在2020西湖論劍•網(wǎng)絡(luò)安全前瞻峰會(huì)上，HIT專家網(wǎng)和杭州安恒信息技術(shù)股份有限公司聯(lián)合發(fā)布了《后疫情時(shí)代醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全白皮書》（以下簡(jiǎn)稱“白皮書”）。

白皮書從“新冠肺炎”疫情期間全國(guó)醫(yī)療衛(wèi)生行業(yè)網(wǎng)站安全抽樣監(jiān)測(cè)、醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀、醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全建議、行業(yè)實(shí)踐案例等多個(gè)維度出發(fā)，為后疫情時(shí)代醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全提出了針對(duì)性的建議。

[[327621]]

原浙江省衛(wèi)生信息中心主任、浙江省衛(wèi)生信息學(xué)會(huì)副會(huì)長(zhǎng)兼秘書長(zhǎng)倪榮與安恒信息董事長(zhǎng)范淵聯(lián)合發(fā)布

疫情期間全國(guó)醫(yī)療衛(wèi)生行業(yè)網(wǎng)站安全抽樣監(jiān)測(cè)分析

白皮書顯示，安恒信息風(fēng)暴中心在疫情期間抽取醫(yī)療衛(wèi)生行業(yè)1500余個(gè)網(wǎng)站，就2020年1月1日——2020年02月21日時(shí)間段的網(wǎng)絡(luò)安全狀態(tài)，進(jìn)行實(shí)時(shí)分析并輸出報(bào)告。

經(jīng)統(tǒng)計(jì)分析發(fā)現(xiàn):

（1）在可用性方面，89.87%的重點(diǎn)醫(yī)療衛(wèi)生行業(yè)的網(wǎng)站和系統(tǒng)可提供穩(wěn)定服務(wù)，3.70%的網(wǎng)站出現(xiàn)了2小時(shí)以上的斷網(wǎng)情況;

（2）在1500余家醫(yī)療網(wǎng)絡(luò)系統(tǒng)中，存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)漏洞的網(wǎng)站占比約10%，高危漏洞占比最高，約占風(fēng)險(xiǎn)漏洞總數(shù)的67.94%，其中跨站腳本成主要高危漏洞;存在高危安全事件105起，暗鏈為普遍攻擊事件;

（3）重點(diǎn)醫(yī)療衛(wèi)生行業(yè)的網(wǎng)站和系統(tǒng)總計(jì)接受8.03億次訪問，總計(jì)受到2843.71萬次攻擊，惡意user-agents占比較高，成主要攻擊類型。

醫(yī)療衛(wèi)生行業(yè)面臨四大網(wǎng)絡(luò)安全挑戰(zhàn)

國(guó)內(nèi)醫(yī)療衛(wèi)生行業(yè)信息化發(fā)展與安全保障目前存在開放化、互聯(lián)化、云化、數(shù)據(jù)化四大挑戰(zhàn)。

近年醫(yī)療行業(yè)成為了黑色產(chǎn)業(yè)關(guān)注的主要對(duì)象，因此，國(guó)內(nèi)醫(yī)療衛(wèi)生行業(yè)的外部威脅形勢(shì)觀測(cè)也極為重要。

在面臨各類外部威脅的同時(shí)，醫(yī)療行業(yè)也面臨著各類內(nèi)部管理問題，雖然按照等級(jí)保護(hù)、以及各項(xiàng)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)要求建立了初步的縱深防護(hù)體系，但是在實(shí)際醫(yī)療行業(yè)安全運(yùn)營(yíng)角度下仍然存在一些安全管理上面的難題。

此外，白皮書還舉例了國(guó)內(nèi)醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)信息安全典型事件。

醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)，從這幾方面入手

（1）網(wǎng)絡(luò)安全等級(jí)保護(hù)制度進(jìn)入2.0時(shí)代，醫(yī)療行業(yè)合規(guī)面臨各種問題，需要建立結(jié)合高質(zhì)量威脅情報(bào)的大數(shù)據(jù)分析及態(tài)勢(shì)感知防御能力。

（2）從應(yīng)用安全層面來說，需要兼顧風(fēng)險(xiǎn)評(píng)估與加固層面、事前安全防范層面、事中安全防護(hù)層面、事后安全審計(jì)層面。

（3）從數(shù)據(jù)安全層面來說，需要考慮數(shù)據(jù)可用性風(fēng)險(xiǎn)、數(shù)據(jù)保密性風(fēng)險(xiǎn)、數(shù)據(jù)完整性風(fēng)險(xiǎn)。

（4）從安全運(yùn)營(yíng)體系建設(shè)層面來說，網(wǎng)絡(luò)安全要靠一個(gè)包括防火墻、入侵檢測(cè)、訪問控制、防病毒、安全審計(jì)、身份認(rèn)證、加密等多項(xiàng)技術(shù)的安全體系來實(shí)現(xiàn)。

行業(yè)實(shí)踐案例

白皮書列舉大量行業(yè)實(shí)踐案例，給出了極具參考價(jià)值的醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全解決方案。這里簡(jiǎn)單介紹下某省衛(wèi)建委網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警通報(bào)及大數(shù)據(jù)平臺(tái)建設(shè)案例（更多案例詳情請(qǐng)見完整版）。

作為重要網(wǎng)站及信息系統(tǒng)運(yùn)營(yíng)單位，全省醫(yī)療衛(wèi)生信息安全工作的指導(dǎo)監(jiān)管單位，某省醫(yī)療衛(wèi)生委員會(huì)(簡(jiǎn)稱:省衛(wèi)健委)通過此次建設(shè)實(shí)現(xiàn)了以下目標(biāo)：

1.建立網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警處置機(jī)制

2.建設(shè)醫(yī)療衛(wèi)生信息安全數(shù)據(jù)直報(bào)平臺(tái)

3.建立醫(yī)療衛(wèi)生信息安全數(shù)據(jù)管理平臺(tái)

4.建立信息安全數(shù)據(jù)資源庫(kù)

5.實(shí)現(xiàn)醫(yī)療衛(wèi)生信息安全數(shù)據(jù)共享平臺(tái)

6.實(shí)現(xiàn)衛(wèi)生信息安全數(shù)據(jù)發(fā)布平臺(tái)

7.與衛(wèi)生其它應(yīng)用系統(tǒng)在流程、信息、數(shù)據(jù)上實(shí)現(xiàn)無縫銜接

該系統(tǒng)的建設(shè)，可以全方位管理、 監(jiān)督、預(yù)警、防范各類信息安全事件的發(fā)生，能感知全省信息安全的態(tài)勢(shì)，幫助省衛(wèi)健委掌握當(dāng)前形式下的安全形勢(shì)、安全問題與各地的安全水平，做到信息安全建設(shè)心中有數(shù)、保障有度、行動(dòng)有據(jù)、管理有法、防范有措，真正做到為人民群眾的生命健康保健護(hù)航，提高人民的衛(wèi)生管理參與程度及滿意度。