前 言 坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党 的十九大会议精神,为促进“互联网+医疗健康”安全发展,支撑健康 医疗大数据的服务安全管理,根据《中华人民共和国网络安全法》 《全 国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法 规和《健康中国行动(2019-2030 年)》《国务院办公厅关于促进“互 联网+医疗健康”发展的意见》《国务院办公厅关于促进和规范健康 医疗大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗 大数据应用发展的指导意见》《信息安全技术 个人信息安全规范》 《国家健康医疗大数据标准、安全和服务管理办法(试行)》等标准 规范与文件精神,中国信息通信研究院(以下简称:中国信通院)在 有关领导部门的指导下,联合卫生信息安全与新技术应用专业委员会 (以下简称:专委会)和中国医院协会信息管理专业委员会(以下简 称:CHIMA)等相关单位,聚焦于健康医疗行业 App,梳理健康医疗 行业 App 的安全现状,探究健康医疗行业 App 的网络安全问题,总 结形成本观测报告。 本次观测行动集中观测了健康医疗行业中基于安卓系统的移动 应用,共涉及 106 个安卓应用市场的 8350 个 App。经过持续数月的 观测,本报告研究团队综合运用大数据、漏洞扫描、病毒检测、抽样 研究等技术和研究手段,全方位、多维度地梳理了健康医疗行业 App 的网络安全现状。研究发现,健康医疗行业 App 安全风险的集中体现 在以下四个方面,一是安全漏洞风险居高,二是恶意程序危害严重, 三是第三方 SDK 引入风险,四是安全加固比例偏低。 本报告旨在通过对健康医疗行业的移动 App 的网络安全现状进 行观测与风险分析,提出健康医疗行业移动 App 安全工作的思路与 建议,通过与各单位的协同联动,促进健康医疗行业 App 的网络安全 生态体系建立,支撑保障互联网医疗的安全发展。限于时间和能力所 限,内容疏漏在所难免,烦请各界不吝指正。 目 录 一、健康医疗行业 App 观测背景 ...................................... 1 (一)移动应用安全的政策背景 ..................................... 1 (二)健康医疗行业 App 的安全现状 ................................. 2 二、健康医疗行业 App 观测结果 ...................................... 4 (一)观测对象分布情况 ........................................... 4 (二)观测对象风险集中表现 ....................................... 5 三、健康医疗行业 App 的安全风险分析 ................................ 7 (一)安全漏洞风险居高 ........................................... 7 (二)恶意程序危害严重 ........................................... 8 (三)第三方 SDK 引入风险 ........................................ 11 (四)安全加固比例偏低 .......................................... 14 四、健康医疗行业 App 的安全工作思路 ............................... 16 附录 A 健康医疗行业 App 地域分布表 ................................. 18 附录 B 存在恶意程序的 App 详情 ..................................... 19 附录 C App 恶意程序类型解释 ....................................... 24 一、健康医疗行业 App 观测背景 (一)移动应用安全的政策背景 自十八大以来,党中央和国务院高度重视网络安全。习近平总书 记指出,没有网络安全就没有国家安全,将网络安全提升到国家战略 高度。随着移动互联网的快速发展,移动互联网安全在整体网络安全 中的重要性愈加突出,而移动互联网安全的重中之重就是移动 App 的 网络安全。 2019 年 1 月 25 日,中央网信办、工业和信息化部、公安部、市 场监督总局四部门联合发布《关于开展 App 违法违规收集使用个人 信息专项治理的公告》,成立 App 专项治理工作组在全国范围内组织 开展 App 违法违规收集使用个人信息专项治理行动。3 月 1 日,App 专项治理工作组发布了《App 违法违规收集使用个人信息自评估指南》 (以下简称:《自评估指南》),指导各相关单位进行自查整改。3 月 15 日市场监管总局、中央网信办正式对外发布公告,将依据《移动互 联网应用程序(App)安全认证实施规则》开展 App 安全认证工作。 5 月 5 日,App 专项治理工作组起草了《App 违法违规收集使用个人 信息行为认定方法(征求意见稿)》(以下简称《认定方法》),并 在其官网和公众号公开,向社会各界公开征求意见,《认定方法》明 确界定了 App 收集使用个人信息方面的违法违规行为,为 App 运营 者自查自纠提供指引,为 App 评估和处置提供参考。7 月 1 日,工业 和信息化部印发《电信和互联网行业提升网络数据安全保护能力专项 行动方案》,强调为深化 App 违法违规专项治理,将持续推进 App 违 1 法违规采集使用个人信息专项治理行动。8 月 8 日,为落实《中华人 民共和国网络安全法》(以下简称《网络安全法》)对个人信息保护 的相关要求的同时,加快相应标准化工作,全国信息安全标准化技术 委员会秘书处颁布《信息安全技术 移动互联网应用(App)收集个人 信息基本规范(草案)》,向社会公开征求意见。 App 相关法律法规的密集颁布和出台,体现了政府对于保障 App 网络安全的重视和治理 App 网络安全的决心,也反映出当前移动 App 安全面临着严峻的形势。 (二)健康医疗行业 App 的安全现状 近年来,随着智能手机和移动互联网的快速发展,移动 App 已经 深入应用到大众生活的方方面面。随着“互联网+医疗健康”工作深 入推进,越来越多的行业主管部门、健康医疗机构、医疗服务提供商 和行业从业者通过移动 App 提供服务。然而,移动 App 在给大众生 活带来巨大便利的同时,也给大众带来了相应的安全隐患。移动 App 网络安全相关的法律法规和标准规范体系不完善,给不法分子带来可 乘之机;安卓第三方应用商店繁多,App 上线审核不规范,管理不严 格情况时有发生;健康医疗 App 开发者安全意识薄弱,技术手段落 后,开发流程不规范,更新修复不及时等问题严重;App 的用户缺乏 安全意识,不良的 App 使用习惯带来安全隐患。据《2018 年中国互 联网网络安全报告》显示,2013-2018 年,移动互联网恶意程序样本 数量持续高速增长,仅 2018 年由国家互联网应急中心捕获及通过厂 商交换获得的移动互联网恶意程序样本数量已达到 282.97 万个,同 2 比增长 11.7%。由此可见,健康医疗行业 App 面临的网络安全形势日 趋严峻,App 网络安全管理亟待加强。 为了进一步贯彻落实习近平总书记网络强国战略思想,促进“互 联网+医疗健康”安全发展,为健康医疗相关行业主管部门、行业从业 者和信息安全厂商提供决策依据,由中国信通院安全研究所牵头,专 委会、CHIMA 等相关单位参与,对基于安卓系统的健康医疗行业 App 的网络安全现状进行观测,形成本观测报告。 3 二、健康医疗行业 App 观测结果 (一)观测对象分布情况 截止 2019 年 10 月 1 日,报告团队从 106 个安卓应用市场共收录 了 8350 款健康医疗类 App 作为观测对象。 从观测对象的地域分布来看,有 8181 款 App 能明确归属省份, 覆盖了全国除港、澳以外所有的 32 个省级行政区(健康医疗行业 App 地域分布参加附录 A),平均每个省级行政区生成健康医疗行业 App 约 255.7 款。健康医疗行业 App 生成地域分布不均,如图 1 所示,北 京、广东的产量破千,而西藏、青海等省份产量仅为个位数。 图 1 健康医疗行业 App 地域分布情况 同时,研究团队将本次观测的健康医疗行业 App 进行了分类,主 要包含互联网医疗类、医疗机构类、健康管理类、运动健身类、医美 4 类、药品器械类、母婴类等类别。 互联网医疗类:主要是互联网公司与传统医疗信息服务融合的 App,提供各类线上医疗服务,如平安好医生等。 医疗机构类:主要是各类医院的官方 App,提供医院信息展示和 各类便民服务,如北京协和医院官方 App 等。 健康管理类:主要是健康管理相关信息、工具、服务平台,如大 姨妈等。 从观测对象的类型分布来看,互联网医疗类 App 以 30.38%的高 占比排名第一。其次是医疗机构类 App,占比 24.44%。排名第三的是 健康管理类 App,占比 17.10%。其他 App 集中在健康医疗行业核心 的几个垂直子行业,包括运动健身类、医美类、药品器械类和母婴类 等 App 总占比约为 30%。具体数据如图 2 所示。 母婴, 432, 5.17% 药品器械, 557, 6.67% 医美, 645, 7.72% 互联网医疗, 2537, 运动健身, 710, 30.38% 8.50% 健康管理, 1428, 17.10% 医疗机构, 2041, 24.44% 图 2 健康医疗行业 App 分类分布情况 (二)观测对象风险集中表现 1.以仿冒 App 为代表的高危漏洞风险 在本次观测中,发现有 88.83%的健康医疗行业 App 存在高危漏 5 洞,攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户 敏感信息、攻击服务等,对 App 安全具有严重威胁。其中存在被仿冒 安全风险的 App 占比最高,约为 72.91%。 2.以流氓行为代表的恶意程序感染风险 本次观测发现,共有 72 款健康医疗行业 App 被检测出恶意程序, 感染率为 0.86%,主要涉及的恶意行为包括流氓行为、资费消耗、信 息窃取、远程控制、恶意扣费等多种恶意行为,给 App 用户的个人隐 私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占 比最多,约为 79.17%。 3.使用第三方
信通院 2019健康医疗行业移动App安全观测报告
文档预览
中文文档
29 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共29页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-11 12:50:26上传分享