数字医疗行业网络安全观测报告（2020年）

中国信息通信研究院安全研究所 腾讯科技（深圳）有限公司 卫生信息安全与新技术应用专业委员会 数据保护官（DPO）社群 2020年9月 数字医疗网络安全观测报告 （2020年） 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。 nOnPpQ8WfViV7NaO6MmOoOmOoOlOpPxOlOnMsM6MnPmPwMsQrPxNpOmO 前 言 卫生健康事业关系着人民群众的生命安全和身体健康，习近平总书记曾深刻指出：在实现“两个一百年”奋斗目标的历史进程中，发展卫生健康事业始终处于基础性地位。近年来，人工智能、大数据、移动互联网等新技术在健康医疗领域加速应用和落地，尤其是在受到2020年新冠肺炎疫情影响和刺激后，传统医疗服务快速向互联网医疗、智慧医院等新兴业态转换，行业数字化转型进程明显提速。与此同时，卫生健康领域的网络安全攻击和对抗也在不断升级演变，各类新型网络安全风险层出不穷，网络安全日益成为健康医疗行业发展过程中无法规避的重要问题。 为贯彻落实习近平总书记网络强国战略思想，促进健康医疗行业网络安全能力建设和发展，中国信息通信研究院（以下简称“中国信通院”）安全研究所联合卫生信息安全与新技术应用专业委员会、腾讯安全、数据保护官（DPO）社群等行业组织和产业头部企业组成研究团队，基于产业互联网安全实验室的技术能力，持续性地对卫生健康领域的各类机构开展公共互联网层面的安全观测扫描。并综合利用大数据、威胁情报等技术开展研究分析，结合近年来网络安全形势和政策变化趋势，总结形成本报告。 本报告沿用和升级了《2019年健康医疗行业网络安全观测报告》的技术手段和分析维度，对于医疗机构在公共互联网上存在的资产脆弱性、安全漏洞问题、僵木蠕毒感染、网站篡改四类主要风险变化情况进行了趋势对比分析，并从互联网医院与非互联网医院、公立医院 与私立医院两个重要分类角度对风险特点进行了研究和解读。研 究 发现，健康医疗行业资产脆弱性和安全漏洞两类防御维度风险明显好转，体现出医疗机构网络安全意识和能力的较大幅度提升；而僵木蠕毒感染和网站篡改风险呈现上升趋势，表明行业面临的网络安全形势依旧十分严峻，针对卫生健康领域的安全攻击仍在持续升温。与此同时，互联网医院相比非互联网医院、公立医院相比私立医院承受着更为强烈的网络攻击，进而被恶意程序感染风险更高，需要重点关注。 本报告旨在通过全面和客观的行业安全态势研究，为健康医疗行业主管部门、医疗机构以及安全服务厂商提供工作思路和建议，共同促进卫生健康领域安全有序发展。限于编者能力和时间，本报告内容难免存在纰漏，恳请业界同仁批评指正。 目 录 一、健康医疗行业网络安全背景 ...................................... 1 （一）网络安全形势发展变化情况 .................................... 1 （二）健康医疗行业安全政策研究 .................................... 2 （三）公共互联网的安全观测结果 .................................... 4 二、公共互联网的安全风险分析 ...................................... 9 （一）资产脆弱性问题现状及趋势对比分析 ........................... 10 （二）安全漏洞问题现状及趋势对比分析 ............................. 14 （三）僵木蠕毒问题现状及趋势对比分析 ............................. 16 （四）网站篡改问题现状及趋势对比分析 ............................. 19 三、医疗机构安全风险对比分析 ..................................... 22 （一）互联网医院与非互联网医院的安全对比分析 ..................... 22 （二）公立医院与私立医院的安全对比分析 ........................... 25 四、健康医疗安全工作思路与建议 ................................... 28 （一）主管部门应重点推动行业规范发展 ............................. 28 （二）医疗机构应持续改进自身安全建设 ............................. 29 （三）安全服务机构应加快提升服务质量 ............................. 31 附录A 网络安全量化风险分级 ....................................... 33 图 目 录 图 1 我国三级及以上医疗机构等级保护工作开展情况图 ............... 4 图 2 公共互联网安全观测范围-以职能划分的分布图 .................. 5 图 3 观测范围-以地域划分的分布图 ................................ 6 图 4 各省份风险评估结果分布图 ................................... 7 图 5 存有高危端口风险单位数对比图 .............................. 11 图 6 敏感服务风险单位数对比图 .................................. 12 图 7 高危端口及敏感服务风险单位省份分布对比图 .................. 13 图 8 服务版本过低风险涉及单位各省份分布对比图 .................. 14 图 9 安全漏洞风险级别分布对比图 ................................ 15 图 10 高危漏洞Top3分布图 ...................................... 15 图 11 安全漏洞涉及单位省份分布对比图 ........................... 16 图 12 四类重点僵木蠕毒风险涉及单位数目对比图 ................... 17 图 13 通用僵木蠕毒恶意文件感染单位变化图 ....................... 18 图 14 僵木蠕毒地域分布对比图 ................................... 18 图 15 网页篡改问题涉及单位省市分布图 ........................... 20 图 16 互联网医院和非互联网医院风险占全部医院风险比例图 ......... 25 图 17 公立医院和私立医院风险占全部医院风险比例图 ............... 26 图 18 2020年公立医院和私立医院安全漏洞分类对比图............... 27 数字医疗网络安全观测报告（2020年） 1 一、健康医疗行业网络安全背景 （一）网络安全形势发展变化情况 近年来，新一代信息技术蓬勃发展，网络空间日新月异，网络空间安全日益成为关系着国计民生的重要主题。习近平总书记指出，“没有网络安全，就没有国家安全”，将网络安全的重要性提升至国家战略层面。随着2020年新冠肺炎疫情在全球的暴发和蔓延，各国经济均受到不同程度的负面影响，国际局势日趋复杂，出于政治目的而发起的有组织的网络攻击持续高发。针对我国党政机关、关键信息基础设施运营者等重要单位的DDoS攻击、钓鱼邮件攻击呈现高发频发态势，特别是借助新冠肺炎疫情主题开展的网络钓鱼攻击，给我国政府机关和医疗机构带来了巨大的网络安全挑战，一定程度上影响着疫情防控工作的正常开展。 与此同时，新冠肺炎疫情的影响加速了我国企业和社会的数字化转型，互联网医疗、远程办公、线上买菜等新场景新应用得到快速推广和普及，人工智能、大数据、物联网等新一代信息技术逐步实现与场景的深度融合和广泛应用。然而，伴随新兴业态的热度突增和新技术的落地应用，安全漏洞、数据泄漏、网络钓鱼、勒索病毒等网络安全风险和威胁也日益凸显。据国家计算机网络应急技术处理协调中心（CNCERT）发布的《2019年我国互联网网络安全态势综述》显示，软硬件安全漏洞数量和影响范围呈现逐年上涨趋势，相比2018年，2019年的事件型漏洞和高危零日漏洞分别增长227%和47.5%，安全 数字医疗网络安全观测报告（2020年） 2 漏洞风险持续攀升，这些都给我们的新技术应用与新场景落地敲响了网络安全的警钟。 在数字医疗领域，数字化和智能化已经成为产业发展的大势所趋，网络安全问题成为产业转型过程中必须面对的重要挑战。当前，健康医疗机构一方面面临着以数据泄漏、勒索病毒为代表的传统网络安全威胁，另一方面也在探索着如何安全合规地开发利用健康医疗大数据。数字医疗领域的网络安全问题呈现多元化发展态势，网络安全与数字化发展更加紧密结合，如何在保障网络安全的前提下推动产业数字化转型发展，成为数字医疗领域共同面临的重大课题。 （二）健康医疗行业安全政策研究 自2017年6月1日我国《网络安全法》实施以来，系列配套的法律法规和标准规范逐渐发布实施，形成相对完整的网络安全法律法规和标准体系。2019年5月，公安部正式发布《信息安全技术 网络安全等级保护基本要求》等网络安全等级保护制度2.0相关的系列国家标准，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。2019年12月，关键信息基础设施网络安全标准开展正式发布前试点，其在网络安全等级保护的基础上对卫生医疗等公共服务提出了更高的网络安全要求。2020年6月 ，《 关键信息基础设施安全保护条例》列入国务院2020年立法工作计划；同月，《数据安全法》和《个人信息保护法》列入全国人大常委会2020年度立法工作计划。7月，《中华人民共和国数据安全法（草案）》（以下简称：《数据安全法（草案）》）面向社会公众征求意见，《数据安全 数字医疗网络安全观测报告（2020年） 3 法（草案）》中指出“ 工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。” 作为数字医疗领域主管部门，国家卫生健康委员会近年来相继颁布一系列部门规章和规范性文件，推动健康医疗行业网络安全水平提升。2018年4月，国家卫生健康委发布《关于印发全国医院信息化建设标准与规范（试行）的通知》，对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。2018年9月，国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，明确责任单位应当落实网络安全等级保护制度要求，对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。同月，国家卫生健康委发布了《关于印发互联网诊疗管理办法（试行）等三个文件的通知》，明确要求互联网诊疗及互联网医院信息系统实施第三级信息安全等级保护，并向监管部门开放数据接口，支持实时监管。2019年3月，国家卫生健康委发布了《关于落实卫生健康行业网络信息与数据安全责任的通知》，明确卫生健康领域网络信息与数据安全的职责分工和主体责任，推动建立和落实网络安全的工作领导责任制及相关方责任，严格执行网络信息与数据安全的责任追究制。2020年6月，国家卫生健康委发布《关于做好信息化支撑常态化疫情防控工作的通知》中，强调要强化网络安全工作，切实保障个人信息和网络安全，落实网络安全责任，加大网络安全投入，加强网络安全防护和保障能力，组织网络安全宣传教育和培训。 数字医疗网络安全观测报告（2020年） 4 随着国家级网络安全法律法规和标准规范的不断出台，以及健康医疗行