在2020西湖論劍•網絡安全前瞻峰會上，HIT專家網和杭州安恒信息技術股份有限公司聯合發布了《后疫情時代醫療衛生網絡安全白皮書》（以下簡稱“白皮書”）。

白皮書從“新冠肺炎”疫情期間全國醫療衛生行業網站安全抽樣監測、醫療衛生行業網絡信息安全現狀、醫療衛生行業網絡信息安全建議、行業實踐案例等多個維度出發，為后疫情時代醫療衛生網絡安全提出了針對性的建議。

[[327621]]

原浙江省衛生信息中心主任、浙江省衛生信息學會副會長兼秘書長倪榮與安恒信息董事長范淵聯合發布

疫情期間全國醫療衛生行業網站安全抽樣監測分析

白皮書顯示，安恒信息風暴中心在疫情期間抽取醫療衛生行業1500余個網站，就2020年1月1日——2020年02月21日時間段的網絡安全狀態，進行實時分析并輸出報告。

經統計分析發現:

（1）在可用性方面，89.87%的重點醫療衛生行業的網站和系統可提供穩定服務，3.70%的網站出現了2小時以上的斷網情況;

（2）在1500余家醫療網絡系統中，存在網絡安全風險漏洞的網站占比約10%，高危漏洞占比最高，約占風險漏洞總數的67.94%，其中跨站腳本成主要高危漏洞;存在高危安全事件105起，暗鏈為普遍攻擊事件;

（3）重點醫療衛生行業的網站和系統總計接受8.03億次訪問，總計受到2843.71萬次攻擊，惡意user-agents占比較高，成主要攻擊類型。

醫療衛生行業面臨四大網絡安全挑戰

國內醫療衛生行業信息化發展與安全保障目前存在開放化、互聯化、云化、數據化四大挑戰。

近年醫療行業成為了黑色產業關注的主要對象，因此，國內醫療衛生行業的外部威脅形勢觀測也極為重要。

在面臨各類外部威脅的同時，醫療行業也面臨著各類內部管理問題，雖然按照等級保護、以及各項醫院信息化建設標準要求建立了初步的縱深防護體系，但是在實際醫療行業安全運營角度下仍然存在一些安全管理上面的難題。

此外，白皮書還舉例了國內醫療衛生行業網絡信息安全典型事件。

醫療衛生行業網絡安全建設，從這幾方面入手

（1）網絡安全等級保護制度進入2.0時代，醫療行業合規面臨各種問題，需要建立結合高質量威脅情報的大數據分析及態勢感知防御能力。

（2）從應用安全層面來說，需要兼顧風險評估與加固層面、事前安全防范層面、事中安全防護層面、事后安全審計層面。

（3）從數據安全層面來說，需要考慮數據可用性風險、數據保密性風險、數據完整性風險。

（4）從安全運營體系建設層面來說，網絡安全要靠一個包括防火墻、入侵檢測、訪問控制、防病毒、安全審計、身份認證、加密等多項技術的安全體系來實現。

行業實踐案例

白皮書列舉大量行業實踐案例，給出了極具參考價值的醫療衛生網絡安全解決方案。這里簡單介紹下某省衛建委網絡安全監測預警通報及大數據平臺建設案例（更多案例詳情請見完整版）。

作為重要網站及信息系統運營單位，全省醫療衛生信息安全工作的指導監管單位，某省醫療衛生委員會(簡稱:省衛健委)通過此次建設實現了以下目標：

1.建立網絡與信息安全信息通報預警處置機制

2.建設醫療衛生信息安全數據直報平臺

3.建立醫療衛生信息安全數據管理平臺

4.建立信息安全數據資源庫

5.實現醫療衛生信息安全數據共享平臺

6.實現衛生信息安全數據發布平臺

7.與衛生其它應用系統在流程、信息、數據上實現無縫銜接

該系統的建設，可以全方位管理、 監督、預警、防范各類信息安全事件的發生，能感知全省信息安全的態勢，幫助省衛健委掌握當前形式下的安全形勢、安全問題與各地的安全水平，做到信息安全建設心中有數、保障有度、行動有據、管理有法、防范有措，真正做到為人民群眾的生命健康保健護航，提高人民的衛生管理參與程度及滿意度。