在2020西湖論劍•網(wǎng)絡(luò)安全前瞻峰會上，HIT專家網(wǎng)和杭州安恒信息技術(shù)股份有限公司聯(lián)合發(fā)布了《后疫情時代醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全白皮書》（以下簡稱“白皮書”）。

白皮書從“新冠肺炎”疫情期間全國醫(yī)療衛(wèi)生行業(yè)網(wǎng)站安全抽樣監(jiān)測、醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀、醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全建議、行業(yè)實踐案例等多個維度出發(fā)，為后疫情時代醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全提出了針對性的建議。

[[327621]]

原浙江省衛(wèi)生信息中心主任、浙江省衛(wèi)生信息學(xué)會副會長兼秘書長倪榮與安恒信息董事長范淵聯(lián)合發(fā)布

疫情期間全國醫(yī)療衛(wèi)生行業(yè)網(wǎng)站安全抽樣監(jiān)測分析

白皮書顯示，安恒信息風(fēng)暴中心在疫情期間抽取醫(yī)療衛(wèi)生行業(yè)1500余個網(wǎng)站，就2020年1月1日——2020年02月21日時間段的網(wǎng)絡(luò)安全狀態(tài)，進(jìn)行實時分析并輸出報告。

經(jīng)統(tǒng)計分析發(fā)現(xiàn):

（1）在可用性方面，89.87%的重點醫(yī)療衛(wèi)生行業(yè)的網(wǎng)站和系統(tǒng)可提供穩(wěn)定服務(wù)，3.70%的網(wǎng)站出現(xiàn)了2小時以上的斷網(wǎng)情況;

（2）在1500余家醫(yī)療網(wǎng)絡(luò)系統(tǒng)中，存在網(wǎng)絡(luò)安全風(fēng)險漏洞的網(wǎng)站占比約10%，高危漏洞占比最高，約占風(fēng)險漏洞總數(shù)的67.94%，其中跨站腳本成主要高危漏洞;存在高危安全事件105起，暗鏈為普遍攻擊事件;

（3）重點醫(yī)療衛(wèi)生行業(yè)的網(wǎng)站和系統(tǒng)總計接受8.03億次訪問，總計受到2843.71萬次攻擊，惡意user-agents占比較高，成主要攻擊類型。

醫(yī)療衛(wèi)生行業(yè)面臨四大網(wǎng)絡(luò)安全挑戰(zhàn)

國內(nèi)醫(yī)療衛(wèi)生行業(yè)信息化發(fā)展與安全保障目前存在開放化、互聯(lián)化、云化、數(shù)據(jù)化四大挑戰(zhàn)。

近年醫(yī)療行業(yè)成為了黑色產(chǎn)業(yè)關(guān)注的主要對象，因此，國內(nèi)醫(yī)療衛(wèi)生行業(yè)的外部威脅形勢觀測也極為重要。

在面臨各類外部威脅的同時，醫(yī)療行業(yè)也面臨著各類內(nèi)部管理問題，雖然按照等級保護(hù)、以及各項醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)要求建立了初步的縱深防護(hù)體系，但是在實際醫(yī)療行業(yè)安全運營角度下仍然存在一些安全管理上面的難題。

此外，白皮書還舉例了國內(nèi)醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全典型事件。

醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)，從這幾方面入手

（1）網(wǎng)絡(luò)安全等級保護(hù)制度進(jìn)入2.0時代，醫(yī)療行業(yè)合規(guī)面臨各種問題，需要建立結(jié)合高質(zhì)量威脅情報的大數(shù)據(jù)分析及態(tài)勢感知防御能力。

（2）從應(yīng)用安全層面來說，需要兼顧風(fēng)險評估與加固層面、事前安全防范層面、事中安全防護(hù)層面、事后安全審計層面。

（3）從數(shù)據(jù)安全層面來說，需要考慮數(shù)據(jù)可用性風(fēng)險、數(shù)據(jù)保密性風(fēng)險、數(shù)據(jù)完整性風(fēng)險。

（4）從安全運營體系建設(shè)層面來說，網(wǎng)絡(luò)安全要靠一個包括防火墻、入侵檢測、訪問控制、防病毒、安全審計、身份認(rèn)證、加密等多項技術(shù)的安全體系來實現(xiàn)。

行業(yè)實踐案例

白皮書列舉大量行業(yè)實踐案例，給出了極具參考價值的醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全解決方案。這里簡單介紹下某省衛(wèi)建委網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報及大數(shù)據(jù)平臺建設(shè)案例（更多案例詳情請見完整版）。

作為重要網(wǎng)站及信息系統(tǒng)運營單位，全省醫(yī)療衛(wèi)生信息安全工作的指導(dǎo)監(jiān)管單位，某省醫(yī)療衛(wèi)生委員會(簡稱:省衛(wèi)健委)通過此次建設(shè)實現(xiàn)了以下目標(biāo)：

1.建立網(wǎng)絡(luò)與信息安全信息通報預(yù)警處置機制

2.建設(shè)醫(yī)療衛(wèi)生信息安全數(shù)據(jù)直報平臺

3.建立醫(yī)療衛(wèi)生信息安全數(shù)據(jù)管理平臺

4.建立信息安全數(shù)據(jù)資源庫

5.實現(xiàn)醫(yī)療衛(wèi)生信息安全數(shù)據(jù)共享平臺

6.實現(xiàn)衛(wèi)生信息安全數(shù)據(jù)發(fā)布平臺

7.與衛(wèi)生其它應(yīng)用系統(tǒng)在流程、信息、數(shù)據(jù)上實現(xiàn)無縫銜接

該系統(tǒng)的建設(shè)，可以全方位管理、 監(jiān)督、預(yù)警、防范各類信息安全事件的發(fā)生，能感知全省信息安全的態(tài)勢，幫助省衛(wèi)健委掌握當(dāng)前形式下的安全形勢、安全問題與各地的安全水平，做到信息安全建設(shè)心中有數(shù)、保障有度、行動有據(jù)、管理有法、防范有措，真正做到為人民群眾的生命健康保健護(hù)航，提高人民的衛(wèi)生管理參與程度及滿意度。