国测 2020年医疗行业网络安全白皮书

技术白皮书　医疗行业网络安全白皮书（2020 年） m o c . 5 b u h t i g 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 3 月序言新年伊始，一场突如其来的公共卫生事件给我国公共卫生应急响应机制带来了挑战，也将医疗行业再一次推上风口浪尖。大数据、云计算、物联网等新技术在医疗行业的应用不断深入，为医疗服务提供了新的技术支持，有效提升医疗服务水平。我国医疗行业信息化建设正加快开展，而网络安全现状不容乐观，面临的网络安全风险也越来越大。 m o c . 5 为此，我们组织撰写了《医疗行业网络安全白皮书 2020》，内容聚焦医疗行业网络安全的政策法规、现状及主要问题，并提出加强医疗行业网络安全防护的建议。 b u 本白皮书的撰写人员有刘思思、徐丽娟、路红、李杺恬、黄 h t i g 峥、张德馨，在此特别感谢中国软件评测中心总工程师陈渌萍对本白皮书的撰写指导，中心品牌宣传推广部刘喜喜、闫晓丽的编辑及排版支持。限于研究时间和编者能力，部分报告内容难免存在纰漏，不足之处恳请业界同仁批评指正。中国软件评测中心主任助理唐刚 2020 年 3 月 25 日版权声明本白皮书版权属于中国软件评测中心，并受法律保护。转载、 m o c . 5 摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国软件评测中心”。违反上述声明者，本单位将追究其相关法律责任。 h t i g b u 目录前言 .................................................. ..1 一、我国高度重视医疗行业网络安全 ......................... 2 （一）国家层面密集出台相关政策法规 .................... 2 （二）各地将网络安全作为“互联网+医疗健康”重要内容 ... 4 二、医疗行业网络安全形势依然严峻 ......................... 5 m o c . 5 （一）等级保护工作落实情况不佳 ........................ 5 （二）医疗行业网络安全风险较高 ........................ 6 （三）安全防护水平相对落后 ............................ 7 （四）医疗信息泄露事件高发 ........................... 10 b u 三、医疗行业网络安全存在的主要问题 ...................... 11 h t i g （一）身份认证口令不健壮 ............................. 12 （二）网络防护架构不完善 ............................. 13 （三）数据备份机制不健全 ............................. 15 （四）数据加密措施未落实 ............................. 15 （五）网络安全管理不到位 ............................. 16 四、提高医疗行业网络安全保障能力建议 .................... 16 （一）重视网络安全基础防护 ........................... 17 （二）建设安全计算环境 ............................... 21 （三）加强医疗数据安全保护 ........................... 23 （四）强化网络安全制度管理 ........................... 24 五、做好等保 2.0 时代医疗行业网络安全 .................... 25 前言近年来，医疗行业信息化得到全面快速发展，互联网、大数据、云计算等新兴技术与传统医疗不断深化融合，促进了医疗服务水平提升。在今年新型冠状病毒肺炎疫情防控期间，许多医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供在线问诊、智能问药、药品快递到家等服务，减少了接触传染的风险，增强了就医的便捷性，提高了优质医疗资源的利用效率。与此同 m o c . 5 时，医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视，但我国医疗行业网络安全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局面，网络安全形势不容乐观。为了保障医疗行业网络安全稳定运行，帮助医疗行业网络运 b u 营者做好网络安全保障工作，中国软件评测中心网络空间安全测 h t i g 评工程技术中心（以下简称“中国评测网安中心”）基于近三年医疗行业网络安全的测评经验，总结分析了医疗行业网络安全发展的现状、存在的主要问题，并提出了增强医疗行业网络安全的建议。 — 1 — 一、我国高度重视医疗行业网络安全（一）国家层面密集出台相关政策法规医疗行业网络安全是我国网络安全的重要组成部分，受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网 +医疗健康”的不断推进，党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规，逐步完善医疗 m o c . 5 行业网络安全体系。 2018 年 4 月，国家卫生健康委发布《关于印发全国医院信息化建设标准与规范（试行）的通知》，对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。2019 b u 年 4 月，国家卫生健康委发布《关于印发全国基层医疗卫生机构 h t i g 信息化建设标准与规范（试行）的通知》，明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等 10 个方面。 2018 年 9 月 13 日，国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，明确责任单位应当落实网络安全等级保护制度要求，对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。 2018 年 9 月 14 日，国家卫生健康委发布《关于印发互联网诊疗管理办法（试行）等 3 个文件的通知》，管理办法要求医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设施、 — 2 — 信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。 2018 年 12 月 21 日，国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》，对重点工作任务进行部署，要求着力加强电子健康卡应用安全建设及管理，对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测，强化个 m o c . 5 人健康信息安全管理，建立相关安全风险动态评估管理机制，同时要求电子健康卡积极采用国密算法和国产自主可控安全技术，确保居民健康信息的安全。 2019 年 12 月，经第十三届全国人民代表大会常务委员会第 b u 十五次会议通过，我国颁布卫生健康领域第一部基础性、综合性 h t i g 法律《中华人民共和国基本医疗卫生与健康促进法》，明确国家采取措施推进医疗卫生机构建立健全信息安全制度，保护公民个人健康信息安全，对医疗信息安全制度、保障措施不健全，导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。 2020 年 2 月 28 日，国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》，要求不断提升信息化水平，同步做好互联网医保服务有关数据的网络安全工作，防止数据泄露。从陆续出台的政策法规可以看出，国家对医疗行业网络安全高度重视，无论从医院、基层医疗机构信息化建设，还是当前发展火热的“互联网+医疗健康”、 “医疗大数据” ，到一些基本惠民便民的传统医疗信息系统建设，以及国家出台的第一部卫生健康 — 3 — 领域基础性、综合性法律，无不强调落实做好网络安全工作。（二）各地将网络安全作为“互联网+医疗健康”重要内容自国务院办公厅发布《关于促进“互联网+医疗健康”发展的意见》以来，各省市纷纷就“互联网+医疗健康”作出行动部署。国家卫生健康委同意批复示范省区建设，各地相继推进互联网与医疗健康融合发展，同时推进信息安全建设。 m o c . 5 2018 年 9 月，国家卫生健康委员会与宁夏回族自治区人民政府共同签订共建“互联网+医疗健康”示范区战略协议，宁夏成为我国首个“互联网+医疗健康”示范省区。2019 年 2 月，《宁 b u 夏回族自治区“互联网+医疗健康”示范区建设规划（2019-2022 年）》发布，其中就统一安全保障体系作出规划，推进安全防护 h t i g 体系建设，实现信息共享与保护同步发展。到 2022 年，形成全领域、全方位的安全保障体系。 2019 年 12 月 13 日，四川省发布为推进“互联网+医疗健康” 示范省建设部署 23 项工作，其中对严格执行信息安全和健康医疗数据保密作出规定，深化国产密码应用，加强关键信息基础设施、数据应用服务的安全防护。严格落实国家网络安全等级保护制度，妥善保管患者信息、用户资料、基因数据等，对泄露、出售、窃取或者以其他非法方式获取个人信息、非法向他人提供个人信息的行为依法依规予以惩处。患者信息等敏感数据应存储在境内，确需向境外提供的，应依照相关规定进行安全评估。新型冠状病毒肺炎疫情出现后，许多部门、地方和企业积极 — 4 — 运用人工智能、远程医疗、大数据、云计算等技术助力抗击疫情。例如，平安好医生、叮当快药、阿里健康等互联网平台提供了线上问诊模式，部分解决了疫情期间不敢去医院就医的问题。大数据技术帮助政府搜集、发布疫情信息，实现紧缺医疗物资的信息协同与高效配送。医疗信息化在疫情防控中起到了关键支撑作用。二、医疗行业网络安全形势依然严峻 m o c . 5 在医疗行业信息化建设蓬勃发展的同时，其所面临的网络安全风险也逐渐增多。我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落 b u 后的问题，医疗行业网络安全形势不容乐观。 h t i g （一）等级保护工作落实情况不佳自 2017 年《中华人民共和国网络安全法》颁布以来，网络运营者落实网络安全等级保护制度成为法律要求，而整个医疗行业的