网站首页

9月20日，腾讯与中国医院协会信息管理专业委员会(马驰)发布了《医疗行业安全指数报告》(以下简称《报告》)。基于腾讯智能安全指数和马驰医院信息化调查，本报告全面梳理了国内医疗行业的信息安全状况和采取的安全措施。从指标整体情况来看，全国医疗行业网络安全状况处于良好水平，医疗行业信息安全建设稳步提升。与此同时，黑客入侵攻击、勒索病毒攻击和信息泄露等安全问题对医院和其他公共机构构成了不可忽视的威胁。今年以来，中国医疗系统遭受攻击的频率呈现明显上升趋势，整体医疗信息安全环境不容乐观。

医疗行业的信息安全环境总体有所改善，60%的医院拥有良好的安全指标。

据了解，马驰成立于1995年，是医疗卫生信息化的主要学术力量和平台。每年开展医疗信息化领域的相关调查并发布报告，供各级政府、企业和医院参考。此次借助腾讯智能安全，基于腾讯近20年的安全能力积累及其为全国多家3A医院提供安全智能防护系统的经验，将医疗单位当前的安全形势展现在全景图中，为医疗信息安全建设提供参考标准。

该报告涵盖956家三级甲等医院和7个第三方医疗服务平台，包括92个授权网站、79个外部网络资产，如患者手机应用APP。腾讯智能安全指数由企业安全指数和行业互联网安全指数组成，用于评估医疗行业的整体安全状况。其中，0-499指标值代表差，500-699指标值代表一般，700-899指标值代表好，900-1000指标值代表优。

报告显示，中国38%的医院处于良好水平，22%的医院处于优秀水平。这表明，在卫生安全委员会的指导下，全国医院的信息安全建设水平在不断提高。

(图:安全指数水平分布-医院维度)

关于采取的安全措施，报告参考了马驰此前发布的《2017-2018年中国医院信息化调查报告》。从医院实施等级保护的情况来看，484所样本医院中有66.74%实施了等级保护规划。其中，经济发达地区的分级保护比例高于中等发达地区和经济欠发达地区。

(照片:医院级保护)

非法分子以医疗机构为目标，医疗系统经常受到外部攻击。

尽管大多数医疗机构都实施了信息安全保护，但数据的经济价值驱使犯罪分子冒险。根据该报告，自2017年以来，医疗行业已成为犯罪分子敲诈勒索的最重要目标，29%的勒索软件针对各种医疗相关机构。

此外，腾讯智能安全最近发布的《医疗行业勒索病毒专题报告》也显示，自7月份以来，敲诈病毒一直在持续、积极地传播，8月份敲诈病毒的传播比7月份有所加强。除了讹诈病毒的威胁之外，医疗业务资源还被黑客滥用来挖矿，扰乱了企业内部的信息技术环境、数据中心的正常运行秩序和关键应用的交付，从而对业务连续性构成了巨大的安全威胁。

(图:被敲诈软件攻击的行业分布)

进入2018年后，腾讯遇见威胁情报中心监测到全国许多医院服务器遭到黑客攻击，针对国内医疗机构的攻击频率正在上升。与此同时，黑客攻击导致的重大医疗信息泄露在世界各地频繁发生。仅在2018年的过去几个月中，就发生了数百起数据泄漏事件，一次泄漏500多条数据，几乎每个月都会发生3至4起重大医疗数据泄漏事件。

医疗中存在安全风险，信息安全意识有待提高。

除了来自非法黑客的外部攻击威胁之外，随着医疗服务信息化的不断推进，医疗机构也面临着内部安全风险，需要进一步增强信息安全意识。报告指出，当前医疗行业面临的安全风险主要集中在主机安全、应用安全和网络安全方面。

在主机安全方面，根据第三方网络空间资产的映射结果，该报告筛选了近年来黑客攻击频率较高的端口，发现国内许多医疗单位仍然开放3306、3389等高风险端口，明显高于整个网络中相应端口的开放率。此外，还有很大比例的邮件服务、数据库服务和其他端口暴露在公共网络上；同时，医院的外部网络也存在更多的风险。国内三级和一级医院中30%的计算机存在高风险漏洞。12%的医院拥有外部网络计算机，这些计算机被入侵并植入了特洛伊木马用于采矿。15%的医院有被勒索病毒破坏的网络计算机。

在应用安全方面，国内医疗行业的脆弱性得到了强调。报告显示，根据对授权医院患者应用程序漏洞的检测和分析，约80%的患者在应用程序中存在漏洞，其中67%的患者存在可利用的高风险漏洞。同时，第三方医疗服务平台往往存在严重的信息泄露风险，包括绕过登录、未经授权的访问、平等和越权等问题，可能导致大量患者姓名、手机号码、身份证、病历、实验室检测报告等敏感信息泄露。

(医院安卓应用中的高风险漏洞)

针对国内医疗行业存在的信息安全风险，腾讯安全智慧在报告中提出了五点建议:对现有医疗信息安全系统进行全面体检，定位安全问题，消除潜在安全风险；选择专业的医疗安全解决方案，构建安全防御体系，降低网络信息安全风险；加强医疗网络信息安全技术团队培训，全面提升安全防范意识和团队素养；定期开展网络信息安全检查和安全防御演练，提高应对重大威胁的应急能力。建立面向行业的应急协调机制，及时预警、联合防御、联合管理，共同应对网络风险。

据了解，腾讯智能安全将为医疗行业提供免费的信息安全脉搏服务，或将推出一个小程序来查询医疗行业的安全指数，让企业用户能够实时了解自己的安全状况并及时改进。长期以来，腾讯一直在向行业全面开放其安全能力。除了分享研究成果，腾讯还希望动员更多的社会力量参与医疗行业的信息安全建设。只有通过联合治理，才能建立新的网络安全生态，才能有效保障和推动医疗信息化的健康发展，维护公共医疗数据的安全。

这篇文章是由网站管理员的用户提交的。未经网站管理员同意，严禁复制。例如，如果大多数用户在稿件中发现虚假报告，欢迎读者反馈、纠正和报告问题(反馈入口)。

免责声明:本文是对用户的贡献。站长之家发布这篇文章只是为了传达信息。这并不意味着站长之家同意其观点，不对内容的真实性负责，仅供用户参考，不构成任何投资或使用建议。读者被要求核实真实性和可能的风险，任何后果将由读者自己承担。

• 上一篇：男人的营养食物是什么？
• 下一篇：苏宁携手新丝路少儿表演大赛启动2018秋季