新年伊始,一只出乎意料的黑天鹅(新型冠状病毒)改变了我们每个人的生活轨迹。这次突发性重大公共卫生事件再一次警醒我们完善公共卫生应急响应机制,提高应对此类大事件的能力刻不容缓。医疗行业作为公共卫生事业的关键一环也被提出了更高要求。随着大数据、云计算、物联网在医疗行业的应用不断深入,越来越多的医疗卫生机构提供在线问诊、智能问药、药品快递到家等服务,很大程度上减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。但是,医疗行业面临的网络安全风险也逐渐增多,网络安全工作显得尤为重要。
谈古
几年前的网络安全检查中,各个医院的信息化负责人带着纸质材料、U盘,甚至是空着手,来到检查现场,你好我好大家好的谈谈有什么问题,对网络安全的认识还停留在初级水平。近几年去医疗机构做安全检查、等级保护测评的时候,情况则有所不同。从堆满杂物的小仓库改造而成的机房、再到规范又现代化的数据中心;网络安全人员从安全小白、逐渐成长为专业化的医疗安全界小咖;医疗机构负责人逐步提升了网络安全意识,调配的网络安全资源也日趋增多。然而,根据我们的观察,各医疗机构对网络安全的重视程度参差不齐,网络安全防护水平仍有待快速提高。
论今
白皮书
目录
一、我国高度重视医疗行业网络安全
(二)各地将网络安全作为“互联网+医疗健康”重要内容
二、医疗行业网络安全形势依然严峻
(一)等级保护工作落实情况不佳
(二)医疗行业网络安全风险较高
(三)安全防护水平相对落后
(四)医疗信息泄露事件高发
三、医疗行业网络安全存在的主要问题
(一)身份认证口令不健壮
(二)网络防护架构不完善
(三)数据备份机制不健全
(四)数据加密措施未落实
(五)网络安全管理不到位
四、提高医疗行业网络安全保障能力建议
(一)重视网络安全基础防护
(二)建设安全计算环境
(三)加强医疗数据安全保护
(四)强化网络安全制度管理
五、做好等保2.0时代医疗行业网络安全
▲三类主要问题涉及的单位数量
现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。
医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。
▲医院采用的网络安全措施
中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服务器,大部分医疗信息系统没有完善的数据保护机制。
▲已通过等级保护的医疗单位采用的网络安全设备
根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题。
▲医疗行业信息系统安全问题占比
身份认证口令不健壮
在网络安全实践中,用户身份认证是信息系统和关键数据保护的第一道防线。
信息系统用户多采用易被别人猜测到或易被工具破解的弱口令,使得攻击者甚至无需技术基础就可对目标系统进行攻击。