数字医疗网络安全观测报告 （2020 年） b u h t i g m o c . 5 中国信息通信研究院安全研究所 腾讯科技（深圳）有限公司 卫生信息安全与新技术应用专业委员会 数据保护官（DPO）社群 2020 年 9 月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的，应 注明“来源：中国信息通信研究院”。违反上述声明者，本院 将追究其相关法律责任。 h t i g b u m o c . 5 前 言 卫生健康事业关系着人民群众的生命安全和身体健康，习近平总 书记曾深刻指出：在实现“两个一百年”奋斗目标的历史进程中，发 展卫生健康事业始终处于基础性地位。近年来，人工智能、大数据、 移动互联网等新技术在健康医疗领域加速应用和落地，尤其是在受到 2020 年新冠肺炎疫情影响和刺激后，传统医疗服务快速向互联网医 疗、智慧医院等新兴业态转换，行业数字化转型进程明显提速。与此 m o c . 5 同时，卫生健康领域的网络安全攻击和对抗也在不断升级演变，各类 新型网络安全风险层出不穷，网络安全日益成为健康医疗行业发展过 程中无法规避的重要问题。 b u 为贯彻落实习近平总书记网络强国战略思想，促进健康医疗行业 h t i g 网络安全能力建设和发展，中国信息通信研究院（以下简称“中国信 通院”）安全研究所联合卫生信息安全与新技术应用专业委员会、腾 讯安全、数据保护官（DPO）社群等行业组织和产业头部企业组成研 究团队，基于产业互联网安全实验室的技术能力，持续性地对卫生健 康领域的各类机构开展公共互联网层面的安全观测扫描。并综合利用 大数据、威胁情报等技术开展研究分析，结合近年来网络安全形势和 政策变化趋势，总结形成本报告。 本报告沿用和升级了《2019 年健康医疗行业网络安全观测报告》 的技术手段和分析维度，对于医疗机构在公共互联网上存在的资产脆 弱性、安全漏洞问题、僵木蠕毒感染、网站篡改四类主要风险变化情 况进行了趋势对比分析，并从互联网医院与非互联网医院、公立医院 pXlYfYhWmZ9UmUaZbRbP8OpNmMmOqQiNmNmNlOpPoP6MmNrMNZtOnMvPnRtN 与私立医院两个重要分类角度对风险特点进行了研究和解读。研究发 现，健康医疗行业资产脆弱性和安全漏洞两类防御维度风险明显好转， 体现出医疗机构网络安全意识和能力的较大幅度提升；而僵木蠕毒感 染和网站篡改风险呈现上升趋势，表明行业面临的网络安全形势依旧 十分严峻，针对卫生健康领域的安全攻击仍在持续升温。与此同时， 互联网医院相比非互联网医院、公立医院相比私立医院承受着更为强 烈的网络攻击，进而被恶意程序感染风险更高，需要重点关注。 m o c . 5 本报告旨在通过全面和客观的行业安全态势研究，为健康医疗行 业主管部门、医疗机构以及安全服务厂商提供工作思路和建议，共同 促进卫生健康领域安全有序发展。限于编者能力和时间，本报告内容 b u 难免存在纰漏，恳请业界同仁批评指正。 h t i g 目 录 一、健康医疗行业网络安全背景 ...................................... 1 （一）网络安全形势发展变化情况 .................................... 1 （二）健康医疗行业安全政策研究 .................................... 2 （三）公共互联网的安全观测结果 .................................... 4 二、公共互联网的安全风险分析 ...................................... 9 （一）资产脆弱性问题现状及趋势对比分析 ........................... 10 m o c . 5 （二）安全漏洞问题现状及趋势对比分析 ............................. 14 （三）僵木蠕毒问题现状及趋势对比分析 ............................. 16 （四）网站篡改问题现状及趋势对比分析 ............................. 19 三、医疗机构安全风险对比分析 ..................................... 22 b u （一）互联网医院与非互联网医院的安全对比分析 ..................... 22 （二）公立医院与私立医院的安全对比分析 ........................... 25 h t i g 四、健康医疗安全工作思路与建议 ................................... 28 （一）主管部门应重点推动行业规范发展 ............................. 28 （二）医疗机构应持续改进自身安全建设 ............................. 29 （三）安全服务机构应加快提升服务质量 ............................. 31 附录 A 网络安全量化风险分级 ....................................... 33 图 目 录 图 1 我国三级及以上医疗机构等级保护工作开展情况图 ............... 4 图 2 公共互联网安全观测范围-以职能划分的分布图 .................. 5 图 3 观测范围-以地域划分的分布图 ................................ 6 图 4 各省份风险评估结果分布图 ................................... 7 图 5 存有高危端口风险单位数对比图 .............................. 11 图 6 敏感服务风险单位数对比图 .................................. 12 图 7 高危端口及敏感服务风险单位省份分布对比图 .................. 13 图 8 服务版本过低风险涉及单位各省份分布对比图 .................. 14 m o c . 5 图 9 安全漏洞风险级别分布对比图 ................................ 15 图 10 高危漏洞 Top3 分布图 ...................................... 15 图 11 安全漏洞涉及单位省份分布对比图 ........................... 16 图 12 四类重点僵木蠕毒风险涉及单位数目对比图 ................... 17 b u 图 13 通用僵木蠕毒恶意文件感染单位变化图 ....................... 18 图 14 僵木蠕毒地域分布对比图 ................................... 18 h t i g 图 15 网页篡改问题涉及单位省市分布图 ........................... 20 图 16 互联网医院和非互联网医院风险占全部医院风险比例图 ......... 25 图 17 公立医院和私立医院风险占全部医院风险比例图 ............... 26 图 18 2020 年公立医院和私立医院安全漏洞分类对比图............... 27 数字医疗网络安全观测报告（2020 年） 一、健康医疗行业网络安全背景 （一）网络安全形势发展变化情况 近年来，新一代信息技术蓬勃发展，网络空间日新月异，网络空 间安全日益成为关系着国计民生的重要主题。习近平总书记指出， “没 有网络安全，就没有国家安全” ，将网络安全的重要性提升至国家战 略层面。随着 2020 年新冠肺炎疫情在全球的暴发和蔓延，各国经济 m o c . 5 均受到不同程度的负面影响，国际局势日趋复杂，出于政治目的而发 起的有组织的网络攻击持续高发。针对我国党政机关、关键信息基础 设施运营者等重要单位的 DDoS 攻击、钓鱼邮件攻击呈现高发频发态 b u 势，特别是借助新冠肺炎疫情主题开展的网络钓鱼攻击，给我国政府 机关和医疗机构带来了巨大的网络安全挑战，一定程度上影响着疫情 h t i g 防控工作的正常开展。 与此同时，新冠肺炎疫情的影响加速了我国企业和社会的数字化 转型，互联网医疗、远程办公、线上买菜等新场景新应用得到快速推 广和普及，人工智能、大数据、物联网等新一代信息技术逐步实现与 场景的深度融合和广泛应用。然而，伴随新兴业态的热度突增和新技 术的落地应用，安全漏洞、数据泄漏、网络钓鱼、勒索病毒等网络安 全风险和威胁也日益凸显。据国家计算机网络应急技术处理协调中心 （CNCERT）发布的《2019 年我国互联网网络安全态势综述》显示， 软硬件安全漏洞数量和影响范围呈现逐年上涨趋势，相比 2018 年， 2019 年的事件型漏洞和高危零日漏洞分别增长 227%和 47.5%，安全 1 数字医疗网络安全观测报告（2020 年） 漏洞风险持续攀升，这些都给我们的新技术应用与新场景落地敲响了 网络安全的警钟。 在数字医疗领域，数字化和智能化已经成为产业发展的大势所趋， 网络安全问题成为产业转型过程中必须面对的重要挑战。当前，健康 医疗机构一方面面临着以数据泄漏、勒索病毒为代表的传统网络安全 威胁，另一方面也在探索着如何安全合规地开发利用健康医疗大数据。 数字医疗领域的网络安全问题呈现多元化发展态势，网络安全与数字 m o c . 5 化发展更加紧密结合，如何在保障网络安全的前提下推动产业数字化 转型发展，成为数字医疗领域共同面临的重大课题。 （二）健康医疗行业安全政策研究 b u 自 2017 年 6 月 1 日我国《网络安全法》实施以来，系列配套的 h t i g 法律法规和标准规范逐渐发布实施，形成相对完整的网络安全法律法 规和标准体系。2019 年 5 月，公安部正式发布《信息安全技术 网络 安全等级保护基本要求》等网络安全等级保护制度 2.0 相关的系列国 家标准，针对新的安全形势提出了新的安全要求，标准覆盖度更加全 面，安全防护能力有很大提升。2019 年 12 月，关键信息基础设施网 络安全标准开展正式发布前试点，其在网络安全等级保护的基础上对 卫生医疗等公共服务提出了更高的网络安全要求。2020 年 6 月， 《关 键信息基础设施安全保护条例》列入国务院 20