中国软件评测中心发布《医疗行业网络安全白皮书2020》

新冠肺炎疫情防控期间，许多医疗机构通过互联网提供在线问诊、药品快递到家等服务，减少了接触传染的风险，增强了就医的便捷性，提高了优质医疗资源的利用效率。与此同时，医疗行业面临的网络安全风险也在逐渐增多。 近几年评测人员在对医疗机构进行安全检查、等级保护测评时发现，医院的网络安全建设正在发生变化。从堆满杂物的小仓库改造而成的机房、再到规范又现代化的数据中心；网络安全人员从安全小白、逐渐成长为专业化的医疗安全界小咖；医疗机构负责人逐步提升了网络安全意识，调配的网络安全资源也日趋增多...同时，评测人员也注意到，各医疗机构对网络安全的重视程度参差不齐，网络安全防护水平仍有待快速提高。 中国软件评测中心网络空间安全测评工程技术中心在有关部门的指导下，结合丰富的一线实战经验，参照近三年的测试（脱敏后）数据，联合HC3i数字医疗网共同推出《医疗行业网络安全白皮书2020》。 本白皮书客观呈现医疗行业网络安全发展的现状、存在的主要问题，并给出了医疗行业网络安全的实施建议。旨在保障医疗行业信息系统安全稳定可靠运行，帮助医疗行业网络运营者做好网络安全保障工作的同时供相关行业主管部门、疾控部门和企事业单位等参考。 部分摘录如下： 医疗机构网络安全测试中的常见问题 根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看： 58.9%的医疗信息系统存在弱口令问题； 59%医疗信息系统存网络防护架构不完善问题，包括网络区域划分不合理、网络链路无冗余等问题；60%的医疗信息系统数据备份机制不健全，包括无异地备份机制、备份策略不合理等问题；72%的医疗信息系统在数据存储和传输过程中未采取加密措施；绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。 医疗行业信息系统安全问题占比 提高医疗行业网络安全保障能力建议 根据医疗行业网络安全现状和保障需求，结合网络安全等级保护基本要求，中国评测网安中心提出了医疗行业网络安全实现架构。该架构分别从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面提出了医疗行业网络安全重点实现内容，其中安全物理环境和安全网络架构是网络安全防护基础，安全计算环境是网络安全防护的重要组成部分，安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。基于该实现架构，重点开展以下四个方面工作。 医疗行业网络安全实现架构 目录 一、我国高度重视医疗行业网络安全 （一）国家层面密集出台相关政策法规 （二）各地将网络安全作为“互联网+医疗健康”重要内容二、医疗行业网络安全形势依然严峻 （一）等级保护工作落实情况不佳 （二）医疗行业网络安全风险较高 （三）安全防护水平相对落后 （四）医疗信息泄露事件高发 三、医疗行业网络安全存在的主要问题 （一）身份认证口令不健壮 （二）网络防护架构不完善 （三）数据备份机制不健全 （四）数据加密措施未落实 （五）网络安全管理不到位 四、提高医疗行业网络安全保障能力建议 （一）重视网络安全基础防护 （二）建设安全计算环境 （三）加强医疗数据安全保护 （四）强化网络安全制度管理 五、做好等保2.0时代医疗行业网络安全 [19] \t