背景

新年伊始,一只出乎意料的黑天鹅(新型冠状病毒)改变了我们每个人的生活轨迹。

这次突发性重大公共卫生事件再一次警醒我们完善公共卫生应急响应机制,提高应对此类大事件的能力刻不容缓。医疗行业作为公共卫生事业的关键一环也被提出了更高要求。

随着大数据、云计算、物联网在医疗行业的应用不断深入,越来越多的医疗卫生机构提供在线问诊、智能问药、药品快递到家等服务,很大程度上减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。

但是,医疗行业面临的网络安全风险也逐渐增多,网络安全工作显得尤为重要。

谈古

几年前的网络安全检查中,各个医院的信息化负责人带着纸质材料、U盘,甚至是空着手,来到检查现场,你好我好大家好的谈谈有什么问题,对网络安全的认识还停留在初级水平。

近几年去医疗机构做安全检查、等级保护测评的时候,情况则有所不同。

从堆满杂物的小仓库改造而成的机房、再到规范又现代化的数据中心;网络安全人员从安全小白、逐渐成长为专业化的医疗安全界小咖;医疗机构负责人逐步提升了网络安全意识,调配的网络安全资源也日趋增多。

然而,根据我们的观察,各医疗机构对网络安全的重视程度参差不齐,网络安全防护水平仍有待快速提高。

论今

中国软件评测中心网络空间安全测评工程技术中心在有关部门的指导下,立足数年来丰富的一线实战经验,参照近三年的测试(脱敏后)数据,联合HC3i数字医疗网共同推出《医疗行业网络安全白皮书2020》。

本白皮书客观呈现出医疗行业网络安全发展的现状、存在的主要问题,并给出了医疗行业网络安全的实现建议。

旨在保障医疗行业信息系统安全稳定可靠运行,帮助医疗行业网络运营者做好网络安全保障工作的同时供相关行业主管部门、疾控部门和企事业单位等参考。

白皮书目录

一、我国高度重视医疗行业网络安全

(一)国家层面密集出台相关政策法规

(二)各地将网络安全作为“互联网+医疗健康”重要内容

二、医疗行业网络安全形势依然严峻

(一)等级保护工作落实情况不佳

(二)医疗行业网络安全风险较高

(三)安全防护水平相对落后

(四)医疗信息泄露事件高发

三、医疗行业网络安全存在的主要问题

(一)身份认证口令不健壮

(二)网络防护架构不完善

(三)数据备份机制不健全

(四)数据加密措施未落实

(五)网络安全管理不到位

四、提高医疗行业网络安全保障能力建议

(一)重视网络安全基础防护

(二)建设安全计算环境

(三)加强医疗数据安全保护

(四)强化网络安全制度管理

五、做好等保2.0时代医疗行业网络安全

一、我国高度重视医疗行业网络安全

2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。

2018年9.13,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)。

2018年9.14,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》。

2018年12.21,国家卫生健康委办公厅发文《加快推 进电子健康卡普及及应用工作的意见》。

2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》。

2020年2.28,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》。

二、医疗行业网络安全形势依然严峻

通过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。

三类主要问题涉及的单位数量

现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。

医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。

医院采用的网络安全措施

中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服务器,大部分医疗信息系统没有完善的数据保护机制。

已通过等级保护的医疗单位采用的网络安全设备

三、医疗行业网络安全存在的主要问题

根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题。

医疗行业信息系统安全问题占比

身份认证口令不健壮

在网络安全实践中,用户身份认证是信息系统和关键数据保护的第一道防线。

当前医疗行业信息系统大多采用安全性较弱的“用户名ID+口令”的单认证方式,鲜有采用“双因素认证”等强认证方案,医疗信息系统的信息安全程度与登录口令的强度直接相关。

信息系统用户多采用易被别人猜测到或易被工具破解的弱口令,使得攻击者甚至无需技术基础就可对目标系统进行攻击。

网络防护架构不完善

目前“互联网+”的医疗模式发展迅猛,多数采用的结构模式为“医疗机构+平台+患者”。

如在线问诊系统中,患者通过身份证号、手机号等信息在平台上进行注册,并将病历等信息通过平台发送医生,医生通过营业执照、资格证书等在平台注册,而后对患者进行问诊。

第三方服务平台成为连接患者和医生的关键桥梁,其安全显得尤为重要。

若平台的网络架构设计、运行机制的安全性较差,患者及医生的个人信息即存在泄露的风险。

数据备份机制不健全

当前,医疗行业的应用系统繁多,应用环境复杂。HIS系统、LIS系统、PACS和医保等系统的深度融合与广泛应用,产生的数据类型复杂,对数据的增加、更新、修改次数增多。

大型医院的数据流量庞大,这些数据一旦遭到破坏或泄露,将严重影响医院的正常运行以及患者的隐私安全,给科研、生产造成损失。

数据加密措施未落实

医疗信息包含大量敏感数据,在收集、存储、传输过程中若未实施有效的加密措施,信息将处于极大的泄露风险中。

目前医疗行业信息系统中的数据在传输过程中采用TELNET、HTTP等协议,无法保证信息在传输过程中被窃听。

数据在存储时,采用明文形式、或安全性较低的加密算法进行存储,导致重要数据在存储过程中被攻击者直接盗用的可能性增大,使患者病历等私密信息遭遇泄露,进而可能使医疗机构的业务运营、声誉、经济利益受损,使患者的生命安全和个人信息安全遭到威胁。

网络安全管理不到位

信息使用者和管理者是信息安全管理的主体和关键,对信息使用者及管理者采取规范管理是防止信息泄露的有效方法。

当前医疗行业网络安全管理制度不完善,安全管理机构职责不明确,人员网络安全意识薄弱等都是导致信息泄露的安全隐患。

四、提高医疗行业网络安全保障能力建议

根据医疗行业网络安全现状和保障需求,结合网络安全等级保护基本要求,中国评测网安中心提出了医疗行业网络安全实现架构。

医疗行业网络安全实现架构

基于该实现架构,重点开展以下四个方面工作。

重视网络安全基础防护

1.加强机房安全建设

(1)使用专用的房间建设机房;

(2)确保机房附近没有水源,防止用水设备故障影响机房设备正常运行;

(3)为机房设置门禁系统并避免闲杂人员访问;

(4)建设灾备机房并实时备份数据。

2.完善安全网络架构

(1)安全划分子网;

(2)配置细粒度的访问控制策略;

(3)使用安全设备提高网络安全防护能力。

建设安全计算环境

1.强制使用复杂口令

(1) 为设备和软件设置复杂口令并定期更换;

(2) 设置企业自己的登录口令,不使用厂商运维人员的口令;

(3) 避免使用共享账号,不同运维人员不使用同一个账号登录系统;

(4) 使用双因素身份鉴别方式。

2.注重安全审计

(1) 对重要用户行为进行审计;

(2) 保护审计进程;

(3) 实时备份审计日志到日志服务器。

加强医疗数据安全保护

1.加密存储与传输数据;

2.加强数据备份与恢复;

3.注重数据脱敏与分级保护。

强化网络安全制度管理

1.完善应急预案与响应机制;

2.加强网络安全人员管理。

五、做好等保2.0时代医疗行业网络安全

等保2.0时代在等保1.0的基础上增加了云计算、大数据、物联网、移动互联的安全合规要求。

关注医疗行业网络安全,特别是新技术引入的网络安全风险不可忽视。

等保2.0从数据保密性和完整性、个人信息保护、通信网络安全、移动应用和移动终端管控等多个方面提出安全要求,保护云计算、大数据、物联网和移动互联等新技术的安全应用,为医疗行业网络安全保驾护航。

下载白皮书:

https://pan.baidu.com/s/1lnctX64WaYZ5Xw0dKTg_DA 提取码:3ltc

声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。