2019 健康医疗行业网络安全观测报告 目 录 01 前 言 ......................................... 1 02 健康医疗行业网络安全背景 ...................... 3 2.1 健康医疗的政策背景 .......................... 3 2.2 网络安全的现状解读 .......................... 4 2.3 公共互联网观测结果 .......................... 5 03 公共互联网的安全风险研究 ...................... 9 3.1 僵木蠕等问题严峻，勒索病毒威胁严重 .......... 9 3.2 数据泄露事件高发，应用服务存在隐患 ......... 11 3.3 网站篡改手法多变，隐式植入非法信息 ......... 13 04 公共互联网的风险成因分析 ..................... 16 4.1 端口存在高危漏洞，易被僵木蠕等利用 ......... 17 4.2 大量敏感服务暴露，弱口令成安全隐患 ......... 18 4.3 应用组件版本较低，网站篡改概率较高 ......... 19 I 2019 健康医疗行业网络安全观测报告 05 医院的网络安全现状调研 ....................... 20 5.1 医院的网络安全等级保护工作普遍不足 ......... 20 5.2 尚未建立定期开展风险评估的工作机制 ......... 21 5.3 网络安全培训与应急演练预案覆盖不全 ......... 22 06 安全工作思路与建议 ........................... 25 6.1 提高政治站位，统一思想认识 ................. 25 6.2 加强政策引导，完善防护体系 ................. 25 6.3 强化标准引领，规范行业发展 ................. 25 6.4 突出能力建设，形成长效机制 ................. 26 附录一：网络安全术语解释 ........................ 27 附录二：风险量化评估细则 ........................ 29 II 2019 健康医疗行业网络安全观测报告 01 前 言 坚持以习近平新时代中国特色社会主义思想为指导，全 面贯彻党的十九大会议精神，为支撑健康医疗大数据服务的 安全管理，促进“互联网+医疗健康”安全发展，充分发挥 健康医疗大数据作为国家重要基础性战略资源的作用，根据 《中华人民共和国网络安全法》《全国人民代表大会常务委 员会关于加强网络信息保护的决定》等法律法规和《健康中 国行动（2019—2030 年）》《国务院促进大数据发展行动纲 要》《国务院办公厅关于促进和规范健康医疗大数据应用发 展的指导意见》《国家健康医疗大数据标准、安全和服务管 理办法（试行）》等文件精神，中国信息通信研究院（以下 简称：中国信通院）在有关领导部门的指导下，联合腾讯科 技（深圳）有限公司（以下简称：腾讯）、卫生信息安全与 新技术应用专业委员会（以下简称：专委会）和中国医院协 会信息管理专业委员会（以下简称：CHIMA）等相关单位、 组织，依托“产业互联网安全实验室”的平台能力，梳理健 康医疗行业的观测结果，探究健康医疗行业的网络安全问题， 总结形成本观测报告。 本次观测行动通过公共互联网发起，共涉及全国 31 个 省市地区健康医疗行业的 15339 家相关单位。经过持续数 月的观测，本报告研究团队综合运用大数据、人工智能、威 胁实时感知等技术和能力，全方位、多维度地梳理了健康医 疗行业的网络安全现状，并采用风险量化的方法对本次观测 的结果进行评估。评估发现，健康医疗行业总体处于“较大 1 2019 健康医疗行业网络安全观测报告 风险”的安全风险级别，网络安全风险的集中表现，一是僵 木蠕等问题严峻，勒索病毒威胁严重，二是数据泄露事件高 发，应用服务存在隐患，三是网站篡改手法多变，隐式植入 非法信息。分析其主要原因，一是端口存在高危漏洞，易被 僵木蠕等恶意程序利用，二是大量敏感服务暴露，弱口令成 主要安全隐患，三是应用组件版本较低，网站篡改概率较高。 本报告旨在通过公共互联网的安全观测，针对健康医疗 行业的互联网暴露面问题进行技术研究与分析，以威胁信息 共享与安全情报挖掘为基础，通过各单位的协同联动，促进 健康医疗行业的网络安全防御体系建设，支撑保障互联网医 疗的安全发展。 2 2019 健康医疗行业网络安全观测报告 02 健康医疗行业网络安全背景 2.1 健康医疗的政策背景 自十八大以来，党中央、国务院高度重视健康医疗大数 据的创新发展，习近平总书记指出，要运用大数据促进保障 和改善民生，推进“互联网+医疗”。李克强总理强调，发展 和应用好健康医疗大数据，是一项重大民生工程。近年来， 新兴技术与健康医疗加速融合，在健康医疗大数据蓬勃发展 的过程中，也面临一些新的挑战，需要及时加以引导和规范， 尤其表现在“互联网+医疗”的新形态模式。 为进一步贯彻落实习近平总书记网络强国战略思想，促 进“互联网+医疗健康”安全发展，根据《中华人民共和国 网络安全法》 《国务院办公厅关于促进“互联网+医疗健康” 发展的意见》 《国家健康医疗大数据标准、安全和服务管理 办法（试行） 》等系列文件精神，中国信通院安全所与腾讯 安全联合成立了“产业互联网安全实验室”，积极构建政产 学研用深度融合的协同发展创新模式，充分发挥专业机构在 健康医疗领域网络安全保障的支撑作用。同时，搭建了“产 业互联网安全观测平台” ，对健康医疗行业网络安全态势进 行实时观测，实现健康医疗领域的网络安全威胁感知，并且 为完善健康医疗领域网络安全保障体系建设、提升健康医疗 领域网络安全防护能力、切实筑牢健康医疗行业网络安全屏 障提供重要支撑。 3 2019 健康医疗行业网络安全观测报告 2.2 网络安全的现状解读 当前全球信息化进程已进入全面渗透阶段，健康医疗行 业作为关乎国计民生的重要领域，是信息时代极力突破和改 善的重点。我国医疗信息化目前已步入智慧医疗建设阶段， 电子病历、预约诊疗、智能导诊、电子支付等网络信息技术 在健康医疗便捷普惠、医疗资源压力释放、医疗资源优化配 置、数据信息开放共享等方面发挥了重要作用。与此同时， 频发的医疗大数据泄露、医疗系统瘫痪等安全事件逐渐引发 人们对健康医疗行业信息化的安全思考，健康医疗行业网络 安全配套政策法规不完善、管理规范适用性低、技术手段薄 弱等问题逐步显现，健康医疗行业网络安全形势日益严峻， 亟待加强健康医疗行业网络安全监管，提升健康医疗大数据 安全防护能力，保障大数据安全与医疗信息化的稳定发展。 以发展的眼光来看，网络安全是攻击方与防御方之间的 动态博弈，新的攻击手段不断诞生，防御方法也不断升级。 但是由于网络安全攻防双方的信息不对称，往往导致防御方 难以预测攻击方将在何时、何处、以何种手段发起攻击。因 此，防御方经常处于被动地位，防御升级会滞后于新的攻击。 解决这个问题的根本方法在于消除信息不对称，这需要联合 具备公共互联网观测能力的机构，以公共互联网安全观测和 安全情报挖掘为基础，内外协同构建安全防御体系，从而构 筑防护范围更为广泛的有效防御联动网络。 据此，由中国信通院牵头，腾讯安全等单位参与，对健 康医疗行业的公共互联网网络安全现状进行观测。此外，联 合专委会、CHIMA 等组织，采用问卷调查的方式对我国部分 医院的安全建设情况进行调查，形成本报告，为健康医疗行 业管理部门、医疗机构和信息安全厂商提供决策依据。 4 2019 健康医疗行业网络安全观测报告 2.3 公共互联网观测结果 1、 观测范围分布情况 本次观测行动通过公共互联网发起，共涉及健康医疗行 业的 15339 家相关单位。观测范围从职能划分上看，覆盖疾 病预防控制中心（以下简称“疾控中心”）563 家，卫生监 督所（以下简称“监督所”）333 家，卫生和计划生育委员 会（以下简称“卫计委”）432 家，医学会 163 家，公立医 院 4143 家，私立医院 9705 家。 疾控中心 4% 卫计委 3% 监督所 2% 医学会 1% 私立医院 公立医院 疾控中心 公立医院 27% 卫计委 私立医院 63% 监督所 医学会 图 2.1 观测范围-以职能划分的分布图 观测范围从地域划分上看，覆盖了全国除港、澳、台以 外所有的 31 个省、自治区和直辖市。其中山东、河南、江 苏、四川、浙江、广东属于单位分布较多的省份。 5 2019 健康医疗行业网络安全观测报告 图 2.2 观测范围-以地域划分的分布图 2、观测结果评估情况 经过持续数月的观测，本报告研究团队综合运用大数据、 人工智能、威胁实时感知等技术和能力，全方位、多维度地 梳理了健康医疗行业的网络安全现状，并采用风险量化的方 法对本次观测的结果进行评估。 （1）风险分布评估 本报告将风险分为四个级别，分别为重大风险（0-500 分）、较大风险（500-800 分）、一般风险（800-900 分） 和低风险（900-1000 分）。分数越高，网络安全风险越低； 分数越低，网络安全风险越高。 本次观测健康医疗行业整体评分为 788 分，总体行业处 于“较大风险”的风险级别，存在多种网络安全风险以及大 量可以被利用的安全隐患，防御公共互联网攻击的能力较弱。 6 2019 健康医疗行业网络安全观测报告 风险级别 对应分数段 重大风险 0-500 分 较大风险 500-800 分 一般风险 800-900 分 低风险 900-1000 分 风险级别说明 威胁种类多、攻击频率高，存在大量安全隐患， 缺乏安全防护能力 威胁种类较多、攻击频率较高，存在较多安全隐 患，缺乏基础的安全防护能力 威胁种类一般、攻击频率一般，存在安全隐患， 具备基础的安全防护能力 威胁种类较少，攻击频率较低，存在较少的安全 隐患或暂未发现网络安全风险，具备较强的安全 防护能力 表 2.1 网络安全风险分级 各省份风险量化的评估结果分布如下图所示。 图 2.3 各省份风险评估结果分布图 ⚫ 风险级别为“低风险”的省份有：山东省和四川省； ⚫ 风险级别为“一般风险”的省份有：浙江省、江苏省、河 南省、广东省、安徽省、河北省等； ⚫ 风险级别为“较大风险”的省份有：北京市、上海市、重 庆市、天津市、福建省、山西省、甘肃省、贵州省、黑龙 7 2019 健康医疗行业网络安全观测报告 江省、湖北省、湖南省、江西省、吉林省、辽