《医疗行业网络安全白皮书()》由会员分享,可在线阅读,更多相关《医疗行业网络安全白皮书()(13页珍藏版)》请在金锄头文库上搜索。
1、 医疗行业网络安全白皮书() 刘思思 徐丽娟 路红 李杺恬 黄峥 张德馨近年来,医疗行业信息化得到快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平提升。而与此同时,医疗行业面临的网络安全风险也逐渐增多。为了保障医疗行业网络安全稳定运行,帮助医疗行业网络运营者做好网络安全保障工作,本文基于近三年医疗行业网络安全的相关测评经验,总结分析了医疗行业网络安全发展的现状和存在的主要问题。高度重视医疗行业网络安全国家层面密集出台相关政策法规医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网+医疗健康”的不断推进,
2、党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规,逐步完善医疗行业网络安全体系。2018年4月,国家卫生健康委发布关于印发全国医院信息化建设标准与规范(试行)的通知,对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。2019年4月,国家卫生健康委发布关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知,明确了基层医疗卫生机构未来510年信息化建设的基本内容和要求。其中,信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾和安全运维等10个方面。2018年9月13日,国家卫
3、生健康委发布国家健康医疗大数据标准、安全和服务管理办法(试行),明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。2018年9月14日,国家卫生健康委发布关于印发互联网诊疗管理办法(试行)等3个文件的通知,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。2018年12月21日,国家卫生健康委办公厅发文加快推进电子健康卡普及及应用工作的意见,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应
4、用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律中华人民共和国基本医疗卫生与健康促进法,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。2020年2月28日,国家医疗保障局、国家卫生健康委员
5、会发布关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。从陆续出台的政策法规可以看出,国家对医疗行业网络安全高度重视,无论是医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”“医疗大数据”,还包括一些基本惠民便民的传统医疗信息系统建设,以及国家出台的第一部卫生健康领域基础性、综合性法律,无不强调落实做好网络安全工作。各地将网络安全作为“互联网+医疗健康”重要内容自国务院办公厅发布关于促进“互联网+医疗健康”发展的意见以来,各省份纷纷就“互联网+医疗健康”作出行动部署。国家卫生健康
6、委同意批复示范省份建设,各地相继推进互联网与医疗健康融合发展,同时推进信息安全建设。2018年9月,国家卫生健康委员会与宁夏回族自治区人民政府共同签订共建“互联网+医疗健康”示范区战略协议,宁夏自治区成为我国首个“互联网+医疗健康”示范省份。2019年2月,宁夏回族自治区“互联网+医疗健康”示范区建设规划(20192022年)发布,其中就统一安全保障体系作出规划,推进安全防护体系建设,实现信息共享与保护同步发展。到2022年,形成全領域、全方位的安全保障体系。2019年12月13日,四川省发布四川省推进“互联网+医疗健康”示范省建设实施方案,部署23项工作。其中,文件对严格执行信息安全和健康医
7、疗数据保密作出规定,深化国产密码应用,加强关键信息基础设施和数据应用服务的安全防护。严格落实国家网络安全等级保护制度,妥善保管患者信息、用户资料和基因数据等,对泄露、出售、窃取或者以其他非法方式获取个人信息、非法向他人提供个人信息的行为依法依规予以惩处。患者信息等敏感数据应存储在境内,确需向境外提供的,应依照相关规定进行安全评估。新冠肺炎疫情出现后,许多部门、地方和企业积极运用人工智能、远程医疗、大数据和云计算等技术助力抗击疫情。例如,平安好医生、叮当快药和阿里健康等互联网平台提供了线上问诊模式,部分解决了疫情期间不敢去医院就医的问题。大数据技术帮助政府搜集、发布疫情信息,实现紧缺医疗物资的信
8、息协同与高效配送。医疗信息化在疫情防控中起到了关键支撑作用。医疗行业网络安全形势依然严峻在医疗行业信息化建设蓬勃发展的同时,其所面临的网络安全风险也逐渐增大。我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落后等问题,医疗行业网络安全形势不容乐观。等级保护工作落实情况不佳自2017年中华人民共和国网络安全法颁布以来,网络运营者落实网络安全等级保护制度成为法律要求,而整个医疗行业的网络安全等级保护工作开展情况一般。例如,中国医院协会信息管理专业委员会(CHIMA)发布的20172018年度中国医院信息化调查报告显示,调查的484家医院中,仅有36.16
9、%通过了等级保护测评,明显低于金融、电信和能源等领域。在CHIMA20182019年度中国医院信息化调查报告中,参与调查的839家医院中仅有43.95%通过了等级保护测评。其中,三级医院比例明显大于三级以下医院,三级以下医院中75%未开展过等级保护测评。可以看出,医院对网络安全愈发重视,但整体推进态势仍显缓慢。医疗行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。医疗行业网络安全风险较高1.医疗行业网络安全隐患普遍存在。根据2019健康医疗行业观测报告数据,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,通
10、过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。通过对观测的15339家医疗单位中的网络资产评估,具有脆弱性的有9523家,占比62.14%。由此可见,医疗行业存在可被利用脆弱性情况普遍,大部分单位没有定期对系统进行安全风险评估,识别资产存在的安全隐患。随着移动医疗、电子病历系统、AI医疗等数字化医疗的普及,国内医疗机构遭受恶意攻击的频率更呈上升趋势。2020年2月,在国内正处于抗击新冠肺炎疫情的关键时期,某国APT黑客组织对
11、我国医疗机构、政府部门展开攻击,以“新冠肺炎”话题为诱饵,引诱受害者执行钓鱼指令。2.遭受勒索病毒攻击严重。勒索病毒利用加密算法对文件或计算机系统进行恶意加密,使感染者业务中断或数据丢失,只有交付数字货币拿到密钥才能破解。医疗行业受勒索病毒感染情况严重。2018年腾讯智慧安全发布的医疗行业勒索病毒专题报告显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019年初,某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密。GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行
12、业中,医疗行业占比约50%。医疗行业信息系统数据价值高、业务连续性要求强,成为勒索病毒攻击的主要目标,极有可能使医疗单位遭遇巨大经济损失。安全防护水平相对落后1.缺乏必要的网络安全防护设备。CHIMA20182019年度中国医院信息化状况调查报告显示,现阶段,绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。由此可见,大部分医院都缺乏必要的网络防护设备。值得关注的是,三级以下医院只有不到一半采取了VPN/VLAN划分、上网行为管理系统,不到三分之一的医院采用了网闸、入侵检测(IDS/IPS),
13、五分之一的医院采用了网络接入控制、漏洞扫描、域用户管理模式,仅有十分之一的医院采用了堡垒机进行运维管理。可以看出,三级以下医院在基础网络安全防护方面非常欠缺,网络安全堪忧。2.缺少必要的系统防护及数据保护措施。医疗信息系统中大部分的服务器操作系统安装了防病毒软件,主要应用服务器采用双机热备或者集群部署,减少了服务器宕机带来的故障,但缺少必要的网络准入机制,对接入网络的终端没有进行IP限制,也没有必要的认证机制。中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服務器,大部分医
14、疗信息系统没有完善的数据保护机制。医疗信息泄露事件高发近年来,国内外由于医疗信息系统被入侵而导致的信息泄露事件多次发生。2016年7月,白桦林全国联盟共接到来自30多个省份至少有275位艾滋病患者的个人信息遭到泄露而导致的诈骗报告。2017年10月,杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息共计370余万条,造成了极其恶劣的影响。2019年,德国一家漏洞分析和管理公司发现,含有大量医疗放射图像的服务器暴露在公共互联网中,其中涉及中国14个服务器系统,包含近28万条医疗数据,详细记录了患者个人信息及医疗情况,攻击者利用这些数据在暗网中
15、交易获取巨额利润。恶意攻击事件频繁发生,数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。存在的主要问题随着“互联网+医疗”的迅猛发展和医疗行业信息化建设的持续推进,医疗机构需要关注网络安全防护的信息系统也越来越多,这些系统主要分为两类。第一类是医疗传统信息系统。例如,医院信息管理系统HIS、影像归档和通信系统PACS、放射科信息管理系统(RIS)和电子病历系统EMR等。第二类是利用通信和信息技术实现远程医疗服务类系统。根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合
16、理、网络链路无冗余等问题;60%的医疗信息系统数据备份机制不健全,包括无异地备份机制、备份策略不合理等问题;72%的医疗信息系统在数据存储和传输过程中未采取加密措施;绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。身份认证口令不健壮在网络安全实践中,用户身份认证是信息系统和关键数据保护的第一道防线。当前,医疗行业信息系统大多采用安全性较弱的“用户名ID+口令”的单认证方式,鲜有采用“双因素认证”等强认证方案,医疗信息系统的信息安全程度与登录口令的强度直接相关。信息系统用户多采用易被别人猜测到或易被工具破解的弱口令,使得攻击者甚至无需技术基础就可对目标系统进行攻击。一旦口令被破解,攻击者即可对目标系统进行进一步渗透,给企业和个人带来严重的财产损失。在安全测试过程中,主要发现以下几
