数字医疗网络安全观测报告 （2020 年） 中国信息通信研究院安全研究所 腾讯科技（深圳）有限公司 卫生信息安全与新技术应用专业委员会 数据保护官（DPO）社群 2020 年 9 月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的，应 注明“来源：中国信息通信研究院”。违反上述声明者，本院 将追究其相关法律责任。 前 言 卫生健康事业关系着人民群众的生命安全和身体健康，习近平总 书记曾深刻指出：在实现“两个一百年”奋斗目标的历史进程中，发 展卫生健康事业始终处于基础性地位。近年来，人工智能、大数据、 移动互联网等新技术在健康医疗领域加速应用和落地，尤其是在受到 2020 年新冠肺炎疫情影响和刺激后，传统医疗服务快速向互联网医 疗、智慧医院等新兴业态转换，行业数字化转型进程明显提速。与此 同时，卫生健康领域的网络安全攻击和对抗也在不断升级演变，各类 新型网络安全风险层出不穷，网络安全日益成为健康医疗行业发展过 程中无法规避的重要问题。 为贯彻落实习近平总书记网络强国战略思想，促进健康医疗行业 网络安全能力建设和发展，中国信息通信研究院（以下简称“中国信 通院”）安全研究所联合卫生信息安全与新技术应用专业委员会、腾 讯安全、数据保护官（DPO）社群等行业组织和产业头部企业组成研 究团队，基于产业互联网安全实验室的技术能力，持续性地对卫生健 康领域的各类机构开展公共互联网层面的安全观测扫描。并综合利用 大数据、威胁情报等技术开展研究分析，结合近年来网络安全形势和 政策变化趋势，总结形成本报告。 本报告沿用和升级了《2019 年健康医疗行业网络安全观测报告》 的技术手段和分析维度，对于医疗机构在公共互联网上存在的资产脆 弱性、安全漏洞问题、僵木蠕毒感染、网站篡改四类主要风险变化情 况进行了趋势对比分析，并从互联网医院与非互联网医院、公立医院 与私立医院两个重要分类角度对风险特点进行了研究和解读。研究发 现，健康医疗行业资产脆弱性和安全漏洞两类防御维度风险明显好转， 体现出医疗机构网络安全意识和能力的较大幅度提升；而僵木蠕毒感 染和网站篡改风险呈现上升趋势，表明行业面临的网络安全形势依旧 十分严峻，针对卫生健康领域的安全攻击仍在持续升温。与此同时， 互联网医院相比非互联网医院、公立医院相比私立医院承受着更为强 烈的网络攻击，进而被恶意程序感染风险更高，需要重点关注。 本报告旨在通过全面和客观的行业安全态势研究，为健康医疗行 业主管部门、医疗机构以及安全服务厂商提供工作思路和建议，共同 促进卫生健康领域安全有序发展。限于编者能力和时间，本报告内容 难免存在纰漏，恳请业界同仁批评指正。 目 录 一、健康医疗行业网络安全背景 ...................................... 1 （一）网络安全形势发展变化情况 .................................... 1 （二）健康医疗行业安全政策研究 .................................... 2 （三）公共互联网的安全观测结果 .................................... 4 二、公共互联网的安全风险分析 ...................................... 9 （一）资产脆弱性问题现状及趋势对比分析 ........................... 10 （二）安全漏洞问题现状及趋势对比分析 ............................. 14 （三）僵木蠕毒问题现状及趋势对比分析 ............................. 16 （四）网站篡改问题现状及趋势对比分析 ............................. 19 三、医疗机构安全风险对比分析 ..................................... 22 （一）互联网医院与非互联网医院的安全对比分析 ..................... 22 （二）公立医院与私立医院的安全对比分析 ........................... 25 四、健康医疗安全工作思路与建议 ................................... 28 （一）主管部门应重点推动行业规范发展 ............................. 28 （二）医疗机构应持续改进自身安全建设 ............................. 29 （三）安全服务机构应加快提升服务质量 ............................. 31 附录 A 网络安全量化风险分级 ....................................... 33 图 目 录 图 1 我国三级及以上医疗机构等级保护工作开展情况图 ............... 4 图 2 公共互联网安全观测范围-以职能划分的分布图 .................. 5 图 3 观测范围-以地域划分的分布图 ................................ 6 图 4 各省份风险评估结果分布图 ................................... 7 图 5 存有高危端口风险单位数对比图 .............................. 11 图 6 敏感服务风险单位数对比图 .................................. 12 图 7 高危端口及敏感服务风险单位省份分布对比图 .................. 13 图 8 服务版本过低风险涉及单位各省份分布对比图 .................. 14 图 9 安全漏洞风险级别分布对比图 ................................ 15 图 10 高危漏洞 Top3 分布图 ...................................... 15 图 11 安全漏洞涉及单位省份分布对比图 ........................... 16 图 12 四类重点僵木蠕毒风险涉及单位数目对比图 ................... 17 图 13 通用僵木蠕毒恶意文件感染单位变化图 ....................... 18 图 14 僵木蠕毒地域分布对比图 ................................... 18 图 15 网页篡改问题涉及单位省市分布图 ........................... 20 图 16 互联网医院和非互联网医院风险占全部医院风险比例图 ......... 25 图 17 公立医院和私立医院风险占全部医院风险比例图 ............... 26 图 18 2020 年公立医院和私立医院安全漏洞分类对比图............... 27 数字医疗网络安全观测报告（2020 年） 一、健康医疗行业网络安全背景 （一）网络安全形势发展变化情况 近年来，新一代信息技术蓬勃发展，网络空间日新月异，网络空 间安全日益成为关系着国计民生的重要主题。习近平总书记指出， “没 有网络安全，就没有国家安全” ，将网络安全的重要性提升至国家战 略层面。随着 2020 年新冠肺炎疫情在全球的暴发和蔓延，各国经济 均受到不同程度的负面影响，国际局势日趋复杂，出于政治目的而发 起的有组织的网络攻击持续高发。针对我国党政机关、关键信息基础 设施运营者等重要单位的 DDoS 攻击、钓鱼邮件攻击呈现高发频发态 势，特别是借助新冠肺炎疫情主题开展的网络钓鱼攻击，给我国政府 机关和医疗机构带来了巨大的网络安全挑战，一定程度上影响着疫情 防控工作的正常开展。 与此同时，新冠肺炎疫情的影响加速了我国企业和社会的数字化 转型，互联网医疗、远程办公、线上买菜等新场景新应用得到快速推 广和普及，人工智能、大数据、物联网等新一代信息技术逐步实现与 场景的深度融合和广泛应用。然而，伴随新兴业态的热度突增和新技 术的落地应用，安全漏洞、数据泄漏、网络钓鱼、勒索病毒等网络安 全风险和威胁也日益凸显。据国家计算机网络应急技术处理协调中心 （CNCERT）发布的《2019 年我国互联网网络安全态势综述》显示， 软硬件安全漏洞数量和影响范围呈现逐年上涨趋势，相比 2018 年， 2019 年的事件型漏洞和高危零日漏洞分别增长 227%和 47.5%，安全 1 数字医疗网络安全观测报告（2020 年） 漏洞风险持续攀升，这些都给我们的新技术应用与新场景落地敲响了 网络安全的警钟。 在数字医疗领域，数字化和智能化已经成为产业发展的大势所趋， 网络安全问题成为产业转型过程中必须面对的重要挑战。当前，健康 医疗机构一方面面临着以数据泄漏、勒索病毒为代表的传统网络安全 威胁，另一方面也在探索着如何安全合规地开发利用健康医疗大数据。 数字医疗领域的网络安全问题呈现多元化发展态势，网络安全与数字 化发展更加紧密结合，如何在保障网络安全的前提下推动产业数字化 转型发展，成为数字医疗领域共同面临的重大课题。 （二）健康医疗行业安全政策研究 自 2017 年 6 月 1 日我国《网络安全法》实施以来，系列配套的 法律法规和标准规范逐渐发布实施，形成相对完整的网络安全法律法 规和标准体系。2019 年 5 月，公安部正式发布《信息安全技术 网络 安全等级保护基本要求》等网络安全等级保护制度 2.0 相关的系列国 家标准，针对新的安全形势提出了新的安全要求，标准覆盖度更加全 面，安全防护能力有很大提升。2019 年 12 月，关键信息基础设施网 络安全标准开展正式发布前试点，其在网络安全等级保护的基础上对 卫生医疗等公共服务提出了更高的网络安全要求。2020 年 6 月， 《关 键信息基础设施安全保护条例》列入国务院 2020 年立法工作计划； 同月， 《数据安全法》和《个人信息保护法》列入全国人大常委会 2020 年度立法工作计划。7 月， 《中华人民共和国数据安全法（草案）》 （以 下简称： 《数据安全法（草案）》 ）面向社会公众征求意见， 《数据安全 2 数字医疗网络安全观测报告（2020 年） 法（草案） 》中指出“工业、电信、自然资源、卫生健康、教育、国防 科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管 职责。 ” 作为数字医疗领域主管部门，国家卫生健康委员会近年来相继颁 布一系列部门规章和规范性文件，推动健康医疗行业网络安全水平提 升。2018