近年来,随着信息技术的快速发展,医疗卫生行业信息化发生了巨大的变化。从信息化医院、数字化医院,再到智慧医院,国内越来越多的医院正加速实施基于信息化平台、his系统的整体建设,以提高医院的服务水平与核心竞争力。在互联网医疗领域,根据数据,预计今年,市场规模有望突破900亿元,期间增长率达40%以上。
但信息化迅猛发展的背后,网络安全的重要性亦愈发重要。在《全国医疗卫生服务体系规划纲要(2015—2020 年) 》中就提到,要从数据安全、网络安全、边界安全、终端桌面安全等各方面加强网络安全防护体系的建设。此外,智慧医疗、医联体、“互联网 医疗服务”、互联网医院等新形式的应用,也都强调了信息网络安全的建设。
行业的“网络环境之险”
随着医疗业务应用与基础网络平台的逐步融合后,也暴露了大量的安全缺陷,可主要归纳为以下几点主要问题:
1、 应用安全漏洞大量存在
疫情防控期间,安恒信息风暴中心曾抽取医疗卫生行业1500余个网站进行实时分析,发现在1500余家医疗网络系统中,存在网络安全风险漏洞的网站占比约10%,高危漏洞占比最高,约67.94%,其中跨站脚本成主要漏洞。
2、 僵木蠕毒恶意程序
不法分子在攻破医疗机构应用服务后,往往通过植入木马病毒等恶意程序、篡改网站内容等方式实现其远程控制、数据窃取、挖矿或导流等目的。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。
3、 网络资产脆弱性隐患凸显
健康医疗行业易被利用实施攻击的脆弱性主要集中在三个方面:敏感服务暴露在公共互联网(39.28%)、存在公开漏洞的低版本服务(44.39%)、可被利用的高危端口开放(49.46%)。
4、新技术威胁-新型医疗设备的应用
很多联网的医疗设备都很容易受到攻击,问题的关键在于很多医疗设备的设计并没有考虑到网络安全问题。在能打补丁的情况下,补丁通常也只能提供有限的保护。
5、内部人为威胁,缺乏多维度的业务及数据审计管控措施
6、数据外泄一直存在
7、私立医院安全建设普遍比其他医院滞后
不同场景需求下的安全服务
国家及监管部门也根据医疗卫生行业信息化的发展出台了相应的政策法规,以驱动和监管医疗卫生行业网络安全建设。基于不同的场景需求,安恒信息提供相应的安全服务:
● 场景1:疫情防控场景下的安全服务
国家卫健委发布的《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,明确指示,加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。
疫情在线“无接触式”安全服务:
云waf服务
ddos高防服务
云监测服务
资产探测服务
威胁情报服务
关键信息基础设施安全监测服务
重要单位的专题情报分析服务
远程评估线上服务
网站恶意代码线上检测服务
在线应急
抗“疫”一线安全服务:
高级威胁分析服务
新系统上线安全评估
渗透测试
应急响应
安全通告服务
app安全评估
安全意识培训
安全咨询
众测服务
● 场景2:等级保护2.0合规建设
等级保护2.0已实施,对医疗卫生行业同样有要求。卫生部也曾印发行业信息安全等级保护工作的指导意见,展开关键等保工作包括定级备案、建设整改、测评、宣传培训、监督检查等工作,并明确要求,卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统、国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心、三级甲等医院的核心业务信息系统、卫生部网站系统等系统原则定级不能低于三级。
合规保障服务:
安全咨询
风险评估(安全评估)
应急响应(演练)
安全培训(意识 技能)
安全认证培训(cisp系列、 职业技能)
● 场景3:推进智慧医院建设
全国多地都在大力推进智慧医院建设,国家对全国的重点医院进行监测。以四川省卫健委发布的《关于大力推进智慧医院建设的通知》要求为例,要求具有统一的安全日志平台;具有网络安全分析报告;至少每年对服务器、数据库、应用系统打补丁,漏扫无高危漏洞;全员网络安全培训≥1次/年,网络安全管理人员的技术培训≥ 1次/年,年度内开展了渗透测试、攻防演练的任意一种,等等。
业务运营安全驱动服务:
漏洞扫描
协助加固
安全培训(意识 技能 认证)
安全运营(安全分析服务)
渗透测试
攻防演练
安全咨询(等保2.0)
● 场景4:“互联网 医疗健康”发展
国务院办公厅关于促进“互联网 医疗健康”发展的意见,在保障数据信息安全提到,建立完善个人隐私信息保护制度;加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警定期开展信息安全隐患排查、监测和预警等。
业务运营安全驱动服务:
安全咨询
安全评估
渗透测试
漏洞扫描
玄武盾(监测 防护)
应急响应(安全通知)
安全培训(风险防控意识)
场景化服务之外,安恒信息还提供常态化服务。根据用户安全能力现状、发展阶段的安全需求,提供一站式安全服务。
文中部分数据来源于:
《2020 数字医疗:疫情防控期间网络安全风险研究报告》