健康医疗行业网络安全情况分析及建议

一、 健康医疗背景
坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大会议精神,为支撑健康医疗大数据服务的安全管理,促进"互联网+医疗健康"安全发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规和《国务院促进大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等文件精神，分析医疗健康行业面临网络安全的问题，促进健康医疗行业的网络安全防御体系建设,支撑保障互联网医疗的安全发展。
二、 医疗行业挑战
健康医疗行业总体处于"较大风险"的安全风险,网络安全风险的集中表现：
一是僵木蠕等问题严峻,勒索病毒威胁严重；
二是数据泄露事件高发, 应用服务存在隐在；
三是网站篡改手法多变,隐式植入非法信息；
分析其主要原因,一是端口存在高危漏洞,易被僵木蠕等恶意程序利用,二是大量敏感服务暴露,弱口令成主要安全隐患,三是应用组件版本较低,网站篡改概率较高。
三、 医院的网络安全现状调研
基于CHIMA发布的《2019医院信息安全调查报告》(以下简称《调查报告》)中的相关数据分析可以发现，健康医疗行业相关机构对网络安全重视程度不够,网络安全相关工作开展不足。这就造成医疗信息系统面临的网络安全风险挑战很大, 甚至导致医疗正常业务受干扰或终止、个人信息泄露和医疗数据被篡改等严重后果。主要表现在:
3.1医院的网络安全等级保护工作普遍不足
安全防护措施的制定和实施是保证医院信息系统安全稳定运行的必要条件。国家卫生主管部门对医疗机构的信息安全等级保护工作提出了严格要求。
根据《调查报告》,至少有一个系统通过等保三级测评的受访医院共计195 家,占比50.13%;通过等保二级测评的受访医院共计40 家,占比10.28%;有实施等保工作规划的医院有106 家,占比27.25%;没有开展等保工作规划的医院有48 家,占比12.34%。

由此可见,各医院推进网络安全等级保护的工作的力度和进展存在较大差别,有些医院未开展科学、合理的系统定级工作,使系统缺乏必要的安全保障措施。等级保护有助于对系统安全进行重新梳理,发现医院系统内、外部存在的安全风险和隐患,提高网络安全防护能力,降低系统被攻击的风险,能够更加有效的保障医疗信息安全。因此,医院在信息化建设中适当提高对等级保护的侧重,有助于保障医院信息系统持续稳定安全运行。
3.2 尚未建立定期开展风险评估的工作机制
医院的网络安全等级保护要求开展周期性的网络安全风险评估工作,重点针对医疗信息系统进行渗透测试等技术评估。根据《调查报告》,本次调查中共有37 家受访医院表示采用了定期渗透测试以评估风险,占受访医院的9.51%。同时还有27 家医院填写了每年定期渗透的次数,每年一次的医院有12 家,每年两次的医院有11 家,每年三次的医院有1 家,每年四次的医院有5家。

由此可见,绝大部分医院尚未建立对信息系统开展定期渗透测试的风险评估机制,在少数已开展定期渗透测试的医院当中,测试开展的频率偏低。定期渗透测试有助于评估信息系统抵御网络入侵的能力,当前的开展情况反映了医院对网络信息安全的评估方法不够全面、有效。
3.3网络安全培训与应急演练预案覆盖不全
在医院内部定期开展网络安全相关培训与应急演练工作,有助于培养相关人员的安全素养和安全意识,提高相关人员的专业知识水平和处理安全事件的能力。
根据《调查报告》,此项调查共回收198 个有效回答。在安全培训方面,有111 位受访者表示医院会定期在信息部门内部举行网络安全培训,占比56%;36 位受访者表示医院设置了专门的信息安全员,由他们负责进行网络安全培训,占比18%;31 位受访者表示医院会对全体员工进行网络安全培训,占比16%;20位受访者表示没有相关培训,占比10%。

在应急演练方面,选择信息部门内部参加的定期网络安全应急演练的共计93 位受访者,占比47%;选择医院全体员工参加的定期网络安全应急演练的共有42 位受访者,占比21%;选择仅有医院设立的信息安全员参加的定期网络安全应急演练有36 位受访者,占比18%;回答医院没有定期组织网络安全应急演练的有27 位受访者,占比14% 。

由此可见,目前各医院开展网络安全培训和应急演练工作的覆盖面不足,近半数的医院仅在信息部门内部定期开展网络安全培训和应急演练工作,设置专门信息安全员的医院不足20%,还有部分医院完全没有进行安全培训和应急演练。这既不利于提高工作人员的安全意识,也无法有效保障医院信息系统的安全。
四、 安全工作思路与建议
4.1提高政治站位,统一思想认识
健康医疗行业事关人民福祉和国家安全,健康医疗行业相关机构应提高政治站位,统一思想,充分认识到做好健康医疗行业网络数据安全保障工作的重要性和紧迫性,坚决贯彻落实习近平总书记有关数据安全重要批示指示精神,坚决做好大数据安全与医疗信息化稳定发展的保障工作。
4.2加强政策引导,完善防护体系
保障健康医疗网络安全是卫生事业改革和发展的重要内容。为加强健康医疗领域网络安全体系建设,保障医疗领域信息化的顺利发展,不断满足人民群众多层次、多样化的健康需求,亟需完善健康医疗领域网络安全体系建设,提升健康医疗领域网络安全防护能力,为持续推进健康医疗信息化安全稳定发展保驾护航。
4.3强化标准引领,规范行业发展
健康医疗行业网络安全标准化工作作为健康医疗领域网络安全保障体系建设的重要组成部分,在推动健康医疗领域网络安全治理体系变革方面发挥着不可替代的作用。为全面切实推进健康医疗领域的网络安全防护工作整体、规范, 科学、有序的开展,亟需健全完善健康医疗行业的网络安全标准化体系建设。
4.4突出能力建设,形成长效机制
健康医疗行业相关机构应加强自身网络数据安全综合保障能力建设,继续加强在网络数据安全领域的投入,建立系统化的安全保障体系,形成长效机制:加快推进网络安全等级保护测评工作,定位安全问题,排除安全隐患;
· 定期开展风险评估工作,评估系统抵御网络入侵的防护能力,发现潜在的安全隐患;
· 建立网络安全专业团队,定期进行安全培训及应急演练,提升团队安全意识和风险应对能力;
· 充分发挥第三方安全机构的专业支撑能力,采用安全最佳实践,保障医疗信息化的安全发展。