2020-2021数字医疗网络安全 分析 报告 目 录 一、健康医疗行业网络安全背景 . 1 （一）网络安全形势发展变化情况 . 1 （二）健康医疗行业安全政策研究 . 2 （三）公共互联网的安全观测结果 . 4 二、公共互联网的安全风险分析 . 9 （一）资产脆弱性问题现状及趋势对比分析 . 10 （二）安全漏洞问题现状及趋势对比分析 . 14 （三）僵木蠕毒问题现状及趋势对比分析 . 16 （四）网站篡改问题现状及趋势对比分析 . 19 三、医疗机构安全风险对比分析 . 22 （一）互联网医院与非互联网医院的安全对比分析 . 22 （二）公立医院与私立医院的安全对比分析 . 25 四、健康医疗安全工作思路与建议 . 28 （一）主管部门应重点推动行业规 范发展 . 28 （二）医疗机构应持续改进自身安全建设 . 29 （三）安全服务机构应加快提升服务质量 . 31 附录 A 网络安全量化风险分级 . 33 图 目 录 图 1 我国三级及以上医疗机构等级保护工作开展情况图 . 4 图 2 公共互联网安全观测范围 -以职能划分的分布图 . 5 图 3 观测范围 -以地域划分的分布图 . 6 图 4 各省份风险评估结果分布图 . 7 图 5 存有高危端口风险单位数对比图 . 11 图 6 敏感服务风险单位数对比图 . 12 图 7 高危端口及敏感服务风险单位省份分布对比图 . 13 图 8 服务版本过低风险涉及单位各省份分布对比图 . 14 图 9 安全漏洞风险级别分布对比图 . 15 图 10 高危漏洞 Top3 分布图 . 15 图 11 安全漏洞涉及单位省份分布对比图 . 16 图 12 四类重点僵木蠕毒风险涉及单位数目对比图 . 17 图 13 通用僵木蠕毒恶意文件感染单位变化图 . 18 图 14 僵木蠕毒地域分布对比图 . 18 图 15 网页篡改问题涉及单位省市分布图 . 20 图 16 互联网医院和非互联网医院风险占全部医院风险比例图 25 图 17 公立医院和私立医院风险占全部医院风险比例图 . 26 图 18 2020 年公立医院和私立医院安全漏洞分类对比图 . 27 一、健康医疗行业网络安全背景 （一）网络安全形势发展变化情况 近年来，新一代信息技术蓬勃发展，网络空间日新月异，网络空间安全日益成为关系着国计民生的重要主题。习近平总书记指出 ， “ 没有网络安全，就没有国家安全 ” ，将网络安全的重要性提升至国家战 略层面。随着 2020 年新冠肺炎疫情在全球的暴发和蔓延，各国经济 均受到不同程度的负面影响，国际局势日趋复杂，出于政治目的而发 起的有组织的网络攻击持续高发。针对我国党政机关、关键信息基础 设施运营者等重要单位的 DDoS 攻击、钓鱼邮件攻击呈现高发频发态势，特别是借助新冠肺炎疫情主题开展的网络钓鱼攻击，给我国政府 机关和医疗机构带来了巨大的网络安全挑战，一定程度上影响着疫情 防控工作的正常开展。 与此同时，新冠肺炎疫情的影响加速了我国企业和社会的数字化转型，互联网医疗、远程办公、线上买菜等新场景新应用得到快速推 广和普及，人工智能、大数据、物联网等新一代信息技术逐步实现与 场景的深度融合和广泛应用。然而，伴随新兴业态的热度突增和新技 术的落地应用，安全漏洞、数据泄漏、网络钓鱼、勒索病毒等网络安 全风险和威胁也日益凸显。据国家计算机网络应急技术处理协调中心 （ CNCERT） 发布的 2019 年我国互联网网络安全态势综述显示， 软硬件安全漏洞数量和影响范围呈现逐年上涨趋势，相比 2018 年， 2019 年的事件型漏洞和高危零日漏洞分别增长 227%和 47.5%，安全 1 漏洞风险持续攀升，这些都给我们的新技术应用与新场景落地敲响了网络安全的警钟。 在数字医疗领域，数字化和智能化已经成为产业发展的大势所趋， 网络安全问题成为产业转型过程中必须面对的重要挑战。当前，健康 医疗机构一方面面临着以数据泄漏、勒索病毒为代表的传统网络安全 威胁，另一方面也在探索着如何安全合规地开发利用健康医疗大数据。 数字医疗领域的网络安全问题呈现多元化发展态势，网络安全与数字 化发展更加紧密结合，如何在保障网络安全的前提下推动产业数字化 转型发展，成为数字医疗领域共同面临的重大课题。 （二）健康医疗行业安全政策研究 自 2017 年 6 月 1 日我国网络安全法实施以来，系列配套的法律法规和标准规范逐渐发布实施，形成相对完整的网络安全法律法规和标准体系。 2019 年 5 月，公安部正式发布信息安全技术 网络安全等级保护基本要求等网络安全等级保护制度 2.0 相关的系列国家标准，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。 2019 年 12 月，关键信息基础设施网络安全标准开展正式发布前试点，其在网络安全等级保护的基础上对卫生医疗等公共服务提出了更高的网络安全要求。 2020 年 6 月，关键信息基础设施安全保护条例列入国务院 2020 年立法工作计划； 同月 ，数据安全法和个人信息保护法列入全国人大常委会 2020 年度立法工作计划。 7 月，中华人民共和国数据安全法 （ 草案 ） （以下简称：数据安全法 （ 草案 ） ） 面向社会公众征求意见 ，数据安全 法 （ 草案 ） 中指出 “ 工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管 职责。 ” 作为数字医疗领域主管部门，国家卫生健康委员会近年来相继颁 布一系列部门规章和规范性文件，推动健康医疗行业网络安全水平提 升。2018 年 4 月，国家卫生健康委发布关于印发全国医院信息化建 设标准与规范 （ 试行 ） 的通知，对二级及以上医院的数据中心安全、 终端安全、网络安全及容灾备份提出要求。 2018 年 9 月，国家卫生健 康委发布国家健康医疗大数据标准、安全和服务管理办法 （ 试行 ） ， 明确责任单位应当落实网络安全等级保护制度要求，对健康医疗大数 据中心、相关信息系统开展定级、备案、测评等工作。同月，国家卫 生健康委发布了关于印发互联网诊疗管理办法 （ 试行 ） 等三个文件 的通知，明确要求互联网诊疗及互联网医院信息系统实施第三级信息安全等级保护，并向监管部门开放数据接口，支持实时监管。 2019 年 3 月，国家卫生健康委发布了关于落实卫生健康行业网络信息与 数据安全责任的通知，明确卫生健康领域网络信息与数据安全的职 责分工和主体责任，推动建立和落实网络安全的工作领导责任制及相 关方责任，严格执行网络信息与数据安全的责任追究制。 2020 年 6 月， 国家卫生健康委发布关于做好信息化支撑常态化疫情防控工作的通 知中，强调要强化网络安全工作，切实保障个人信息和网络安全， 落实网络安全责任，加大网络安全投入，加强网络安全防护和保障能 力，组织网络安全宣传教育和培训。 三级医院（ 2019年） 三级医院（ 2018年） 未开展 通过等保三级测评 通过等保二级测评 有实施等保工作规划 0.00% 10.00% 15.97% 12.32% 14.83% 9.65% 20.00% 25.46% 30.00% 32.32% 34.98% 40.00% 50.00% 52.57% 60.00% 随着国家级网络安全法律法规和标准规范的不断出台，以及健康医疗行业网络安全相关政策的相继发布，健康医疗机构及其从业人员 网络安全意识不断增强，行业整体网络安全建设水平迈上新的台阶。 以医疗机构网络安全等级保护实施情况为例， 2019 年我国三级及以 上医疗机构通过等保三级测评比例相比 2018 年显著提升，通过等保 三级测评比例由 34.98%上升为 52.57%，具体数据如图 1 所示。 图 1 我国三级及以上医疗机构等级保护工作开展情况图 （三）公共互联网的安全观测结果 为助力健康医疗行业更好地掌握和评估当前细分机构类别和地域的安全状况，研究团队基于中国信通院安全研究所产业互联网安全实验室技术能力，对医疗机构在公共互联网上的数字资产展开全方位 实时安全观测扫描与量化评估，旨在为医疗机构了解自身与行业安全 基线的差距提供支撑，为健康医疗行业加强安全建设、管理、运维等 提供工作思路。 私立医院 , 9933 公立医院 , 4531 卫健委 , 432 医学会 , 170 监督所 , 332 疾控中心 , 549 1. 观测范围分布情况 本次观测行动通过公共互联网发起，共涉及健康医疗行业的 15946 家相关单位，相比 2019 年新增 607 家单位。观测范围从职能划分上看，覆盖疾病预防控制中心 （ 以下简称 “ 疾控中心 ” ） 549 家，卫生监督所 （ 以下简称 “ 监督所 ” ） 332 家，卫生健康委员会 （以下简称 “ 卫健委 ” ） 432 家，医学会 170 家，公立医院 4531 家，私立医院 9933 家。结合 2019 年我国卫生健康事业发展统计公报数据可知， 本次观测公立医院和私立医院的覆盖率分别达 37.9%和 44.2%。观测总量较之 2019 年的 15339 家增长 3.9%，新增观测单位主要是公立医 院和私立医院。观测范围按职能分布如图 2 所示。 图 2 公共互联网安全观测范围 -以职能划分的分布图 观测范围从地域划分上看，覆盖了全国除港、澳、台以外所有的 31 个省、自治区和直辖市。其中单位分布数量较多省份的分别是山 东、四川、广东、江苏、河南、浙江，与 2019 年排名前六的省份完 全一致，前六省单位数量占观测单位总数比例达 40%，具体分布情况如图 3 所示。 图 3 观测范围 -以地域划分的分布图 2. 观测结果评估情况 经过持续性的公共互联网安全观测，本报告研究团队综合运用大数据、人工智能、威胁实时感知等技术和能力，全方位、多维度地梳 理了健康医疗行业的网络安全现状及风险变化趋势，并采用风险量化 的方法对观测结果进行了评估。本报告的风险分级沿用 2019 年健康 医疗行业网络安全观测报告中的分级标准，分别为重大风险 （ 0-500 分 ） 、较大风险 （ 500-800 分 ） 、一般风险 （ 800-900 分 ） 和低风险 （ 900- 1000 分 ） ，具体网络安全风险分级请见附录 A。分数越高，网络安全风险越低；分数越低，网络安全风险越高。 本次观测健康医疗行业整体评分为 842 分，总体行业处于 “ 一般 风险 ” 的风险级别，具备了基础的安全防护能力，但仍存在较多的网络安全风险及可以被利用的安全隐患。行业整体安全评分相较 2019 年有一定提升，表明行业整体在公共互联网方面安全防护意识加强， 安全防护技术和手段有了一定程度提升。各省份风险量化评估结果分 布如图 4 所示。 4 各省份风险评估结果分布图 风险级别为 “ 低风险 ” 的省份有：山东省、四川省、广东省、江苏省、河南省、河北省； 风险级别为 “ 一般风险 ” 的省份有：北京市、辽宁省、安徽省、山西省、福建省、云南省、湖南省、湖北省； 风险级别为 “ 较大风险 ” 的省份有：上海市、重庆市、天津市、浙江省、吉林省、黑龙江省、内蒙古自治区、新疆维吾尔族自治区、甘肃省、江西省、广西壮族自治区、贵州省、陕西省；