数据至上 业务安全 东软发布2017年医疗行业信息安全调查报告

近日，东软在“2017中国卫生信息技术交流大会暨软件产品与设备展览会”上发布了《数据至上，业务安全——2017年医疗行业信息安全调查报告》（简称报告）。该报告是针对医疗行业的执业单位发起的信息及网络安全方面的调查，旨在获取国内医疗执业单位的信息安全管理情况和建设需求，以便为执业单位、主管部门、专业服务公司和系统开发集成公司等提供有价值的专业分析和发展建议。

医疗行业涉及民生安全，国内外曾经发生多次严重的医疗信息泄漏事件，引起各国的高度重视，相继颁布相关规范和标准，包括美国的HIPAA（健康保险携带及责任法案），国际标准化组织（ISO）发布的ISO17090:2008《卫生信息-公共要素信息结构》等。

在我国，卫生部于2009年发布《互联网医疗保健信息服务管理办法》，于2016年废止，新版《互联网医疗保健信息服务管理办法》仍在修订当中。另外一面，我国的安全界与卫生医疗界从未懈怠对医疗信息安全的努力，医疗信息安全论坛和会议层出不穷，相关言论百花齐放，安全供应商的医疗行业信息安全解决方案各有千秋。由此可见，我国医疗行业在信息安全领域依然具有很大的挑战，需要国家给予关注和支持。

在此背景下，东软为促进医疗行业业务安全的发展，联合网络安全行业权威调研机构安全牛，面向100家医疗执业单位、907家三甲医院网站、4663个医疗互联网资产样本进行调查，覆盖东北、华北、华东、华南、西北和西南等区域。之后，经过大量信息采集与分析，并结合东软长期以来在信息安全咨询、网络安全体系架构设计和信息化建设过程中广泛获取的情报和工程经验，共同编制了该报告。

调查结果显示，全国三甲综合医院总体安全水平存在较大差异。在基础物理和网络环境方面，38%的单位有自动电力调度，16%的单位有异地灾备中心。在4663个全国医疗执业单位互联网资产样本的风险检测中，风险排名前五位的依次是：域名信息泄露、恶意代码、异常流量、僵尸网络、IP被封。

在信息资产管理上，78%的单位选择了部分管理，13%的单位选择了全面管理，9%的单位选择了无意识管理。从外部威胁来看，65%的医疗执业单位认为网络被攻击，对外通信中断为最重大的安全风险；其次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看，68%的单位认为员工安全意识薄弱是目前最大的挑战，系统以及数据管理存在漏洞排名第2位，内容人员系统访问权限混乱位居第3位。

在移动医疗风险控制领域，近50%的受访单位选择依赖外包商的安全开发能力来保证应用安全，42%的受访单位已经采购第三方的安全测评来保证应用安全，而40%的受访单位认为已经加强了移动应用的日常安全性检测来保证移动医疗的安全。

本次调查还发现，医疗行业的信息安全需求和实践近些年来呈现快速发展的趋势。在安全治理方面，53%的单位目前正在做安全机构和组织上的调整，42%已经调整完毕；28%的单位在医疗业务中已经融入了安全控制；76%的单位制定面对安全应急事件的流程、组织和系统；60%以上的单位高管认为数据泄露后给单位造成极高的声誉损失、合规成本、法律成本和财务成本；57%的单位未来有追加信息安全建设预算的规划。

在当前的信息安全建设需求方面，近半数的机构认为，安全管理制度、业务流程安全、数据库安全、安全审计、应用审计、网络安全架构、主机安全和密码安全等方面亟待建设和完善。目前很多医疗机构已经采取行动实现主动安全防御，其中计划性的网络、系统和权限漏洞巡检所占比重最大，此外也开展了灾难恢复/业务连续性计划、计划性的全员意识培训、在软件开发中同步保证其安全、自动化的安全事态侦测预警相应系统以及安全绩效体系等。面对新技术发展趋势，医疗机构将面临新的挑战，受访单位的安全期望前三位依次是：76%的受访单位认为保证复杂的医疗事务大数据安全，60%认为保证智慧化医疗流程、结果、“物-物交互”的安全，57%认为需要标准化的安全控制指南。

经过20多年的医疗信息化建设和网络安全业务探索和实践，东软认为，医疗机构在应对医疗数字化风险时，首先要优先满足业务需求，其次是最大限度地预防和控制安全风险。鉴于医疗行业的特殊的业务属性，医疗机构需要依据标准化、系统化的安全控制指南，联合国内拥有医疗行业信息安全服务经验的厂商，共同进行系统架构的整体设计和运维管理，从源头上解决医院信息安全风险，确保医院业务的顺利开展。