复旦大学附属肿瘤医院 王骏杰

一、国内外医疗行业近年网络安全事件

在国际上，发生了多起因网络安全导致的重大危害事件，甚至造成了政府部门的倒台。比如，2007年4月至5月间，爱沙尼亚遭受全国性网络攻击，大量网站被迫关闭。2010年伊朗核设施遭受“震网”病毒攻击，导致1000多台离心机瘫痪，无法工作。“震网”病毒攻击瘫痪物理设施，这个病毒使用了4个0day漏洞组成，并且能自动判断设备的型号来发起攻击，引起世界的震动。2015年12月23日，乌克兰电力基础设施遭受到恶意代码攻击，导致大面积地区数小时的停电事故，造成严重社会的严重恐慌。2018年，在西班牙“Denis.K”团伙通过钓鱼邮件控制ATM设备，造成40多个国家的银行总计10亿美元的损失。这些具备信息战水平的网络安全攻击，所带来的惨痛教训以及所反映的共同问题，就是网络安全防护工作没有跟上信息化的脚步，使得国家政权、基础设施、社会生活和大量资产面临极大的安全风险。

在医疗行业同样如此，随着新冠疫情在全球蔓延，针对医疗行业的各类网络安全攻击事件愈演愈烈。不同于其他关键信息基础设施行业，医疗卫生系统更关系到人们的生命安全。医疗行业的特殊性质也使得它们成为攻击者关注的重点，以此获得更丰厚的回报。一篇Verizon发布的网络安全报告显示，在全世界范围内，医疗行业是内部威胁高于外部威胁的一个行业，内部从业人员对医疗数据的泄露达到了惊人的程度。

该报告称内部人员泄露信息的原因主要有三个：一是受经济利益驱使；二是处于好奇而窥视名人的隐私信息；三是因为这些信息触手可及。除了“内鬼”，黑客攻击是医疗信息另一个安全隐患。眼保健集团Luxottica受到了黑客入侵，4天时间窃取了多达829万名患者的处方、健康保险详细信息、预约日期和时间、信用卡信息。而且我国也同样如此。广东、重庆多家三甲医院服务器被黑客入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用有道笔记的分享文件功能下载多种挖矿木马。攻击者将挖矿木马伪装成远程协助工具Teamviewer运行，攻击者的挖矿木马会检测多达50个常用挖矿程序的进程，将这些程序结束进程后独占服务器资源挖矿。该挖矿木马还会通过修改注册表，破坏操作系统安全功能：禁用UAC（用户账户控制）、禁用Windows Defender，关闭运行危险程序时的打开警告等等。据有关机构统计分析，我国医疗机构开放远程登录服务的比例高达50%，这意味着有一半的服务器可能遭遇相同的攻击。

而勒索软件，医疗行业也是其重灾区。医院和一些医疗机构的重要性成为其“脆弱”的主要原因。一旦医院受到攻击，短暂的系统停摆都会造成重大的灾难，关乎患者的性命，正因为如此，医院一直是勒索软件的主要攻击目标之一，因为他们不敢不支付赎金。此外，随着物联网渗透到医疗领域的各个层面，暴露在联网设备上的数据也为恶意分子发起攻击提供了更多的可能，而医疗数据价值高、勒索金额巨大也吸引着恶意分子。据了解，从2018年开始，我国医疗体系遭受攻击的频率就呈明显上升趋势。国内曾出现过多起医院遭遇勒索病毒的事件，攻击者入侵医院信息系统，导致部分文件和应用被病毒加密破坏，影响医院正常运行，患者无法正常接受治疗。目前，在新冠病毒感染患者的确认、治疗关键时期，一旦勒索病毒入侵医院，发生干扰CT扫描、窃听诊疗信息或劫持系统的情况，可能造成难以挽回的伤害。

挖矿木马，这是一类利用漏洞入侵计算机，并植入挖矿软件以挖掘加密数字货币的木马。2018年7月，腾讯御见威胁情报中心监测到多家医院服务器被黑客入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用云分享文件功能下载多种挖矿木马，挖山寨加密币。从而导致医院业务系统性能变差、速度变慢，因而错过患者的黄金诊疗时间。医院的“业务”是什么?救死扶伤。而挖矿木马的运行不仅会导致计算机CPU占用明显增加、系统卡顿，甚至会使业务服务无法正常使用。另一方面，挖矿木马为了不被清除，还会通过防火墙配置、修改计划任务等方式进行安全对抗，再次影响业务的开展。在《2019健康医疗行业网络安全观测报告》中，被观测的15339家医疗健康相关单位中近400家单位已经存在挖矿木马。其中，此次疫情重灾区湖北省，在报告中“医疗行业网络安全现状”的风险级别为“较大风险”，即威胁种类较多、攻击频率较高，存在较多安全隐患。报告还对各省单位存在僵木蠕等恶意程序的占比情况进行了对比分析，湖北省同样处在占比最高的序列。

对医疗行业的网络安全隐忧，并不是无稽之谈。在挖矿木马消耗计算机资源、医疗设备资源的背景下，甚至并不排除这类网络攻击引发延误诊疗的可能。

二、医疗行业网络现状分析

（1）目前“互联网+医疗”、大数据、移动化、平台化以及云计算等新业务的发展，打破传统的防护体系，更多的医疗系统漏洞暴露于公众视野下。床头卡、监护仪、输液泵、摄像头等物联网新客户端也进入医院的网络系统。

（2）医院信息工作繁重，网络安全专业人才少，整体网络安全意识不强。工作庞杂，单个信息中心难以推动网络安全的发展，并且跨部门协调流程多，效率较低，以及团队之间职责分工不明确。

（3）供应商数量众多且安全意识薄弱，为医院带来潜在风险。一家医院内除了医护人员、行政人员，会有保安、保洁或者第三方供应商驻场人员，人员构成复杂以及流动性大。

（4）医院的预警、感知、溯源、风险识别、漏洞管理等能力较为薄弱；设备和软件安全的第一道防线是身份鉴别，黑客攻击系统的一般方法首先是猜测或爆破登录口令然后再进行其他破坏操作。身份鉴别是设备和软件安全的重要模块，使用复杂密码，可以有效阻止三分之一以上的网络攻击行为；互联网边界防护策略过于宽松，边界完整性破坏，导致高危系统错误暴露；应用系统缺陷，对外发布的系统存在缺陷，易被攻破；内部网络隔离失效，导致攻击者可以间接攻击高价值资产；内部安全意识淡薄，被有心人有机可乘，非授权获取数据；内部管控策略失效，越权窃取数据，蓄意泄露。

三、措施及建议

（1）建立新的网络安全防护体系，核心资产具备“纵横”防御体系；梳理业务流量，保证所有流量都在防御体系的监控范围内；设备防御能力合理搭配，防御能力覆盖前面（应用、网络、主机）；设备特点相互补充，进行冗余部署；尽量实现自动化封禁；应急响应流程明确。

（2）高层领导重视是前提条件，跨部门团结合作是必备条件，组织攻防项目组，覆盖测试、开发、应用、运维多个部门。增强医务工作者网络安全意识，定期开展网络安全培训，养成良好的安全习惯。

（3）加强供应商及第三方驻场人员管理：配备专用运维计算机，供厂商用于日常信息系统开发、运维工作；专用运维计算机按照“最小化”安装原则进行软硬件适配；通过技术措施，禁用相关接口，达到“数据可以使用，但无法带走”的目的；通过部署堡垒机等技术手段，对所有运维操作保留记录；通过准入控制设备、IP/MAC绑定等措施禁止个人/供应商电脑接入本单位网络；运维人员进出机房等重点区域必须登记；专人定期检查已经结束运维服务的运维人员的访问权限回收情况。

相关链接

由于基础设施建（仅表示信息化基础）设不到位，中国的医疗信息化建设主要集中在大城市的大医院（中国有1300家左右的三甲医院，医疗信息化大多集中于此），在中小城市、特别是县、乡镇医院除了办公自动化之外，对信息化建设是有心无力，而本次医改的一个重要特点，就是将加强基层医疗，扩大基本医疗保障覆盖面，医疗信息化在这方面发挥着重要作用，本次医改使得医疗信息化的主体从此前的单个的医院转向了片区整合。

更多人首选社区医院、乡镇卫生院和诊所就诊。

共同体一般会建设一个共同体协管中心，共同体协管中心是医院、社区医院、卫生院和诊所的信息聚集点，使患者就诊信息的双向传递成为可能。

共同体的建设提升了社区医院、乡镇卫生院和诊所的服务水平，能够有名医会诊，可以双向转诊，大大降低了患者就医的风险，越来越多的患者开始了首诊就医在社区，中小医院、乡镇卫生院或诊所。

共同体协管中心是整个共同体的信息聚集点和协调部门，共同体的建设处于试点阶段，尚未全面实行。