医疗行业安全指数报告.pdf

1 医疗行业安全指数报告 (2018 年 8 月 ) 出品单位： 2 目录 一、概述 . 3 二、安全指数情况 . 5 2.1 安全指数评估 . 5 2.2 安全措施采用情况 . 8 三、风险详细分析 . 13 3.1 医疗行业成黑客攻击重要目标 . 13 3.2 主机安全隐患较高 . 14 3.3 应用安全脆弱性凸显 . 17 3.4 网络安全面临严峻的威胁 . 21 3.5 医疗信息泄露问题不可小 觑 . 22 四、结语 . 25 五、附录 . 25 5.1 指数说明 . 25 5.2 报告说明 . 29 3 一、概述 医疗服务信息化是国际发展的趋势。也是我国医疗改革的的重要内容和必由之路，随着信息技术的快速发展，越来越多的企业和医疗机构加入到医疗信息化的建设浪潮中。 互联网医疗火热背后，医疗信息安全问题如影随形。近年来，针对医院的勒索、挖矿、医疗信息 泄露 等医疗行业的信息安全事件层出不穷，医院信息系统已经成为了不法黑客的重点攻击对象之一。 本报告 由 腾讯智慧安全 研究发布， 中国医院协会信息管理专业委员会 （ CHIMA） 提供医疗行业信息 化 状况调查报告， 双方 基于 大数据 对医疗行业安全状况 进行了 客观、量化的评估 ，深入分析了医疗行业的典型 安全威胁以及所面临的潜在安全风险，并尝试引导性的进行行业安全治理、规避潜在的安全风险，提升安全管理水平。 报告以安全大数据及第三方授权或公开的信息和数据为基础，结合抽样分析 /调查报告等方法，经综合整理、分析得出 。其 主要选取了信息化程度高，管理水平强的大中型医院和指标数据作为参考对象，涵盖 956 家三级甲等医院、 7 家第三方医疗服务平台，包括 92 个授权网站、 79 个患者 APP（安卓版）等外部网络资产。另外本报告还参考了由中国医院协会信息管理专业委员会（ CHIMA）发布的 2017-2018 年度中国医院信息化状况调 查报告（ 以下简称调查报告 ） 。 自 中华人民共和国网络安全法颁布，在 卫 健委指导下，全国医院信息安全建设水平不断提升 。从指数总体来看，全国医疗行业指 数值 处于良好水平（ 759 分）。 然而， 2018 年至今，我国医疗体系遭受攻击的频率呈明显上升趋势，医疗信息安全环境并不乐观。黑客入侵攻击、信息泄 露 等安全问题对医院等公共机构的威胁仍不容忽视。 从安全指数所指向的问题来看 ， 医疗行业信息安全建设意识薄弱，核心数据缺乏有效的安全防护。问题主要表现为： 4 网络空间资产端口开放较多，隐患大，如开放远程登录服务的比例高达 50%； 外网电脑的安全风险较多，可能会给不法访问者以可乘之机； 线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄 露 的风险； 医疗行业已经成为勒索病毒攻击的主要目标，医疗业务连续性受到挑战。 5 二、安全指数情况 2.1 安全指数评估 安全指数说明 本报告联合团队 基于安全大数据、人工智能分析技术和威胁实时感知能力，从多个安全维度和安全特征，对医疗行业整体安全态势进行了全面、客观的威胁分析和脆弱性评估，并在全面风险量化分析的基础上汇总得到了 “ 腾讯智慧安全指数 ” 。 安全指数以多个不同维度的安全问题评估为基础，在安全问题评估的基础上分别汇集到相应的安全域，对各个安全域进行加权汇总，得到了企业安全指数。然后按照行业属性，对企业安全指数求均值即可得到行业互联网安全指数。 安全指数以客观安全数据为依据的特性，使其一定程度上能够反映行业安全趋势，具有先导性、预测性。进一步地，利用该安全指数，可对相关行业进行安全状况差距对比、安全问题洞察等。更多关于安全指数的定义和计算的详情，见附录。 安全指数是介于 01000 区间内，数值越高，其安全状况越好、风险水平越 低。不同指数区间，反应的响应安全状况如下表所示。 表 2_1_1 指数的含义映射表 安全指数态势 除港澳台 以 外的 各省市 、自治区 具体数据来看， 北京市 、 上海市 、 吉林省 、 重庆市 、 山6 东省 的安全指数排名最高，安全指数均高于 770，排名靠后的几个省（市）安全指数值均低于 750 分 图 2_1_1： 各省（市）安全指数排名（前五） 以国内（除港澳台以外）各医院的维度来看， 医院安全指数的分布如下： 22%的医院安全指数处于优秀水平； 38%的 医院 安全指数处于良好水平 ， 39%的 医院安全指数处于 一般水平 ； 1%的医院安全指数处于较差水平。 7 图 2_1_2：安全指数的等级分布情况（ 医院 维度） 目前医疗行业面临的问题主要集中在主机安全、应用安全和 网络安全 。 如图2_1_3 所示，其安全指数值越低，风险越高。 8 图 2_1_3： 医疗行业网络安全指数情况 (除港澳台以外 ) 2.2 安全措施采用情况 安全措施采用情况，引用了由中国医院协会信息管理专业委员会（ CHIMA）发布的 2017-2018 年度中国医院信息化状况调查报告中的调查数据，该调查报告 共收到反馈的调查报告 535 份，其中有效答卷 484 份，分别对应 484 家相互独立，没有重复与关联的医院。 484 家医院占到全国医院总数的 1.80%。样本覆盖除香港特别行政区、澳门特别行政区以及台湾省以外的 29 个行政区。数据详情可参阅 2017-2018 年度中国医院信息化状况调查报告。 9 医院实施等级保护情况 从调查数据来看，有 36.16%的医院通过了等级保护测评。经济发达地区实施等级保护工作的比例高于中等发达地区和经济欠发达地区。 图 2_2_1：医院等级保护工作情况 系统安全措施采用情况 对参与调查关于医院采 用的操作系统级安全措施的有效数据分析可见，网络版反病毒软件的采用率仍高居首位，比例为 71.07%。排在第二位到第五位的分别是桌面管理软件46.49%、软件防火墙 38.22%、系统镜像快速恢复 26.45%、单机版反病毒软件24.79%。 10 图 2_2_2：医院采用的操作系统级安全措施 对调查关于医院采用的信息系统体系结构安全措施的有效数据分析可见，主要应用服务器双机热备的医院比例仍然最高，达到 72.31%，其次是服务器集群，采用率达为48.55%，位于第三位的服务器冷备机采用率为 26.45%。 图 2_2_3：医院信息系统体系结构安全措施