近年來���,隨著信息技術的快速發(fā)展�,醫(yī)療衛(wèi)生行業(yè)信息化發(fā)生了巨大的變化�����。從信息化醫(yī)院���、數(shù)字化醫(yī)院,再到智慧醫(yī)院����,國內越來越多的醫(yī)院正加速實施基于信息化平臺、HIS系統(tǒng)的整體建設,以提高醫(yī)院的服務水平與核心競爭力����。在互聯(lián)網醫(yī)療領域,根據(jù)數(shù)據(jù)�����,預計今年��,市場規(guī)模有望突破900億元�����,期間增長率達40%以上�����。
但信息化迅猛發(fā)展的背后����,網絡安全的重要性亦愈發(fā)重要。在《全國醫(yī)療衛(wèi)生服務體系規(guī)劃綱要(2015—2020 年) 》中就提到����,要從數(shù)據(jù)安全、網絡安全、邊界安全����、終端桌面安全等各方面加強網絡安全防護體系的建設。此外�,智慧醫(yī)療、醫(yī)聯(lián)體��、“互聯(lián)網+醫(yī)療服務”���、互聯(lián)網醫(yī)院等新形式的應用���,也都強調了信息網絡安全的建設。
行業(yè)的“網絡環(huán)境之險”
隨著醫(yī)療業(yè)務應用與基礎網絡平臺的逐步融合后醫(yī)療?數(shù)據(jù)安全?場景�����,也暴露了大量的安全缺陷醫(yī)療?數(shù)據(jù)安全?場景�,可主要歸納為以下幾點主要問題:
1、 應用安全漏洞大量存在
疫情防控期間�����,安恒信息風暴中心曾抽取醫(yī)療衛(wèi)生行業(yè)1500余個網站進行實時分析����,發(fā)現(xiàn)在1500余家醫(yī)療網絡系統(tǒng)中,存在網絡安全風險漏洞的網站占比約10%���,高危漏洞占比最高�,約67.94%��,其中跨站腳本成主要漏洞�。
2、 僵木蠕毒惡意程序
不法分子在攻破醫(yī)療機構應用服務后���,往往通過植入木馬病毒等惡意程序����、篡改網站內容等方式實現(xiàn)其遠程控制�、數(shù)據(jù)竊取、挖礦或導流等目的�。勒索、挖礦已經成為影響醫(yī)療業(yè)務連續(xù)性的主要威脅����。
3���、 網絡資產脆弱性隱患凸顯
健康醫(yī)療行業(yè)易被利用實施攻擊的脆弱性主要集中在三個方面:敏感服務暴露在公共互聯(lián)網(39.28%)��、存在公開漏洞的低版本服務(44.39%)��、可被利用的高危端口開放(49.46%)�����。
4��、新技術威脅-新型醫(yī)療設備的應用
很多聯(lián)網的醫(yī)療設備都很容易受到攻擊�����,問題的關鍵在于很多醫(yī)療設備的設計并沒有考慮到網絡安全問題�。在能打補丁的情況下,補丁通常也只能提供有限的保護��。
5���、內部人為威脅�����,缺乏多維度的業(yè)務及數(shù)據(jù)審計管控措施
6���、數(shù)據(jù)外泄一直存在
7、私立醫(yī)院安全建設普遍比其他醫(yī)院滯后
不同場景需求下的安全服務
國家及監(jiān)管部門也根據(jù)醫(yī)療衛(wèi)生行業(yè)信息化的發(fā)展出臺了相應的政策法規(guī)��,以驅動和監(jiān)管醫(yī)療衛(wèi)生行業(yè)網絡安全建設?��;诓煌膱鼍靶枨螅埠阈畔⑻峁┫鄳陌踩眨?/p>
● 場景1:疫情防控場景下的安全服務
國家衛(wèi)健委發(fā)布的《國家衛(wèi)生健康委辦公廳關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》��,明確指示����,加強網絡信息安全工作����,以防攻擊�����、防病毒�、防篡改�����、防癱瘓、防泄密為重點�,暢通信息收集發(fā)布渠道��,保障數(shù)據(jù)規(guī)范使用���,切實保護個人隱私安全,防范網絡安全突發(fā)事件����,為疫情防控工作提供可靠支撐�。
疫情在線“無接觸式”安全服務:
抗“疫”一線安全服務:
● 場景2:等級保護2.0合規(guī)建設
等級保護2.0已實施,對醫(yī)療衛(wèi)生行業(yè)同樣有要求�����。衛(wèi)生部也曾印發(fā)行業(yè)信息安全等級保護工作的指導意見,展開關鍵等保工作包括定級備案���、建設整改�����、測評��、宣傳培訓�����、監(jiān)督檢查等工作,并明確要求����,衛(wèi)生統(tǒng)計網絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網運行的信息系統(tǒng)�、國家、省�、地市三級衛(wèi)生信息平臺�,新農合���、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心��、三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)���、衛(wèi)生部網站系統(tǒng)等系統(tǒng)原則定級不能低于三級��。
合規(guī)保障服務:
● 場景3:推進智慧醫(yī)院建設
全國多地都在大力推進智慧醫(yī)院建設,國家對全國的重點醫(yī)院進行監(jiān)測��。以四川省衛(wèi)健委發(fā)布的《關于大力推進智慧醫(yī)院建設的通知》要求為例����,要求具有統(tǒng)一的安全日志平臺���;具有網絡安全分析報告;至少每年對服務器��、數(shù)據(jù)庫���、應用系統(tǒng)打補丁���,漏掃無高危漏洞����;全員網絡安全培訓≥1次/年,網絡安全管理人員的技術培訓≥ 1次/年,年度內開展了滲透測試���、攻防演練的任意一種����,等等。
業(yè)務運營安全驅動服務:
● 場景4:“互聯(lián)網+醫(yī)療健康”發(fā)展
國務院辦公廳關于促進“互聯(lián)網+醫(yī)療健康”發(fā)展的意見��,在保障數(shù)據(jù)信息安全提到,建立完善個人隱私信息保護制度;加強醫(yī)療衛(wèi)生機構�����、互聯(lián)網醫(yī)療健康服務平臺��、智能醫(yī)療設備以及關鍵信息基礎設施、數(shù)據(jù)應用服務的信息防護,定期開展信息安全隱患排查�����、監(jiān)測和預警定期開展信息安全隱患排查�、監(jiān)測和預警等�����。
業(yè)務運營安全驅動服務:
場景化服務之外��,安恒信息還提供常態(tài)化服務�。根據(jù)用戶安全能力現(xiàn)狀、發(fā)展階段的安全需求���,提供一站式安全服務�。
文中部分數(shù)據(jù)來源于:
