移動互聯網醫療安全風控白皮書

孟曉 趙亮 徐鵬 黃曉培 張春芳 李真 楊令宜 李佳奇

本白皮書通過分析移動互聯網醫療安全風險現狀及成因，結合實際應用，提出建立針對移動互聯網醫療應用的安全風險監控技術模型和管理機制，倡議成立安全風控聯盟，形成政府監管、行業自律、機構自治的三重安全防線。

移動互聯網醫療四類安全風險日漸嚴峻

隨著5G的持續推進和移動智能終端設備的深化應用，越來越多的生活服務類數據通過移動應用涌入移動互聯網。工信部發布的中國互聯網市場移動應用相關報告指出，截至2018年，我國移動市場共檢測到移動應用449萬款，凈增數量42萬款。

作為與公民密切相關的互聯網醫療服務發展尤其迅速，各大醫院都推出了各自的移動醫療App，許多第三方機構更是把握市場方向，建立醫院、醫生和患者三者撮合的第三方移動醫療App平臺，為公眾提供尋醫問診、預約掛號、購買醫藥產品及查詢專業信息等服務。當前，市場上已有2萬多款移動醫療App提供醫療相關服務。

在新冠肺炎疫情影響和近年來國家對“互聯網+醫療健康”的鼓勵支持下，可以預見移動互聯網醫療業務將呈蓬勃發展之勢。同時，移動互聯網醫療應用安全風險也呈現著增加趨勢。主要表現在以下四個方面。

系統安全風險日益增加

由于移動互聯網醫療數據中包含患者姓名、年齡、居住地址、電話、銀行賬戶、診斷、檢驗報告、用藥記錄、病史等個人敏感信息，蘊含重要財富價值，移動互聯網醫療系統成為不法分子覷視的重要目標，黑客可通過后臺系統漏洞進行攻擊從而獲得大量的醫療健康數據。

醫療健康行業聯網系統高危漏洞需要警惕。根據國家互聯網應急中心發布的《2019年我國互聯網網絡安全態勢綜述》報告顯示，醫療健康行業存在高危漏洞的聯網系統數量最多，安全風險較高。據《2019醫療健康行業網絡安全觀測報告》統計數據顯示，在被調查的醫療健康行業15339家單位中，網絡資產評估具有脆弱性的有9523家，應用服務端口暴露在公共互聯網的有6446家，網站存在安全隱患的有4546家。

互聯網醫療網站被篡改現象依然突出。移動互聯網醫療應用通常通過互聯網網站提供醫療服務或進行系統管理。根據中國互聯網信息中心發布的《第44次中國互聯網網絡發展狀況統計報告》統計數據，2019年上半年，國家計算機網絡應急技術處理協調中心監測發現并協調處置我國境內被篡改的網站近4萬個。根據《2019醫療健康行業網絡安全觀測報告》統計數據，有4546家單位網站存在安全隱患，其中261家單位的網站發現被惡意篡改。

App漏洞和第三方SDK漏洞成為移動醫療領域的主要安全隱患。根據《2019醫療健康行業移動App安全觀測報告》統計，88.83%的醫療健康行業App存在高危漏洞。攻擊者可利用漏洞對App進行仿冒、植入惡意程序、非法竊取個人敏感信息等。醫療健康行業的機構為了給公眾提供更多的便民服務，在App中集成了第三方SDK。愛加密2019年發布的《全國移動應用SDK市場占有率分析報告》顯示，有25.58%的醫療健康行業App引入了第三方SDK，高于全行業平均水平，平均每款App引入了2.5個SDK，同時也指出超過60%的SDK含有多種漏洞。

應用渠道安全風險不可忽視

移動互聯網醫療應用渠道主要分為兩類：一類是PC端互聯網門戶網站，另一類是移動客戶端軟件下載渠道。

釣魚網站威脅移動互聯網醫療安全。2018年8月21日，奧古斯塔大學醫療中心遭遇了網絡釣魚攻擊，導致約41.7萬份記錄遭泄露。遭泄露的數據包含患者個人信息以及他們的醫療健康記錄、財務記錄和社會安全號碼。新冠肺炎疫情的爆發引發了網絡釣魚和惡意軟件攻擊的新潮流，不良行為者希望以此流行病為誘餌進行攻擊。根據Checkpoint的研究，全球超過4000個與冠狀病毒相關的域名中，3%是惡意域名，5%是非常可疑域名。

移動客戶端軟件仿冒帶來敏感信息泄露問題。由于下載渠道的多樣性，以及渠道對移動客戶端軟件的管理、技術檢測等手段的不足，使得具有釣魚目的、欺詐行為的移動客戶端軟件仿冒成為不法者的工具。患者和醫生使用仿冒或被篡改的移動客戶端軟件后，其個人醫療信息和金融信息將被不法之徒獲取，給患者和醫生帶來安全和財產風險。隨著移動醫療應用的加速普及，該威脅愈發突出。

違法違規收集使用

個人信息問題日益凸顯

在中央網信辦、工信部、公安部、市場監管總局四部門2019年開展的App違法違規收集使用個人信息專項治理行動中發現移動醫療App存在違規收集個人隱私信息行為，如讀取用戶聯系人數據、讀取用戶日歷信息、讀取用戶短信內容、允許應用發送短信/彩信導致意外收費、允許應用程序錄制音頻等超范圍收集用戶信息的情況，部分存在無用戶協議和隱私政策。據愛加密發布的2019年《全國移動App安全性研究報告》，70%以上的App存在違規收集個人隱私信息的行為。

數據泄露事件頻發

影響程度加劇

由于很多移動互聯網醫療運營機構在安全保障和健康醫療數據生命周期管理方面措施不足，運行在互聯網上的移動互聯網醫療系統成為黑客攻擊的主要目標。國外醫療健康分析公司發布的醫療行業數據安全報告顯示，2019年較上一年針對醫療行業黑客攻擊事件猛增了48%，受影響的患者數量較上一年增長了兩倍，影響范圍和程度均加劇。

從2018年到2019年爆發了一系列國內外醫療數據泄露事件：2018年1月，某社區衛生服務中心工作人員，掌握了某市“婦幼信息某管理系統”市級權限賬號密碼，利用職務之便，多次將2016年至2017年的某市新生嬰兒信息及預產信息導出，累計非法下載新生嬰兒數據50余萬條;2018年4月，MEDantex旗下的一個門戶網站存在泄露患者醫療記錄的安全隱患，包含了與2300多名醫生相關的文件;2018年8月，某MongoDB數據庫被發現可以通過互聯網公開訪問，其中包含了超過200萬墨西哥公民的醫療健康數據，這些數據包括個人的全名、性別、出生日期、保險信息、殘疾狀況和家庭住址等信息;2019年9月，國內醫療PACS服務器泄露近28萬條患者記錄，包括姓名、出生日期、檢查日期、調查范圍、成像程序的類型、主治醫師、研究所/診所和生成的圖像數量等個人和醫療細節;2019年，我國某第三方預約掛號平臺的短信平臺存在漏洞，導致大量患者個人信息泄露。

新冠肺炎疫情的出現，推動了我國移動互聯網醫療服務的發展和普及。與此同時，移動互聯網醫療安全風險影響深度和廣度也在加劇，需要提高警惕并加以應對。

移動互聯網醫療安全風險成因分析

移動互聯網醫療系統

安全縱深防御體系不健全

移動互聯網醫療是以移動終端或互聯網為載體，將醫師、患者等聯系起來并提供服務。相對于傳統的醫療系統來說，移動互聯網醫療系統更多地暴露在公網上，不少移動互聯網醫療系統安全縱深防御體系尚不健全，主要表現在以下五個方面：

1.網絡拓撲結構不安全。網絡拓撲結構安全性設計中最重要的因素是根據網絡安全區域安全等級的不同，設計不同的網絡安全區域，并且避免將重要網段部署在網絡邊界處，不同安全等級的網絡區域之間采取可靠技術隔離手段。有些移動互聯網醫療機構為了部署和管理方便，采用了具有安全風險的網絡拓撲結構，一是將Web服務器、應用服務器、數據庫服務器均部署在同一子網，或Web及應用服務器未經過防火墻能直接訪問數據庫服務器;二是將數據庫服務器部署在DMZ區域，黑客可通過攻破DMZ區域，獲取數據庫服務器上的敏感數據。

2.入侵防御設施配備不足或配置不合理。移動互聯網醫療系統需識別和防范外部和內部的網絡攻擊行為，尤其是外部攻擊行為，如DDoS攻擊、SQL注入攻擊、跨站腳本攻擊等。DDoS攻擊會導致提供的醫療服務無法使用，SQL注入攻擊和跨站腳本攻擊會導致醫療健康信息泄露。多數移動互聯網系統未在網絡邊界處部署入侵防范設備，或者未按照正確的方式進行部署，或者未配置及啟用針對常見攻擊行為的防范功能，或者使用已過期的規則庫。這些都是造成外部攻擊行為成功的重要因素。

3.遠程傳輸和接入安全防護措施不健全。對外部使用者來說，患者在注冊和使用移動互聯網醫療服務過程中，個人健康醫療信息在互聯網傳輸時未進行加密或使用安全通道進行傳輸，攻擊者容易截獲敏感數據。對內部使用者來說，運維人員通過互聯網使用HTTP或TELNET進行遠程管理時，未采取安全措施防止鑒別信息在網絡傳輸過程中被竊聽，攻擊者容易截獲鑒別信息和管理信息，獲得系統訪問權限，盜取更多的敏感數據。

4.安全監控和審計力度不夠。建設移動互聯網醫療系統時，在安全監控和事件預警機制方面采取的措施力度不夠，設計時未充分考慮業務操作監控和審計功能，黑客入侵事件發生概率較高。同時，也未能有效防止內部人員進行違規操作，業務和數據操作不可追溯。通常攻擊者需要經過多次系統滲透或入侵才能獲取相應訪問權限，從而獲得敏感數據。因而，有必要通過安全監控和審計對入侵行為進行分析和預警，可以在入侵事件發生前進行主動防御，阻止攻擊行為。

5.Web應用漏洞的安全防范和客戶端抗攻擊能力不足。移動互聯網醫療系統主要采用HTTP協議向服務器提供請求，保障Web頁面安全是非常重要的。從近幾年的安全事件來看，SQL注入和跨站腳本攻擊占大半比例。大部分機構的Web頁面均未提供防范SQL注入和跨站腳本攻擊的安全防護措施，未從代碼層面防止漏洞的產生。同時，移動客戶端軟件未采用代碼混淆、代碼加殼、檢測調式器等有效手段，抵御靜態分析、動態調試等操作;未在軟件安裝、啟動、更新時進行完整性和真實性校驗，抵御篡改或劫持，導致用戶的敏感信息在使用過程中容易被非法獲取。

移動客戶端應用渠道

安全監測力度不夠

移動互聯網醫療應用渠道安全風險的主要原因有四個方面：一是大多數移動互聯網醫療應用運營方沒有識別移動客戶端軟件仿冒和盜版應用的手段;二是由于各渠道發布時間不同，存在版本不一致的情況，用戶可能會下載具有安全漏洞版本的移動客戶端軟件;三是多數移動客戶端軟件沒有進行安全加固，給用戶帶來安全風險;四是渠道對移動客戶端軟件的管理、技術檢測等手段的不足，導致仿冒或篡改的應用存在。

“認證—授權—審計”

安全機制薄弱

“認證—授權—審計”（AAA）安全機制包括認證（Authentication）、授權（Authorization）和審計（Auditing），是網絡安全中最為重要的安全管理機制，也是防范數據泄露的關鍵手段。當前，多數的移動互聯網醫療系統在認證、授權和審計方面做得不夠完善甚至缺失，導致數據泄露影響程度加劇。

從認證機制來看，移動互聯網醫療系統應采用“雙因素認證”方式和設置復雜口令來保障身份認證的安全性。目前，大多數系統采用安全性較差的“用戶名+口令”單因素身份認證方式和使用弱口令，容易被不法之徒通過工具暴力破解或被猜測出來，從而導致身份認證信息被盜用。

從授權機制來看，移動互聯網醫療系統應合理分配和控制賬戶權限。目前多數系統未分配用戶承擔任務最小權限，權限粒度設置過大，未限制默認賬戶的訪問權限，未及時收回賬戶權限，導致未授權的用戶訪問系統功能或數據。

從安全審計來看，相對于認證、授權機制，移動互聯網醫療系統在安全審計機制建設方面更為薄弱，未提供高頻登錄、批量登錄、關鍵數據使用等審計功能，甚至缺失基本的日志記錄功能，導致無法預防潛在的安全事件發生及事后追溯。

醫療健康數據生命周期

安全保護機制和措施不足

數據生命周期主要包括數據收集、數據傳輸、數據存儲、數據使用、數據銷毀五個環節。加強數據全生命周期的安全管理能夠有效降低數據泄露的安全風險。目前，大多數醫療機構缺少相應的安全管理措施和技術手段。尤其在數據管理方面，未對數據進行分類分級設置并采取針對性的措施進行數據安全保護。

第一，在數據收集環節，有些機構未依據最小夠用原則收集醫療健康數據，且移動客戶端應用軟件抗攻擊能力不足，在數據收集環節可能導致數據泄露;第二，在數據傳輸環節，對于涉及數據安全等級較高的醫療健康數據，有些機構未采取加密傳輸或全通道傳輸保證傳輸保密性，數據被竊聽的風險加大，同時在數據傳輸時也未采取校驗碼或哈希算法確保數據完整性，醫療健康數據被篡改的風險增大;第三，在數據存儲環節，對于敏感的醫療健康數據，有些機構未采用足夠安全的加密算法進行加密存儲，而且未構建安全可控的暫時存儲環境，數據泄露風險較高;第四，在數據使用環節，有些機構未建立有效的醫療健康數據脫敏機制，未建立數據分析相關數據源獲取規范和使用機制，未明確數據獲取的范圍、數據量、頻率、方式、訪問接口、授權機制，通常該環節數據泄露風險最大;第五，在數據銷毀環節，有些機構未根據數據的分級分類和數據使用情況，建立合理的數據銷毀方式，導致數據泄露。對于托管到公有云的移動互聯網醫療系統，數據銷毀的措施不當，會造成數據泄露情況更加嚴重。

行業層面缺乏

風險監控管理手段

國家衛健委在2018年和2019年發布了《電子健康卡建設與管理指南》《電子健康卡服務應用指南》征求意見稿，均對電子健康卡的應用監測和安全管理提出了要求。但是醫療健康行業仍然缺乏針對移動互聯網醫療應用的安全風險監控管理手段。從行業監管層面來看，需要有效的安全風險監控管理體系去實現對移動互聯網醫療應用的風險監控、風險評價及處置、風險事件通報，從而提高移動互聯網醫療應用安全防護水平。

移動互聯網醫療安全風險應對思路

為了應對移動互聯網醫療應用存在的種種安全風險，為保護公民、法人和其他組織的合法權益，在國家層面陸續發布了一系列的安全政策。面對國家在移動互聯網應用方面的監管要求，各級監管機構都在積極探討和嘗試移動互聯網應用監管、監控解決方案。

面對移動互聯網醫療系統安全縱深防御體系不健全、移動客戶端應用渠道安全監測力度不夠、AAA安全機制薄弱、醫療健康數據生命周期安全保護機制和措施不足、行業層面缺乏風險監控管理手段等問題，通過構建技術模型和管理機制相結合的安全風險監控管理體系，來實現對移動互聯網醫療應用的安全風險管控。

打造政府監管、行業自律、

機構自治的三重安全防線

為了貫徹國家對于“互聯網+醫療健康”政策要求，應對移動互聯網醫療的安全風險，需要打造政府監管、行業自律、機構自治的三重安全防線，建立分級的風險監控管理模式，并圍繞該模式建立事前備案、事中監測、事后追溯的閉環管理機制、風險處置和事件通報機制，降低移動互聯網醫療領域的整體安全風險。

移動互聯網醫療安全風險控制不是由單一部門來實現的，而是一個分級管理、多方協助的業務邏輯關系，需構建“政府監管、行業自律、機構自治”的管理模式。

一是政府監管。行業主管部門作為風控體系管理的主導者，發揮規劃、指導、行業牽引的作用，建立健全監管協調機制，確保各項監管舉措落地實施。二是行業自律。風控體系管理的實際操作更多地要依靠行業性聯盟，通過行業組織的自律行為實現。聯盟配合行業主管部門落實相應的管理性和技術性工作，為監管要求落地提供支撐。三是機構自治。醫療和衛生機構落實風控主體責任，加強安全內控和自我約束，主動接受行業自律和社會監督，建立健全投訴響應、應急處置、風險補償、安全責任等機制，切實保障用戶合法權益。

構建安全風險監控管理體系

行業主管部門：行業主管部門作為安全風控管理體系的主導者，明確行業監管目標和監管流程，協調相關資源，制定相關監管協調機制，完成行業管理模型頂層設計。

區域監管機構：包含區域有移動應用監管需求的各類組織和機構，通常情況下由各區域或地方衛健委承擔該角色，對屬地內的移動應用進行風險監測和匯總，收集的數據進行分析統計后向行業管理主體平臺進行上報，并接收行業管理主體發放的移動應用風險提示，根據風險提示進行核查。

終端監控節點：風控監管技術落地單位，包括各類型醫院、各種醫療服務機構，他們通過技術和管理手段對所屬移動應用按照監控規則進行數據采集并向區域或地方監管機構上報。

標準支撐組織：本著行業自管、自控、自律原則，倡議在互聯網醫療領域成立安全風控聯盟，依據行業頂層設計，制定行業風控標準規范，建立風控匯聚平臺，為技術實現提供依據。

技術支撐單位：依據行業標準提供多技術維度技術保障解決方案，實現風險管控目標。移動互聯網醫療安全風險監控管理體系從構建技術模型和建立管理機制兩個方面來實現主動、持續、動態的安全風險管控，協助各類監管機構建立一個長效的評估體系，對移動互聯網醫療應用進行評估和抽查，同步執行發布備案、運行監管等管理措施。通過完善的備案、審核、監督、抽查等業務流程，保障移動應用的安全合規運行。

移動互聯網醫療安全風險監控技術模型

為保證接入移動互聯網醫療應用在公眾使用時的安全性和合規性，對其應用安全風險進行控制，應構建應用安全風險監控技術模型。基于互聯網移動應用標識認證技術實現對互聯網業務應用的行為監測、行為追溯、移動互聯網渠道監測、安全風險監測以及黑白名單管理，監管業務狀況和系統風險情況，為管理模型提供技術支撐數據。基于該模型構建的平臺應支持與互聯網平臺業務系統的對接，進而更全面地獲取互聯網業務平臺各運營節點的實時運行數據，通過數據歸類和分析，呈現集中監管展示。還可以根據當地主管部門的要求提供相應的數據接口，為互聯網政策出臺提供決策支撐。

移動互聯網應用安全

風控平臺技術框架

構建主動、持續的安全風控平臺，實現在行業互聯網業務場景下，各類移動互聯網醫療應用接入的安全風險發現、預警和分析。技術要點主要包含以下幾方面：

一是建立數字化監測規則庫。監測規則庫主要由監測指標和監測規則構成。監測指標來自兩方面：一是監管要求，根據國家、行業和主管部門對移動互聯網醫療應用相關安全風險監管要求;二是應用本身的安全性數據。監控規則是規定了監控指標經過規則表達式處理后所要求取值范圍。

二是建立安全風險管理模型。該模型主要是在所建設的監測規則庫基礎上，研究在安全風險中風險所對應的監測規則及其規則直接所存在的相互關系，進而構建移動應用安全風險管理模型，通過所采集的移動應用的監測數據，進行分析計算得到移動應用的安全風險等級;根據安全風險等級，采取相關風險處置措施。

三是建立業務監測指標體系。主要針對互聯網醫療移動應用建立業務監測指標體系，為核心業務建立全周期行為留痕監控。對互聯網醫療應用的處方、處方的審方行為、整個處方開立流程和執行人情況、醫囑、病歷書寫、藥品配送等關鍵節點數據的留痕情況進行全周期監控。監測指標涵蓋醫療服務、公共衛生服務、家庭醫生簽約服務、醫學教育和科普服務、醫療信息互通共享、三醫聯動等方面。

四是基于國密算法的授權管理。采用國密算法的數據安全加密組件，為無證書密鑰及認證管理、身份認證服務、監測報告防篡改和審核結果簽名等基礎數據安全加密服務。

移動互聯網醫療應用

風控平臺監測內容

監測的內容可包括以下三類：

一是資產清查：管理移動互聯網醫療應用清單，包括App及Web應用數據、渠道數據、SDK數據和企業數據等，做到對風險對象了然于心。

二是應用合法性監測：實現對移動互聯網醫療應用本身在各種流通渠道有無被篡改、仿冒應用等風險監測;展示發布來源、發布時間、發布版本、下載量、活躍度等統計特征;進行移動應用關聯的開發公司或個人信息、運營公司等的分析。

三是安全風險監測：實現對移動互聯網醫療應用在線自動化的常規漏洞掃描、靜態安全檢測、動態安全檢測及惡意行為安全檢測等，通過風控平臺從安全防護漏洞和惡意行為安全檢測的角度對移動應用進行監測，確保正在使用的移動應用能夠持續符合安全要求。