2020年中國醫(yī)療行業(yè)網絡安全發(fā)展概況及存在的主要問題分析[圖]

    在醫(yī)療行業(yè)信息化建設蓬勃發(fā)展的同時，其所面臨的網絡安全風險也逐漸增多。我國醫(yī)療行業(yè)仍存在等級保護工作落實情況不佳、整體安全風險較高、醫(yī)療信息系統(tǒng)的安全防護水平相對落后的問題，醫(yī)療行業(yè)網絡安全形勢不容樂觀。

    一、醫(yī)療行業(yè)網絡安全形勢依然嚴峻

    （一）醫(yī)療行業(yè)網絡安全風險較高

    醫(yī)療行業(yè)總體處于“較大風險”級別，存在多種網絡安全風險及大量可被利用的安全隱患，安全防護能力較弱。通過對15339家醫(yī)療行業(yè)相關單位的觀測，存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029家，應用服務端口暴露在公共互聯(lián)網中的單位有6446家，4546家單位網站存在被篡改安全隱患，其中261家單位已發(fā)生網站被篡改情況。

三類主要問題涉及的單位數(shù)量

資料來源：中國軟件評測中心、智研咨詢整理

    （二）安全防護水平相對落后

    現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網絡安全，對網絡進行VPN/VLAN劃分和上網行為管理的醫(yī)院僅過半數(shù)。醫(yī)院對網閘、防入侵、防毒墻等設備的采用率均小于50%?？梢姶蟛糠轴t(yī)院都缺乏必要的網絡防護設備。

醫(yī)院采用的網絡安全措施

資料來源：中國軟件評測中心、智研咨詢整理

    三級以下醫(yī)院只有不到一半采取了VPN/VLAN劃分、上網行為管理系統(tǒng)，不到1/3的醫(yī)院采用了網閘、入侵檢測（IDS/IPS），1/5 的醫(yī)院采用了網絡接入控制、漏洞掃描、域用戶管理模式，僅有1/10的醫(yī)院采用了堡壘機進行運維管理。三級以下醫(yī)院在基礎網絡安全防護方面非常欠缺，網絡安全堪憂。

不同等級醫(yī)院采用的網絡安全措施對比

資料來源：中國軟件評測中心、智研咨詢整理

    醫(yī)療信息系統(tǒng)中大部分的服務器操作系統(tǒng)安裝了防病毒軟件，主要應用服務器采用雙機熱備或者集群部署，減少了服務器宕機帶來的故障，但缺少必要的網絡準入機制，對接入網絡的終端沒有進行IP限制，也沒有必要的認證機制。部署網絡準入系統(tǒng)的有0家，而在數(shù)據(jù)保護方面38%的系統(tǒng)沒有數(shù)據(jù)庫審計，只有2%的單位具有災備服務器，大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護機制。

已通過等級保護的醫(yī)療單位采用的網絡安全設備

資料來源：中國軟件評測中心、智研咨詢整理

    二、醫(yī)療行業(yè)網絡安全存在的主要問題

    醫(yī)療機構58%的醫(yī)療信息系統(tǒng)存在弱口令問題；59%醫(yī)療信息系統(tǒng)存網絡防護架構不完善問題，包括網絡區(qū)域劃分不合理、網絡鏈路無冗余等問題。60%的醫(yī)療信息系統(tǒng)數(shù)據(jù)備份機制不健全，包括無異地備份機制、備份策略不合理等問題；72%的醫(yī)療信息系統(tǒng)在數(shù)據(jù)存儲和傳輸過程中未采取加密措施；絕大多數(shù)醫(yī)療信息系統(tǒng)在管理方面存在監(jiān)管不力、制度不完善、人員安全意識較弱等問題。

醫(yī)療行業(yè)信息系統(tǒng)安全問題占比

資料來源：中國軟件評測中心、智研咨詢整理

    三、提高醫(yī)療行業(yè)網絡安全保障能力建議

    （一）重視網絡安全基礎防護

    智研咨詢發(fā)布的《2021-2027年中國醫(yī)療行業(yè)網絡安全行業(yè)市場研究分析及投資戰(zhàn)略規(guī)劃報告》數(shù)據(jù)顯示：網絡中應部署IDS/IPS、防毒墻、WAF、資源監(jiān)控系統(tǒng)、垃圾郵件檢測系統(tǒng)、上網行為管理系統(tǒng)、堡壘機、日志服務器等安全設備，并定期更新安全設備的規(guī)則庫和系統(tǒng)版本。

常見安全設備及生產廠商

資料來源：中國軟件評測中心、智研咨詢整理

    （二）建設安全計算環(huán)境

    1、強制使用復雜口令

    設備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統(tǒng)的一般方法首先是猜測或爆破登錄口令然后再進行其他破壞操作。身份鑒別是設備和軟件安全的重要模塊，使用復雜密碼，可以有效阻止三分之一以上的網絡攻擊行為。

    2、注重安全審計

    安全審計功能是為了在安全事件發(fā)生后可以溯源，以便盡快修復系統(tǒng)，找到事件發(fā)生源頭，并做好預防和懲戒。一旦發(fā)生安全事件，之前做好的審計記錄就是修復系統(tǒng)并找到攻擊源的重要途徑。

    （三）加強醫(yī)療數(shù)據(jù)安全保護

    1、加密存儲與傳輸數(shù)據(jù)
為設備和系統(tǒng)建立普通權限賬號，遠程訪問系統(tǒng)時使用普通用戶身份通過SSH或HTTPS協(xié)議。使用加密系統(tǒng)保護醫(yī)療數(shù)據(jù)。

    2、加強數(shù)據(jù)備份與恢復

    在醫(yī)院網絡信息化系統(tǒng)中，數(shù)據(jù)備份尤為關鍵，這是系統(tǒng)面臨安全隱患問題時數(shù)據(jù)恢復的最佳途徑。

    3、注重數(shù)據(jù)脫敏與分級保護

    公眾場合或支付場景展示數(shù)據(jù)時，無論是移動終端還是公示大屏，患者關鍵信息應該采用脫敏的方式來顯示。

    （四）強化網絡安全制度管理

    1、完善應急預案與響應機制

    建立網絡安全應急響應預案，進行預案培訓與演練，及時修訂應急響應預案。保證發(fā)生安全事件時，系統(tǒng)運維人員能有步驟有策略地應對，降低損失。

    2、加強網絡安全人員管理

    建立內部運維管理團隊，提高人員專業(yè)技能。醫(yī)院信息化進程中對網絡安全人才不可或缺，而現(xiàn)在醫(yī)院體系里不但缺少網絡安全人才，而且缺少計算機專業(yè)人才，不能專業(yè)地完成信息化建設工作。