近年來，隨著信息技術的快速發(fā)展，醫(yī)療衛(wèi)生行業(yè)信息化發(fā)生了巨大的變化。從信息化醫(yī)院、數(shù)字化醫(yī)院，再到智慧醫(yī)院，國內越來越多的醫(yī)院正加速實施基于信息化平臺、HIS系統(tǒng)的整體建設，以提高醫(yī)院的服務水平與核心競爭力。在互聯(lián)網(wǎng)醫(yī)療領域，根據(jù)數(shù)據(jù)，預計今年，市場規(guī)模有望突破900億元，期間增長率達40%以上。

但信息化迅猛發(fā)展的背后，網(wǎng)絡安全的重要性亦愈發(fā)重要。在《全國醫(yī)療衛(wèi)生服務體系規(guī)劃綱要(2015—2020 年) 》中就提到，要從數(shù)據(jù)安全、網(wǎng)絡安全、邊界安全、終端桌面安全等各方面加強網(wǎng)絡安全防護體系的建設。此外，智慧醫(yī)療、醫(yī)聯(lián)體、“互聯(lián)網(wǎng)+醫(yī)療服務”、互聯(lián)網(wǎng)醫(yī)院等新形式的應用，也都強調了信息網(wǎng)絡安全的建設。

?

行業(yè)的“網(wǎng)絡環(huán)境之險”

隨著醫(yī)療業(yè)務應用與基礎網(wǎng)絡平臺的逐步融合后，也暴露了大量的安全缺陷，可主要歸納為以下幾點主要問題：

1、 應用安全漏洞大量存在

疫情防控期間，安恒信息風暴中心曾抽取醫(yī)療衛(wèi)生行業(yè)1500余個網(wǎng)站進行實時分析，發(fā)現(xiàn)在1500余家醫(yī)療網(wǎng)絡系統(tǒng)中，存在網(wǎng)絡安全風險漏洞的網(wǎng)站占比約10%，高危漏洞占比最高，約67.94%，其中跨站腳本成主要漏洞。

2、 僵木蠕毒惡意程序

不法分子在攻破醫(yī)療機構應用服務后，往往通過植入木馬病毒等惡意程序、篡改網(wǎng)站內容等方式實現(xiàn)其遠程控制、數(shù)據(jù)竊取、挖礦或導流等目的。勒索、挖礦已經(jīng)成為影響醫(yī)療業(yè)務連續(xù)性的主要威脅。

3、 網(wǎng)絡資產(chǎn)脆弱性隱患凸顯

健康醫(yī)療行業(yè)易被利用實施攻擊的脆弱性主要集中在三個方面:敏感服務暴露在公共互聯(lián)網(wǎng)(39.28%)、存在公開漏洞的低版本服務(44.39%)、可被利用的高危端口開放(49.46%)。

4、新技術威脅-新型醫(yī)療設備的應用

很多聯(lián)網(wǎng)的醫(yī)療設備都很容易受到攻擊，問題的關鍵在于很多醫(yī)療設備的設計并沒有考慮到網(wǎng)絡安全問題。在能打補丁的情況下，補丁通常也只能提供有限的保護。

5、內部人為威脅，缺乏多維度的業(yè)務及數(shù)據(jù)審計管控措施

6、數(shù)據(jù)外泄一直存在

7、私立醫(yī)院安全建設普遍比其他醫(yī)院滯后

?

不同場景需求下的安全服務

國家及監(jiān)管部門也根據(jù)醫(yī)療衛(wèi)生行業(yè)信息化的發(fā)展出臺了相應的政策法規(guī)，以驅動和監(jiān)管醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡安全建設。基于不同的場景需求，安恒信息提供相應的安全服務：

● 場景1：疫情防控場景下的安全服務

國家衛(wèi)健委發(fā)布的《國家衛(wèi)生健康委辦公廳關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》，明確指示，加強網(wǎng)絡信息安全工作，以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點，暢通信息收集發(fā)布渠道，保障數(shù)據(jù)規(guī)范使用，切實保護個人隱私安全，防范網(wǎng)絡安全突發(fā)事件，為疫情防控工作提供可靠支撐。

疫情在線“無接觸式”安全服務：

云WAF服務

DDoS高防服務

云監(jiān)測服務

資產(chǎn)探測服務

威脅情報服務

關鍵信息基礎設施安全監(jiān)測服務

重要單位的專題情報分析服務

遠程評估線上服務

網(wǎng)站惡意代碼線上檢測服務

在線應急

抗“疫”一線安全服務：

高級威脅分析服務

新系統(tǒng)上線安全評估

滲透測試

應急響應

安全通告服務

APP安全評估

安全意識培訓

安全咨詢

眾測服務

● 場景2：等級保護2.0合規(guī)建設

等級保護2.0已實施，對醫(yī)療衛(wèi)生行業(yè)同樣有要求。衛(wèi)生部也曾印發(fā)行業(yè)信息安全等級保護工作的指導意見，展開關鍵等保工作包括定級備案、建設整改、測評、宣傳培訓、監(jiān)督檢查等工作，并明確要求，衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)、國家、省、地市三級衛(wèi)生信息平臺，新農合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心、三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)、衛(wèi)生部網(wǎng)站系統(tǒng)等系統(tǒng)原則定級不能低于三級。

合規(guī)保障服務：

安全咨詢

風險評估（安全評估）

應急響應（演練）

安全培訓（意識+技能）

安全認證培訓（CISP系列、 職業(yè)技能）

● 場景3：推進智慧醫(yī)院建設

全國多地都在大力推進智慧醫(yī)院建設，國家對全國的重點醫(yī)院進行監(jiān)測。以四川省衛(wèi)健委發(fā)布的《關于大力推進智慧醫(yī)院建設的通知》要求為例，要求具有統(tǒng)一的安全日志平臺；具有網(wǎng)絡安全分析報告；至少每年對服務器、數(shù)據(jù)庫、應用系統(tǒng)打補丁，漏掃無高危漏洞；全員網(wǎng)絡安全培訓≥1次/年，網(wǎng)絡安全管理人員的技術培訓≥ 1次/年，年度內開展了滲透測試、攻防演練的任意一種，等等。

業(yè)務運營安全驅動服務：

漏洞掃描

協(xié)助加固

安全培訓（意識+技能+認證）

安全運營（安全分析服務）

滲透測試

攻防演練

安全咨詢（等保2.0）

● 場景4：“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展

國務院辦公廳關于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見，在保障數(shù)據(jù)信息安全提到，建立完善個人隱私信息保護制度；加強醫(yī)療衛(wèi)生機構、互聯(lián)網(wǎng)醫(yī)療健康服務平臺、智能醫(yī)療設備以及關鍵信息基礎設施、數(shù)據(jù)應用服務的信息防護，定期開展信息安全隱患排查、監(jiān)測和預警定期開展信息安全隱患排查、監(jiān)測和預警等。

業(yè)務運營安全驅動服務：

安全咨詢

安全評估

滲透測試

漏洞掃描

玄武盾（監(jiān)測+防護）

應急響應（安全通知）

安全培訓（風險防控意識）

?

場景化服務之外，安恒信息還提供常態(tài)化服務。根據(jù)用戶安全能力現(xiàn)狀、發(fā)展階段的安全需求，提供一站式安全服務。

文中部分數(shù)據(jù)來源于:

《2020 數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡安全風險研究報告》