(fā)【2011】85號(hào)
規(guī)定了三級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)(可由各省衛(wèi)健委自己定義)必須通過等保三級(jí)測(cè)評(píng),二級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)必須通過等保二級(jí)測(cè)評(píng)�����。
2014年�����,《人口健康信息管理辦法(試行)》國(guó)衛(wèi)規(guī)劃發(fā)〔2014〕24號(hào)
第十六條 責(zé)任單位應(yīng)當(dāng)做好人口健康信息安全和隱私保護(hù)工作���,按照國(guó)家信息安全等級(jí)保護(hù)制度要求,加強(qiáng)建設(shè)人口健康信息相關(guān)系統(tǒng)安全保障體系�,制定安全管理制度、操作規(guī)程和技術(shù)規(guī)范�,保障人口健康信息安全。
2016年�,《人口健康信息管理辦法(試行)》國(guó)衛(wèi)規(guī)劃發(fā)〔2014〕24號(hào)
第十六條 責(zé)任單位應(yīng)當(dāng)做好人口健康信息安全和隱私保護(hù)工作���,按照國(guó)家信息安全等級(jí)保護(hù)制度要求��,加強(qiáng)建設(shè)人口健康信息相關(guān)系統(tǒng)安全保障體系,制定安全管理制度���、操作規(guī)程和技術(shù)規(guī)范�����,保障人口健康信息安全。
2017年���,《政府網(wǎng)站發(fā)展指引的通知》國(guó)辦發(fā)【2017】47號(hào)文
被列為關(guān)鍵信息基礎(chǔ)設(shè)施的政府網(wǎng)站要在嚴(yán)格執(zhí)行等級(jí)保護(hù)的基礎(chǔ)上��,實(shí)行重點(diǎn)保護(hù)�,不得使用未通過安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。醫(yī)院作為關(guān)鍵信息基礎(chǔ)設(shè)施�����,應(yīng)按照此要求定期開展安全評(píng)估����。
2018年�����,《關(guān)于印發(fā)醫(yī)療質(zhì)量安全核心制度要點(diǎn)的通知》國(guó)衛(wèi)醫(yī)發(fā)【2018】8號(hào)文件
第18條明確指出:醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系�,完善組織架構(gòu)�����,明確管理部門�����,落實(shí)信息安全等級(jí)保護(hù)等有關(guān)要求�����。
《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》國(guó)衛(wèi)醫(yī)發(fā)〔2018〕25號(hào)
第十五條 :互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國(guó)家有關(guān)法律法規(guī)和規(guī)定�,實(shí)施第三級(jí)信息安全等級(jí)保護(hù)�����。
2019年�,《社區(qū)醫(yī)院基本標(biāo)準(zhǔn)和醫(yī)療質(zhì)量安全核心制度要點(diǎn)(試行)的通知》國(guó)衛(wèi)辦醫(yī)函【2019】518號(hào)
對(duì)電子病歷提出要求:應(yīng)當(dāng)建立電子病歷的記錄�����、修改����、使用�、存儲(chǔ)、傳輸��、質(zhì)控�、安全等級(jí)保護(hù)等管理制度����。社區(qū)醫(yī)院也要落實(shí)等保制度要求。
《國(guó)家呼吸醫(yī)學(xué)中心及國(guó)家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》國(guó)衛(wèi)辦醫(yī)函【2019】851號(hào)
信息平臺(tái)建設(shè)達(dá)到“醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)”四級(jí)要求�����;醫(yī)院核心業(yè)務(wù)系統(tǒng)達(dá)到“國(guó)家信息安全等級(jí)保護(hù)制度”三級(jí)要求���,使用國(guó)產(chǎn)密碼對(duì)核心數(shù)據(jù)進(jìn)行加密保護(hù)����。
如上�����,通過開展等級(jí)保護(hù)工作��,可以滿足國(guó)家相關(guān)法律法規(guī)和制度的要求����;降低信息安全風(fēng)險(xiǎn),提升衛(wèi)生行業(yè)信息安全防護(hù)能力��、隱患發(fā)現(xiàn)能力�、應(yīng)急處置能力;合理的規(guī)避或降低風(fēng)險(xiǎn)�����;履行和落實(shí)網(wǎng)絡(luò)信息安全責(zé)任義務(wù)�,為醫(yī)院自身安全及信息化發(fā)展提供了可靠保障。
如需等保測(cè)評(píng)服務(wù)�����,可后臺(tái)私信聯(lián)系��。陸陸信息科技�,整合云安全產(chǎn)品的技術(shù)優(yōu)勢(shì)�,聯(lián)合優(yōu)質(zhì)等保咨詢、等保測(cè)評(píng)合作資源����,提供等保項(xiàng)目的一站式服務(wù)�,全面覆蓋等保定級(jí)、備案�����、建設(shè)整改以及測(cè)評(píng)階段���,高效通過等保測(cè)評(píng)����,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作��。
等保咨詢熱線:15084670000,15846603791
