白皮書 | 中國軟件評測中心發布《醫療行業網絡安全白皮書2020》
新冠肺炎疫情防控期間����,許多醫療機構通過互聯網提供在線問診、藥品快遞到家等服務,減少了接觸傳染的風險����,增強了就醫的便捷性,提高了優質醫療資源的利用效率。與此同時���,醫療行業面臨的網絡安全風險也在逐漸增多。
近幾年評測人員在對醫療機構進行安全檢查、等級保護測評時發現����,醫院的網絡安全建設正在發生變化����。從堆滿雜物的小倉庫改造而成的機房�、再到規范又現代化的數據中心;網絡安全人員從安全小白���、逐漸成長為專業化的醫療安全界小咖;醫療機構負責人逐步提升了網絡安全意識�����,調配的網絡安全資源也日趨增多...同時�����,評測人員也注意到,各醫療機構對網絡安全的重視程度參差不齊�,網絡安全防護水平仍有待快速提高��。
中國軟件評測中心網絡空間安全測評工程技術中心在有關部門的指導下,結合豐富的一線實戰經驗�����,參照近三年的測試(脫敏后)數據��,聯合HC3i數字醫療網共同推出《醫療行業網絡安全白皮書2020》����。
本白皮書客觀呈現醫療行業網絡安全發展的現狀��、存在的主要問題���,并給出了醫療行業網絡安全的實施建議����。旨在保障醫療行業信息系統安全穩定可靠運行�,幫助醫療行業網絡運營者做好網絡安全保障工作的同時供相關行業主管部門、疾控部門和企事業單位等參考。
部分摘錄如下:
醫療機構網絡安全測試中的常見問題
根據中國評測網安中心對73家醫療機構的信息系統進行網絡安全測評的結果來看:
58.9%的醫療信息系統存在弱口令問題;
59%醫療信息系統存網絡防護架構不完善問題��,包括網絡區域劃分不合理�、網絡鏈路無冗余等問題;60%的醫療信息系統數據備份機制不健全,包括無異地備份機制、備份策略不合理等問題;72%的醫療信息系統在數據存儲和傳輸過程中未采取加密措施;絕大多數醫療信息系統在管理方面存在監管不力��、制度不完善����、人員安全意識較弱等問題���。
醫療行業信息系統安全問題占比
提高醫療行業網絡安全保障能力建議
根據醫療行業網絡安全現狀和保障需求,結合網絡安全等級保護基本要求���,中國評測網安中心提出了醫療行業網絡安全實現架構。該架構分別從安全物理環境����、安全網絡架構�、安全計算環境�����、安全制度管理和醫療數據安全方面提出了醫療行業網絡安全重點實現內容��,其中安全物理環境和安全網絡架構是網絡安全防護基礎,安全計算環境是網絡安全防護的重要組成部分���,安全制度管理和醫療數據安全工作需覆蓋到物理環境、網絡架構和計算環境三個層面��?���;谠搶崿F架構,重點開展以下四個方面工作��。
醫療行業網絡安全實現架構
目錄
一��、我國高度重視醫療行業網絡安全
(一)國家層面密集出臺相關政策法規
(二)各地將網絡安全作為“互聯網+醫療健康”重要內容二���、醫療行業網絡安全形勢依然嚴峻
(一)等級保護工作落實情況不佳
(二)醫療行業網絡安全風險較高
(三)安全防護水平相對落后
(四)醫療信息泄露事件高發
三����、醫療行業網絡安全存在的主要問題
(一)身份認證口令不健壯
(二)網絡防護架構不完善
(三)數據備份機制不健全
(四)數據加密措施未落實
(五)網絡安全管理不到位
四����、提高醫療行業網絡安全保障能力建議
(一)重視網絡安全基礎防護
(二)建設安全計算環境
(三)加強醫療數據安全保護
(四)強化網絡安全制度管理
五����、做好等保2.0時代醫療行業網絡安全
轉載請注明出處:HC3i數字醫療網
