移动互联网医疗安全风控技术白皮书2021.docx

技术白皮书 移动互联网医疗应用安全风险防控白皮书 （2021年） 中国软件评测中心·软件与信息系统测评工程技术中心 2021年10月   版权声明 本白皮书版权属于中国软件评测中心，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中国软件评测中心”。违反上述说明的，本单位将追究其相关法律责任。 组织单位 中国软件评测中心（工业和信息化部软件与集成电路促进中心） 联合发布单位 中国信息产业商会健康科技分会 协作支持单位 北京医云数智健康科技研究院 参与编写单位（按拼音排序） 北京医慧科技有限公司 北京智游网安科技有限公司 北京知道创宇信息技术股份有限公司 长春吉大正元信息技术股份有限公司 内蒙古数字证书认证有限公司 万达信息股份有限公司 厦门市易联众易惠科技有限公司 北京嘉和美康信息技术有限公司 冠新软件股份有限公司 北京尊冠科技有限公司 北京银联金卡科技有限公司 武汉赛博网络安全人才研究中心 华中科技大学同济医学院 南京大学医学院 厦门市健康医疗大数据中心 吉林大学第一医院 武汉市中心医院 辽宁省卫生健康服务中心信息化推进办 福建省卫生健康委信息中心 广州市卫生健康技术鉴定和人才评价中心 银川市第一医院 顾问 黄江平 刘龙庚 陈渌萍 安晖 马敬东 陈航 主要编写人员 孟 晓 赵 亮 徐 鹏 何淑伟 桑戟南 余 沁 武斌斌 郭训平 李世超 孙志伟 杨松涛 杨秋芬 高剑峰 权基洪 郑 良 李胜男 杨 翀 蔡 挺 赵 刚 何 帆 傅国林 包培文 王 娟 曹恩龙 于玉霞 衡 爽 朱树宏 赵振威  序 言 近年来，我国“互联网+医疗健康”发展迅速，线上线下融合发展，缓解了看病就医难题，尤其在新冠肺炎疫情防控期间，各地创新线上服务模式，为支撑疫情精准防控、避免聚集交叉感染、促进人员有序流动和复工复产等发挥了重要作用。移动互联网等新技术加快向医疗健康领域落地，线上线下一体化医疗服务转型成趋势，原有的医疗服务生态环境也随之改变，网络安全攻击方式也不断演变，针对移动互联网应用的新型网络攻击方式不断涌现，对原有的网络安全防护体系提出了严峻的挑战，移动互联网医疗应用安全风险防控成为了国家实现“互联网+医疗健康”战略目标的关键问题。 白皮书在《2020移动互联网医疗安全风控白皮书》基础上，结合金融科技试点工作成果，分析总结了2021年移动互联网应用的政策和管理要求，多维度地对新技术应用到移动互联网医疗领域的风险进行了分析，提出了解决方案，总结了在2021年针对移动应用安全风险防控方面所取得的成效，最后分享了安全风控探索实践的经典案例，供相关机构参考。 本白皮书由中国软件评测中心牵头，北京医云数智健康科技研究院组织协调，多家单位共同参与撰写，并得到专家们的精心指导，在此感谢所有专家和编者，感谢中国信息产业商会健康科技分会的大力支持。由于移动互联网医疗应用安全领域方兴未艾，限于编者能力和时间，本报告内容难免存在纰漏，不足之处也恳请各方同仁批评指正！ 中国软件评测中心 2021年10月  目 录 TOC \o 1-3 \h \z \u 前 言 - 1 - 一、 政策驱动移动互联网应用产业安全落地 - 2 - （一） 十四五推动数字化服务普惠医疗应用，营造安全数字生态 - 2 - （二） 新技术赋能移动互联网医疗普惠应用，强调安全可控发展 - 4 - （三） 安全政策法规陆续出台，推动移动互联网应用安全可控发展 - 5 - （四） 医疗政策强调对新技术线上监管，强化安全保障 - 7 - 二、 移动互联网应用在医疗场景下面临的安全问题和挑战 - 9 - （一） 敏感数据泄露和技术滥用等安全风险趋增 - 9 - 1. 数据泄露问题日益突出 - 10 - 2. 技术滥用非法获利现象频发 - 10 - 3. 越权访问导致违法收集个人信息的情况日益突出 - 11 - （二） 安全风险成因分析 - 12 - 1. 抗攻击能力薄弱 - 13 - 2. 对数据安全重视不够 - 14 - 3. 出于经济利益最大化，技术滥用较为普遍 - 15 - 4. 安全意识和管控手段不足 - 15 - （三） 亟待解决的问题 - 16 - 1. 医疗行业针对移动应用的安全标准有待完善 - 16 - 2. 移动互联网医疗安全数字生态