1、 城市公共醫療（醫院）行業安全指數評估報告單位主體（或部門）撰寫負貴人編制版本草稿J正式發布正在修改編制時間目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 第一章報告簡述3 HYPERLINK l bookmark4 o Current Document 分析結論3 HYPERLINK l bookmark6 o Current Document 安全指數5安全評估5安全措施9 HYPERLINK l bookmark8 o Current Document 第二章詳細報告16 HYPERLINK l bookmark10 o

2、 Current Document 攻擊目標16主機安全18應用安全22 HYPERLINK l bookmark26 o Current Document 網絡安全26 HYPERLINK l bookmark34 o Current Document 第三章報告結論32 HYPERLINK l bookmark36 o Current Document 第四章報告說明34 HYPERLINK l bookmark38 o Current Document 指數說明34指數構成34數據維度35安全問題覆蓋35 HYPERLINK l bookmark40 o Current Document

3、 計算方法37 HYPERLINK l bookmark42 o Current Document 報告說明39第一章報告簡述醫療服務信息化是國際發展的趨勢。也是我國醫療改革的的重要 內容和必由之路，隨著信息技術的快速發展，越來越多的企業和醫療 機構加入到醫療信息化的建設浪潮中。互聯網醫療火熱背后，醫療信息安全問題如影隨形。近年來，針 對醫院的勒索、挖礦、醫療信息泄露等醫療行業的信息安全事件層出 不窮，醫院信息系統已經成為了不法黑客的重點攻擊對象之一。1.1.分析結論本報告基于大數據對醫療行業安全狀況進行了客觀、量化的評估, 深入分析了醫療行業的典型安全威脅以及所面臨的潛在安全風險，并 嘗試引

4、導性的進行行業安全治理、規避潛在的安全風險，提升安全管 理水平。報告以安全大數據及第三方授權或公開的信息和數據為基礎，結 合抽樣分析/調查報告等方法，經綜合整理、分析得出。其主要選取 了信息化程度高，管理水平強的大中型醫院和指標數據作為參考對象, 涵蓋956家三級甲等醫院、7家第三方醫療服務平臺，包括92個授 權網站、79個患者APP （安卓版）等外部網絡資產。自中華人民共和國網絡安全法頒布，在衛健委指導下，全國 醫院信息安全建設水平不斷提升。從指數總體來看，全國醫療行業指 數值處于良好水平（759分）。然而，2018年至今，我國醫療體系遭受攻擊的頻率呈明顯上升 趨勢，醫療信息安全環境并不樂觀

5、。黑客入侵攻擊、信息泄露等安全 問題對醫院等公共機構的威脅仍不容忽視。從安全指數所指向的問題來看，醫療行業信息安全建設意識薄弱, 核心數據缺乏有效的安全防護。問題主要表現為：:網絡空間資產端口開放較多，隱患大，如開放遠程登錄服 務的比例高達50%；:外網電腦的安全風險較多，可能會給不法訪問者以可乘之 機；:線上服務平臺及第三方醫療服務平臺脆弱性會提升醫療數 據泄露的風險；:醫療行業已經成為勒索病毒攻擊的主要目標，醫療業務連續性受到挑戰。1.2.安全指數安全評估指數說明本報告聯合團隊基于安全大數據、人工智能分析技術和威脅實時 感知能力，從多個安全維度和安全特征，對醫療行業整體安全態勢進 行了全面

6、、客觀的威脅分析和脆弱性評估，并在全面風險量化分析的 基礎上匯總得到了 “騰訊智慧安全指數”。安全指數以多個不同維度的安全問題評估為基礎，在安全問題評 估的基礎上分別匯集到相應的安全域，對各個安全域進行加權匯總, 得到了企業安全指數。然后按照行業屬性，對企業安全指數求均值即 可得到行業互聯網安全指數。安全指數以客觀安全數據為依據的特性，使其一定程度上能夠反 映行業安全趨勢，具有先導性、預測性。進一步地，利用該安全指數， 可對相關行業進行安全狀況差距對比、安全問題洞察等。更多關于安 全指數的定義和計算的詳情，見附錄。安全指數是介于0T000區間內，數值越高，其安全狀況越好、 風險水平越低。不同指

7、數區間，庚應的響應安全狀況如下表所示。指數值含義0-499500-699700-899900-1000指數的含義映射表指數態勢除港澳臺以外的各省市、自治區具體數據來看，北京市、上海市、吉林省、重慶市、山東省的安全指數排名最高，安全指數均高于770,排名靠后的幾個省（市）安全指數值均低于750分各省（市）安全指數排名（前五）各省（市）安全指數排名（前五）醫院安全指數的以國內（除港澳臺以外）各醫院的維度來看, 分布如下：22%的醫院安全指數處于優秀水平；38%的醫院安全指數處于良好水平，39%的醫院安全指數處于一般水平；1%的醫院安全指數處于較差水平。安全指數的等級分布情況（醫院維度）22%38%

8、39%1%安全指數的等級分布情況（醫院維度）目前醫療行業面臨的問題主要集中在主機安全、應用安全和網絡安全。其安全指數值越低，風險越高。醫療行業網絡安全指數情況（礎澳臺以外）網絡安全隱私與 數據安全主機安全醫療行業網絡安全指數情況（除港澳臺以外）1.22安全措施安全措施采用情況，引用了由中國醫院協會信息管理專業委員會（CHIMA）發布的2017-2018年度中國醫院信息化狀況調查報告中的調查數據，該調查報告共收到反饋的調查報告 份，其中有效答卷 份，分別對應家相互獨立，沒有重復與關聯的醫院。家醫院占到全國醫院總數的1.80%。樣本覆蓋除香港特別行政區、澳門特別行政區以及臺灣省以外的29個行政區。

9、等級保護情況從調查數據來看，有36.16%的醫院通過了等級保護測評。經濟 發達地區實施等級保護工作的比例高于中等發達地區和經濟欠發達 地區。2017-2018年度中國醫院信息化狀況調查醫院等級保護工作情況圖2_2_1 :醫院等級保護工作情況系統安全情況對參與調查關于醫院釆用的操作系統級安全措施的有效數據分 析可見，網絡版及病毒軟件的采用率仍高居首位，比例為71.07%。 排在第二位到第五位的分別是桌面管理軟件46.49%、軟件防火墻 38.22%、系統鏡像快速恢復26.45%、單機版反病毒軟件24.79%。2017-2018年度中國醫院信息化狀況調查醫院操作系統級安全措施稠坂反病住71.07%

10、2iH0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%圖2_2_2 :醫院采用的操作系統級安全措施對調查關于醫院采用的信息系統體系結構安全措施的有效數據 分析可見，主要應用服務器雙機熱備的醫院比例仍然最高，達到 72.31%,其次是服務器集群，采用率達為48.55%,位于第三位的服 務器冷備機采用率為26.45%o2017-2018年度中國醫院信息化狀況調查醫院信息系統體系結構安全措施120.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%圖2_2_3 :醫院信息系統體系結構安全措施

11、數據安全IW況從調查中醫院釆用的各種數據安全措施分析看，數據災備、數據 庫鏡像備份、數據冷備份和數據離線存儲仍然是醫院主要的數據安全 措施。對調查關于醫院采用的數據安全措施的有效數據分析可見，排在 第一位和第二位的是數據災備和數據庫鏡像備份，比例接近半數分別 為49.79%和49.仃,排在第三位至第七位的分別是數據冷備份、 數據離線存儲、集中存儲異地鏡像備份、數據庫行為審計和身份認證, 采用率分別為 41.74%、40.9% 22.11%, 20.66%和 13.43%。2KS需或存儲実豐存活民瞬像備份sag*行為宙計xeuuE娠毛子筌名応丿、sa曲答49.79%49.17%10.00% 20

12、.00%30.00%40.00%50.00%60.00%2017-2018年度中國醫院信息化狀況調查醫院數據安全措施0.00%圖2_2_4 :醫院纏安全措施網絡安全情況現階段我國醫院釆用的網絡安全措施中，防火墻設備的釆用率高 居首位。不同級別醫院在應用各種網絡安全設備方面均具有極顯著性 差異。對參與此次調查的醫院采用的網絡安全設備類別分析可見，采用 率位列前六的分別是防火墻、VPN設備、物理隔離設備、網閘設備、 入侵檢測設備和防毒墻，比例均超過20%,其中采用防火墻的醫院 比例達到82.02%,遠遠高于其它設備，說明防火墻是多數醫院首選 的網絡安全措施。20172(H8年度中國醫院信息化狀況調

13、查網絡安全設備圖2_2_5 :醫院采用的網絡安全設備在參與調查的醫院中，大部分醫院擁有獨立并物理隔離的網絡, 網絡數量多于1個的醫院已超過半數，達54.55%；絕大多數醫院的 網絡主干帶寬達到百兆及百兆以上，占總樣本量的86.98%；2017-2018年度中國醫院信息化狀況調查獨立與物理隔離的網絡數量 3個及處 2個個BTSaH 曲答圖2_2_6 :獨立而且物理隔離的網絡數量第二章詳細報告2.1.攻擊目標數據的經濟價值驅使不法分子鋌而走險由于醫院等機構的特殊性，患者預約信息、檢查檢驗信息、就診 信息、醫學數據等醫療信息都是屬于需要緊急使用的信息，一旦這些 數據被加密勒索，就會造成很大的影響，醫

14、院會想盡辦法盡快恢復數 據。以美國互聯網黑市的信息售價為參考，數據豐富的醫療信息的價 值是信用卡信息的10倍。欺詐者利用這些精準信息可以進行電信詐 騙、虛假醫療廣告營銷等違法活動。這些具有較高商業價值的診療信 息，受到黑色產業鏈的覬覦。利用外網資產的弱點進行攻擊外網資產的安全關乎內網的安全。黑客一般通過攻擊外網服務器 和辦公網電腦系統實現對內網的攻擊和數據的竊取。通過攻擊外網服務器獲取外網服務器的權限，繼而利用成功入侵 的外網服務器作為跳板，攻擊內網其他服務器。另外一方面，通過釣魚、掛馬等社工攻擊的方式，實現對辦公電 腦的控制或數據洗劫，從而獲取進入內網的入口信息（帳號、密碼等）, 或者直接對

15、有價值的辦公網系統實施勒索等破壞性攻擊。r11仏而口 爆破r痛洞利用r1ft工 攻擊1攻擊rr 7訪問1 1攻擊j攻擊成功黑客攻擊/入侵內網示意圖22主機安全（1）網絡空間資產端口開放較多，隱患大基于第三方網絡空間資產測繪，國內仍有多家三甲醫院的Web 網站和出口 IP的資產存在較高的安全隱患。我們在空間測繪的結果中篩選出最近幾年黑客攻擊事件中出現 頻率較高的端口，發現全國有不少醫療單位仍然開放著這些高危端口。 3306端口、3389端口的開放比例（分別為：3.43%和1.41%）明顯 高于國內全網相應端口的開放比例（分別為1.38%和1.01%）o此外， 還有較大比重的郵件服務、數據庫服務等

16、端口暴露在公網上。高危端口暴露情況分布0.00% 11內比判高危端口暴露情況數據庫是幾乎所有黑客都覬覦的東西，所以數據庫系統直接暴露 在外網是非常危險的行為，而使用默認端口的數據庫暴露在外網會極 大減低黑客攻擊的難度，增加被攻擊的風險。根據測繪結果統計分析，全國醫療行業的數據庫端口開放最多的是3306端口，超岀其他數據端口的開放，詳細狀況如下：數據庫端口開放情況3306端口67.61%9000端口28.15%1433端口2.12%9200端口1.98%27017端口0.14%數據庫端口開放情況數據庫攻擊者，除了竊取數據信息（拖庫）之外，還可能針對數 據庫的數據實施經濟勒索攻擊。攻擊者先將數據庫

17、進行備份，然后利 用遠程命令刪除數據庫從而實施勒索。最典型的勒索攻擊莫過于2017年5月份爆發的WannaCry,該病毒會對公網隨機IP地址的445端口進行掃描感染。根據測繪結果分析，仍有部分省份的醫療機構開放了 445端口。 如果這些服務器沒有打上相應的補丁，那么仍然存在被勒索病毒攻擊 的風險。即便是打上了補丁，也仍然需要面對勒索病毒變種的攻擊。(2)外網電腦存在較多風險基于對騰訊智慧安全終端產品的防護數據的分析得出如下結論醫院環境中，30%的電腦系統存在待修復的高危漏洞，與全網環境的情況一致；12%的醫院有外網電腦曾被入侵并植入挖礦木馬；15%的醫院有外網電腦存在勒索病毒的破壞行為。15%

18、12%30%的電腦存在高危漏洞15%的醫院存在勒索病毒12%的醫院存在挖礦木馬外網電腦存在的主要風險23應用安全隨著互聯網+醫療的發展,越來越多的醫院借助WEB、患者APP、 第三方醫療服務平臺等形式，提供網上預約掛號、網上繳費、網上查 詢報告等多項線上醫療服務。更便利的是，第三方醫療服務平臺還可 同時為多家醫院提供線上掛號預約、體檢預約以及醫生咨詢等服務。抽樣統計發現，全國大中型醫院中，有87.4%的醫院提供線上服 務，73%的醫院提供線上預約掛號服務，51.7%的醫院提供線上繳費 服務，56.4%的醫院提供線上檢驗化驗報告查詢服務。超過半數的大 型醫院提供了較成熟的線上醫療服務。從2017

19、-2018年度中國醫院信息化狀況調查報告的門急診管 理信息系統實施狀況的調查統計數據可以看到，三級醫院的患者APP、 第三方平臺服務實施率分別在11.79%和10.65%o但線上醫療服務帶來了新的漏洞風險和數據泄露風險。三甲醫院線上服務信息泄露漏洞分布(國內抽樣數據)三甲醫院線上服務信息泄露漏洞分布(國內抽樣數據)(1) 患者APP (Android)存在較多漏洞基于對國內患者APP的抽樣調查分析，80%左右的患者APP存在漏洞，其中有67%的患者APP存在可利用的高危漏洞。患者APP存在的漏洞風險情況的醫院存在低危漏洞/ / 71 %的醫院存在中危漏洞1丄/ 67%的醫院存在高危漏洞醫院安卓

20、應用軟件存在的漏洞風險情況高危漏洞主要為以下5個漏洞WebView組件系統隱藏接口未移除漏洞Android主機名證書弱校驗風險Webview繞過證書校驗漏洞Android HTTPS中間人劫持漏洞WebView File域同源策略繞過漏洞高危漏洞分布情況7%7%醫院安卓應用軟件存在的高危漏洞情況第三方醫療服務平臺安全值得關注第三方醫療服務平臺多存在嚴重的信息泄露風險，包括登錄繞過、 未授權訪問、平等越權等問題，可能導致大量患者的姓名、手機號、 身份證、以及就診記錄、化驗檢驗報告等多項敏感信息泄露。在日常守護全網用戶信息安全工作過程中，發現某健康醫療平臺 存在多個漏洞。經過初步驗證，漏洞有可能泄

21、露使用過線上醫療服務 產品的用戶的個人信息、掛號信息，以及綁定醫療卡用戶的就診信息、 檢查報告等。2.4.網絡安全2017年以來，醫療行業已成為攻擊者實施勒索的最主要目標， 有29%的勒索軟件的攻擊目標是各類醫療相關機構。除勒索外，醫 療業務資源被黑客濫用于挖礦，亦會破壞企業內部IT環境、數據中 心的正常運行秩序以及關鍵應用的交付，同樣使得業務連續性遭受極 大安全威脅。勒索、挖礦已經成為影響醫療業務連續性的主要威脅。被勒索軟件攻擊行業分布醫療29%教育29% 制造業15%專業領域13% 其他14%被勒索軟件攻擊行業分布湖南某醫院Globelmposter勒索病毒事件2018剛過完年，國內兩家省

22、級醫院就遭到了黑客攻擊，致使其 服務器感染Globelmposter勒索病毒，致其系統癱瘓，同時數據庫文 件被加密破壞，直接影響了正常就醫秩序。湖北某醫院遭撒旦(Satan)勒索病毒襲擊事件安全團隊接到湖北某醫院反饋，其內部多臺服務器遭遇勒索病毒 攻擊，所有數據類文件都被加密，加密后文件名被修改成 dbger+原始文件名+.dbger”。安全團隊分析發 現，入侵該醫院服務器的是撒旦(Satan)勒索病毒的最新變種。國內多家三甲醫院服務器遭暴力入侵國內多家三甲醫院服務器被黑客入侵，攻擊者暴力破解醫院服務 器的遠程登錄服務之后種植多種挖礦木馬以攫取經濟利益。醫療信息泄靂問題不可小覷過去幾年，美國醫

23、療服務信息化行業得到了長足的發展，同時， 醫療數據泄露事件也呈逐年上升趨勢。2015年地下黑市大約有1.1 億條醫療記錄需要出售，幾乎占據了全美國一半的醫療數據。2017 年媒體報道的醫療數據泄露事件就達到350多起。從美國醫療數據泄露的來源來看，除了內部人員竊取/丟失數據 等內因外，更多的是來自外部的黑客滲透入侵、未授權訪問/接口暴 露等網絡攻擊威脅。1、近年來，由黑客滲透入侵導致的數據泄露事件增速越來越快， 已經躍升為第一因素；2、由于服務器配置不當、漏洞等因素造成的未授權訪問問題也呈增速發展;3、內部人員竊取或丟失數據造成的數據泄露問題，近幾年來逐 漸減少。美國醫療數據泄露來源200未經

24、授權訪問黑客攻擊 內部人員竊取美國醫療數據泄露來源2017年9月法制日報曾報道國內某醫院的服務信息系統遭 受黑客入侵，致超過7億條公民信息遭泄露，8000余萬條公民信息 被販賣。縱觀全球，黑客攻擊造成的的醫療信息泄露事件仍然頻發。僅在 2018年過去的幾個月中，單次泄露數據大于500條的數據泄露事件 就發生了數百起，幾乎每個月都會發生3到4起重大醫療數據泄露事件。如:2018年7月，新加坡政府健康數據庫遭黑客攻擊，包括總理李 顯龍在內的150萬患者數據泄露；同月，UnityPoint Health遭網絡釣魚攻擊，140萬患者記錄泄露。2018國外醫療安全事件O 1 月 / Jan.佛羅里達州醫

25、療保健管理局週釣魚郵件攻擊 30000余名患者信息泄漏Feb. / 2 月 OUVA Health SystemilSS攻擊1882名患者信息泄漏 Coplin Health Systems公司員工電腦被盜|43000余名患者佰息泄漏Hancock Health公司31勒索軟件攻擊俄克拉荷馬州立大學健康中心51黑客入侵 近28萬名患者醫療賬單信息泄漏O 3 月 / Mar.Apr. / 4 月 O BJC醫療保健系統33000名患者醫療數據在線暴菇CareFirst BlueCross BlueShield公司31 釣魚攻擊800名患者個人數據泄漏便攜式氛氣濃縮器制造商InogenifB客入侵

26、3萬名用戶數據遭篡改破壞（UnityPoint Health公司遣黑客攻擊 可能危害16000名患者個人信息EHR供應商Allscriptsif勒索軟件攻擊 85000名患者數據被破壞圣彼得外科中心遭惡恵軟件攻擊 13萬條患者記錄泄露O 5 月 / May. MedEvolve公司FTP服務器錯i吳配宜 20萬余名患者記錄在線上暴菇 LifeBridge Health公司遭惡恵軟件攻擊約50萬名患者一年多的私人信息泄漏June. / 6 月 O醫療保健計費供應商遇專客入侵27萬條患者記錄泄漏O 7 月 / July.卡斯醫療中心遇勒索軟件攻擊 EHR系統關閉一周Aug. / 8 月 O新加坡政

27、府健康數據庫il黑客攻擊 k 150萬患者數據泄漏奧蘭多顧客中心服務器配錯誤19000個患者的記錄在線上暴賽UnityPoint Health釣魚攻擊 140萬卷者記錄泄漏美國奧古斯塔大學醫療中心at遇網絡釣魚攻擊41.7萬份記錄泄矗2018國外醫療信息安全事件第三章報告結論本報告研究認為，數字經濟時代，安全是所有0前面的1o伴隨 “互聯網+醫療健康”推進，醫療企業和機構所面臨的網絡信息安全 風險也被成倍放大，提升安全風險防范意識，加強信息安全體系建設, 才能有效保障和驅動醫療信息化的良性發展。當前，我國醫療信息化建設正在提速，而醫療信息安全建設保障 工作也得到了行業普遍關注和重視；解決醫療信

28、息安全相關威脅和挑 戰，需要繼續加強在醫療信息安全領域的投入、建立系統化的安全保 障體系：對當前醫療信息化安全系統進行全面體檢，定位安全問題，排除 安全隱患；選擇專業的醫療安全解決方案，建設安全防御體系，降低網絡信 息安全風險；加強醫療網絡信息安全技術團隊培訓，全面提升安全防御意識和 團隊素養；定期進行網絡信息安全檢查及安全防御演練，提升重大威脅應急 響應能力;建立面向行業的應急響應協同機制，及時預警聯防共治，攜手應 對網絡風險。第四章報告說明指數說明指數構成醫療行業安全指數體系由“企業安全指數”和“行業互聯網安全 指數”兩部分構成。企業安全指數企業安全指數是一個基礎性的綜合指數，由覆蓋企業安

29、全狀況的 五大安全域的構成，包括：網絡安全、主機安全、應用安全、業務安 全、數據和隱私安全。將用于量化描述每個域的安全狀況的值定義為單一指數。基于五 個域的單一指數，得到最終的企業安全指數。行業安全指數行業互聯網安全指數一個匯總結果，是所屬企業或機構的企業安 全指數的平均值。其它基于監管區域或行政管理級別，行業互聯網安全指數可按照轄區 內的企業安全指數計算相應的區域性行業互聯網安全指數。如全國性 的行業互聯網安全指數、省（市）級行業互聯網安全指數等。數據維度用于計算企業安全指數的安全問題數據，主要來源于：外部威脅信息：對外部開放互聯網情報、暗網情報等進行主動收 集和進一步的智能分析，得到企業、

30、行業相關的安全問題；主動監測得到的企業互聯網資產、業務等的威脅情況和脆弱性信 息：通過直接或間接的方式對互聯網資產進行探測、持續監控，進一 步的關聯到行業、企業，形成對企業安全問題狀況分析；企業內部的威脅事件和脆弱性：基于互聯網流量、日志以及安全 設施數據等，結合威脅情報感知到的企業內部發生的安全問題。安全問題覆蓋用于進行企業安全狀況評估數據全面覆蓋五大安全域，包含映射 在43安全維度的106項問題，并支持擴充。網絡安全基于網絡流量、外部威脅情報等數據觀測到的與企業安全相關的 惡意性網絡活動問題。如對企業業務進行的各類型網絡攻擊的風險, 企業訪問惡意IP的威脅，企業回調僵尸網絡基礎設施的威脅，

31、企業 對外發起攻擊的威脅等。主機安全基于客戶端數據和外部情報數據，識別到的企業或機構的主機上 存在的安全問題。例如，主機存在高危漏洞、對外開放高危端口、發 現惡意軟件、業務被勒索、遭受APT攻擊等安全問題。應用安全基于網絡數據、外部情報等，識別到的的應用安全問題。例如。 使用存在高危漏洞的組件，web應用、移動App等存在漏洞，未使 用安全的通信方式等。業務安全基于外部情報、網絡數據分析等方式，識別到自身業務或對外提 供的服務中的安全問題。例如，存在仿冒網站，身份驗證缺失，網站 被篡改、掛馬等安全問題。數扌殷全基于對外部情報、社區內容的跟蹤分析，識別到與企業、機構相 關的數據類安全問題。例如，自身的業務數據、憑據的泄露