近年來����,隨著信息技術(shù)的快速發(fā)展����,醫(yī)療衛(wèi)生行業(yè)信息化發(fā)生了巨大的變化�。從信息化醫(yī)院��、數(shù)字化醫(yī)院,再到智慧醫(yī)院�,國內(nèi)越來越多的醫(yī)院正加速實(shí)施基于信息化平臺、HIS系統(tǒng)的整體建設(shè)�����,以提高醫(yī)院的服務(wù)水平與核心競爭力�。在互聯(lián)網(wǎng)醫(yī)療領(lǐng)域��,根據(jù)數(shù)據(jù)��,預(yù)計今年����,市場規(guī)模有望突破900億元,期間增長率達(dá)40%以上�����。
但信息化迅猛發(fā)展的背后,網(wǎng)絡(luò)安全的重要性亦愈發(fā)重要��。在《全國醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要(2015—2020 年) 》中就提到,要從數(shù)據(jù)安全���、網(wǎng)絡(luò)安全、邊界安全����、終端桌面安全等各方面加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)���。此外��,智慧醫(yī)療���、醫(yī)聯(lián)體����、“互聯(lián)網(wǎng)+醫(yī)療服務(wù)”�����、互聯(lián)網(wǎng)醫(yī)院等新形式的應(yīng)用,也都強(qiáng)調(diào)了信息網(wǎng)絡(luò)安全的建設(shè)����。
行業(yè)的“網(wǎng)絡(luò)環(huán)境之險”
隨著醫(yī)療業(yè)務(wù)應(yīng)用與基礎(chǔ)網(wǎng)絡(luò)平臺的逐步融合后醫(yī)療?數(shù)據(jù)安全?場景,也暴露了大量的安全缺陷醫(yī)療?數(shù)據(jù)安全?場景,可主要?dú)w納為以下幾點(diǎn)主要問題:
1��、 應(yīng)用安全漏洞大量存在
疫情防控期間�����,安恒信息風(fēng)暴中心曾抽取醫(yī)療衛(wèi)生行業(yè)1500余個網(wǎng)站進(jìn)行實(shí)時分析,發(fā)現(xiàn)在1500余家醫(yī)療網(wǎng)絡(luò)系統(tǒng)中����,存在網(wǎng)絡(luò)安全風(fēng)險漏洞的網(wǎng)站占比約10%,高危漏洞占比最高�����,約67.94%,其中跨站腳本成主要漏洞�。
2��、 僵木蠕毒惡意程序
不法分子在攻破醫(yī)療機(jī)構(gòu)應(yīng)用服務(wù)后�����,往往通過植入木馬病毒等惡意程序�����、篡改網(wǎng)站內(nèi)容等方式實(shí)現(xiàn)其遠(yuǎn)程控制�����、數(shù)據(jù)竊取、挖礦或?qū)Я鞯饶康摹@账?、挖礦已經(jīng)成為影響醫(yī)療業(yè)務(wù)連續(xù)性的主要威脅���。
3��、 網(wǎng)絡(luò)資產(chǎn)脆弱性隱患凸顯
健康醫(yī)療行業(yè)易被利用實(shí)施攻擊的脆弱性主要集中在三個方面:敏感服務(wù)暴露在公共互聯(lián)網(wǎng)(39.28%)、存在公開漏洞的低版本服務(wù)(44.39%)��、可被利用的高危端口開放(49.46%)�。
4、新技術(shù)威脅-新型醫(yī)療設(shè)備的應(yīng)用
很多聯(lián)網(wǎng)的醫(yī)療設(shè)備都很容易受到攻擊��,問題的關(guān)鍵在于很多醫(yī)療設(shè)備的設(shè)計并沒有考慮到網(wǎng)絡(luò)安全問題�����。在能打補(bǔ)丁的情況下�,補(bǔ)丁通常也只能提供有限的保護(hù)�。
5��、內(nèi)部人為威脅�,缺乏多維度的業(yè)務(wù)及數(shù)據(jù)審計管控措施
6、數(shù)據(jù)外泄一直存在
7、私立醫(yī)院安全建設(shè)普遍比其他醫(yī)院滯后
不同場景需求下的安全服務(wù)
國家及監(jiān)管部門也根據(jù)醫(yī)療衛(wèi)生行業(yè)信息化的發(fā)展出臺了相應(yīng)的政策法規(guī)�,以驅(qū)動和監(jiān)管醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)����。基于不同的場景需求,安恒信息提供相應(yīng)的安全服務(wù):
● 場景1:疫情防控場景下的安全服務(wù)
國家衛(wèi)健委發(fā)布的《國家衛(wèi)生健康委辦公廳關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》����,明確指示�,加強(qiáng)網(wǎng)絡(luò)信息安全工作,以防攻擊、防病毒��、防篡改����、防癱瘓�、防泄密為重點(diǎn),暢通信息收集發(fā)布渠道����,保障數(shù)據(jù)規(guī)范使用�����,切實(shí)保護(hù)個人隱私安全����,防范網(wǎng)絡(luò)安全突發(fā)事件���,為疫情防控工作提供可靠支撐��。
疫情在線“無接觸式”安全服務(wù):
抗“疫”一線安全服務(wù):
● 場景2:等級保護(hù)2.0合規(guī)建設(shè)
等級保護(hù)2.0已實(shí)施,對醫(yī)療衛(wèi)生行業(yè)同樣有要求���。衛(wèi)生部也曾印發(fā)行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見��,展開關(guān)鍵等保工作包括定級備案����、建設(shè)整改���、測評��、宣傳培訓(xùn)���、監(jiān)督檢查等工作�,并明確要求�,衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)�、傳染性疾病報告系統(tǒng)�����、衛(wèi)生監(jiān)督信息報告系統(tǒng)���、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)����、國家��、省����、地市三級衛(wèi)生信息平臺��,新農(nóng)合��、衛(wèi)生監(jiān)督����、婦幼保健等國家級數(shù)據(jù)中心��、三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)��、衛(wèi)生部網(wǎng)站系統(tǒng)等系統(tǒng)原則定級不能低于三級�����。
合規(guī)保障服務(wù):
● 場景3:推進(jìn)智慧醫(yī)院建設(shè)
全國多地都在大力推進(jìn)智慧醫(yī)院建設(shè)��,國家對全國的重點(diǎn)醫(yī)院進(jìn)行監(jiān)測。以四川省衛(wèi)健委發(fā)布的《關(guān)于大力推進(jìn)智慧醫(yī)院建設(shè)的通知》要求為例,要求具有統(tǒng)一的安全日志平臺�;具有網(wǎng)絡(luò)安全分析報告�����;至少每年對服務(wù)器�����、數(shù)據(jù)庫��、應(yīng)用系統(tǒng)打補(bǔ)丁,漏掃無高危漏洞�����;全員網(wǎng)絡(luò)安全培訓(xùn)≥1次/年���,網(wǎng)絡(luò)安全管理人員的技術(shù)培訓(xùn)≥ 1次/年����,年度內(nèi)開展了滲透測試�����、攻防演練的任意一種����,等等。
業(yè)務(wù)運(yùn)營安全驅(qū)動服務(wù):
● 場景4:“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展
國務(wù)院辦公廳關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見,在保障數(shù)據(jù)信息安全提到���,建立完善個人隱私信息保護(hù)制度�;加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)、互聯(lián)網(wǎng)醫(yī)療健康服務(wù)平臺��、智能醫(yī)療設(shè)備以及關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)應(yīng)用服務(wù)的信息防護(hù),定期開展信息安全隱患排查��、監(jiān)測和預(yù)警定期開展信息安全隱患排查�����、監(jiān)測和預(yù)警等。
業(yè)務(wù)運(yùn)營安全驅(qū)動服務(wù):
場景化服務(wù)之外�����,安恒信息還提供常態(tài)化服務(wù)。根據(jù)用戶安全能力現(xiàn)狀�����、發(fā)展階段的安全需求�����,提供一站式安全服務(wù)�����。
文中部分?jǐn)?shù)據(jù)來源于:
