刘思思 徐丽娟 路红 李杺恬 黄峥 张德馨
近年来,医疗行业信息化得到快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平提升。而与此同时,医疗行业面临的网络安全风险也逐渐增多。为了保障医疗行业网络安全稳定运行,帮助医疗行业网络运营者做好网络安全保障工作,本文基于近三年医疗行业网络安全的相关测评经验,总结分析了医疗行业网络安全发展的现状和存在的主要问题。
高度重视医疗行业网络安全
国家层面密集出台
相关政策法规
医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网+医疗健康”的不断推进,党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规,逐步完善医疗行业网络安全体系。
2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》,对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2019年4月,国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生机构未来5~10年信息化建设的基本内容和要求。其中,信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾和安全运维等10个方面。
2018年9月13日,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
2018年9月14日,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
2018年12月21日,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。
2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
2020年2月28日,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
从陆续出台的政策法规可以看出,国家对医疗行业网络安全高度重视,无论是医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”“医疗大数据”,还包括一些基本惠民便民的传统医疗信息系统建设,以及国家出台的第一部卫生健康领域基础性、综合性法律,无不强调落实做好网络安全工作。
各地将网络安全作为
“互联网+医疗健康”重要内容
自国务院办公厅发布《关于促进“互联网+医疗健康”发展的意见》以来,各省份纷纷就“互联网+医疗健康”作出行动部署。国家卫生健康委同意批复示范省份建设,各地相继推进互联网与医疗健康融合发展,同时推进信息安全建设。
2018年9月,国家卫生健康委员会与宁夏回族自治区人民政府共同签订共建“互联网+医疗健康”示范区战略协议,宁夏自治区成为我国首个“互联网+医疗健康”示范省份。2019年2月,《宁夏回族自治区“互联网+医疗健康”示范区建设规划(2019—2022年)》发布,其中就统一安全保障体系作出规划,推进安全防护体系建设,实现信息共享与保护同步发展。到2022年,形成全領域、全方位的安全保障体系。
2019年12月13日,四川省发布《四川省推进“互联网+医疗健康”示范省建设实施方案》,部署23项工作。其中,文件对严格执行信息安全和健康医疗数据保密作出规定,深化国产密码应用,加强关键信息基础设施和数据应用服务的安全防护。严格落实国家网络安全等级保护制度,妥善保管患者信息、用户资料和基因数据等,对泄露、出售、窃取或者以其他非法方式获取个人信息、非法向他人提供个人信息的行为依法依规予以惩处。患者信息等敏感数据应存储在境内,确需向境外提供的,应依照相关规定进行安全评估。
新冠肺炎疫情出现后,许多部门、地方和企业积极运用人工智能、远程医疗、大数据和云计算等技术助力抗击疫情。
例如,平安好医生、叮当快药和阿里健康等互联网平台提供了线上问诊模式,部分解决了疫情期间不敢去医院就医的问题。大数据技术帮助政府搜集、发布疫情信息,实现紧缺医疗物资的信息协同与高效配送。医疗信息化在疫情防控中起到了关键支撑作用。
医疗行业网络安全形势依然严峻
在医疗行业信息化建设蓬勃发展的同时,其所面临的网络安全风险也逐渐增大。我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落后等问题,医疗行业网络安全形势不容乐观。
等级保护工作落实情况不佳
自2017年《中华人民共和国网络安全法》颁布以来,网络运营者落实网络安全等级保护制度成为法律要求,而整个医疗行业的网络安全等级保护工作开展情况一般。例如,中国医院协会信息管理专业委员会(CHIMA)发布的《2017—2018年度中国医院信息化调查报告》显示,调查的484家医院中,仅有36.16%通过了等级保护测评,明显低于金融、电信和能源等领域。在CHIMA《2018—2019年度中国医院信息化调查报告》中,参与调查的839家医院中仅有43.95%通过了等级保护测评。其中,三级医院比例明显大于三级以下医院,三级以下医院中75%未开展过等级保护测评。可以看出,医院对网络安全愈发重视,但整体推进态势仍显缓慢。医疗行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。
医疗行业网络安全风险较高
1.医疗行业网络安全隐患普遍存在。根据《2019健康医疗行业观测报告》数据,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,通过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。
通过对观测的15339家医疗单位中的网络资产评估,具有脆弱性的有9523家,占比62.14%。由此可见,医疗行业存在可被利用脆弱性情况普遍,大部分单位没有定期对系统进行安全风险评估,识别资产存在的安全隐患。
随着移动医疗、电子病历系统、AI医疗等数字化医疗的普及,国内医疗机构遭受恶意攻击的频率更呈上升趋势。2020年2月,在国内正处于抗击新冠肺炎疫情的关键时期,某国APT黑客组织对我国医疗机构、政府部门展开攻击,以“新冠肺炎”话题为诱饵,引诱受害者执行钓鱼指令。
2.遭受勒索病毒攻击严重。勒索病毒利用加密算法对文件或计算机系统进行恶意加密,使感染者业务中断或数据丢失,只有交付数字货币拿到密钥才能破解。医疗行业受勒索病毒感染情况严重。2018年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019年初,某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密。GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行业中,医疗行业占比约50%。医疗行业信息系统数据价值高、业务连续性要求强,成为勒索病毒攻击的主要目标,极有可能使医疗单位遭遇巨大经济损失。
安全防护水平相对落后
1.缺乏必要的网络安全防护设备。CHIMA《2018—2019年度中国医院信息化状况调查报告》显示,现阶段,绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。由此可见,大部分医院都缺乏必要的网络防护设备。
值得关注的是,三级以下医院只有不到一半采取了VPN/VLAN划分、上网行为管理系统,不到三分之一的医院采用了网闸、入侵检测(IDS/IPS),五分之一的医院采用了网络接入控制、漏洞扫描、域用户管理模式,仅有十分之一的医院采用了堡垒机进行运维管理。可以看出,三级以下医院在基础网络安全防护方面非常欠缺,网络安全堪忧。
2.缺少必要的系统防护及数据保护措施。医疗信息系统中大部分的服务器操作系统安装了防病毒软件,主要应用服务器采用双机热备或者集群部署,减少了服务器宕机带来的故障,但缺少必要的网络准入机制,对接入网络的终端没有进行IP限制,也没有必要的认证机制。中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服務器,大部分医疗信息系统没有完善的数据保护机制。
医疗信息泄露事件高发
近年来,国内外由于医疗信息系统被入侵而导致的信息泄露事件多次发生。2016年7月,白桦林全国联盟共接到来自30多个省份至少有275位艾滋病患者的个人信息遭到泄露而导致的诈骗报告。2017年10月,杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息共计370余万条,造成了极其恶劣的影响。2019年,德国一家漏洞分析和管理公司发现,含有大量医疗放射图像的服务器暴露在公共互联网中,其中涉及中国14个服务器系统,包含近28万条医疗数据,详细记录了患者个人信息及医疗情况,攻击者利用这些数据在暗网中交易获取巨额利润。恶意攻击事件频繁发生,数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。
存在的主要问题
随着“互联网+医疗”的迅猛发展和医疗行业信息化建设的持续推进,医疗机构需要关注网络安全防护的信息系统也越来越多,这些系统主要分为两类。第一类是医疗传统信息系统。例如,医院信息管理系统HIS、影像归档和通信系统PACS、放射科信息管理系统(RIS)和电子病历系统EMR等。第二类是利用通信和信息技术实现远程医疗服务类系统。
根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题;60%的医疗信息系统数据备份机制不健全,包括无异地备份机制、备份策略不合理等问题;72%的医疗信息系统在数据存储和传输过程中未采取加密措施;绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。
身份认证口令不健壮
在网络安全实践中,用户身份认证是信息系统和关键数据保护的第一道防线。当前,医疗行业信息系统大多采用安全性较弱的“用户名ID+口令”的单认证方式,鲜有采用“双因素认证”等强认证方案,医疗信息系统的信息安全程度与登录口令的强度直接相关。信息系统用户多采用易被别人猜测到或易被工具破解的弱口令,使得攻击者甚至无需技术基础就可对目标系统进行攻击。一旦口令被破解,攻击者即可对目标系统进行进一步渗透,给企业和个人带来严重的财产损失。
在安全测试过程中,主要发现以下几类弱口令情况:一是简单口令。口令长度过短,口令仅由简单字符或单词、拼音等组合,非常容易被暴力破解。二是默认口令或空口令。很多系统或设备的账号具有默认口令,有的甚至是空口令,不修改默认口令或空口令的情况十分常见,有的系统管理员甚至并不清楚系统里存在默认口令或空口令。三是规律性口令。口令具有一定的长度和复杂度,但口令的构造具有规律性,这类口令一般是为了便于记忆而采用了一些简单规律构造而成,如键盘上连续分布的字符序列等。大量规律性口令被收集到口令词典、彩虹表中,极有可能被暴力破解。四是社会工程学弱点类口令。为了便于记忆,将个人、单位等信息作为构成口令的部分,如个人姓名拼音、出生日期、单位名称等,攻击者通过社会工程学攻击,搜集特定人员的信息,就很容易攻破此类口令。五是固定口令。口令一旦生成,就固定下来,长期不更新,泄露或被攻破的风险越来越大。
网络防护架构不完善
目前,“互联网+”的医疗模式发展迅猛,多数采用的结构模式为“医疗机构+平台+患者”。如在线问诊系统中,患者通过身份证号、手机号等信息在平台上进行注册,并将病历等信息通过平台发送医生,医生通过营业执照、资格证书等在平台注册,而后对患者进行问诊。第三方服务平台成为连接患者和医生的关键桥梁,其安全显得尤为重要。若平台的网络架构设计、运行机制的安全性较差,患者及医生的个人信息即存在泄露的风险。
当前,医疗服务平台主要存在网络区域划分不合理、设备和链路无冗余、网络安全产品配备不足等安全问题。
1.网络区域划分不合理。网络区域划分方式包括物理划分、功能划分、安全等级划分等。物理划分是指根据物理位置如地理位置不同、所在楼宇不同、所在楼层不同等对网络进行划分。功能划分是指根据业务功能对网络进行划分,如互联网、办公网络、生产网络等。安全等级划分是根据业务数据的安全等级进行划分,不同安全等级的网络区域需要逻辑隔离。
根据医疗行业中业务的种类和信息的重要性,医疗信息系统的网络划分为不同的VLAN。医疗行业中的HIS、EMR、PACS、HIP等系统可能搭建于不同VLAN之中,这些系统除了存有各自业务数据外,相互之间还存在数据交互。因此,医疗行业信息系统网络区域的不合理划分会造成各网络区域内逻辑不清晰、安全策略无法明确、访问控制策略无法有效实施,增大设备被非授权访问进行攻击或破坏的风险,加大了网络安全管理的难度。
2.网络链路无冗余。信息系统是医疗业务运行的关键,必须保证其运行的高可靠性,网络的高可靠性是其基础。目前,医疗行业多数信息系统的网络链路存在单点故障问题,如核心交换机、出口路由器、安全设备等关键设备缺少硬件冗余和通信线路冗余。在系统的设备和链路无冗余的情况下,一旦发生电力中断、设备故障、通信线路故障时,系统将无法继续提供服务,形成“信息孤岛”,给医疗行业及患者造成的损失难以估计,极大地降低了系统运行的连续性和可靠性。
3.网络安全产品配备不足。随着“互联网+医疗健康”的迅速发展,HIS、RIS、LIS、CIS、PACS、CPR等系统的应用逐渐深入整合,为医疗行业的高效、快捷和便民提供了信息化基础。与此同时,为响应国家号召开展的区域医疗协同业务,使得医疗业务网络下沉到区县乡镇,医疗行业的网络不再封闭。而医疗行业现有的网络安全手段已经不足以应对当前内外部的威胁。相关统计显示,大多数医疗信息系统的数据保护措施仅局限于安装杀毒软件和防火墙,而此类保护措施只能防备21%的安全隐患。网络安全产品的配备不足使得网络攻击者能够轻而易举且不被察觉地入侵医疗信息系统,成为信息泄露、勒索病毒频现的重要原因。
数据备份机制不健全
当前,医疗行业的应用系统繁多,应用环境复杂。HIS系统、LIS系统、PACS和医保等系统的深度融合与广泛应用,产生的数据类型复杂,对数据的增加、更新、修改次数增多。大型医院的数据流量庞大,这些数据一旦遭到破坏或泄露,将严重影响医院的正常运行以及患者的隐私安全,给科研、生产造成损失。
当前,医疗行业普遍采用的两种数据备份方式都存在弱点。一是本地存储设备备份,通过硬盘,光盘等数据存储设备存放。该类备份方式不仅占用存放空间,数据的恢复,查找和分析速度慢,对存放环境要求等级高,且无法支持远程数据容灾。二是本地双服务器备份方式。该类方式容易在其中一套服务器出现未知故障但未宕机时产生主、备服务器争夺控制权的问题,也无法避免双服务器同时发生故障时数据丢失的问题。这两种备份方式都不支持远程数据容灾,无法避免自然灾害等不可抗力因素带来的影响。
数据加密措施未落实
医疗信息包含大量敏感数据,在收集、存储、传输过程中若未实施有效的加密措施,信息将处于极大的泄露风险中。目前,医疗行业信息系统中的数据在传输过程中采用TELNET、HTTP等协议,无法保证信息在传输过程中被窃听;数据在存储时,采用明文形式或安全性较低的加密算法进行存储,导致重要数据在存储过程中被攻击者直接盗用的可能性增大,使患者病历等私密信息遭遇泄露,进而可能使医疗机构的业务运营、声誉、经济利益受损,使患者的生命安全和个人信息安全遭到威胁。
网络安全管理不到位
信息使用者和管理者是信息安全管理的主体和关键,对信息使用者及管理者采取规范管理是防止信息泄露的有效方法。当前,医疗行业网络安全管理制度不完善,安全管理机构职责不明确,人员网络安全意识薄弱等都是导致信息泄露的安全隱患。
网络安全管理制度包括信息安全管理总体方针策略、各种安全管理活动的制度和人员执行的日常管理操作规程等,是信息系统的建设、开发、运维、升级和改造等各个阶段和环节应遵守的行为规范总体。未制定网络安全管理制度或信息安全管理制度不完善,将无法对信息安全管理过程中的行为进行规范和约束,增加了由于人员操作失误造成信息安全事故的风险。
网络安全管理机构职责不明确将会造成网络安全管理制度得不到有效实施,无法使网络安全管理制度产生相应的效力,增加网络安全事件发生的风险。
网络安全管理人员安全意识薄弱是造成信息泄露事件的关键原因。如果网络安全管理人员的安全意识和业务能力没有保障,将增大人为操作失误带来的风险。