等保不是安全建设的唯一目标但是必须达到的目标,等保2.0对医疗行业提出了更高的要求。获得可持续的安全保障是安全建设的重要目标,网络安全与医疗业务应用系统共生存,跟业务系统一样需要专业的团队来运营;网络安全绝不是简单的设备堆砌,使用和管理更重要,只要网络还存在,安全就是一个永恒的主题。
医疗行业网络安全形式严峻
医疗行业网络安全面临四大风险
根据《数字医疗网络安全报告》数据,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,医疗行业网络安全面临四大风险:资产脆弱性风险、僵木蠕毒风险、漏洞风险、网站篡改风险。0
9画
遭受勒索病毒攻击严重
根据年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,医院中,有家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。年初,某医院同时感染GlobeImposter3.0变种勒索病毒而被加密,GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行业中,医疗行业占比约50%。医疗行业受勒索病毒感染情况严重。
缺乏必要的网络安全防护设备
根据CHIMA《-医院信息化状况调查报告》显示,医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。医院都缺乏必要的网络防护设备。
医疗行业等级保护相关政策法规
等级保护相关法规要求
《中华人民共和国网络安全法》
第二十一条:“国家实施网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”
第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护“。
《关键信息基础设施安全保护条例》年9月1日实施
第二条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《网络安全等级保护条例》(征求意见稿)年6月27日公安部