AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
四大場景化服務,為醫療衛生行業提供極致責任的網絡安全
近年來,隨著信息技術的快速發展,醫療衛生行業信息化發生了巨大的變化。從信息化醫院、數字化醫院,再到智慧醫院,國內越來越多的醫院正加速實施基于信息化平臺、HIS系統的整體建設,以提高醫院的服務水平與核心競爭力。在互聯網醫療領域,根據數據,預計今年,市場規模有望突破900億元,期間增長率達40%以上。
但信息化迅猛發展的背后,網絡安全的重要性亦愈發重要。在《全國醫療衛生服務體系規劃綱要(2015—2020 年) 》中就提到,要從數據安全、網絡安全、邊界安全、終端桌面安全等各方面加強網絡安全防護體系的建設。此外,智慧醫療、醫聯體、“互聯網+醫療服務”、互聯網醫院等新形式的應用,也都強調了信息網絡安全的建設。
?
行業的“網絡環境之險”
隨著醫療業務應用與基礎網絡平臺的逐步融合后,也暴露了大量的安全缺陷,可主要歸納為以下幾點主要問題:
1、 應用安全漏洞大量存在
疫情防控期間,安恒信息風暴中心曾抽取醫療衛生行業1500余個網站進行實時分析,發現在1500余家醫療網絡系統中,存在網絡安全風險漏洞的網站占比約10%,高危漏洞占比最高,約67.94%,其中跨站腳本成主要漏洞。
2、 僵木蠕毒惡意程序
不法分子在攻破醫療機構應用服務后,往往通過植入木馬病毒等惡意程序、篡改網站內容等方式實現其遠程控制、數據竊取、挖礦或導流等目的。勒索、挖礦已經成為影響醫療業務連續性的主要威脅。
3、 網絡資產脆弱性隱患凸顯
健康醫療行業易被利用實施攻擊的脆弱性主要集中在三個方面:敏感服務暴露在公共互聯網(39.28%)、存在公開漏洞的低版本服務(44.39%)、可被利用的高危端口開放(49.46%)。
4、新技術威脅-新型醫療設備的應用
很多聯網的醫療設備都很容易受到攻擊,問題的關鍵在于很多醫療設備的設計并沒有考慮到網絡安全問題。在能打補丁的情況下,補丁通常也只能提供有限的保護。
5、內部人為威脅,缺乏多維度的業務及數據審計管控措施
6、數據外泄一直存在
7、私立醫院安全建設普遍比其他醫院滯后
?
不同場景需求下的安全服務
國家及監管部門也根據醫療衛生行業信息化的發展出臺了相應的政策法規,以驅動和監管醫療衛生行業網絡安全建設。基于不同的場景需求,安恒信息提供相應的安全服務:
● 場景1:疫情防控場景下的安全服務
國家衛健委發布的《國家衛生健康委辦公廳關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》,明確指示,加強網絡信息安全工作,以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點,暢通信息收集發布渠道,保障數據規范使用,切實保護個人隱私安全,防范網絡安全突發事件,為疫情防控工作提供可靠支撐。
疫情在線“無接觸式”安全服務:
云WAF服務
DDoS高防服務
云監測服務
資產探測服務
威脅情報服務
關鍵信息基礎設施安全監測服務
重要單位的專題情報分析服務
遠程評估線上服務
網站惡意代碼線上檢測服務
在線應急
抗“疫”一線安全服務:
高級威脅分析服務
新系統上線安全評估
滲透測試
應急響應
安全通告服務
APP安全評估
安全意識培訓
安全咨詢
眾測服務
● 場景2:等級保護2.0合規建設
等級保護2.0已實施,對醫療衛生行業同樣有要求。衛生部也曾印發行業信息安全等級保護工作的指導意見,展開關鍵等保工作包括定級備案、建設整改、測評、宣傳培訓、監督檢查等工作,并明確要求,衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統、國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心、三級甲等醫院的核心業務信息系統、衛生部網站系統等系統原則定級不能低于三級。
合規保障服務:
安全咨詢
風險評估(安全評估)
應急響應(演練)
安全培訓(意識+技能)
安全認證培訓(CISP系列、 職業技能)
● 場景3:推進智慧醫院建設
全國多地都在大力推進智慧醫院建設,國家對全國的重點醫院進行監測。以四川省衛健委發布的《關于大力推進智慧醫院建設的通知》要求為例,要求具有統一的安全日志平臺;具有網絡安全分析報告;至少每年對服務器、數據庫、應用系統打補丁,漏掃無高危漏洞;全員網絡安全培訓≥1次/年,網絡安全管理人員的技術培訓≥ 1次/年,年度內開展了滲透測試、攻防演練的任意一種,等等。
業務運營安全驅動服務:
漏洞掃描
協助加固
安全培訓(意識+技能+認證)
安全運營(安全分析服務)
滲透測試
攻防演練
安全咨詢(等保2.0)
● 場景4:“互聯網+醫療健康”發展
國務院辦公廳關于促進“互聯網+醫療健康”發展的意見,在保障數據信息安全提到,建立完善個人隱私信息保護制度;加強醫療衛生機構、互聯網醫療健康服務平臺、智能醫療設備以及關鍵信息基礎設施、數據應用服務的信息防護,定期開展信息安全隱患排查、監測和預警定期開展信息安全隱患排查、監測和預警等。
業務運營安全驅動服務:
安全咨詢
安全評估
滲透測試
漏洞掃描
玄武盾(監測+防護)
應急響應(安全通知)
安全培訓(風險防控意識)
?
場景化服務之外,安恒信息還提供常態化服務。根據用戶安全能力現狀、發展階段的安全需求,提供一站式安全服務。
文中部分數據來源于:
《2020 數字醫療:疫情防控期間網絡安全風險研究報告》
