根据《2019健康医疗行业观测报告》数据,医疗行业总体处于较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,通过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。
遭受勒索病毒攻击严重根据
2018年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019年初,某省几十家互联互通医院同时感染 Globelmposter3.0变种勒索病毒而被加密,Globelmposter 勒索病毒十分偏爱医疗行业,在众多感染Globelmposter 勒索病毒的行业中,医疗行业占比约50%。医疗行业受勒索病毒感染情况严重。
缺乏必要的网络安全防护设备根据 CHIMA《2018-2019年度中国医院信息化状况调查报告》显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。可见大部分医院都缺乏必要的网络防护设备。
开展等保工作的建议
一、合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
2011年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》就明确重要卫生信息系统安全保护等级原则上不低于三级。随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列。2019年1月,上海市卫生健康委员会发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级。
二、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。
三、强化纵深防御能力
对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。
ICP经营许可证办理电话:400 668 6635
有更多疑问可以添加微信咨询办理客服 点击立即咨询
