01 医疗行业网络安全形势仍然严峻

2020年，新冠疫情改变了我们的生活，全国乃至全球的医疗机构都在与其奋力抗衡。作为“抗疫”一线的医疗行业，同时也在面临着严峻的网络安全挑战。疫情期间，一些黑客组织也以“新冠肺炎”话题为诱饵，对医疗机构、医护人员的电脑发起网络攻击，从而达到勒索、窃取信息等目的。这样的网络攻击，早已屡见不鲜。

以疫情话题为诱饵的电脑病毒（图源网络）

在2019年，中国信通院联合腾讯等机构对 15339 家医疗行业单位进行观测，结果显示行业总体处于“较大风险”级别，存在僵尸、木马、蠕虫等多种网络安全风险及大量可被利用的安全隐患。从中国软件测评中心发布的《医疗行业网络安全白皮书（2020年）》中也可以看出现目前医疗行业网络安全的几大点问题：

1.等级保护工作落实情况不佳

国医院协会信息管理专业委员会(下简称为：CHIMA)发布的《2018-2019 年度中国医院信息化调查报告》中，参与调查的839家医院中仅有43.95%通过了等级保护测评 ，明显低于金融、电信、能源等领域。

2.医疗行业网络安全风险较高

据调查，医疗行业的网络安全隐患普遍存在，同时医疗行业是勒索病毒的高发行业，两者结合起来让医疗行业网络安全风险大大增加。2019 年初，某省几十家互联互通医院同时感染.0变种勒索病毒而被加密， 勒索病毒十分偏爱医疗行业，在众多感染勒索病毒的行业中，医疗行业占比约50%。

勒索病毒（图源网络）

3.医疗行业安全防护水平相对落后

缺乏必备网络安全防护设备和数据保护措施也是现目前医疗行业的普遍问题。根据CHIMA《2018-2019 年度中国医院信息化状况调查报告》 显示，现阶段绝大多数医院仅采用防火墙保障网络安全，医院对网闸、防入侵、防毒墙等设备的采用率均小于 50%。大部分医院都缺乏必要的网络防护设备。

中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现，部署网络准入系统的有0家，而在数据保护方面38%的系统没有数据库审计，只有2%的单位具有灾备服务器，大部分医疗信息系统没有完善的数据保护机制。

4.医疗信息泄露事件高发

2019年，德国一家漏洞分析和管理公司发现，含有大量医疗放射图像的服务器暴露在公共互联网中，其中涉及中国14个服务器系统，包含近28万条医疗数据，详细记录了患者个人信息及医疗情况，攻击者利用这些数据在暗网中交易获取巨额利润。恶意攻击事件频繁发生，数据泄露成为家常便饭医疗健康互联网?公司架构，医疗行业网络安全形势日益严峻。

02 国家高度重视医疗行业网络安全

在医疗行业网络安全形势严峻的大前提下，国家持续积极推动其安全发展。医疗行业网络安全作为我国网络安全的重要组成部分，一直以来受到国家的高度重视。近几年来，国家陆续出台一系列政策法规，逐步完善医疗行业网络安全体系。

2018年4月，国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》，对二级及以上医院的数 据中心安全、终端安全、网络安全及容灾备份提出要求。

2018年9月，国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》，明确责任单位应当落实网络安全等级保护制度要求，对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。

2018年9月，国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》医疗健康互联网?公司架构，管理办法要求医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设施、 信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。