2020年中國(guó)醫(yī)療行業(yè)網(wǎng)絡(luò)安全發(fā)展概況及存在的主要問(wèn)題分析[圖]

    在醫(yī)療行業(yè)信息化建設(shè)蓬勃發(fā)展的同時(shí)，其所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也逐漸增多。我國(guó)醫(yī)療行業(yè)仍存在等級(jí)保護(hù)工作落實(shí)情況不佳、整體安全風(fēng)險(xiǎn)較高、醫(yī)療信息系統(tǒng)的安全防護(hù)水平相對(duì)落后的問(wèn)題，醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)不容樂(lè)觀。

    一、醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻

    （一）醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高

    醫(yī)療行業(yè)總體處于“較大風(fēng)險(xiǎn)”級(jí)別，存在多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患，安全防護(hù)能力較弱。通過(guò)對(duì)15339家醫(yī)療行業(yè)相關(guān)單位的觀測(cè)，存在僵尸、木馬或蠕蟲等惡意程序的單位共計(jì)1029家，應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中的單位有6446家，4546家單位網(wǎng)站存在被篡改安全隱患，其中261家單位已發(fā)生網(wǎng)站被篡改情況。

三類主要問(wèn)題涉及的單位數(shù)量

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    （二）安全防護(hù)水平相對(duì)落后

    現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全，對(duì)網(wǎng)絡(luò)進(jìn)行VPN/VLAN劃分和上網(wǎng)行為管理的醫(yī)院僅過(guò)半數(shù)。醫(yī)院對(duì)網(wǎng)閘、防入侵、防毒墻等設(shè)備的采用率均小于50%?？梢姶蟛糠轴t(yī)院都缺乏必要的網(wǎng)絡(luò)防護(hù)設(shè)備。

醫(yī)院采用的網(wǎng)絡(luò)安全措施

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    三級(jí)以下醫(yī)院只有不到一半采取了VPN/VLAN劃分、上網(wǎng)行為管理系統(tǒng)，不到1/3的醫(yī)院采用了網(wǎng)閘、入侵檢測(cè)（IDS/IPS），1/5 的醫(yī)院采用了網(wǎng)絡(luò)接入控制、漏洞掃描、域用戶管理模式，僅有1/10的醫(yī)院采用了堡壘機(jī)進(jìn)行運(yùn)維管理。三級(jí)以下醫(yī)院在基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)方面非常欠缺，網(wǎng)絡(luò)安全堪憂。

不同等級(jí)醫(yī)院采用的網(wǎng)絡(luò)安全措施對(duì)比

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    醫(yī)療信息系統(tǒng)中大部分的服務(wù)器操作系統(tǒng)安裝了防病毒軟件，主要應(yīng)用服務(wù)器采用雙機(jī)熱備或者集群部署，減少了服務(wù)器宕機(jī)帶來(lái)的故障，但缺少必要的網(wǎng)絡(luò)準(zhǔn)入機(jī)制，對(duì)接入網(wǎng)絡(luò)的終端沒(méi)有進(jìn)行IP限制，也沒(méi)有必要的認(rèn)證機(jī)制。部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的有0家，而在數(shù)據(jù)保護(hù)方面38%的系統(tǒng)沒(méi)有數(shù)據(jù)庫(kù)審計(jì)，只有2%的單位具有災(zāi)備服務(wù)器，大部分醫(yī)療信息系統(tǒng)沒(méi)有完善的數(shù)據(jù)保護(hù)機(jī)制。

已通過(guò)等級(jí)保護(hù)的醫(yī)療單位采用的網(wǎng)絡(luò)安全設(shè)備

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    二、醫(yī)療行業(yè)網(wǎng)絡(luò)安全存在的主要問(wèn)題

    醫(yī)療機(jī)構(gòu)58%的醫(yī)療信息系統(tǒng)存在弱口令問(wèn)題；59%醫(yī)療信息系統(tǒng)存網(wǎng)絡(luò)防護(hù)架構(gòu)不完善問(wèn)題，包括網(wǎng)絡(luò)區(qū)域劃分不合理、網(wǎng)絡(luò)鏈路無(wú)冗余等問(wèn)題。60%的醫(yī)療信息系統(tǒng)數(shù)據(jù)備份機(jī)制不健全，包括無(wú)異地備份機(jī)制、備份策略不合理等問(wèn)題；72%的醫(yī)療信息系統(tǒng)在數(shù)據(jù)存儲(chǔ)和傳輸過(guò)程中未采取加密措施；絕大多數(shù)醫(yī)療信息系統(tǒng)在管理方面存在監(jiān)管不力、制度不完善、人員安全意識(shí)較弱等問(wèn)題。

醫(yī)療行業(yè)信息系統(tǒng)安全問(wèn)題占比

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    三、提高醫(yī)療行業(yè)網(wǎng)絡(luò)安全保障能力建議

    （一）重視網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)

    智研咨詢發(fā)布的《2021-2027年中國(guó)醫(yī)療行業(yè)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)研究分析及投資戰(zhàn)略規(guī)劃報(bào)告》數(shù)據(jù)顯示：網(wǎng)絡(luò)中應(yīng)部署IDS/IPS、防毒墻、WAF、資源監(jiān)控系統(tǒng)、垃圾郵件檢測(cè)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、堡壘機(jī)、日志服務(wù)器等安全設(shè)備，并定期更新安全設(shè)備的規(guī)則庫(kù)和系統(tǒng)版本。

常見安全設(shè)備及生產(chǎn)廠商

資料來(lái)源：中國(guó)軟件評(píng)測(cè)中心、智研咨詢整理

    （二）建設(shè)安全計(jì)算環(huán)境

    1、強(qiáng)制使用復(fù)雜口令

    設(shè)備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統(tǒng)的一般方法首先是猜測(cè)或爆破登錄口令然后再進(jìn)行其他破壞操作。身份鑒別是設(shè)備和軟件安全的重要模塊，使用復(fù)雜密碼，可以有效阻止三分之一以上的網(wǎng)絡(luò)攻擊行為。

    2、注重安全審計(jì)

    安全審計(jì)功能是為了在安全事件發(fā)生后可以溯源，以便盡快修復(fù)系統(tǒng)，找到事件發(fā)生源頭，并做好預(yù)防和懲戒。一旦發(fā)生安全事件，之前做好的審計(jì)記錄就是修復(fù)系統(tǒng)并找到攻擊源的重要途徑。

    （三）加強(qiáng)醫(yī)療數(shù)據(jù)安全保護(hù)

    1、加密存儲(chǔ)與傳輸數(shù)據(jù)
為設(shè)備和系統(tǒng)建立普通權(quán)限賬號(hào)，遠(yuǎn)程訪問(wèn)系統(tǒng)時(shí)使用普通用戶身份通過(guò)SSH或HTTPS協(xié)議。使用加密系統(tǒng)保護(hù)醫(yī)療數(shù)據(jù)。

    2、加強(qiáng)數(shù)據(jù)備份與恢復(fù)

    在醫(yī)院網(wǎng)絡(luò)信息化系統(tǒng)中，數(shù)據(jù)備份尤為關(guān)鍵，這是系統(tǒng)面臨安全隱患問(wèn)題時(shí)數(shù)據(jù)恢復(fù)的最佳途徑。

    3、注重?cái)?shù)據(jù)脫敏與分級(jí)保護(hù)

    公眾場(chǎng)合或支付場(chǎng)景展示數(shù)據(jù)時(shí)，無(wú)論是移動(dòng)終端還是公示大屏，患者關(guān)鍵信息應(yīng)該采用脫敏的方式來(lái)顯示。

    （四）強(qiáng)化網(wǎng)絡(luò)安全制度管理

    1、完善應(yīng)急預(yù)案與響應(yīng)機(jī)制

    建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案，進(jìn)行預(yù)案培訓(xùn)與演練，及時(shí)修訂應(yīng)急響應(yīng)預(yù)案。保證發(fā)生安全事件時(shí)，系統(tǒng)運(yùn)維人員能有步驟有策略地應(yīng)對(duì)，降低損失。

    2、加強(qiáng)網(wǎng)絡(luò)安全人員管理

    建立內(nèi)部運(yùn)維管理團(tuán)隊(duì)，提高人員專業(yè)技能。醫(yī)院信息化進(jìn)程中對(duì)網(wǎng)絡(luò)安全人才不可或缺，而現(xiàn)在醫(yī)院體系里不但缺少網(wǎng)絡(luò)安全人才，而且缺少計(jì)算機(jī)專業(yè)人才，不能專業(yè)地完成信息化建設(shè)工作。