醫(yī)療服務信息化是國際發(fā)展的趨勢，也是我國醫(yī)療改革的的重要內(nèi)容和必由之路。隨著信息技術的快速發(fā)展，越來越多的企業(yè)和醫(yī)療機構加入到醫(yī)療信息化的建設浪潮中。互聯(lián)網(wǎng)醫(yī)療火熱背后，醫(yī)療信息安全問題如影隨形。近年來，針對醫(yī)院的勒索、挖礦、醫(yī)療信息泄露等醫(yī)療行業(yè)的信息安全事件層出不窮，醫(yī)院信息系統(tǒng)已經(jīng)成為了不法黑客的重點攻擊對象之一。
一、概述
本報告由騰訊智慧安全研究發(fā)布，中國醫(yī)院協(xié)會信息管理專業(yè)委員會（CHIMA）提供醫(yī)療行業(yè)信息化狀況調(diào)查報告，雙方基于大數(shù)據(jù)對醫(yī)療行業(yè)安全狀況進行了客觀、量化的評估，深入分析了醫(yī)療行業(yè)的典型安全威脅以及所面臨的潛在安全風險，并嘗試引導性的進行行業(yè)安全治理、規(guī)避潛在的安全風險，提升安全管理水平。
報告以安全大數(shù)據(jù)及第三方授權或公開的信息和數(shù)據(jù)為基礎，結合抽樣分析/調(diào)查報告等方法，經(jīng)綜合整理、分析得出。其主要選取了信息化程度高，管理水平強的大中型醫(yī)院和指標數(shù)據(jù)作為參考對象，涵蓋956家三級甲等醫(yī)院、7家第三方醫(yī)療服務平臺，包括92個授權網(wǎng)站、79個患者APP（安卓版）等外部網(wǎng)絡資產(chǎn)。
另外本報告還參考了由中國醫(yī)院協(xié)會信息管理專業(yè)委員會（CHIMA）發(fā)布的《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報告》（以下簡稱《調(diào)查報告》）。
自《中華人民共和國網(wǎng)絡安全法》頒布，在衛(wèi)健委指導下，全國醫(yī)院信息安全建設水平不斷提升。從指數(shù)總體來看，全國醫(yī)療行業(yè)指數(shù)值處于良好水平（759分）。
然而，2018年至今，我國醫(yī)療體系遭受攻擊的頻率呈明顯上升趨勢，醫(yī)療信息安全環(huán)境并不樂觀。黑客入侵攻擊、信息泄露等安全問題對醫(yī)院等公共機構的威脅仍不容忽視。
從安全指數(shù)所指向的問題來看，醫(yī)療行業(yè)信息安全建設意識薄弱，核心數(shù)據(jù)缺乏有效的安全防護。問題主要表現(xiàn)為：
網(wǎng)絡空間資產(chǎn)端口開放較多，隱患大，如開放遠程登錄服務的比例高達50%；
外網(wǎng)電腦的安全風險較多，可能會給不法訪問者以可乘之機；
線上服務平臺及第三方醫(yī)療服務平臺脆弱性會提升醫(yī)療數(shù)據(jù)泄露的風險；
醫(yī)療行業(yè)已經(jīng)成為勒索病毒攻擊的主要目標，醫(yī)療業(yè)務連續(xù)性受到挑戰(zhàn)。
二、安全指數(shù)情況
2.1、安全指數(shù)評估
安全指數(shù)說明
本報告聯(lián)合團隊基于安全大數(shù)據(jù)、人工智能分析技術和威脅實時感知能力，從多個安全維度和安全特征，對醫(yī)療行業(yè)整體安全態(tài)勢進行了全面、客觀的威脅分析和脆弱性評估，并在全面風險量化分析的基礎上匯總得到了“騰訊智慧安全指數(shù)”（以下簡稱“安全指數(shù)”）。
安全指數(shù)以多個不同維度的安全問題評估為基礎，在安全問題評估的基礎上分別匯集到相應的安全域，對各個安全域進行加權匯總，得到了企業(yè)安全指數(shù)。然后按照行業(yè)屬性，對企業(yè)安全指數(shù)求均值即可得到行業(yè)互聯(lián)網(wǎng)安全指數(shù)。
安全指數(shù)以客觀安全數(shù)據(jù)為依據(jù)的特性，使其一定程度上能夠反映行業(yè)安全趨勢，具有先導性、預測性。進一步地，利用該安全指數(shù)，可對相關行業(yè)進行安全狀況差距對比、安全問題洞察等。更多關于安全指數(shù)的定義和計算的詳情，見附錄。
安全指數(shù)是介于0~1000區(qū)間內(nèi)，數(shù)值越高，其安全狀況越好、風險水平越低。不同指數(shù)區(qū)間，反應的響應安全狀況如下表所示。
指數(shù)值
含義
0~499
較差
500~699
一般
700~899
良好
900~1000
優(yōu)秀
表2-1 指數(shù)的含義映射表
安全指數(shù)態(tài)勢
除港澳臺以外的各省市、自治區(qū)具體數(shù)據(jù)來看，北京市、上海市、吉林省、重慶市、山東省的安全指數(shù)排名最高，安全指數(shù)均高于770，排名靠后的幾個省（市）安全指數(shù)值均低于750分。

圖2-1 各省（市）安全指數(shù)排名（前五）
以國內(nèi)（除港澳臺以外）各醫(yī)院的維度來看， 醫(yī)院安全指數(shù)的分布如下：
22%的醫(yī)院安全指數(shù)處于優(yōu)秀水平；
38%的醫(yī)院安全指數(shù)處于良好水平；
39%的醫(yī)院安全指數(shù)處于一般水平；
1%的醫(yī)院安全指數(shù)處于較差水平。

圖2-2 安全指數(shù)的等級分布情況（醫(yī)院維度）
目前醫(yī)療行業(yè)面臨的問題主要集中在主機安全、應用安全和網(wǎng)絡安全。如圖2-3所示，其安全指數(shù)值越低，風險越高。

圖2-3 醫(yī)療行業(yè)網(wǎng)絡安全指數(shù)情況(除港澳臺以外)
2.2、安全措施采用情況
安全措施采用情況，引用了由中國醫(yī)院協(xié)會信息管理專業(yè)委員會（CHIMA）發(fā)布的《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報告》中的調(diào)查數(shù)據(jù)，該調(diào)查報告共收到反饋的調(diào)查報告535份，其中有效答卷484份，分別對應484家相互獨立，沒有重復與關聯(lián)的醫(yī)院。484家醫(yī)院占到全國醫(yī)院總數(shù)的1.80%。
樣本覆蓋除香港特別行政區(qū)、澳門特別行政區(qū)以及臺灣省以外的29個行政區(qū)。數(shù)據(jù)詳情可參閱《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報告》。
醫(yī)院實施等級保護情況
從調(diào)查數(shù)據(jù)來看，有36.16%的醫(yī)院通過了等級保護測評。經(jīng)濟發(fā)達地區(qū)實施等級保護工作的比例高于中等發(fā)達地區(qū)和經(jīng)濟欠發(fā)達地區(qū)。

圖2-4 醫(yī)院等級保護工作情況
系統(tǒng)安全措施采用情況
對參與調(diào)查關于醫(yī)院采用的操作系統(tǒng)