技术白皮书　 医疗行业网络安全白皮书 （2020 年） m o c . 5 b u h t i g 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 3 月 h t i g b u m o c . 5 序 言 新年伊始，一场突如其来的公共卫生事件给我国公共卫生应 急响应机制带来了挑战，也将医疗行业再一次推上风口浪尖。大 数据、云计算、物联网等新技术在医疗行业的应用不断深入，为 医疗服务提供了新的技术支持，有效提升医疗服务水平。我国医 疗行业信息化建设正加快开展，而网络安全现状不容乐观，面临 的网络安全风险也越来越大。 m o c . 5 为此，我们组织撰写了《医疗行业网络安全白皮书 2020》， 内容聚焦医疗行业网络安全的政策法规、现状及主要问题，并提 出加强医疗行业网络安全防护的建议。 b u 本白皮书的撰写人员有刘思思、徐丽娟、路红、李杺恬、黄 h t i g 峥、张德馨，在此还要感谢中国软件评测中心品牌宣传推广部刘 喜喜、闫晓丽的编辑及排版支持。 限于研究时间和编者能力，部分报告内容难免存在纰漏，不 足之处恳请业界同仁批评指正。 中国软件评测中心 唐刚 2020 年 3 月 25 日 h t i g b u m o c . 5 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护。转载、 摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来 m o c . 5 源：中国软件评测中心”。违反上述声明者，本单位将追究其相 关法律责任。 h t i g b u m o c . 5 b u 指导组：黄子河 编写组：唐 刚 h t i g 安 晖 吴志刚 陈渌萍 刘思思 徐丽娟 路 李杺恬 黄 张德馨 峥 红 目 录 前 言.................................................................................................... ..- 1 一、我国高度重视医疗行业网络安全 ............................................... - 2 （一）国家层面密集出台相关政策法规 ..................................... - 2 （二）各地将网络安全作为“互联网+医疗健康”重要内容 ....... - 4 二、医疗行业网络安全形势依然严峻 ............................................... - 5 （一）等级保护工作落实情况不佳 ............................................. - 5 - m o c . 5 （二）医疗行业网络安全风险较高 ............................................. - 6 （三）安全防护水平相对落后 ..................................................... - 7 （四）医疗信息泄露事件高发 ................................................... - 10 - 三、医疗行业网络安全存在的主要问题 ......................................... - 11 - b u （一）身份认证口令不健壮 ....................................................... - 12 （二）网络防护架构不完善 ....................................................... - 13 - h t i g （三）数据备份机制不健全 ....................................................... - 15 （四）数据加密措施未落实 ....................................................... - 15 （五）网络安全管理不到位 ....................................................... - 16 四、提高医疗行业网络安全保障能力建议 ..................................... - 16 （一）重视网络安全基础防护 ................................................... - 17 （二）建设安全计算环境 ........................................................... - 20 （三）加强医疗数据安全保护 ................................................... - 22 （四）强化网络安全制度管理 ................................................... - 23 五、做好等保 2.0 时代医疗行业网络安全 ...................................... - 24 - h t i g b u m o c . 5 前 言 近年来，医疗行业信息化得到全面快速发展，互联网、大数 据、云计算等新兴技术与传统医疗不断深化融合，促进了医疗服 务水平提升。在今年新型冠状病毒肺炎疫情防控期间，许多医院、 基层医疗卫生机构、专业公共卫生机构等通过互联网提供在线问 诊、智能问药、药品快递到家等服务，减少了接触传染的风险， 增强了就医的便捷性，提高了优质医疗资源的利用效率。与此同 m o c . 5 时，医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视， 但我国医疗行业网络安全仍处于工作起步较晚、整体风险较高、 防护水平相对落后的局面，网络安全形势不容乐观。 b u 为了保障医疗行业网络安全稳定运行，帮助医疗行业网络运 营者做好网络安全保障工作，中国软件评测中心网络空间安全测 h t i g 评工程技术中心（以下简称“中国评测网安中心”）基于近三年 医疗行业网络安全的测评经验，总结分析了医疗行业网络安全发 展的现状、存在的主要问题，并提出了增强医疗行业网络安全的 建议。 -1- 一、我国高度重视医疗行业网络安全 （一）国家层面密集出台相关政策法规 医疗行业网络安全是我国网络安全的重要组成部分，受到国 家高度重视。随着医疗行业信息网络技术的深入应用和“互联网 +医疗健康”的不断推进，党中央、国务院及医疗监管部门陆续 出台了一系列信息化安全建设与管理的政策法规，逐步完善医疗 m o c . 5 行业网络安全体系。 2018 年 4 月，国家卫生健康委发布《关于印发全国医院信 息化建设标准与规范（试行）的通知》，对二级及以上医院的数 据中心安全、终端安全、网络安全及容灾备份提出要求。2019 b u 年 4 月，国家卫生健康委发布《关于印发全国基层医疗卫生机构 h t i g 信息化建设标准与规范（试行）的通知》，明确了基层医疗卫生 机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全 部分包括身份认证、桌面终端安全、移动终端安全、计算安全、 通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、 安全运维等 10 个方面。 2018 年 9 月 13 日，国家卫生健康委发布《国家健康医疗大 数据标准、安全和服务管理办法（试行） 》 ，明确责任单位应当落 实网络安全等级保护制度要求，对健康医疗大数据中心、相关信 息系统开展定级、备案、测评等工作。 2018 年 9 月 14 日，国家卫生健康委发布《关于印发互联网 诊疗管理办法（试行）等 3 个文件的通知》 ，管理办法要求医疗 机构开展互联网诊疗活动，应当具备满足互联网技术要求的设施、 -2- 信息系统、技术人员以及信息安全系统，并实施第三级信息安全 等级保护。 2018 年 12 月 21 日，国家卫生健康委办公厅发文《加快推 进电子健康卡普及及应用工作的意见》，对重点工作任务进行部 署，要求着力加强电子健康卡应用安全建设及管理，对电子健康 卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康 服务应用软件等依据国家行业标准实行质量及安全检测，强化个 m o c . 5 人健康信息安全管理，建立相关安全风险动态评估管理机制，同 时要求电子健康卡积极采用国密算法和国产自主可控安全技术， 确保居民健康信息的安全。 2019 年 12 月，经第十三届全国人民代表大会常务委员会第 b u 十五次会议通过，我国颁布卫生健康领域第一部基础性、综合性 h t i g 法律《中华人民共和国基本医疗卫生与健康促进法》，明确国家 采取措施推进医疗卫生机构建立健全信息安全制度，保护公民个 人健康信息安全，对医疗信息安全制度、保障措施不健全，导致 医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。 2020 年 2 月 28 日，国家医疗保障局、国家卫生健康委员会 发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服 务的指导意见》，要求不断提升信息化水平，同步做好互联网医 保服务有关数据的网络安全工作，防止数据泄露。 从陆续出台的政策法规可以看出，国家对医疗行业网络安全 高度重视，无论从医院、基层医疗机构信息化建设，还是当前发 展火热的“互联网+医疗健康”、 “医疗大数据” ，到一些基本惠民 便民的传统医疗信息系统建设，以及国家出台的第一部卫生健康 -3- 领域基础性、综合性法律，无不强调落实做好网络安全工作。 （二）各地将网络安全作为“互联网+医疗健康”重要内 容 自国务院办公厅发布《关于促进“互联网+医疗健康”发展 的意见》以来，各省市纷纷就“互联网+医疗健康”作出行动部 署。国家卫生健康委同意批复示范省区建设，各地相继推进互联 网与医疗健康融合发展，同时推进信息安全建设。 m o c . 5 2018 年 9 月，国家卫生健康委员会与宁夏回族自治区人民 政府共同签订共建“互联网+医疗健康”示范区战略协议，宁夏 成为我国首个“互联网+医疗健康”示范省区。2019 年 2 月， 《宁 b u 夏回族自治区“互联网+医疗健康”示范区建设规划（2019-2022 年）》发布，其中就统一安全保障体系作出规划，推进安全防护 h t i g 体系建设，实现信息共享与保护同步发展。到 2