復(fù)旦大學(xué)附屬腫瘤醫(yī)院 王駿杰

一、國(guó)內(nèi)外醫(yī)療行業(yè)近年網(wǎng)絡(luò)安全事件

在國(guó)際上，發(fā)生了多起因網(wǎng)絡(luò)安全導(dǎo)致的重大危害事件，甚至造成了政府部門的倒臺(tái)。比如，2007年4月至5月間，愛沙尼亞遭受全國(guó)性網(wǎng)絡(luò)攻擊，大量網(wǎng)站被迫關(guān)閉。2010年伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊，導(dǎo)致1000多臺(tái)離心機(jī)癱瘓，無(wú)法工作。“震網(wǎng)”病毒攻擊癱瘓物理設(shè)施，這個(gè)病毒使用了4個(gè)0day漏洞組成，并且能自動(dòng)判斷設(shè)備的型號(hào)來(lái)發(fā)起攻擊，引起世界的震動(dòng)。2015年12月23日，烏克蘭電力基礎(chǔ)設(shè)施遭受到惡意代碼攻擊，導(dǎo)致大面積地區(qū)數(shù)小時(shí)的停電事故，造成嚴(yán)重社會(huì)的嚴(yán)重恐慌。2018年，在西班牙“Denis.K”團(tuán)伙通過(guò)釣魚郵件控制ATM設(shè)備，造成40多個(gè)國(guó)家的銀行總計(jì)10億美元的損失。這些具備信息戰(zhàn)水平的網(wǎng)絡(luò)安全攻擊，所帶來(lái)的慘痛教訓(xùn)以及所反映的共同問題，就是網(wǎng)絡(luò)安全防護(hù)工作沒有跟上信息化的腳步，使得國(guó)家政權(quán)、基礎(chǔ)設(shè)施、社會(huì)生活和大量資產(chǎn)面臨極大的安全風(fēng)險(xiǎn)。

在醫(yī)療行業(yè)同樣如此，隨著新冠疫情在全球蔓延，針對(duì)醫(yī)療行業(yè)的各類網(wǎng)絡(luò)安全攻擊事件愈演愈烈。不同于其他關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，醫(yī)療衛(wèi)生系統(tǒng)更關(guān)系到人們的生命安全。醫(yī)療行業(yè)的特殊性質(zhì)也使得它們成為攻擊者關(guān)注的重點(diǎn)，以此獲得更豐厚的回報(bào)。一篇Verizon發(fā)布的網(wǎng)絡(luò)安全報(bào)告顯示，在全世界范圍內(nèi)，醫(yī)療行業(yè)是內(nèi)部威脅高于外部威脅的一個(gè)行業(yè)，內(nèi)部從業(yè)人員對(duì)醫(yī)療數(shù)據(jù)的泄露達(dá)到了驚人的程度。

該報(bào)告稱內(nèi)部人員泄露信息的原因主要有三個(gè)：一是受經(jīng)濟(jì)利益驅(qū)使；二是處于好奇而窺視名人的隱私信息；三是因?yàn)檫@些信息觸手可及。除了“內(nèi)鬼”，黑客攻擊是醫(yī)療信息另一個(gè)安全隱患。眼保健集團(tuán)Luxottica受到了黑客入侵，4天時(shí)間竊取了多達(dá)829萬(wàn)名患者的處方、健康保險(xiǎn)詳細(xì)信息、預(yù)約日期和時(shí)間、信用卡信息。而且我國(guó)也同樣如此。廣東、重慶多家三甲醫(yī)院服務(wù)器被黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用有道筆記的分享文件功能下載多種挖礦木馬。攻擊者將挖礦木馬偽裝成遠(yuǎn)程協(xié)助工具Teamviewer運(yùn)行，攻擊者的挖礦木馬會(huì)檢測(cè)多達(dá)50個(gè)常用挖礦程序的進(jìn)程，將這些程序結(jié)束進(jìn)程后獨(dú)占服務(wù)器資源挖礦。該挖礦木馬還會(huì)通過(guò)修改注冊(cè)表，破壞操作系統(tǒng)安全功能：禁用UAC（用戶賬戶控制）、禁用Windows Defender，關(guān)閉運(yùn)行危險(xiǎn)程序時(shí)的打開警告等等。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)分析，我國(guó)醫(yī)療機(jī)構(gòu)開放遠(yuǎn)程登錄服務(wù)的比例高達(dá)50%，這意味著有一半的服務(wù)器可能遭遇相同的攻擊。

而勒索軟件，醫(yī)療行業(yè)也是其重災(zāi)區(qū)。醫(yī)院和一些醫(yī)療機(jī)構(gòu)的重要性成為其“脆弱”的主要原因。一旦醫(yī)院受到攻擊，短暫的系統(tǒng)停擺都會(huì)造成重大的災(zāi)難，關(guān)乎患者的性命，正因?yàn)槿绱?，醫(yī)院一直是勒索軟件的主要攻擊目標(biāo)之一，因?yàn)樗麄儾桓也恢Ц囤H金。此外，隨著物聯(lián)網(wǎng)滲透到醫(yī)療領(lǐng)域的各個(gè)層面，暴露在聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù)也為惡意分子發(fā)起攻擊提供了更多的可能，而醫(yī)療數(shù)據(jù)價(jià)值高、勒索金額巨大也吸引著惡意分子。據(jù)了解，從2018年開始，我國(guó)醫(yī)療體系遭受攻擊的頻率就呈明顯上升趨勢(shì)。國(guó)內(nèi)曾出現(xiàn)過(guò)多起醫(yī)院遭遇勒索病毒的事件，攻擊者入侵醫(yī)院信息系統(tǒng)，導(dǎo)致部分文件和應(yīng)用被病毒加密破壞，影響醫(yī)院正常運(yùn)行，患者無(wú)法正常接受治療。目前，在新冠病毒感染患者的確認(rèn)、治療關(guān)鍵時(shí)期，一旦勒索病毒入侵醫(yī)院，發(fā)生干擾CT掃描、竊聽診療信息或劫持系統(tǒng)的情況，可能造成難以挽回的傷害。

挖礦木馬，這是一類利用漏洞入侵計(jì)算機(jī)，并植入挖礦軟件以挖掘加密數(shù)字貨幣的木馬。2018年7月，騰訊御見威脅情報(bào)中心監(jiān)測(cè)到多家醫(yī)院服務(wù)器被黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用云分享文件功能下載多種挖礦木馬，挖山寨加密幣。從而導(dǎo)致醫(yī)院業(yè)務(wù)系統(tǒng)性能變差、速度變慢，因而錯(cuò)過(guò)患者的黃金診療時(shí)間。醫(yī)院的“業(yè)務(wù)”是什么?救死扶傷。而挖礦木馬的運(yùn)行不僅會(huì)導(dǎo)致計(jì)算機(jī)CPU占用明顯增加、系統(tǒng)卡頓，甚至?xí)箻I(yè)務(wù)服務(wù)無(wú)法正常使用。另一方面，挖礦木馬為了不被清除，還會(huì)通過(guò)防火墻配置、修改計(jì)劃任務(wù)等方式進(jìn)行安全對(duì)抗，再次影響業(yè)務(wù)的開展。在《2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測(cè)報(bào)告》中，被觀測(cè)的15339家醫(yī)療健康相關(guān)單位中近400家單位已經(jīng)存在挖礦木馬。其中，此次疫情重災(zāi)區(qū)湖北省，在報(bào)告中“醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀”的風(fēng)險(xiǎn)級(jí)別為“較大風(fēng)險(xiǎn)”，即威脅種類較多、攻擊頻率較高，存在較多安全隱患。報(bào)告還對(duì)各省單位存在僵木蠕等惡意程序的占比情況進(jìn)行了對(duì)比分析，湖北省同樣處在占比最高的序列。

對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)安全隱憂，并不是無(wú)稽之談。在挖礦木馬消耗計(jì)算機(jī)資源、醫(yī)療設(shè)備資源的背景下，甚至并不排除這類網(wǎng)絡(luò)攻擊引發(fā)延誤診療的可能。

二、醫(yī)療行業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

（1）目前“互聯(lián)網(wǎng)+醫(yī)療”、大數(shù)據(jù)、移動(dòng)化、平臺(tái)化以及云計(jì)算等新業(yè)務(wù)的發(fā)展，打破傳統(tǒng)的防護(hù)體系，更多的醫(yī)療系統(tǒng)漏洞暴露于公眾視野下。床頭卡、監(jiān)護(hù)儀、輸液泵、攝像頭等物聯(lián)網(wǎng)新客戶端也進(jìn)入醫(yī)院的網(wǎng)絡(luò)系統(tǒng)。

（2）醫(yī)院信息工作繁重，網(wǎng)絡(luò)安全專業(yè)人才少，整體網(wǎng)絡(luò)安全意識(shí)不強(qiáng)。工作龐雜，單個(gè)信息中心難以推動(dòng)網(wǎng)絡(luò)安全的發(fā)展，并且跨部門協(xié)調(diào)流程多，效率較低，以及團(tuán)隊(duì)之間職責(zé)分工不明確。

（3）供應(yīng)商數(shù)量眾多且安全意識(shí)薄弱，為醫(yī)院帶來(lái)潛在風(fēng)險(xiǎn)。一家醫(yī)院內(nèi)除了醫(yī)護(hù)人員、行政人員，會(huì)有保安、保潔或者第三方供應(yīng)商駐場(chǎng)人員，人員構(gòu)成復(fù)雜以及流動(dòng)性大。

（4）醫(yī)院的預(yù)警、感知、溯源、風(fēng)險(xiǎn)識(shí)別、漏洞管理等能力較為薄弱；設(shè)備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統(tǒng)的一般方法首先是猜測(cè)或爆破登錄口令然后再進(jìn)行其他破壞操作。身份鑒別是設(shè)備和軟件安全的重要模塊，使用復(fù)雜密碼，可以有效阻止三分之一以上的網(wǎng)絡(luò)攻擊行為；互聯(lián)網(wǎng)邊界防護(hù)策略過(guò)于寬松，邊界完整性破壞，導(dǎo)致高危系統(tǒng)錯(cuò)誤暴露；應(yīng)用系統(tǒng)缺陷，對(duì)外發(fā)布的系統(tǒng)存在缺陷，易被攻破；內(nèi)部網(wǎng)絡(luò)隔離失效，導(dǎo)致攻擊者可以間接攻擊高價(jià)值資產(chǎn)；內(nèi)部安全意識(shí)淡薄，被有心人有機(jī)可乘，非授權(quán)獲取數(shù)據(jù)；內(nèi)部管控策略失效，越權(quán)竊取數(shù)據(jù)，蓄意泄露。

三、措施及建議

（1）建立新的網(wǎng)絡(luò)安全防護(hù)體系，核心資產(chǎn)具備“縱橫”防御體系；梳理業(yè)務(wù)流量，保證所有流量都在防御體系的監(jiān)控范圍內(nèi)；設(shè)備防御能力合理搭配，防御能力覆蓋前面（應(yīng)用、網(wǎng)絡(luò)、主機(jī)）；設(shè)備特點(diǎn)相互補(bǔ)充，進(jìn)行冗余部署；盡量實(shí)現(xiàn)自動(dòng)化封禁；應(yīng)急響應(yīng)流程明確。

（2）高層領(lǐng)導(dǎo)重視是前提條件，跨部門團(tuán)結(jié)合作是必備條件，組織攻防項(xiàng)目組，覆蓋測(cè)試、開發(fā)、應(yīng)用、運(yùn)維多個(gè)部門。增強(qiáng)醫(yī)務(wù)工作者網(wǎng)絡(luò)安全意識(shí)，定期開展網(wǎng)絡(luò)安全培訓(xùn)，養(yǎng)成良好的安全習(xí)慣。

（3）加強(qiáng)供應(yīng)商及第三方駐場(chǎng)人員管理：配備專用運(yùn)維計(jì)算機(jī)，供廠商用于日常信息系統(tǒng)開發(fā)、運(yùn)維工作；專用運(yùn)維計(jì)算機(jī)按照“最小化”安裝原則進(jìn)行軟硬件適配；通過(guò)技術(shù)措施，禁用相關(guān)接口，達(dá)到“數(shù)據(jù)可以使用，但無(wú)法帶走”的目的；通過(guò)部署堡壘機(jī)等技術(shù)手段，對(duì)所有運(yùn)維操作保留記錄；通過(guò)準(zhǔn)入控制設(shè)備、IP/MAC綁定等措施禁止個(gè)人/供應(yīng)商電腦接入本單位網(wǎng)絡(luò)；運(yùn)維人員進(jìn)出機(jī)房等重點(diǎn)區(qū)域必須登記；專人定期檢查已經(jīng)結(jié)束運(yùn)維服務(wù)的運(yùn)維人員的訪問權(quán)限回收情況。

相關(guān)鏈接

由于基礎(chǔ)設(shè)施建（僅表示信息化基礎(chǔ)）設(shè)不到位，中國(guó)的醫(yī)療信息化建設(shè)主要集中在大城市的大醫(yī)院（中國(guó)有1300家左右的三甲醫(yī)院，醫(yī)療信息化大多集中于此），在中小城市、特別是縣、鄉(xiāng)鎮(zhèn)醫(yī)院除了辦公自動(dòng)化之外，對(duì)信息化建設(shè)是有心無(wú)力，而本次醫(yī)改的一個(gè)重要特點(diǎn)，就是將加強(qiáng)基層醫(yī)療，擴(kuò)大基本醫(yī)療保障覆蓋面，醫(yī)療信息化在這方面發(fā)揮著重要作用，本次醫(yī)改使得醫(yī)療信息化的主體從此前的單個(gè)的醫(yī)院轉(zhuǎn)向了片區(qū)整合。

更多人首選社區(qū)醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院和診所就診。

共同體一般會(huì)建設(shè)一個(gè)共同體協(xié)管中心，共同體協(xié)管中心是醫(yī)院、社區(qū)醫(yī)院、衛(wèi)生院和診所的信息聚集點(diǎn)，使患者就診信息的雙向傳遞成為可能。

共同體的建設(shè)提升了社區(qū)醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院和診所的服務(wù)水平，能夠有名醫(yī)會(huì)診，可以雙向轉(zhuǎn)診，大大降低了患者就醫(yī)的風(fēng)險(xiǎn)，越來(lái)越多的患者開始了首診就醫(yī)在社區(qū)，中小醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院或診所。

共同體協(xié)管中心是整個(gè)共同體的信息聚集點(diǎn)和協(xié)調(diào)部門，共同體的建設(shè)處于試點(diǎn)階段，尚未全面實(shí)行。