English/英文

关注| 医疗行业为什么要做网络安全等级保护?
2020-04-20
[摘要] 部分内容来源: 医疗行业网络安全白皮书(2020年) 近年来,医疗行业信息化得到全面快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平提
部分内容来源:医疗行业网络安全白皮书(2020年)
 

 

近年来,医疗行业信息化得到全面快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平提升。在今年新型冠状病毒肺炎疫情防控期间,许多医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供在线问诊、智能问药、药品快递到家等服务,减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。与此同时,医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视,但我国医疗行业网络安全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局面,网络安全形势不容乐观。

 

医疗行业网络安全形势依然严峻:

  1. 等级保护工作落实情况不佳

    自 2017 年《中华人民共和国网络安全法》颁布以来,网络运营者落实网络安全等级保护制度成为法律要求,而整个医疗行业的网络安全等级保护工作开展情况一般。在CHIMA《2018-2019 年度中国医院信息化调查报告》中,参与调查的 839 家医院中仅有 43.95%通过了等级保护测评,其中三级医院比例明显大于三级以下医院,三级以下医院中 75%未开展过等级保护测评。可以看出医院对网络安全愈发重视,但整体推进态势仍显缓慢。医疗行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。

  2. 医疗行业网络安全风险较高

    1.医疗行业网络安全隐患普遍存在

    根据《2019 健康医疗行业观测报告》数据,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,通过对 15339 家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计 1029 家,应用服务端口暴露在公共互联网中的单位有6446 家,4546 家单位网站存在被篡改安全隐患,其中 261 家单位已发生网站被篡改情况。

    2.遭受勒索病毒攻击严重

    根据 2018 年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有 247 家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019 年初,某省几十家互联互通医院同时感染 GlobeImposter3.0 变种勒索病毒而被加密,GlobeImposter 勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter 勒索病毒的行业中,医疗行业占比约50%。医疗行业信息系统数据价值高、业务连续性要求强,成为勒索病毒攻击的主要目标,极有可能使医疗单位遭遇巨大经济损失。

  3. 安全防护水平相对落后 

    1.缺乏必要的网络安全防护设备

    根据 CHIMA《2018-2019 年度中国医院信息化状况调查报告》显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行 VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于 50%。可见大部分医院都缺乏必要的网络防护设备。

    2.缺少必要的系统防护及数据保护措施

    医疗信息系统中大部分的服务器操作系统安装了防病毒软件,主要应用服务器采用双机热备或者集群部署,减少了服务器宕机带来的故障,但缺少必要的网络准入机制,对接入网络的终端没有进行 IP 限制,也没有必要的认证机制。

  4. 医疗信息泄露事件高发 

    近年来,国内外由于医疗信息系统被入侵而导致的信息泄露事件多次发生。2016 年 7 月,白桦林全国联盟共接到来自 30 多个省份至少有 275 位艾滋病患者的个人信息遭到泄露而导致的诈骗报告。2017 年 10 月,杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息共计 370 余万条,造成了极其恶劣的影响。恶意攻击事件频繁发生,数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。 

    以上内容来源于:中国软件评测中心·网络空间安全测评工程技术中心《医疗行业网络安全白皮书(2020年)

     

 

目前医疗卫生行业信息系统面临的主要安全问题如下:
  • 网络出口边界区域缺少相应的入侵防护系统,无法对来自外部的蠕虫、木马、病毒、恶意软件及僵尸网络进行安全防护;
  • 在互联网边界区域缺乏相应的防病毒系统,无法对来自互联网的恶意代码攻击、病毒等进行检测和拦截;
  • 在内部网络中缺乏相应的安全审计系统,无法对内部的网络行为、服务器访问操作行为等进行审计和日志记录;
  • 在Web类服务器前端缺少相应的Web安全防护设备,无法对针对Web服务器的SQL注入、跨站脚本(XSS)、跨站伪造攻击等进行安全防护,同时缺乏相应的网页防篡改系统;网络内部缺乏漏洞扫描设备,无法对内部服务器系统进行漏洞扫描及漏洞管理;
  • 在内部网络缺乏相应的运维审计系统,无法针对内部服务器、数据库、网络设备及安全设备进行统一的安全运维;内部重要服务器上没有安装防病毒系统,无法对服务器进行安全防护,容易遭受病毒的攻击。
     
     
国家层面极其重视医疗卫生行业信息安全问题,医疗行业等保工作要求历程如下:

2011年

 
 

《关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号

要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级,它要求对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制),同时要求各医院于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。

2011年

 
 

《卫生行业信息安全等级保护工作的指导意见》卫办发【2011】85号

规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评。

2014年

 
 

《人口健康信息管理办法(试行)》国卫规划发〔2014〕24号

第十六条  责任单位应当做好人口健康信息安全和隐私保护工作,按照国家信息安全等级保护制度要求,加强建设人口健康信息相关系统安全保障体系,制定安全管理制度、操作规程和技术规范,保障人口健康信息安全。

2016年

 
 

国家卫健委《2016 三级综合医院评审标准考评办法(完整版)》

规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求。

2017年

 
 

《政府网站发展指引的通知》国办发【2017】47号文

被列为关键信息基础设施的政府网站要在严格执行等级保护的基础上,实行重点保护,不得使用未通过安全审查的网络产品和服务。医院作为关键信息基础设施,应按照此要求定期开展安全评估。

2018年

 
 

《关于印发医疗质量安全核心制度要点的通知》国卫医发【2018】8号文件

第18条明确指出:医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。

2018年

 
 

《互联网医院管理办法(试行)》国卫医发〔2018〕25号

第十五条 :互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。

2019年

 
 

《社区医院基本标准和医疗质量安全核心制度要点(试行)的通知》国卫办医函【2019】518号

对电子病历提出要求:应当建立电子病历的记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。社区医院也要落实等保制度要求。

2019年

 
 

《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》国卫办医函【2019】851号

信息平台建设达到“医院信息互联互通标准化成熟度测评”四级要求;医院核心业务系统达到“国家信息安全等级保护制度”三级要求,使用国产密码对核心数据进行加密保护。

 
总而言之,通过开展等级保护工作,可以满足国家相关法律法规和制度的要求;降低信息安全风险,提升卫生行业信息安全防护能力、隐患发现能力、应急处置能力;合理的规避或降低风险;履行和落实网络信息安全责任义务,为医院自身安全及信息化发展提供了可靠保障。