欧美日韩亚洲国产天堂a ,亚洲AV综合色区,国产精品久久久久久久久久久不卡,婷婷四房色播

 

醫(yī)療行業(yè)信息安全所面臨的威脅與風(fēng)險(xiǎn)

 中科至善 2022-06-16 

醫(yī)療行業(yè)總體處于“較大風(fēng)險(xiǎn)”級(jí)別,存在多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患,安全防護(hù)能力較弱。
據(jù)《中國(guó)醫(yī)療行業(yè)網(wǎng)絡(luò)安全行業(yè)分析》報(bào)告顯示,通過對(duì)15339家醫(yī)療行業(yè)相關(guān)單位的觀測(cè),1029家單位存在僵尸、木馬或蠕蟲等惡意程序,6446家單位的應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中,4546家單位網(wǎng)站存在被篡改安全隱患,其中261家單位已發(fā)生網(wǎng)站被篡改情況。

醫(yī)療行業(yè)信息安全所面臨的威脅與風(fēng)險(xiǎn)


醫(yī)療行業(yè)信息系統(tǒng)安全問題分析
58%的醫(yī)療信息系統(tǒng)存在弱口令問題;59%醫(yī)療信息系統(tǒng)存網(wǎng)絡(luò)防護(hù)架構(gòu)不完善問題,包括網(wǎng)絡(luò)區(qū)域劃分不合理、網(wǎng)絡(luò)鏈路無冗余等問題;60%的醫(yī)療信息系統(tǒng)數(shù)據(jù)備份機(jī)制不健全,包括無異地備份機(jī)制、備份策略不合理等問題;72%的醫(yī)療信息系統(tǒng)在數(shù)據(jù)存儲(chǔ)和傳輸過程中未采取加密措施;絕大多數(shù)醫(yī)療信息系統(tǒng)在管理方面存在監(jiān)管不力、制度不完善、人員安全意識(shí)較弱等問題。

大部分醫(yī)院缺乏必要的網(wǎng)絡(luò)防護(hù)措施
現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全,對(duì)網(wǎng)絡(luò)進(jìn)行VPN/VLAN劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。醫(yī)院對(duì)網(wǎng)閘、防入侵、防毒墻等設(shè)備的采用率均小于50%。

在疫情期間,醫(yī)療機(jī)構(gòu)作為“抗疫”的最前線,在網(wǎng)絡(luò)空間的戰(zhàn)場(chǎng)上同樣面臨著嚴(yán)峻的安全威脅與考驗(yàn)。數(shù)據(jù)顯示,疫情期間的醫(yī)院攻擊事件,其中多起事件是利用冠狀病毒熱點(diǎn)事件,通過釣魚軟件、惡意鏈接等方式誘導(dǎo)攻擊目標(biāo)打開、下載并啟用攻擊文件。一旦電腦被感染,病毒會(huì)進(jìn)行橫向移動(dòng),感染更多網(wǎng)絡(luò)中的機(jī)器。

醫(yī)療行業(yè)三種常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)類型

第一類,以勒索病毒為代表的僵木蠕等惡意程序風(fēng)險(xiǎn)。

在15339家健康醫(yī)療相關(guān)單位的觀測(cè)樣本中,發(fā)現(xiàn)存在“僵木蠕”等惡意程序的單位共計(jì)1029家,其中受勒索病毒影響的單位共計(jì)136家。這些惡意程序可導(dǎo)致大范圍的網(wǎng)絡(luò)欺詐、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。

我國(guó)首款勒索軟件是于2006年出現(xiàn)的Redplus勒索木馬。該木馬隱藏用戶文檔,然后彈出窗口勒索贖金,金額從70元至200元不等。

勒索病毒利用各種加密算法對(duì)文件進(jìn)行加密后,向文件所有者索要贖金。如果感染者拒付贖金,就無法獲得加密的私鑰,無法恢復(fù)文件?,F(xiàn)今,勒索軟件仍然是一項(xiàng)流行性安全威脅。為了攻擊大型企業(yè)和組織,勒索軟件不斷研究新型變體,企業(yè)機(jī)密文件和數(shù)據(jù)的安全風(fēng)險(xiǎn)與日俱增。

第二類,安全隱患帶來的大數(shù)據(jù)泄露風(fēng)險(xiǎn)。
觀測(cè)樣本中,有6446家單位的應(yīng)用服務(wù)(如數(shù)據(jù)庫(kù)服務(wù)、FTP服務(wù)、打印機(jī)服務(wù)等)端口暴露在公共互聯(lián)網(wǎng),其中375家單位的應(yīng)用服務(wù)使用了極簡(jiǎn)易密碼,攻擊者可通過公共互聯(lián)網(wǎng)輕易獲取這些服務(wù)的控制權(quán),這可能引發(fā)批量應(yīng)用服務(wù)被惡意控制、大量健康醫(yī)療數(shù)據(jù)泄露的安全事件。

第三類,網(wǎng)站篡改風(fēng)險(xiǎn)。
對(duì)樣本觀測(cè)后發(fā)現(xiàn),有4546家單位網(wǎng)站存在安全隱患,其中261家單位網(wǎng)站已有被惡意篡改的記錄。醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機(jī)構(gòu)網(wǎng)站等都是境外機(jī)構(gòu)的重點(diǎn)攻擊對(duì)象,且網(wǎng)站篡改手法多變。

醫(yī)療系統(tǒng)攻擊也是較為常見的醫(yī)療信息安全事故類型。2017年,我國(guó)某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵,超過7億條公民信息遭泄露,超8000萬條公民信息被販賣。同年,美國(guó)醫(yī)療設(shè)備公司Patient Home Monitoring的醫(yī)療數(shù)據(jù)存儲(chǔ)紀(jì)錄遭破解泄露,導(dǎo)致47.5GB的數(shù)據(jù)泄露,包含多達(dá)31.5萬份PDF檔案,涉及近15萬患者的個(gè)人基礎(chǔ)信息、醫(yī)生和病例記錄以及血液檢查結(jié)果等隱私信息。

雖然我國(guó)醫(yī)療數(shù)據(jù)信息泄露事件在公眾視野下暴露的較少,實(shí)則暗潮涌動(dòng)。

2018年,威瑞森發(fā)布的《受保護(hù)健康信息泄露報(bào)告》表明,受訪醫(yī)療提供商遭遇的數(shù)據(jù)泄露中,有57.5%都是內(nèi)部人導(dǎo)致的,只有42%是外部攻擊者所為。外部攻擊可用技術(shù)預(yù)防,但內(nèi)部人員問題的確是防不勝防。

相對(duì)于其他行業(yè)來說,醫(yī)療行業(yè)對(duì)信息安全的關(guān)注度和重視程度是不夠的,風(fēng)險(xiǎn)意識(shí)薄弱,監(jiān)管力度不足,行業(yè)整體缺乏完整的安全體系建設(shè)和包括應(yīng)急響應(yīng)在內(nèi)的一套完整、成熟的流程制度,尤其是中基層醫(yī)療機(jī)構(gòu),由于無法做到專人專職,在體系化建設(shè)和專業(yè)技術(shù)能力支撐方面存在加大的缺口。

因此,加強(qiáng)人員網(wǎng)絡(luò)安全意識(shí)培訓(xùn),定期組織相關(guān)人員學(xué)習(xí)網(wǎng)絡(luò)安全,對(duì)安全崗位人員技能提升與培養(yǎng),落實(shí)網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全保護(hù)建設(shè)中容易被忽視卻也是非常重要的一個(gè)環(huán)節(jié)。

2019年,中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心根據(jù)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的實(shí)際狀況,特別對(duì)醫(yī)療行業(yè)安全崗位能力培訓(xùn)推出了信息安全保障人員認(rèn)證(CISAW-HSP),兼顧醫(yī)療信息安全技術(shù)與管理,定崗提升安全從業(yè)人員的崗位能力。中科至善作為CISAW-HSP授權(quán)培訓(xùn)機(jī)構(gòu),已累計(jì)幫助近400名醫(yī)療從業(yè)人員取得資格認(rèn)證。

 

 證書咨詢

 電話咨詢  在線咨詢  預(yù)約報(bào)名