医疗行业安全指数报告.pdfVIP

医疗行业安全指数报告 目录 一、概述 3 二、安全指数情况4 2.1安全指数评估 4 2.2安全措施采用情况 8 三、风险详细分析13 3.1医疗行业成黑客攻击重要目标13 3.2主机安全隐患较高 15 3.3应用安全脆弱性凸显 18 3.4 网络安全面临严峻的威胁23 3.5 医疗信息泄露问题不可小觑25 四、结语28 五、附录28 指数构成28 企业安全指数29 行业互联网安全指数29 其它 29 数据维度29 1 网络安全 30 主机安全 30 应用安全 30 业务安全 31 隐私与数据安全31 计算方法 31 2 一、概述 医疗服务信息化是国际发展的趋势。也是我国医疗改革的的重要内容和必由 之路，随着信息技术的快速发展，越来越多的企业和医疗机构加入到医疗信息化 的建设浪潮中。 互联网医疗火热背后，医疗信息安全问题如影随形。近年来，针对医院的勒 索、挖矿、医疗信息泄露等医疗行业的信息安全事件层出不穷，医院信息系统已 经成为了不法黑客的重点攻击对象之一。 本报告由智慧安全研究发布，中国医院协会信息管理专业委员会 （CHIMA） 提供医疗行业信息化状况调查报告，双方基于大数据对医疗行业安全状况进行了 客观、量化的评估，深入分析了医疗行业的典型安全威胁以及所面临的潜在安全 风险，并尝试引导性的进行行业安全治理、规避潜在的安全风险，提升安全管理 水平。 报告以安全大数据及第三方授权或公开的信息和数据为基础，结合抽样分析 /调查报告等方法，经综合整理、分析得出。其主要选取了信息化程度高，管理 水平强的大中型医院和指标数据作为参考对象，涵盖 956家三级甲等医院、7 家第三方医疗服务平台，包括 92个授权网站、79个患者 APP （安卓版）等外 3 部网络资产。另外本报告还参考了由中国医院协会信息管理专业委员会 （CHIM A）发布的 《2017-2018年度中国医院信息化状况调查报告》 （以下简称 《调查 报告》）。 自 《中华人民共和国网络安全法》颁布，在卫健委指导下，全国医院信息安 全建设水平不断提升。从指数总体来看，全国医疗行业指数值处于良好水平 （7 59分）。 然而，2018年至今，我国医疗体系遭受攻击的频率呈明显上升趋势，医疗 信息安全环境并不乐观。黑客入侵攻击、信息泄露等安全问题对医院等公共机构 的威胁仍不容忽视。 从安全指数所指向的问题来看，医疗行业信息安全建设意识薄弱，核心数据 缺乏有效的安全防护。问题主要表现为： l 网络空间资产端口开放较多，隐患大，如开放远程登录服务的比例高达 5 0%； l 外网电脑的安全风险较多，可能会给不法访问者以可乘之机； l 线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险； l 医疗行业已经成为勒索病毒攻击的主要目标，医疗业务连续性受到挑战。 二、安全指数情况 2.1安全指数评估 4 安全指数说明 本报告联合团队基于安全大数据、人工智能分析技术和威胁实时感知能力， 从多个安全维度和安全特征，对医疗行业整体安全态势进行了全面、客观的威胁 分析和脆弱性评估，并在全面风险量化分析的基础上汇总得到了 “智慧安全指 数”。 安全指数以多个不同维度的安全问题评估为基础，在安全问题评估的基础上 分别汇集到相应的安全域，对各个安全域进行加权汇总，得到了企业安全指数。 然后按照行业属性，对企业安全指数求均值即可得到行业互联网安全指数。 安全指数以客观安全数据为依据的特性，使其一定程度上能够反映行业安全 趋势，具有先导性、预测性。进一步地，利用该安全指数，可对相关行业进行安 全状况差距对比、安全问题洞察等。更多关于安全指数的定义和计算的详情，见 附录。 安全指数是介于 0~1000 区间内，数值越高，其安全状况越好、风险水平越 低。不同指数区间，反应的响应安全状况如下表所示。