山東省衛生健康行業網絡安全調查與分析*

徐東海 屈曉暉 劉志國 李 勇 成世良 包國峰

(1山東健康醫療大數據管理中心 濟南 250000 2國家衛生健康委統計信息中心 北京 100044 3東營市第二人民醫院 東營 257000 4北方健康醫療大數據科技有限公司 濟南 250000 5 廣饒縣人民醫院 東營 257300 6山東第一醫科大學附屬省立醫院 濟南 250000)

1 引言

自2016年《網絡安全法》[1]頒布以來，各行業紛紛出臺適用于本行業的網絡安全規章制度。近年來，隨著《關于促進和規范健康醫療大數據應用發展的指導意見》《關于促進“互聯網+醫療健康”發展的意見》[2]《關于深入推進“互聯網+醫療健康”“五個一”服務行動的通知》等政策文件的出臺，以及大數據、人工智能等新興技術的發展，健康醫療數據應用、“互聯網+醫療健康”和智慧醫療迎來蓬勃發展。與此同時，各類新技術、新應用的出現為衛生健康行業數據治理帶來更多挑戰。為應對新興技術應用帶來的安全風險，本文通過定量化風險評估和差距分析，協助醫療行業快速找到安全短板，提升風險管理決策能力。

2 資料與方法

2.1 數據來源

采用山東省衛生健康委員會2022年11月在全省開展的衛生健康領域健康醫療大數據安全治理調研數據。

2.2 研究區域和數據描述

參與本次調研的機構共248家，覆蓋山東省16個地市。按照地域分布情況分為6類，即魯北地區、魯東地區、魯南地區、魯中地區、魯西北地區、魯西南地區。其中，魯北地區包含濱州市和東營市；魯東地區包含青島市、煙臺市和威海市；魯南地區包括濟寧市、棗莊市、臨沂市和日照市；魯中地區包括濟南市、淄博市、濰坊市和泰安市；魯西北地區包括德州市和聊城市；魯西南地區為菏澤市。將組織機構分為5類，分別是各地市衛生健康委員會(局)、三級醫療衛生機構、二級醫療衛生機構、一級醫療衛生機構、其他類型醫療衛生機構。

2.3 方法描述

采用調查問卷方式采集數據，按照醫療機構的等級與地域分布，分別從網絡與數據安全管理能力、技術防護兩個方面進行差距分析。其中網絡與數據安全管理能力方面主要涵蓋17項指標，技術防護方面涵蓋36項指標。差距分析基于調查問卷中各指標的填報數據，進而比較分析。

3 研究結果

3.1 按機構等級進行差距分析

3.1.1 管理能力差距分析(表1)

3.1.2 技術防護差距分析 各級醫療衛生機構技術防護能力參差不齊，其中各地市衛生健康委員會(局)在拒絕服務攻擊、數據脫敏系統和主機安全探針等技術防護方面較其他機構更加完善；三級醫療衛生機構在數據庫審計、運維審計堡壘機、日志審計與分析等技術防護方面建設更加突出，占比均超過80%；一級醫療衛生機構在上網行為管理、郵件安全和數據庫防火墻等技術防護方面優于另外4類機構，占比均在70%以上。各級機構在對脆弱性評估與管理、安全基線與配置管理等技術防護方面關注較為欠缺，均未達到40%，見表2。防火墻、防病毒和數據備份與恢復等技術防護方面建設較完善，且不同等級機構之間相差不大。

表2 醫療機構技術防護能力差距分析

3.2 按機構地域進行差距分析

3.2.1 管理能力差距分析 魯北、魯東、魯南等6個地區在成立領導小組方面做得比較好，各地區之間差距較小。在網絡安全管理職能部門建設層面，魯北和魯西北地區相較其他地區做得比較好，魯東、魯南、魯中和魯西南地區管理水平差距不大。在應急處置機制方面，各地區水平差異較大，相比之下，魯北、魯東、魯南、魯西北等地區管理能力較強，見表3。

表3 各地域醫療機構管理能力差距分析

3.2.2 技術防護差距分析 整體來看，各地域之間對于不同防護手段的部署程度有差異。防火墻、入侵檢測與防御、防病毒網關、數據備份與恢復、日志分析與審計等，各地域部署程度均比較成熟且差異較小；在數據庫脫敏系統、數據庫加密系統、數據泄露防護、文件管理與加密等方面，各地域部署的防護能力普遍偏低，有待加強；而在網絡隔離和單向導入、防病毒網關、網絡安全審計、虛擬專用網絡(virtual private network，VPN)、抗拒絕服務攻擊等方面，各地域之間部署防護程度差異較大，見表4。

表4 各地域醫療機構技術能力差距分析

3.3 結果分析

248家機構的網絡安全管理制度體系建設和技術防護體系建設都比較完善。約60%的單位在數據安全方面符合管理要求，其余單位在管理層面和技術防護層面仍存在一些問題。在管理層面，部分機構信息安全建設、運維工作缺乏，安全管理技術力量有待加強，40%的單位在等級保護建設、數據分類分級標準制定及實施方面相對欠缺，50%的單位在數據銷毀方面未實現監管。在技術防護層面，40%的機構在數據加密、數據脫敏、數據防泄露、威脅分析與管理等方面比較欠缺，目前僅靠防火墻、防病毒軟件等產品的簡單堆砌，不能有效抵御安全風險。總之，分析本次調研數據可以看出，目前山東省基層醫療衛生機構的信息化建設水平參差不齊，大多數基層醫療衛生機構信息化建設較《醫療衛生機構網絡安全管理辦法》的要求還有很大距離，當前基層醫療衛生機構信息化建設仍面臨巨大挑戰。

4 問題與討論

4.1 問題分析

4.1.1 人員安全管理薄弱 醫院管理層對信息化建設及網絡安全工作不夠重視，未配備足夠的專業技術與管理人員，甚至有些等級較低的機構未設置專職崗位，導致醫院信息系統安全隱患與漏洞問題無法及時發現與處理。

4.1.2 終端防護能力匱乏 大數據和云計算技術改變了數據存儲方式，打破了數據訪問邊界，醫院也開始對外共享數據資源，傳統基于物理邊界的安全防護已不適用，終端防護能力匱乏引起的病毒威脅、工作效率低下問題日益突顯。

4.1.3 安全事件監測能力欠缺 各機構雖在制度規范上趨于完善，但部分機構仍存在制度落實不到位、應急響應不及時、缺乏高端網絡安全人才的現象。這極易造成醫療行業信息安全短板效應突出、頂層設計不足、統籌力度不夠等問題。

4.1.4 協同聯動處置能力不足 衛生健康信息化建設的各個業務系統如果按照條線進行建設和管理，各自為政的建設模式會導致信息煙囪和孤島的形成，醫療資源無法實現充分整合及利用，信息難以共享，業務服務不能協同。

4.1.5 數據安全防護能力薄弱 自2021年《數據安全法》頒布后，醫療行業對數據安全的關注度大幅提升，但在本次調研中發現，大部分機構在此方面的建設能力相對薄弱，使用數據安全關鍵技術的組織機構占比較低，缺乏數據安全技術的投入，整體防護面建設能力較薄弱。

4.2 解決措施

4.2.1 優化管理機制，強化落實安全管理責任 網絡安全管理制度建設可以最大化地發揮安全系統效能，串聯預防、保障、監控、應急全流程，從根本上提升網絡安全能力。在此基礎上，首先要考慮加強機房安全建設、完善網絡安全架構等基礎防護，為持續安全建設奠定良好基礎。

4.2.2 加強網絡安全培訓，提升網絡安全能力 定期對現有人員開展網絡安全培訓，動員和組織廣大干部職工積極參與，正確認識和使用網絡，自覺抵制有害、低俗信息，提高網絡安全防范能力[3]，遠離網絡陷阱、釣魚事件，確保公眾信息及財產安全。

4.2.3 加強數據保護，開展分類分級，關注安全審計 建立數據分級分類指南，注重數據脫敏保護，從業務需求出發對重要數據進行備份，定期檢查備份數據的有效性，使用加密系統保護傳輸和存儲數據，達到數據保護與數據價值釋放的雙重目標。對重要用戶及行為進行審計，并將審計日志實時備份至日志服務器，以便在事件發生后進行溯源，快速修復系統，發揮預防和懲戒的作用。

4.2.4 積極利用新技術，解決新問題 在健康醫療大數據利用層面，醫療衛生機構的強訴求是數據不出本地，可利用聯邦學習、安全多方計算等安全技術手段實現“數據可用不可見”。

4.2.5 加強網絡邊界感知能力，提升安全防護意識 現階段醫療體系的網絡邊界已經被重新定義，其安全防護措施和手段也應同步更新和提升。如何對各種設施有效實施準入機制以及部署管理措施是面臨的主要問題之一[4]。

4.2.6 定期開展資產梳理，減少互聯網暴露面 定期采用主動掃描方式，使用網絡風險資產監測分析系統，識別聯網的資產，獲取端口、協議，對網絡風險資產進行全面、準確的梳理[5]。通過快速、輕量級漏洞專掃及概念驗證(proof of concept，PoC)主動發現網絡資產存在的安全漏洞、弱口令等可被攻擊者利用的安全風險，準確定位風險優先級，快速有效地解決潛在威脅。

4.2.7 加強威脅情報共享，提升威脅分析能力 基于集中智能化“網絡威脅情報云共享平臺”，在行業分布式部署威脅情報聯防阻斷系統，實時匯聚、加工、分析和共享“正向攻擊、反向外聯”網絡威脅情報數據，利用旁路阻斷、點對點可信認證、畸形數據包檢測、全流量審計、多維度攻擊畫像等核心技術，發揮云端專家監測分析優勢。一點監測、全網阻斷，有效落實網絡安全防護“關口前移，防患于未然”的要求[6]。

4.2.8 建立安全運營管理中心 建立安全運營管理中心，進一步加強醫療衛生機構的安全防護水平，形成具有主動防御和協同運營能力的醫療衛生機構間的安全運營合作機制。將防病毒系統、桌面準入系統、堡壘機、數據庫審計、日志審計、態勢感知、運維管理平臺等進行統一管理、監控、審計、綜合分析[7]。

5 結語

山東省衛生健康行業網絡安全治理具有典型代表性，可為各機構提升網絡安全保障能力提供參考。衛生健康行業的網絡和數據安全治理，對強化衛生健康領域網絡和數據安全管理，消除網絡和數據安全重大隱患，確保全省乃至全國衛生健康行業網絡和數據安全建設工作的有序開展具有重要意義。