前言
此次调查是安全牛联合东软集团网络安全事业部首次针对医疗行业的执业单位发起的信息及网络安全方面的问卷调查。调查的主题围绕医疗业最为关注的数据与业务安全而展开。调查的目标是为了获取国内医疗执业单位的信息安全管理情况和建设方面的期望,以便为执业单位、主管部门、专业服务公司和系统开发集成公司等提供有价值的专业分析和发展建议。
我们有幸邀请了国内100余家医疗执业单位参与了此调查,这些家单位分布覆盖了东北、华北、华东、华南、西北和西南等区域。安全牛基于本次调查结果的统计分析,并结合自身在长期的信息安全咨询、网络安全体系架构设计和信息化建设方面广泛获取的情报和工程经验,编写了此份报告。
当今,医疗执业单位的信息化建设方兴未艾,同时伴随灾备数据中心、云计算、大数据、专家系统、移动医疗和智能设备等数字化智能化建设的持续升温,医疗单位的信息安全正面临新的挑战。一方面医疗单位的被攻击面在不断扩大,边界亦越来越模糊;另一方面威胁和攻击如白云苍狗,不断的向持续化、复杂化、组织化甚至政治化方向发展。在浩瀚的数字海洋中,安全的核心,即“保证持续的治理、预先识别风险、主动防御,保证数据与业务安全”,正是安全牛希望传递的理念。信息安全也并不是一个纯粹的技术问题,客观的说防御者总是落后于攻击者变化莫测的手段,面对此种形式,唯有保持谨慎和尽职才不至于成为最大的受害者。
一、行业信息安全格局
1. 认识行业网络安全的挑战
医疗行业数字化趋势将为企业、人和物之间的互联互通提供了全方位的可能。云计算和移动设备的日益发展使得执业单位的边界与供应链、客户和政府交织在一起,信息系统似乎与执业单位越来越远,与用户越来越近。新兴的智慧医疗和专家系统要为用户带来全新的体验,新开发的系统需要更好的为社会服务,更多的IP对外开放。数字化世界打开了一扇扇带来巨大效益的门,企业藉此获取了更多的数据和生态优势,也不可避免增大了被攻击的风险。
2. 从外部观察的行业威胁
攻击尝试和威胁无处不在,老练的社交工程学、持续化的不知疲倦的漏洞发现、唾手可得的工具、黑色数据交易的价值……企业的领导者、管理者应当了解外面的世界,确定风险偏好,做好准备应对各类事件。
最新安全值评测的三甲医院整体威胁情报
各省705家三甲医院总体威胁情报级别:B级
注:满分1000分,安全级别由高到低分为A(>=900)、B(>=700)、C(>=500),得分越高表示威胁越少。纵轴为各省“三甲医院安全值平均分”,横轴为安全值省份分布。
医疗行业及子行业安全值分布图
注:纵轴为安全值分数,横轴为医疗行业细分领域。数据取样涵盖了705家三级甲等医院、1023家公立医院、200家私立医院、25家典型传统医疗行业解决方案提供商、27家主流临床医学研究机构、24家大型互联网医疗解决方案提供商、21家医疗保险支付机构、35家医疗器械提供商、23家医疗数据服务提供商、14家大型医疗云解决方案提供商、8家医药产品研发机构。
3. 您对自身的信息安全保持信心吗?
对安全的信心反应企业是否为各种可能的风险做好了准备。是否了解数字世界的威胁和自身的漏洞?是否基于业务的发展战略而评估了所有的事件场景、并制定了安全措施的优先计划?安全应当成为企业发展的核心能力和基石之一,否则医疗数字化发展将不可持续。
3.1 基础物理和网络环境
强健的基础设施是应对一切安全风险的根本,无论我们的人力、应用和流程是怎样的完备与敏捷,当面对难以预测的攻击力时也只能束手就擒。主动防御的原则之一是“保证资源具备弹性和空间”。
受访单位对自身所面临网络安全困惑及痛点的比例
3.2 安全治理
良好的组织、流程,足量的预算可保证我们实施主动防御的策略,去直面不断变化的威胁。这些策略不是面面俱到,而是根据自身的发展战略、风险评测、业务导向,并在满足合规要求的前提下,发挥资金的最大价值。良好的流程不会成为敏捷特性的羁绊,只会在积极的防御中让企业更加的高效和专业,避免沦为游击式的发挥。这样持续化的治理不断锤炼,能确保企业保持修复弱点,树立信心去开拓更多的业务。安全管理者需要持续的向领导传达这个理念并获得承诺与支持。
预算的逻辑性和适当弹性是基于企业对计划中的风险管理和安全建设的预见,以及持续的威胁和合规要求的增加。预算不足非但不能节约开支,却因漫长的求证与审核而丧失宝贵的机会,制约业务的发展。
二、保护信息资产
1. 是否管理了信息资产?
安全风险是伴随资产而存在的。无论攻击如何诡异,它都将指向特定的目标,破坏其安全性而导致企业业务和声誉受损,甚至面临严酷的法律惩罚。识别企业的资产是一切信息安全管理的起点,通过持续的管理实践可稳步的向主动型防御发展。
在保护信息资产的实践中,企业应当获得以下问题的清晰答案。
- 资产是否被全部识别了?
- 资产对业务的核心价值是什么?
- 企业的风险偏好?
将资金用于控制最重要的风险是明智的。
2. 是否识别了威胁与漏洞?
纯粹的资产只是攻击的标靶。要实现完整的资产风险管理,企业需要清晰寻求另一个问题的答案——资产面对何种攻击场景?企业应当谨慎的思考、分析威胁和漏洞,进而勾勒出一幅全面的风险视图并制定安全控制措施。当人员职责、技术方法、流程体系被应用于风险的控制,当它们经过管理实践的不断演化后,企业不会在突如其来的攻击前不知所措。主动防御的另一个原则正是“评估风险并控制”。
受访单位对外部威胁的担忧的比例
受访单位对自身漏洞的担忧比例
受访单位对已发现漏洞处置方式的比例
注解1
具体可能包含的原因有:系统过于陈旧,补丁导致业务系统异常,技术力量薄弱,有些系统打补丁后会不正常,系统补丁有时与业务系统有软件冲突,工作人员知识缺乏、加强管理和培训,个别补丁对数据库及网络有限制、造成数据或网络中断,修复过程中系统补丁与应用系统、中间件和数据库有冲突,个别系统做补丁后应用系统运行受响,主要是保障临床一线正常使用和修复漏洞所花费时间的矛盾,内网没有补丁服务器、外网没有统一管理,技术力量不足、预算不足,无相应补丁,内外网没有进行物理隔离、寻求没有物理隔离的有限安全防范与措施,缺乏专业技术人员等。
三、数据与业务安全
1. 数据安全
医疗单位的数据格外引人注目,除了企业内的财务、行政、人力等管理数据外,更多的敏感数据来自于诊疗、配方、病历、患者隐私和大数据平台的一切结果。任何疏漏导致的数据泄漏都将使企业遭受重创,成为媒体和网络口诛笔伐的对象,各种负面报道会接踵而至。
医疗数字化趋势,更多安全法律的出台,会加剧企业保护数据安全的负担和恐惧。但企业必须适应环境,消极和退让并不能推卸责任,唯有寻求方法。事实上保护数据和保护其他信息资产一样,需要我们主动的评估风险并控制。
受访单位对数据攻击源的担忧比例
受访单位对自身数据安全控制认识的比例
31%的受访者认为自己的企业建立了完整的数据安全体系。这个体系应当是信息安全管理体系的有机组成,它包含程序文件、权限控制、技术工具等管理数据的整个生命周期。
受访单位对数据泄漏后果认识的比例
49%的受访者认为自己的声誉损失是最大的。这里再次强调“变化的环境会引入多种非典型性风险”,不存在一劳永逸的防御方法,一味的被动防御终将发生数据泄漏,请时刻保持警惕——“我们认为还有未识别的数据风险”。
2. 业务安全
经典信息安全论认为一切安全管理的目标是为了业务安全,当前激进者们甚至在蚕食原本属于生产安全的领地,将业务中的故障管理、非法操作管理囊括其中。这里我们不陷入两者之间的差异分析,仅从经典安全论来说兑现业务安全的显著特点是“安全控制融入到业务流程中去了”。安全控制与业务流程的脱节势必打折安全的效用,同时业务的敏捷性也被限制了,这种背向而驰最终会打破安全与业务的生态平衡。
受访单位对业务安全认识的比例
当企业实现了主动防御,对业务操作中的安全控制点进行同步监测、甚至是提前的安全态势感知,将会防患于未然,与网络攻击企图分秒必争、增强加固信息资产,为企业节约宝贵的事件修复成本。66%的受访者认为只有管理好各方面安全才能保证业务安全。
受访单位对自身业务安全控制认识的比例
受访单位对增强自身业务安全控制的需求的比例,关于具体控制需求请见注解2
注解2
高优先级:
领导的认识,资金,异地灾备,操作系统补丁影像业务系统的问题,人员培训、提高认识、宣传教育网络安全法,数据安全,网络安全,边界防护,人力,安全态势感知,数据库,安全设备,健全安全管理机制和制度建设,网闸,大数据综合利用安全,业务融入,安全审计,加密解密、数据库安全、系统安全,整体评估机房里面到底处在什么情况下运行,传输安全,资金投入,相关管理制度和流程做到切实执行,病毒防护,信息网络安全等保测评,网络基础设施,网络安全攻击预测,物理机房和网络交换设备的安全,平台建设,入侵检测,个人认为在临床应用中内外网可以同时访问且内外网在同时访问时存在安全隐患,代码安全,业务。
中优先级:
全员安全意识提高,人才,安全监控,硬件投入,系统安全,数据,等保,程序安全,财力,网络行为审计,管理介质,高可用,网络建设,解决问题的方案,经费投入,数据库审计,网络与信息安全,规章制度,业务管理,边界防护,信息人员的技术水平,管理安全,应用安全,数据安全,进行安全可控,中级网络人员配备,信息安全,安全防护体系的完善,基础设施的安全,安全设备的配备,网络安全态势分析,在内外网通信的关键点建立更好的隔离设备如网闸、堡垒机等,诊疗信息,网络结构,数据服务器与存储数据安全,边界防护,运维安全,机房,堡垒机,网络结构优化以避免技术原因或恶意行为造成的安全事件。
低优先级:
信息科技人才,意识,政策强制,涉密监管,软件投入,应用安全,用户,数据安全,硬件,网络边界防范,网络安全,制度,高性能,安全策略,按照方案进行实施,资金支持,邀请网安、公安部门有关网络安全专家进行网络状况评估并做进一步整改,日志审计,物理安全,基础设施完善,应用管理,业务系统使用者的安全知识,配线间环境监控,制度健全,权限设置,等保,终端安全,资源,安全意识培训,管理,加强人员技术水平和能力,基础设施安全,系统安全技术支持,国家宏观巡查,业务和人员培训,安装的安全设施,与防火墙联动以监视局域网外部绕过或透过防火墙的攻击,宣传,网络控制,数据节点网络节点信息安全,web安全,病毒,内部人员权限,网路规划技术力量存在不足,物理安全边界(接入设备,如交换机,pc,移动终端)的安全配置,网络操作系统,异地备份。
37%的受访者选择了中优先级的建设需求,并且在中优先级里更多人选择了网络与信息安全;34%的受访者选择了高优先级的建设需求,并且在高优先级里更多人选择了健全安全管理机制和制度建设;30%的受访者选择了低优先级的建设需求,并且在低优先级里更多人选择了网络安全。
受访单位对业务安全需求的比例
关于企业对业务安全的需求,除IT资产的安全事件警告外,更多的受访者选择了加强应用审计、数据保密和数据库审计,其占比分别为7%、5%和5%。
3. 如何主动防御?
主动防御并不等价于“最好的防守是进攻”,企业首先挑起网络入侵是违法的,恰当的驻点应当是“发现攻击而针对性的回击、获取证据”。要真正实现主动防御,一个实时的网络安全视图和安全运行调度平台是必不可少的。但首先企业需要做好很多专项性的工作,例如组织架构、管理制度、系统基线、业务连续性计划、事件处理、漏洞和威胁情报管理、开发安全、实时侦测审计等等。所有分项工作应当围绕的核心安全观是“我们需要控制什么样的风险?”。
受访单位已采取的主动安全行动的比例
没有匹配的人员安全素质,企业中先进的体系、平台和工具的效益将大打折扣;其次人的情绪具有波动性,新技术、新环境也要求人员紧跟变化,唯有持续教育才能保持人才队伍的专业与信心,使之成为企业宝贵的资源。70%的受访者认为需要提高全员的信息安全意识。
受访单位对人员安全素质期望的比例
四、适应未来
1. 医疗数字化成为一种趋势
互联网 、移动医疗、大数据、人工智能近年来取得的成功诊疗案例将激励医疗单位向此进军。面对稳步上升的医疗数字化趋势,企业安全部门应当砥砺前行,准备好迎接下一个风险管理浪潮。
受访单位应对数字化风险认识的比例
2. 医疗数字化的风险
新技术的产生在提升工作效率和生产力的同时,不可避免会产生新的问题以及挑战。互联网 ,物联网,人工智能的引入会提高系统的复杂性,越来越复杂的程序是没有有效的方法来证明系统是没有缺陷的。
受访单位对智能医疗设备担忧的比例
受访单位对自身发展中控制风险认识的比例
自主开发不是规避风险的必选项,医疗单位依据专业、人力、成本和安全的多因素综合制定软件开发策略是正确的。无论是自主开发、外包开发或采购成品都有软件安全性控制的方法。勤勉和尽职适用于安全的每一个领域,即便我们对它一无所知。“没有采取特别措施保证软件安全”和“不能测试软件的安全性”都是不可取的。
受访单位对自身移动医疗风险控制的比例
受访单位医疗移动办公业务实现的比例
医疗信息系统尤其是引入智能化之后,更多的安全挑战接踵而来。根据调查数据显示,绝大多数医疗企业的智能医疗设备国产化率占比偏低,更多的还是依赖于进口设备和软件来提供服务,由此很可能会导致信息泄露,数据丢失等安全问题。加强对医疗设备的安全监管和安全审查是必不可少的。
受访单位对自身智能医疗设备国产化率占比的比例
79%的受访者表示会与医保单位共享数据,而数据共享对象占比位于其后的是上级卫生主管部门。当前绝大多数医院和医院之间,医疗设备厂商之间仍处于信息孤岛状态。“医疗信息包含了患者关键个人信息和隐私”这一特性使得医疗数据的进一步开放和互联互通变得愈加困难,而如何打破这一壁垒,实现医疗数据更进一步的安全交互,依然是我们以后在漫漫探索道路上需要去关注和寻求突破的挑战。
受访单位对自身企业与其他企业共享数据类型的比例
受访单位对与自身企业有数据共享的企业的比例
五、系统合规
1. 建立信息系统等级保护
由于信息系统结构是应社会发展、科技进步和工作生活的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有其相应的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是安全级别的客观体现。信息安全等级保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段治理是做好国家信息安全等级保护的重要前提。
受访单位对等级保护认识的比例
61%的受访者表示其企业的信息系统定级为等级保护三级。在这里我们需要注意的是,科学、客观、准确的对信息系统进行定级是确保后续对信息系统进行有效安全建设的关键所在。
受访单位对自身企业信息系统等级保护定级的比例
受访单位对自身企业信息系统定级备案的比例
39%的受访者表示其企业已经对信息系统进行了等级保护测评,但仍有36%的受访者表示其企业暂时没有对信息系统进行等级保护测评。信息系统等级保护测评是对等级保护运行和落实情况的综合检测和评估,按规定期进行测评才能帮助我们全面并及时的发现问题。
受访单位对自身企业信息系统等级保护测评的比例
六、总结
医疗行业的信息安全与人民群众生命安全、隐私保障、乃至社会秩序的良好维持都是息息相关的,优质的信息安全治理和管理绝非一日之功,它是一个动态的、需要不断去完善的过程。外部挑战和威胁的日新月异、投资预算的有限制约、合理有效的管理手段匮乏、对安全技术方法认知的不足、对安全投资效益的理解失误、对风险的漠视和侥幸心理等都是掣肘信息安全的因素。医疗行业需要不断提高安全风险评估能力,紧跟信息技术潮流,合规合法的组织信息安全防护工作。医疗行业主管机构基于网络安全法和等级保护制度加强对医疗执业单位的信息安全监管是一种非常高效的治理手段。