当前,我国疫情防控已取得阶段性的胜利。但境外疫情加速扩散,国内形势仍然严峻。这场突如其来的攻坚战打乱了医疗资源的正常使用秩序,暴露了我国公共卫生事件的应急短板。在这特殊时期,医疗信息化成为助力抗击疫情的得力助手,如互联网+医疗平台、大数据平台的使用加速扩大,使得越来越多的医疗数据存储在互联网中,为医疗行业带来新的网络安全问题,加剧了医疗行业网络安全的复杂形势。
政策背景
医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。随着医疗行业信息网络技术额深入应用和“互联网+医疗健康“的不断推进,党中央、国务院及医疗监管部门陆续出台了一系统信息化安全建设与管理的政策法规,逐步完善医疗行业网络安全体系。
2018 年 4 月,国家卫生健康委发布《关于印发全国医院信 息化建设标准与规范(试行)的通知》,对二级及以上医院的数 据中心安全、终端安全、网络安全及容灾备份提出要求。
2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,规定承载医疗大数据的平台必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。
2018年9月国家卫健委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。
2019 年 4 月,国家卫生健康委发布《关于印发全国基层医疗卫生机构 信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生 机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全 部分包括身份认证、桌面终端安全、移动终端安全、计算安全、 通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、 安全运维等 10 个方面。
2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。
2019 年 12 月,经第十三届全国人民代表大会常务委员会第 十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性 法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家 采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个 人健康信息安全,对医疗信息安全制度、保障措施不健全,导致 医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
医疗行业网络安全形式严峻
医疗行业网络安全隐患普遍存在
根据《2019 健康医疗行业观测报告》数据,医疗行业总体 处于“较大风险”级别,存在多种网络安全风险及大量可被利用 的安全隐患,安全防护能力较弱。报告显示,通过对 15339 家医 疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单 位共计 1029 家,应用服务端口暴露在公共互联网中的单位有 6446 家,4546 家单位网站存在被篡改安全隐患,其中 261 家单 位已发生网站被篡改情况。
遭受勒索病毒攻击严重
根据 2018 年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲 医院中,有 247 家医院检出了勒索病毒,以广东、湖北、江苏等 地区检出勒索病毒最多。2019 年初,某省几十家互联互通医院 同时感染 GlobeImposter3.0 变种勒索病毒而被加密, GlobeImposter 勒索病毒十分偏爱医疗行业,在众多感染 GlobeImposter 勒索病毒的行业中,医疗行业占比约 50%。医疗行业受勒索病毒感染情况严重。
缺乏必要的网络安全防护设备
根据 CHIMA《2018-2019 年度中国医院信息化状况调查报告》 显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络 进行 VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网 闸、防入侵、防毒墙等设备的采用率均小于 50%。可见大部分医 院都缺乏必要的网络防护设备。
开展等保工作的建议
一、合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
2011年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》就明确重要卫生信息系统安全保护等级原则上不低于三级。随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列。2019年1月,上海市卫生健康委员会发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级。
二、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。
三、强化纵深防御能力
对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。
网络安全实战经验
中国软件评测中心网络空间安全测评工程技术中心在有关部门的指导下,结合丰富的一线实战经验,总结分析了医疗行业网络安全发展的现状、存在的主要问题,从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面提出了医疗行业网络安全重点实现内容,其中计算环境是网络安全防护的重要组成部分,安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。基于该实现架构,应重点开展以下四个方面工作:
