59%醫(yī)療機構(gòu)網(wǎng)絡防護架構(gòu)存在漏洞,如何完善?
醫(yī)療行業(yè)是網(wǎng)絡攻擊犯罪分子的主要目標之***,遭受網(wǎng)絡攻擊事件接連發(fā)生,給醫(yī)療行業(yè)帶來巨大損失。根據(jù)《2019 健康醫(yī)療行業(yè)觀測報告》數(shù)據(jù),醫(yī)療行業(yè)總體也處于“較大風險”***別,存在多種網(wǎng)絡安全風險及大量可被利用的安全隱患,安全防護能力較弱。
醫(yī)療行業(yè)也越來越重視網(wǎng)絡安全防護。眾多醫(yī)療機構(gòu)正在重新審視網(wǎng)絡安全部署架構(gòu)策略,加強網(wǎng)絡安全意識,防御與日俱增的網(wǎng)絡攻擊。應對當下的智慧醫(yī)療網(wǎng)絡安全問題,山石網(wǎng)科多年基于醫(yī)療行業(yè)安全服務經(jīng)驗,提出***套新的安全架構(gòu)思路,將發(fā)展與安全同步結(jié)合,助力智慧醫(yī)療穩(wěn)步推進。
按需建設,分階段完善醫(yī)療行業(yè)網(wǎng)絡安全部署
據(jù)《醫(yī)療行業(yè)網(wǎng)絡安全白皮書2020》數(shù)據(jù)顯示,醫(yī)院對網(wǎng)閘、防入侵、防毒墻等設備的采用率均小于50%。現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡安全,對網(wǎng)絡進行VPN/VLAN劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護機制。
而通過對參與調(diào)查的15339***醫(yī)療行業(yè)相關單位的觀測,存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029***,應用服務端口暴露在公共互聯(lián)網(wǎng)中的單位有6446***,4546***單位網(wǎng)站存在被篡改安全隱患,其中261***單位已發(fā)生網(wǎng)站被篡改情況。
根據(jù)中***評測網(wǎng)安中心對抽樣調(diào)查的73***醫(yī)療機構(gòu)的信息系統(tǒng)進行網(wǎng)絡安全測評的結(jié)果來看,58%的醫(yī)療信息系統(tǒng)存在弱口令問題;59%醫(yī)療信息系統(tǒng)存網(wǎng)絡防護架構(gòu)不完善問題,包括網(wǎng)絡區(qū)域劃分不合理、網(wǎng)絡鏈路無冗余等問題。
醫(yī)療行業(yè)網(wǎng)絡安全建設還處在初***階段,網(wǎng)絡安全的建設梯度存在者參差。與之相對比的是,網(wǎng)絡攻擊來勢洶洶。針對醫(yī)療行業(yè)發(fā)展不同階段及醫(yī)療機構(gòu)的建設目標、建設內(nèi)容及需求,山石網(wǎng)科構(gòu)建***套醫(yī)療行業(yè)的安全體系建設模型:
縱深安全體系建設:適合初期醫(yī)療單位安全建設,目標以補全防護短板、端點防護及合規(guī)要求為建設目標。構(gòu)建內(nèi)容包括安全域邊界劃分、邊界安全、應用安全、終端安全、身份安全、合規(guī)要求、業(yè)務安全/審計安全/運維管理、應急及風險評估及安全管理制度體系建設。
事前安全感知監(jiān)測:適合中期醫(yī)療單位安全建設,目標以構(gòu)建事前安全監(jiān)測、重點關注事前安全的檢測、防御、應急、管理機制為安全建設目標。構(gòu)建內(nèi)容包括安全運營平臺態(tài)勢監(jiān)測及預警、安全應急處置/事件回溯/風險分析、風險分析能力及防御能力提升等。
全方位風險態(tài)勢感知:適合醫(yī)療單位安全建設已具備***定安全防護能力、預警能力,目標以風險治理為安全建設目標,關注風險識別、防御、檢測、處置的各個階段。同時建立安全事件庫,使常規(guī)安全事件聯(lián)動安全產(chǎn)品、安全服務機制及業(yè)務流程機制,形成自動化安全事件編排處置機制。
從我***近年來對醫(yī)療機構(gòu)信息化建設的推進政策來看,在強調(diào)加快智慧醫(yī)療、互聯(lián)網(wǎng)醫(yī)院發(fā)展建設的同時,也著重提到安全制度的建立。
智慧互聯(lián)化下,醫(yī)院需要留存數(shù)據(jù),保證診療活動留痕、可追溯,建立就醫(yī)各個環(huán)節(jié)的信息數(shù)據(jù)庫;也需要通過數(shù)據(jù)的挖掘,院內(nèi)與院間的信息共享,賦能醫(yī)療水平的提高。但實際上,在就醫(yī)過程中,要保護患者的個人隱私不被泄露或者竊取,安全實現(xiàn)醫(yī)療數(shù)據(jù)院內(nèi)院間共享,進***步挖掘醫(yī)療數(shù)據(jù)的價值,對信息技術的開發(fā)、大數(shù)據(jù)的應用以及法律的健全都提出了更高的要求。
注:文章來源于互聯(lián)網(wǎng)
