医疗健康网络安全手册

©2022云安全联盟大中华区版权所有1 ©2022云安全联盟大中华区版权所有2云安全联盟软件定义边界工作组的官方网址:https://cloudsecurityalliance.org/research/working-groups/software-defined-perimeter/@2022云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网（https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网(http://www.c-csa.cn)。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 ©2022云安全联盟大中华区版权所有3序言近年来，网络安全事件频发，事件造成的影响也日益增大，对于医疗健康行业，网络安全的重要性凸显。随着医疗信息化的普及，医疗设备与相关系统的安全性已经关系到医疗机构业务的正常运营。勒索软件，拒绝服务攻击造成的医院应用系统中断，已经给多家医疗机构和患者带来巨大影响。此外，在医疗健康大数据以及医患隐私数据的开发利用过程中，网络安全问题已成为新的行业痛点。网络安全不仅需要在技术层面投入预算提升安全防护水平，更需要在网络安全治理管理层面做好设计，在不同业务场景中控制安全风险，提升全员安全意识。保证医疗健康行业的网络安全，需要企业和个人承担相应的网络安全职责，在中国的《网络安全法》、《数据安全法》、《个人信息保护法》已经明确要求企业需要委派专人负责，确保网络安全和数据的全生命周期安全。本白皮书从全球视角提出了网络安全的发展趋势分析，行业网络安全痛点以及相应的解决方案建议，为企业安全负责人和从业者提供了不错的参考。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022云安全联盟大中华区版权所有4致谢《医疗健康网络安全手册》(HealthcareCybersecurityPlaybookAnEvolvingLandscape)一文由CSA软件定义边界工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：童磊翻译组：陈皓伏伟任顾伟黄晖贾玉彬刘雅梅王娜审校组：顾伟郭鹏程贺志生李芊晔沈勇姚凯感谢以下单位对本文档的支持与贡献：北京北森云计算股份有限公司北京奇虎科技有限公司北京威联科技有限公司成都云山雾隐科技有限公司防特网信息科技（北京）有限公司（Fortinet）上海碳泽信息科技有限公司英文版本编写专家作者：JimAngleVinceCampitelliJohnDiMariaEleftheriosSkoutaris审稿人：AlexKaluzaAshishVashishthaCSA全球员工：StephenLumpeClaireLehnertAnnMarieUlskey在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有5目录序言...................................................................................................................................3致谢...................................................................................................................................4介绍...................................................................................................................................61医疗健康行业作为首要目标..............................................................................................71.1云计算—大湖中的小池塘.........................................................................................71.2医疗健康行业网络安全的现状..................................................................................91.3医疗健康和网络安全—关键行业考虑(3)...................................................................92安全医疗的承诺.............................................................................................................102.1时刻保护所有患者..................................................................................................113当前和未来的可扩展性...................................................................................................124时间、金钱和资源..........................................................................................................145管理整个生命周期..........................................................................................................155.2存储.....................................................................................................................175.3使用.....................................................................................................................175.4共享.....................................................................................................................185.5归档.....................................................................................................................185.6销毁.....................................................................................................................186提升你的安全态势..........................................................................................................197结论..............................................................................................................................207.1培训和教育...........................................................................................................207.2推荐阅读材料........................................................................................................207.3我们为医疗健康行业推荐的云安全培训。................................................................21参考.................................................................................................................................22 ©2022云安全联盟大中华区版权所有6介绍不断演变的格局想要理解当代医疗健康技术所处的确切阶段，很有必要先回顾一下它的演化进程。医疗健康行业曾遇到过哪些障碍以及如何克服这些障碍的？医疗健康领域将会发生怎样的变革，又将是谁来引领这些变革呢？20世纪50年代，使用计算机动进行某些护理活动和记录的设想，标志着信息时代新旅程的开启。但当时并没有什么进展，一方面是因为信息计算还没有发展到一定程度。另一方面，医学界并没看到它的价值，也就对医疗健康电脑化兴致索然。从60年代中期开始，商家已着手开发起了医院管理程序。60年代末，医院会计系统共享开始出现，供中小型医院使用。此外，还尝试了用于临床的计算机系统，可惜并没有取得成功。到了90年代，计算机已经发展得更为灵活、强大，成为了实用的信息管理工具。另外，当时引入的网络能够将来自不同地点的医疗健康数据链接起来。再加上以患者为中心的综合数据变得愈发重要，人们的重点慢慢转移到了记录终身健康档案上（Hannah、Ball和Edwards，2006年）。在这之前，很少有关计算机在临床上应用。阻碍计算机发展的最大因素是医疗供应商不愿证实计算机在成本和患者健康方面的优势（mThink，2003）。从此，医疗健康系统的健康记录迅速走向了计算机化。如今，患者的病历档案里已有着完整的病史记录，不同医生可以从不同地点检索、查看和修改。医疗健康行业开始进入了一个专注于临床护理的创新时代。数字化转型彻底改变了医疗健康产业，这在几年前还不可能做到。随着云计算和大数据分析的蓬勃发展，加上以消费者为中心的医疗体系的转变，医疗健康服务正在重塑。卫生保健组织(HDO)能够访问大量数据，如果对其整理、分析和适当利用，这些数据可为HDO和患者带来巨大利益。云计算的运用催生出了物联网(IoT)和可穿戴医疗设备，即医疗物联网(IoMT)。这些技术创新提供了大量数据，可以有效提高患者护理水平、完善临床资料、增加效率并降低成本（Armis，2019）。不久前医疗设备还是没有任何网络连接的独立设备。如今的医疗设备不仅有网络连接，而且还常常接入云端。这种连接大有益处。首先，它可以远程监控设备。医疗系统人员无需患者前来即可