网络攻击持续威胁医疗行业！某市卫健委如何实现一盘棋、一体化防御？

近年来，医疗卫生行业频遭网络攻击，且损失巨大。2024年4月，美国联合健康集团（UnitedHealth）对外披露，为应对子公司勒索软件攻击事件，2024年第一季度付出的总成本已经达到8.72亿美元（约合人民币63.13亿元），再次揭露了网络攻击对医疗卫生机构带来的巨大损失。该事件直接导致美国相关机构近期拟修《健康保险可携性与责任法案》（HIPAA）的网络安全要求，据估算，新规在未来5年内将产生超2400亿元的网络安全合规支出。

在国内，国家对医卫行业的网络安全重视力度持续加大。2018年国务院办公厅下发《关于促进“互联网+健康医疗”发展的意见》，提出加强医疗卫生机构的信息防护，定期开展安全隐患排查、监测和预警相关要求，提升安全态势感知、预警和安全事件处置能力。2022年8月，国家卫生健康委、国家中医药局和国家疾控局联合发布了《关于印发医疗卫生机构网络安全管理办法的通知》，将医疗卫生网络安全建设提升到一个新的高度。

某市卫健委旗下有8个区县卫健局，162家乡镇卫生机构，以及若干个医共体机构，同时，该卫健委建设了自己的卫生专网。近年来，随着信息化建设的普及，医共体建设的有序开展，卫生系统常遭遇的各类勒索病毒、木马等高级攻击手段也下沉到了卫生体系的末端，给卫生专网安全带来新的挑战。对于卫生系统专网的监管者和运营者来说，更是缺少指导和开展相关网络安全工作的工具和数据，亦无法对网络安全做到高效运营和深度管控。为此，该卫健委携手奇安信，探索了一个将网络安全防御框架“下沉”到医疗卫生体系末端的标杆案例。

据介绍，该市卫健委面临的安全问题主要集中体现在以下几个方面：

首先是安全数据大且分散，履行网络安全监管职能无抓手。

卫健委下辖机构庞大，由于以前各机构都是各自规划建设网络安全体系，各种系统审计信息、安全设备的告警信息各自独立存放，分散在各家单位，成为信息孤岛。当前，一方面，缺乏安全监管工具，难以对辖区医疗卫生机构网络安全合规性建设情况进行监管和督促；另一方面，网络安全的情报通报、威胁预警等无法及时传达各机构，并追踪执行落实。

其次是医卫人员缺乏安全能力，终端安全问题层出不穷，终端安全管理难。

每个医疗卫生机构都需要接入卫生专网，而卫生医疗机构工作人员多为一线医护人员，网络安全概念不清晰，网络安全意识较为薄弱，信息系统更易感染木马病毒，安全能力难以保障。

第三是局部分散的防护措施无法应对更加多样化的攻击手段。

目前，市与区县卫健委卫生专网网络各自建设及管理，各个医院信息化系统独立建设，且数据和系统维护、个性化建设都是各县（市）区及医院自己负责，该模式给卫生专网规范化、信息化建设都带来了困难。“木桶的最大容积取决于最短的一块木板”，在信息安全建设过程中往往为满足合规要求而堆砌安全产品，无法系统地、整体地规划安全体系，造成防护措施分散、无序，安全策略配置不到位、重复建设严重但安全短板依然存在。

第四是重大事件爆发时，高效指挥决策、协同处置难度较大。

当重要网络和信息系统遭受特别严重的系统损失、敏感信息和关键数据丢失或被窃取、对本单位或本行业构成严重威胁等安全事件发生时，一方面需要快速分析判定安全事件的起因、定位事件对应网络与系统的位置、研判危害程度、控制影响范围、并及时发布威胁预警，另一方面，当安全事件的级别达到重大时，需要及时准确向监管部门汇报，并配合监管部门完成威胁定位、取证、研判、处置等相关工作，这些工作的有效开展，不仅需要指挥决策和应急处置机制，同时需要安全事件的深度发现，攻击手法的快速分析，黑客组织的溯源判定，应急处置的及时有效，管理者开展高效指挥决策/协同处置难度较大。

最后是安全运营难度不断增大，运营人员的能力和水平带来挑战。

随着“互联网+医疗健康”发展不断深入，卫生专网信息系统规模日益庞大，整个卫生专网中发生的安全威胁事件也在不断增加，且安全管理人员数量不足，专业技能更新无法跟上安全技术的发展。目前安全运营工作无法做到专人专岗，往往都是身兼多职，这种情况严重影响安全威胁事件的检测、分析与处置的效率，无法保证高效的安全闭环管理。

结合这些挑战，该卫健委根据现状，统筹市、区县、及各大卫生医疗机构等网络安全建设，实现全局“一盘棋”，有序推进。具体包括以下几个方面：

1、体系化建设

依托于卫生专网，统筹市、区县及各大卫生医疗机构网络安全体系建设，提高整个卫生专网的“安全最低点”的安全保障能力，有效的避免和弥补安全短板。

2、终端安全管理及入网合规

建设终端安全合规管理能力，通过解决卫生医疗机构终端接入卫生专网安全合规性要求，核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的病毒木马防护、补丁升级、终端入网的追溯分析以及外设管理等管理问题。用于防止网络资源不受非法终端接入所引起的各种威胁，在有效管理用户和终端接入行为的同时，也保障了终端入网的安全可信，同时达到了规范化管理卫生医疗机构终端接入卫生专网的目的。

3、打造卫生专网边界安全防护体系

建设统一的网络边界防护能力，所有接入卫生专网医疗机构包括乡镇卫生院部署统一的下一代防火墙，提供网络层的访问控制、攻击防护、病毒防护等安全能力，并通过统一管理平台提供网络接入安全网关的统一管理、统一配置下发，拉齐卫生专网医疗机构安全基线，补齐卫生专网“安全短板”，降低安全事件影响范围。

4、健全市卫生专网主动防御能力

建设网络安全监管态势感知平台，强化风险应对（监测、预警、处置、溯源等）能力，落实一套完整的“事前有防范、事中有应对、事后有追溯”的安全主动防御体系，并后续进行合理的安全运营管理，实现新形势下安全管理上台阶、安全技术见实效、综合实力有提升的建设成效，通过与终端、安全网关等安全能力联动，形成具有主动防御和协同运营能力的新一代的网络安全监管与应急保障体系，实现市卫生专网长期安全稳定的运行。

5、打造实战安全运营体系，护航卫生信息化建设

依据国家打造卫生信息系统“平战结合”能力的要求，打造实战化的网络安全运营体系，护航卫生信息化建设。通过建设覆盖全市的网络安全监管平台，同时建立安全运营服务支撑能力，实现对全市卫生机构的数字化基础设施及业务的集威胁预测、威胁防护、持续检测、响应处置四位一体的闭环安全运行管理，以提高卫健委网络安全监管工作成效，护航全市卫生信息化建设。

经过体系化的建设，该项目最终获得了以下效果

第一，参考落实《党委（党组）网络安全工作责任制实施办法》的考核目标制定网络安全标准。

第二，整体提升了市卫生专网卫生系统安全风险防范能力和应对处置水平，通过建立统一安全配置的质量基线，避免市、区县与各大卫生医疗机构安全建设质量水平参差不齐留下安全短板。

第三，解决卫生医疗机构终端安全合规性要求，保障了终端入网的安全可信，同时达到了规范化管理预算单位接入终端的目的。

第四，通过事前预防、事中监控、事后溯源，建设一套完整的“事前有防范、事中有应对、事后有追溯”的安全监管与应急保障体系，应对未来的高级威胁，建立完善的卫生领域网络安全监管预警机制。

第五，通过统筹安全建设模式提升卫健专网信息安全管理效率，并通过规范的统一集约化安全防护模式相比于每个单位单独投资建设，大幅降低卫生专网信息系统运行安全成本。

结束语：

数据显示，在医疗行业，自2019年以来，由黑客攻击和勒索软件导致的大型数据泄露事件分别增长了89%和102%。大量患者敏感医疗数据、心理健康数据以及医疗程序数据被泄露到暗网上，部分医院被迫转为手动操作，都凸显了医疗机构遭到网络攻击带来的严峻影响。该市卫健委通过“一盘棋”的全局统筹建设模式，不仅实现了降本增效，极大提升了卫生信息系统的安全能力，更为医疗卫生体系末端安全能力建设积累了宝贵经验。