腾讯医疗行业安全指数报告2018829页

1医疗行业安全指数报告(2018年8月)出品单位：2目录一、概述..............................................................................................3二、安全指数情况..............................................................................52.1安全指数评估....................................................................................................................52.2安全措施采用情况............................................................................................................8三、风险详细分析............................................................................133.1医疗行业成黑客攻击重要目标......................................................................................133.2主机安全隐患较高..........................................................................................................143.3应用安全脆弱性凸显......................................................................................................173.4网络安全面临严峻的威胁..............................................................................................213.5医疗信息泄露问题不可小觑..........................................................................................22四、结语............................................................................................25五、附录............................................................................................255.1指数说明..........................................................................................................................255.2报告说明..........................................................................................................................293一、概述医疗服务信息化是国际发展的趋势。也是我国医疗改革的的重要内容和必由之路，随着信息技术的快速发展，越来越多的企业和医疗机构加入到医疗信息化的建设浪潮中。互联网医疗火热背后，医疗信息安全问题如影随形。近年来，针对医院的勒索、挖矿、医疗信息泄露等医疗行业的信息安全事件层出不穷，医院信息系统已经成为了不法黑客的重点攻击对象之一。本报告由腾讯智慧安全研究发布，中国医院协会信息管理专业委员会（CHIMA）提供医疗行业信息化状况调查报告，双方基于大数据对医疗行业安全状况进行了客观、量化的评估，深入分析了医疗行业的典型安全威胁以及所面临的潜在安全风险，并尝试引导性的进行行业安全治理、规避潜在的安全风险，提升安全管理水平。报告以安全大数据及第三方授权或公开的信息和数据为基础，结合抽样分析/调查报告等方法，经综合整理、分析得出。其主要选取了信息化程度高，管理水平强的大中型医院和指标数据作为参考对象，涵盖956家三级甲等医院、7家第三方医疗服务平台，包括92个授权网站、79个患者APP（安卓版）等外部网络资产。另外本报告还参考了由中国医院协会信息管理专业委员会（CHIMA）发布的《2017-2018年度中国医院信息化状况调查报告》（以下简称《调查报告》）。自《中华人民共和国网络安全法》颁布，在卫健委指导下，全国医院信息安全建设水平不断提升。从指数总体来看，全国医疗行业指数值处于良好水平（759分）。然而，2018年至今，我国医疗体系遭受攻击的频率呈明显上升趋势，医疗信息安全环境并不乐观。黑客入侵攻击、信息泄露等安全问题对医院等公共机构的威胁仍不容忽视。从安全指数所指向的问题来看，医疗行业信息安全建设意识薄弱，核心数据缺乏有效的安全防护。问题主要表现为：4⚫网络空间资产端口开放较多，隐患大，如开放远程登录服务的比例高达50%；⚫外网电脑的安全风险较多，可能会给不法访问者以可乘之机；⚫线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险；⚫医疗行业已经成为勒索病毒攻击的主要目标，医疗业务连续性受到挑战。5二、安全指数情况2.1安全指数评估安全指数说明本报告联合团队基于安全大数据、人工智能分析技术和威胁实时感知能力，从多个安全维度和安全特征，对医疗行业整体安全态势进行了全面、客观的威胁分析和脆弱性评估，并在全面风险量化分析的基础上汇总得到了“腾讯智慧安全指数”。安全指数以多个不同维度的安全问题评估为基础，在安全问题评估的基础上分别汇集到相应的安全域，对各个安全域进行加权汇总，得到了企业安全指数。然后按照行业属性，对企业安全指数求均值即可得到行业互联网安全指数。安全指数以客观安全数据为依据的特性，使其一定程度上能够反映行业安全趋势，具有先导性、预测性。进一步地，利用该安全指数，可对相关行业进行安全状况差距对比、安全问题洞察等。更多关于安全指数的定义和计算的详情，见附录。安全指数是介于0~1000区间内，数值越高，其安全状况越好、风险水平越低。不同指数区间，反应的响应安全状况如下表所示。表2_1_1指数的含义映射表安全指数态势除港澳台以外的各省市、自治区具体数据来看，北京市、上海市、吉林省、重庆市、山6东省的安全指数排名最高，安全指数均高于770，排名靠后的几个省（市）安全指数值均低于750分图2_1_1：各省（市）安全指数排名（前五）以国内（除港澳台以外）各医院的维度来看，医院安全指数的分布如下：⚫22%的医院安全指数处于优秀水平；⚫38%的医院安全指数处于良好水平，⚫39%的医院安全指数处于一般水平；⚫1%的医院安全指数处于较差水平。7图2_1_2：安全指数的等级分布情况（医院维度）目前医疗行业面临的问题主要集中在主机安全、应用安全和网络安全。如图2_1_3所示，其安全指数值越低，风险越高。8图2_1_3：医疗行业网络安全指数情况(除港澳台以外)2.2安全措施采用情况安全措施采用情况，引用了由中国医院协会信息管理专业委员会（CHIMA）发布的《2017-2018年度中国医院信息化状况调查报告》中的调查数据，该调查报告共收到反馈的调查报告535份，其中有效答卷484份，分别对应484家相互独立，没有重复与关联的医院。484家医院占到全国医院总数的1.80%。样本覆盖除香港特别行政区、澳门特别行政区以及台湾省以外的29个行政区。数据详情可参阅《2017-2018年度中国医院信息化状况调查报告》。9医院实施等级保护情况从调查数据来看，有36.16%的医院通过了等级保护测评。经济发达地区实施等级保护工作的比例高于中等发达地区和经济欠发达地区。图2_2_1：医院等级保护工作情况系统安全措施采用情况对参与调查关于医院采用的操作系统级安全措施的有效数据分析可见，网络版反病毒软件的采用率仍高居首位，比例为71.07%。排在第二位到第五位的分别是桌面管理软件46.49%、软件防火墙38.22%、系统镜像快速恢复26.45%、单机版反病毒软件24.79%。10图2_2_2：医院采用的操作系统级安全措施对调查关于医院采用的信息系统体系结构安全措施的有效数据分析可见，主要应用服务器双机热备的医院比例仍然最高，达到72.31%，其次是服务器集群，采用率达为48.55%，位于第三位的服务器冷备机采用率为26.45%。图2_2_3：医院信息系统体系结构安全措施11数据安全措施采用情况从调查中医院采用的各种数据安全措施分析看，数据灾备、数据库镜像备份、数据冷备份和数据离线存储仍然是医院主要的数据安全措施。对调查关于医院采用的数据安全措施的有效数据分析可见，排在第一位和第二位的是数据灾备和数据库镜像备份，比例接近半数分别为49.79%和49.17%，排在第三位至第七位的分别是数据冷备份、数据离线存储、集中存储异地镜像备份、数据库行为审计和身份认证，采用率分别为41.74%、40.91%、22.11%、20.66%和13.43%。图2_2_4：医院数据安全措施网络安全设备和隔离网络情况现阶段我国医院采用的网络安全措施中，防火墙设备的采用率高居首位。不同级别医院在应用各种网络安全设备方面均具有极显著性差异。对参与此次调查的医院采用的网络安全设备类别分析可见，采用率位列前六的分别是防火墙、VPN设备、物理隔离设备、网闸设备、入侵检测设备和防毒墙，比例均12超过20%，其中采用防火墙的医院比例达到82.02%，远远高于其它设备，说明防火墙是多数医院首选的网络安全措施。图2_2_5：医院采用的网络安全设备在参与调查的医院中，大部分医院拥有独立并物理隔离的网络，网络数量多于1个的医院已超过半数，达54.55%；绝大多数医院的网络主干带宽达到百兆及百兆以上，占总样本量的86.98％；图2_2_6：独立而且物理隔离的网络数量13三、风险详细分析3.1医疗行业成黑客攻击重要目标数据的经济价值驱使不法分子铤而走险由于医院等机构的特殊性，患者预约信息、检查检验信息、就诊信息、医学数据等医疗信息都是属于需要紧急使用的信息，一旦这些数据被加密勒索，就会造成很大的影响，医院会想尽办法尽快恢复数据。以美国互联网黑市的信息售价为参考，数据丰富的医疗信息的价值是信用卡信息的10倍。欺诈者利用这些精准信息可以进行电信诈骗、虚假医疗广告营销等违法活动。这些具有较高商业价值的诊疗信息，受到黑色产业链的觊觎。利用外网资产的弱点进行攻击外网资产的安全关乎内网的安全。黑客一般通过攻击外网服务器和办公网电脑系统实现对内网的攻击和数据的窃取。通过攻击外网服务器获取外网服务器的权限，继而利用成功入侵的外网服务器作为跳板，攻击内网其他服务器。另外一方面，通过钓鱼、挂马等社工攻击的方式，实现对办公电脑的控制或数据洗劫，从而获取进入内网的入口信息（帐号、密码等），或者直接对有价值的办公网系统实施勒索等破坏性攻击。14图3_1_1：黑客攻击/入侵内网示意图3.2主机安全隐患较高网络空间资产端口开放较多，隐患大基于第三方网络空间资产测绘，国内仍有多家三甲医院的Web网站和出口IP的资产存在较高的安全隐患。我们在空间测绘的结果中筛选出最近几年黑客攻击事件中出现频率较高的端口，发现全15国有不少医疗单位仍然开放着这些高危端口。3306端口、3389端口的开放比例（分别为：3.43%和1.41%）明显高于国内全网相应端口的开放比例（分别为1.38%和1.01