在2020西湖论剑•网络安全前瞻峰会上,HIT专家网和杭州安恒信息技术股份有限公司联合发布了《后疫情时代医疗卫生网络安全白皮书》(以下简称“白皮书”)。
白皮书从“新冠肺炎”疫情期间全国医疗卫生行业网站安全抽样监测、医疗卫生行业网络信息安全现状、医疗卫生行业网络信息安全建议、行业实践案例等多个维度出发,为后疫情时代医疗卫生网络安全提出了针对性的建议。
原浙江省卫生信息中心主任、浙江省卫生信息学会副会长兼秘书长倪荣与安恒信息董事长范渊联合发布
疫情期间全国医疗卫生行业网站安全抽样监测分析
白皮书显示,安恒信息风暴中心在疫情期间抽取医疗卫生行业1500余个网站,就2020年1月1日——2020年02月21日时间段的网络安全状态,进行实时分析并输出报告。
经统计分析发现:
(1)在可用性方面,89.87%的重点医疗卫生行业的网站和系统可提供稳定服务,3.70%的网站出现了2小时以上的断网情况;
(2)在1500余家医疗网络系统中,存在网络安全风险漏洞的网站占比约10%,高危漏洞占比最高,约占风险漏洞总数的67.94%,其中跨站脚本成主要高危漏洞;存在高危安全事件105起,暗链为普遍攻击事件;
(3)重点医疗卫生行业的网站和系统总计接受8.03亿次访问,总计受到2843.71万次攻击,恶意user-agents占比较高,成主要攻击类型。
医疗卫生行业面临四大网络安全挑战
国内医疗卫生行业信息化发展与安全保障目前存在开放化、互联化、云化、数据化四大挑战。
近年医疗行业成为了黑色产业关注的主要对象,因此,国内医疗卫生行业的外部威胁形势观测也极为重要。
在面临各类外部威胁的同时,医疗行业也面临着各类内部管理问题,虽然按照等级保护、以及各项医院信息化建设标准要求建立了初步的纵深防护体系,但是在实际医疗行业安全运营角度下仍然存在一些安全管理上面的难题。
此外,白皮书还举例了国内医疗卫生行业网络信息安全典型事件。
医疗卫生行业网络安全建设,从这几方面入手
(1)网络安全等级保护制度进入2.0时代,医疗行业合规面临各种问题,需要建立结合高质量威胁情报的大数据分析及态势感知防御能力。
(2)从应用安全层面来说,需要兼顾风险评估与加固层面、事前安全防范层面、事中安全防护层面、事后安全审计层面。
(3)从数据安全层面来说,需要考虑数据可用性风险、数据保密性风险、数据完整性风险。
(4)从安全运营体系建设层面来说,网络安全要靠一个包括防火墙、入侵检测、访问控制、防病毒、安全审计、身份认证、加密等多项技术的安全体系来实现。
行业实践案例
白皮书列举大量行业实践案例,给出了极具参考价值的医疗卫生网络安全解决方案。这里简单介绍下某省卫建委网络安全监测预警通报及大数据平台建设案例(更多案例详情请见完整版)。
作为重要网站及信息系统运营单位,全省医疗卫生信息安全工作的指导监管单位,某省医疗卫生委员会(简称:省卫健委)通过此次建设实现了以下目标:
1.建立网络与信息安全信息通报预警处置机制
2.建设医疗卫生信息安全数据直报平台
3.建立医疗卫生信息安全数据管理平台
4.建立信息安全数据资源库
5.实现医疗卫生信息安全数据共享平台
6.实现卫生信息安全数据发布平台
7.与卫生其它应用系统在流程、信息、数据上实现无缝衔接
该系统的建设,可以全方位管理、 监督、预警、防范各类信息安全事件的发生,能感知全省信息安全的态势,帮助省卫健委掌握当前形式下的安全形势、安全问题与各地的安全水平,做到信息安全建设心中有数、保障有度、行动有据、管理有法、防范有措,真正做到为人民群众的生命健康保健护航,提高人民的卫生管理参与程度及满意度。
