騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡安全觀測報告》

為幫助醫(yī)療行業(yè)更好地防范和應對數(shù)字醫(yī)療領域的網(wǎng)絡安全風險，騰訊安全聯(lián)合中國信息通信研究院安全研究所、衛(wèi)生信息安全與新技術應用專業(yè)委員會、數(shù)據(jù)保護官(DPO)社群等行業(yè)組織和研究團隊，共同編寫并發(fā)布了《數(shù)字醫(yī)療網(wǎng)絡安全觀測報告(2020年)》(以下簡稱《報告》)，旨在通過對健康醫(yī)療行業(yè)網(wǎng)絡安全現(xiàn)狀、行業(yè)安全態(tài)勢進行全面剖析，為主管部門、醫(yī)療機構以及安全服務廠商提供工作思路和建議，共同促進衛(wèi)生健康領域安全有序發(fā)展。

總體而言，本次觀測到的健康醫(yī)療行業(yè)整體評分為842分，較去年有一定提升;但隨著數(shù)字醫(yī)療的加速發(fā)展，資產(chǎn)脆弱性、安全漏洞、僵木蠕毒及網(wǎng)站篡改這四類安全問題仍是威脅醫(yī)療機構網(wǎng)絡安全的主要因素，對傳統(tǒng)醫(yī)院、互聯(lián)網(wǎng)醫(yī)院以及私立醫(yī)院形成主要威脅的安全問題也各不相同，健康醫(yī)療行業(yè)應盡快建立健全的網(wǎng)絡安全體系，以應對數(shù)字時代下的安全挑戰(zhàn)。

網(wǎng)絡安全形勢日漸復雜僵木蠕毒等安全問題明顯抬頭

《報告》中指出，眼下我國健康醫(yī)療行業(yè)在信息技術發(fā)展、政府政策及疫情的多重推動下，已經(jīng)進入了數(shù)字化轉型進程中的重要時期，數(shù)字醫(yī)療領域的網(wǎng)絡安全問題呈現(xiàn)多元化發(fā)展態(tài)勢。一方面，安全漏洞、木馬、病毒、網(wǎng)站篡改等傳統(tǒng)安全問題仍在不斷威脅著健康醫(yī)療行業(yè)的網(wǎng)絡安全;另一方面，隨著行業(yè)在線業(yè)務的快速發(fā)展，醫(yī)療業(yè)務和數(shù)據(jù)上云也帶來了新的安全挑戰(zhàn)。

通過對資產(chǎn)脆弱性、安全漏洞、僵木蠕毒及網(wǎng)站篡改等四類安全問題進行分析比對，《報告》展示了現(xiàn)階段健康醫(yī)療行業(yè)在網(wǎng)絡安全防護方面取得的階段性成果和不足之處：高危端口、敏感服務暴露及應用服務版本過低的風險均大幅下降，特別是高危端口，所涉及的醫(yī)療單位數(shù)量同比下降了42.85%;安全漏洞問題也得到了一定程度上的修復，涉及單位數(shù)量從2019年的1302家下降到了653家。

安全漏洞風險級別分布對比圖

但僵木蠕毒和網(wǎng)站篡改這兩類安全問題卻呈現(xiàn)出了明顯的抬頭趨勢，網(wǎng)站篡改涉及單位數(shù)量漲幅超過了70%;而以勒索病毒為首的僵木蠕毒仍是各省醫(yī)療單位需要面對的主要安全問題，《2019年數(shù)據(jù)泄露事件調查報告》中顯示，勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領域所有惡意軟件事件的70%以上。

通用僵惡蠕毒惡意文件感染單位變化圖

互聯(lián)網(wǎng)醫(yī)院、私立醫(yī)院亦存在安全問題亟需建立完整健全的網(wǎng)絡安全體系

在新基建和產(chǎn)業(yè)上云趨勢的共同推動下，在疫情期間成為科技“戰(zhàn)疫”先鋒的互聯(lián)網(wǎng)醫(yī)院迎來新一輪的發(fā)展契機。然而互聯(lián)網(wǎng)醫(yī)院建設必須依托于實體醫(yī)療機構的特點，也決定了互聯(lián)網(wǎng)醫(yī)院將存在與傳統(tǒng)醫(yī)院同樣的網(wǎng)絡安全問題，其網(wǎng)絡環(huán)境也會更為復雜。

《報告》中將互聯(lián)網(wǎng)醫(yī)院和傳統(tǒng)醫(yī)院的網(wǎng)絡安全形勢進行了對比。總體來看，互聯(lián)網(wǎng)醫(yī)院在資產(chǎn)脆弱性防護和網(wǎng)站篡改這兩個安全問題上的表現(xiàn)優(yōu)于傳統(tǒng)醫(yī)院;但由于業(yè)務系統(tǒng)開放在公共互聯(lián)網(wǎng)，將會承受更多的網(wǎng)絡攻擊壓力，受到僵木蠕毒等惡意程序攻擊、被網(wǎng)絡黑產(chǎn)通過安全漏洞入侵的風險更高。

互聯(lián)網(wǎng)醫(yī)院和非互聯(lián)網(wǎng)醫(yī)院風險占全部醫(yī)院風險比例圖

此外，私立醫(yī)院作為我國醫(yī)療衛(wèi)生資源的中堅陣地，近年來也在加快業(yè)務上線的節(jié)奏，以應對時下日益增長的在線醫(yī)療需求。由于私立醫(yī)院與公立醫(yī)院所采用的業(yè)務接口不同，在各安全問題上的表現(xiàn)存在一定差異：雖然私立醫(yī)院的總體風險評分略高于公立醫(yī)院，但網(wǎng)站篡改、安全漏洞防護這兩個問題上的表現(xiàn)則遜于后者。

公立醫(yī)院和私立醫(yī)院風險占全部醫(yī)院風險比例圖

隨著健康醫(yī)療行業(yè)數(shù)字化轉型進程的不斷推進，國家對于行業(yè)網(wǎng)絡安全的重視程度和監(jiān)管力度在逐步增強，《數(shù)據(jù)安全法》、《個人信息保護法》及《關于做好信息化支撐常態(tài)化疫情防控工作的通知》等相關法律法規(guī)和規(guī)范性文件相繼出臺，均要求健康醫(yī)療行業(yè)建立健全、統(tǒng)一的網(wǎng)絡安全標準體系。

最后，《報告》為健康醫(yī)療行業(yè)提供了網(wǎng)絡安全體系建設的安全工作思路和建議，并對服務于健康醫(yī)療行業(yè)的安全服務上提出了要求。主管部門應重點推動行業(yè)規(guī)范發(fā)展，進一步健全行業(yè)的安全標準體系和規(guī)范;醫(yī)療機構則需持續(xù)改進自身安全建設，以應對新技術、新應用、新場景下的安全問題;對于安全服務商而言，應加快產(chǎn)品研發(fā)速度并提升服務質量，做好網(wǎng)絡安全的支撐和保障工作。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）