资源描述
2019 健康医疗行业网络安全观测报告 I 目 录 01 前 言 . 1 02 健康医疗行业网络安全背景 . 3 2.1 健康医疗的政策背景 . 3 2.2 网络安全的现状解读 . 4 2.3 公共互联网观测结果 . 5 03 公共互联网的安全风险研究 . 9 3.1 僵木蠕等问题严峻,勒索病毒威胁严重 . 9 3.2 数据泄露事件高发,应用服务存在隐患 . 11 3.3 网站篡改手法多变,隐式植入非法信息 . 13 04 公共互联网的风险成因分析 . 16 4.1 端口存在高危漏洞,易被僵木蠕等利用 . 17 4.2 大量敏感服务暴露,弱口令成安全隐患 . 18 4.3 应用组件版本较低,网站篡改概率较高 . 19 2019 健康医疗行业网络安全观测报告 II 05 医院的网络安全现状调研 . 20 5.1 医院的网络安全等级保护工作普 遍不足 . 20 5.2 尚未建立定期开展风险评估的工作机制 . 21 5.3 网络安全培训与应急演练预案覆盖不全 . 22 06 安全工作思路与建议 . 25 6.1 提高政治站位,统一思想认识 . 25 6.2 加强政策引导,完善防护体 系 . 25 6.3 强化标准引领,规范行业发展 . 25 6.4 突出能力建设,形成长效机制 . 26 附录一:网络安全术语解释 . 27 附录二:风险量化评估细则 . 29 2019 健康医疗行业网络安全观测报告 1 01 前 言 坚持 以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大会议精神,为支撑健康医疗大数据服务的安全管理,促进“互联网 +医疗健康”安全发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据中华人民共和国网络安全法 全国人民代表大会常务委员会关于加强网络信息保护的决定 等法律法规和健康中国行动( 2019 2030 年)国务院促进大数据发展行动纲要国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见 国家健康医疗大数据标准、安全和服务管理办法(试行) 等文件精神,中国信息通信研究院(以下简称: 中国 信通院)在有关领导部门的指导下,联合腾讯科技(深圳)有限公司(以下简称:腾讯)、卫生信息安全与新技术应用专业委员会(以下简称:专委会) 和 中国医院协会信息管理专业委员会(以下简称: CHIMA) 等 相关 单位 、组织, 依托 “产业互联网安全实验室”的平台能力, 梳理健康医疗行业的观测结果,探究 健康医疗行业的网络安全问题,总结 形成 本观测报告。 本次观测行动通过公共互联网发起,共涉及 全国 31 个省市地区 健康医疗行业的 15339 家相关单位。 经过持续数月的观测,本报告研究团队综合运用大数据、人工智能、威胁实时感知等技术和能力,全方位、多维度地梳理了健康医疗行业的网络安全现状,并采用风险量化的方法对本次观测的结果进行评估。评估发现,健康医疗行业总体处于“较大2019 健康医疗行业网络安全观测报告 2 风险”的 安全 风险级别 , 网络安全风险 的集中 表现 , 一是 僵木蠕等问题严峻,勒索病毒威胁严重 , 二是 数据泄露事件高发, 应用 服务存在隐患 , 三是 网站篡改手法多变,隐式植入非法信息。 分析其主要原因, 一是 端口存在高危漏洞,易被僵木蠕等 恶意程序 利用, 二是 大量敏感服务暴露,弱口令成主要 安全隐患, 三是 应用 组件 版本较低,网站篡改概率较高。 本报告旨在通过公共互联网的安全观测,针对健康医疗行业的互联网暴露面问题进行技术研究与分析,以威胁信息共享与安全情报挖掘为基础,通过各单位的协同联动,促进健康医疗行业的网络安全防御体系建设,支撑保障互联网医疗的安全发展。 2019 健康医疗行业网络安全观测报告 3 02 健康医疗行业网络安全背景 2.1 健康医疗的政策背景 自十八大以来, 党中央、国务院高度重视健康医疗大数据的创新发展 , 习近平总书记指出,要运用大数据促进保障和改善民生,推进“互联网 +医疗” 。 李克强总理强调,发展和应用好健康医疗大数据,是一项重大民生工程 。近年来,新兴技术与健康医疗加速融合, 在 健康医疗大数据蓬勃发展的过程中 , 也面临一些新的挑战 , 需要及时加以引导 和 规范 ,尤其 表现在 “互联网 +医疗 ” 的新 形态 模式 。 为进一步贯彻落实习近平总书记网络强国战略思想, 促进“互联网 +医疗健康”安全发展, 根据中华人民共和国网络安全法国务院办公厅关于促进“互联网 +医疗健康”发展的意见国家健康医疗大数据标准、安全和服务管理办法(试行)等系列文件精神, 中国信通院安全所与腾讯安全联合 成立 了 “产业互联网安全实验室”, 积极构建政产学研用深度融合的协同发展创新模式,充分发挥专业机构在健康医疗领域网络安全保障的支撑作用。同时,搭建 了 “产业互联网安全观测平台”, 对 健康医疗行业网络安全态势 进行 实时 观测 ,实现健康医疗领域 的 网络安全威胁感知, 并且为完善健康医疗领域网络安全保障体系建设 、 提升健康医疗领域网络安全防护能力 、 切实筑牢健康医疗行业网络安全屏障 提供重要支撑 。 2019 健康医疗行业网络安全观测报告 4 2.2 网络 安全 的 现状 解读 当前全球信息化进程已进入全面渗透阶段, 健康 医疗行业作为关乎国计民生的重要领域,是信息时代极力突破和改善的重点。我国医疗信息化目前已步入智慧医疗建设阶段,电子病历、预约诊疗、智能导诊、电子支付等网络信息技术在健康医疗便捷普惠、医疗资源压力释放、医疗资源优化配置、数据信息开放共享等方面发挥了重要作用。与此同时,频发的医疗 大 数据泄露、医疗系统瘫痪等安全事件逐渐引发人们对 健康 医疗行业信息化的安全思考, 健康 医疗行业网络安全配套政策法规不完善、管理规范适用性低、技术手段薄弱等问题逐步显现, 健康 医疗行业网络安全形势日益严峻 ,亟待加强健康医疗行业网络安全监管,提升健康医疗大数据安全防护能力 , 保障大数据安全与医疗信息化的稳定发展。 以发展的眼光来看,网络安全是攻击方与防御方之间的动态博弈,新的攻击手段不断诞生,防御方法也不断升级。但是 由于 网络安全攻防双方的信息不对称, 往往 导致 防御方难以预测 攻击方将在何时、何处 、以何种手段 发起攻击。因此,防御方经常处于被动地位,防御升级会滞后于 新的 攻击。解决这个问题的根本方法在于消除信息不对称,这需要联合具备公共互联网观测能力的机构,以公共互联网安全观测和安全情报挖掘为基础, 内外协同构建安全防御体系, 从而 构筑防护 范围 更为广泛 的 有效 防御联动 网络 。 据此 , 由 中国信通院牵头,腾讯安全等单位参与,对 健康 医疗行业 的 公共互联网网络安全现状 进行 观测 。此外, 联合 专委会 、 CHIMA等组织, 采用问卷调查的方式 对我国部分医院的安全建设情况进行 调查 , 形成本报告 ,为 健康 医疗行业管理部门、医疗机构和信息安全厂商提供决策依据。 2019 健康医疗行业网络安全观测报告 5 2.3 公共互联网 观测 结果 1、 观测范围分布情况 本次观测行动通过公共互联网发起,共涉及健康医疗行业的 15339家相关单位。 观测范围从职能划分上看,覆盖疾病预防控制中心(以下简称“疾控中心”) 563家,卫生监督所(以下简称“监督所”) 333家,卫生和计划生育委员会(以下简称“卫计委”) 432家,医学会 163家,公立医院 4143家,私立医院 9705家。 图 2.1 观测范围 -以 职能 划分的分布 图 观测范围从地域划分上看,覆盖了全国除港、澳、台以外所有 的 31 个 省、 自治区和 直辖市。其中山东 、 河南 、 江苏 、 四川 、 浙江 、 广东属于单位 分布 较多的省份。 私立医院63%公立医院27%疾控中心4%卫计委3%监督所2%医学会1%私立医院公立医院疾控中心卫计委监督所医学会2019 健康医疗行业网络安全观测报告 6 图 2.2 观测范围 -以 地域划分 的 分布 图 2、观测结果评估情况 经过持续数月的观测, 本报告研究 团队综合运用 大数据、人工智能 、 威胁实时感知 等技术和能力 , 全方位、多维度地梳理了 健康 医疗行业的网络安全 现状,并采用风险量化的方法对本次观测的结果进行评估。 ( 1)风险 分布评估 本报告将 风险 分为四个 级别 ,分别 为 重大 风险 ( 0-500分) 、 较大 风险 ( 500-800 分) 、 一般 风险 ( 800-900分)和 低风险 ( 900-1000分) 。分数越高,网络安全风险越 低 ;分数越低,网络安全风险越 高 。 本次观测 健康 医疗行业 整体 评分为 788分 ,总体行业处于“较大风险”的风险级别 ,存在多种网络安全风险以及大量可以被利用的安全隐患,防御公共互联网攻击的能力较弱 。 2019 健康医疗行业网络安全观测报告 7 风险级别 对应分数段 风险级别说明 重大风险 0-500分 威胁种类多、攻击频率高,存在大量安全隐患,缺乏安全防护能力 较大风险 500-800分 威胁种类较多、攻击频率较高,存在较多安全隐患,缺乏基础的安全防护能力 一般风险 800-900分 威胁种类一般、攻击频率一般,存在安全隐患,具备基础的安全防护能力 低风险 900-1000分 威胁种类较少,攻击频率较低,存在较少的安全隐患或暂未发现网络安全风险,具备较强的安全防护能力 表 2.1 网络安全风险分级 各省份风险量化 的 评估 结果 分布 如下 图所示。 图 2.3 各省份风险 评估结果分布图 风险级别为“低风险”的省份有:山东省和四川省; 风险级别为“一般风险”的省份有:浙江省、江苏省、河南省、广东省、安徽省、河北省等 ; 风险级别为“较大风险”的省份有:北京市 、 上海市、 重庆市 、 天津市、 福建省 、 山西省、 甘肃省 、 贵州省 、 黑龙
展开阅读全文