https://www.qianxin.com 发布机构： 奇安信行业安全研究中心补天漏洞响应平台奇安信安全托管团队奇安信安服团队安全内参2022 医疗卫生行业网络安全分析报告 THE REPORT 医疗卫生行业网络安全建设水平在近年来得到了快速提升。以补天平台收录的医疗卫生行业网站漏洞为例，网站漏洞修复率高达 98.9%，显著高于平均水平 97.8%，在所有行业中排名居前。同时，针对行业应急响应事件的分析也显示，96.4% 的事件是医疗卫生行业机构自主发现的，这一水平也较前些年有显著提升。弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。行业网站漏洞中，弱口令占有 13.4%；在运营风险事件中，弱口令事件占 30.0%。同时，弱口令问题也是网络安全应急响应事件重要诱因。数据安全已经成为医疗卫生行业网络安全建设不容忽视的重要一环。例如，在行业网站漏洞中，信息泄露漏洞占 21.7%；在运营风险事件中，信息泄露事件占12.6%；在行业网络安全应急响应事件中， 有 7.1% 的攻击者是为了窃取重要数据，最终导致数据丢失和数据被篡改等损失的事件占到了所有应急响应事件的近四成。恶意程序和漏洞利用是医疗卫生行业面临的最主要的网络安全风险。这两种类型风险在所有运营风险事件中占比 95.7%，在网络安全应急响应事件中占比 76.2%，是攻击者最为青睐的攻击手段。一旦攻击成功，将会造成不可估量的损失，甚至威胁患者的生命安全：2021 年，在美国就出现了首例因勒索软件攻击直接导致个人死亡的网络安全事件。信息化设备的日常规范使用和管理应当引起医疗卫生行业的高度重视。在行业网络安全应急响应事件中，有 16.7% 并不是由网络攻击事件触发，而是由于机构内部运营故障、操作失误或管理疏失所造成的。这也表明，网络安全工作与业务运营密不可分的。文中第四章第二节，就是鲜活典型案例。主要观点摘 要 2021 年全年，补天漏洞响应平台共收录全国医疗卫生行业相关网站的安全漏洞2568 个，占全年各类网站安全漏洞的 1.8%。医疗卫生行业网站漏洞中，通用型漏洞占比 0.3%，事件型漏洞占比 99.7%。从网站的 IP 归属地（省级）来看 , 来自北京市的医疗卫生行业网站被报告漏洞数量最多，占比约为 12.7%；其次是青海省，占比为 9.4%；广东省排第三，占比 9.1%。医疗卫生行业网站漏洞中，高危漏洞占比 38.4%；中危漏洞占比 52.7%；低危漏洞占比 8.9%。医疗卫生行业网站漏洞中，信息泄露漏洞占比最高，达 21.7%，其次是命令执行漏洞，占比 21.0%，弱口令占比 13.4%。相较于夜间 （20 ： 00~08 ： 00） ， 医院在日间 （08 ： 00~20 ： 00） 更容易遭受网络攻击，日间发生的风险事件占风险事件总数的 79.1%。从一周情况来看 , 周四是一周中医疗卫生行业风险事件最为高发的一天，占比为22.2%，其次在周五和周一，分别占比 18.9% 和 17.7%。从医疗卫生行业风险事件持续时长来看，攻击时长持续不到一分钟的事件占比44.6%，其中时长在 1 秒以内的占总量的 39.1%。医疗卫生行业风险事件以漏洞利用和恶意程序为主。漏洞利用占比 66.0%，恶意程序占比 29.7%。，其他类型占比 4.3%。在医疗卫生行业漏洞利用类型的风险事件中，弱口令漏洞占比最高，达 47.8%，信息泄露漏洞占比 12.6%，后门漏洞占比 11.9%，未授权访问漏洞占比 10.1%，暴力破解漏洞占比 5.7%。在医疗卫生行业恶意程序类型的风险事件中，远控木马类型占比 41.0%，挖矿木马类型占比 24.1%，勒索病毒类型占比 12.0%。2021 年全年，奇安信安服团队共参与处置医疗卫生行业网络安全应急响应事件 84起。其中，相关机构自行发现的网络安全事件占 96.4%，16.7% 是通过内部安全运营巡检的方式自主查出，79.7% 是因为其网络系统已经出现了显著的入侵迹象，或者已遭到了攻击者的敲诈勒索。由监管机构、主管单位、第三方平台通报处置的网络安全事件占 3.6%。医疗卫生行业网络安全应急响应事件的影响范围中，业务专网设备占比 81.0%，互联网设备占比 19.0%。从医疗卫生行业网络安全应急响应事件的攻击者意图来看，敲诈勒索和黑产活动占比最高， 占比分别为 51.2% 和 25.0%。 同时， 有 7.1% 是为了窃取重要数据， 还有 3.6%属于内部违规。对 2021 年医疗卫生行业安全事件攻击类型进行分析，排名前三的类型分别是：恶意程序占比 46.4%；漏洞利用占比 29.8%；钓鱼邮件占比 3.6%。在恶意程序中，木马攻击（非蠕虫病毒）占比 51.3%，蠕虫病毒攻击占比 48.7%。在 2021 年的医疗卫生行业的网络安全应急响应事件中，有 16.7% 并非是由网络攻击事件触发的。从医疗卫生行业被攻陷系统的损失来看，数据丢失占比最高，达 29.8%；其次是系统 / 网络不可用，占比 16.7%；生产效率低下排第三，占比 11.9%。 关键词：医疗卫生行业、安全漏洞、风险事件、应急响应研究背景········································01· ·第一章·医疗卫生行业安全漏洞分析·····················03第二章·安全运营风险事件特征分析·····················08 一、安全运营风险事件 ····································· 08 二、风险事件发生时间 ····································· 08 三、风险事件攻击手法 ····································· 11 第三章·医疗卫生行业应急响应形势分析··················13第四章·医疗卫生行业应急响应典型案例··················17 一、某三甲医院部分内网设备被勒索加密 ·······················17 二、某三级综合医院部分电脑 C 盘文件无端被删 ·················18 三、某专科医院内网大规模感染蠕虫病毒 ·······················19 四、某三甲医院内网爆发永恒之蓝病毒 ·························20 五、某三甲医院内网服务器感染勒索病毒 ·······················21 六、某三甲医院内网出现大量异常流量被网警通报 ················23 附录一·2021 全球医疗卫生行业十大网络安全事件··········24附录二·作者简介· ·································29CONTENTS目录医疗卫生行业网络安全分析报告01 20222019 年 12 月以来，新型冠状病毒感染肺炎疫情在全国蔓延。国家卫生健康委员会为贯彻落实党中央、国务院关于新型冠状病毒感染的肺炎疫情防控工作的总体部署，充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用，在总结各地典型做法的基础上，制定出台了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》国卫办规划函〔2020〕100 号，要求 “加强网络信息安全工作， 以防攻击、 防病毒、 防篡改、 防瘫痪、 防泄密为重点，畅通信息收集发布渠道，保障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件，为疫情防控工作提供可靠支撑。”随着我国新型冠状病毒感染肺炎疫情逐步得到控制， 社会对医疗卫生行业的信息化建设所起到的成效有目共睹，同时也暴露出我国医疗体系中的一些短板。 “十三五”将医疗卫生信息化纳入其中作为网络安全和信息化建设的重点。2020 年 3 月 5 日，《中共中央国务院关于深化医疗保障制度改革的意见》（以下简称《意见》）发布，提出我国未来 5 年—10 年医疗改革的目标和任务。医疗信息化建设有望提速， 《意见》出台的新意在于“高起点推进标准化和信息化建设”和“建立管用高效的医保支付机制”。《意见》提出，高起点推进标准化和信息化建设。统一医疗保障业务标准和技术标准，建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统， 实现全国医疗保障信息互联互通， 加强数据有序共享。随着疫情防控的需要、信息化的不断发展与国内居民在自身健康需求关注度的逐渐提升，医疗卫生行业为了提升我国居民医疗健康的管理与服务水平，通过信息化手段例如远程诊疗、移动诊疗、医疗物联网的方式拓展了各类医疗信息化的应用场景，互联网医院的开展也改变了传统线下就诊的服务模式，云计算、大数据的不断深化应用也让医疗信息化不再受传统 IT 服务架构的桎梏，医疗数据的研究背景02价值进一步得到提升。 但是， 在这背后也存在着亟待解决的一些安全风险与问题。为了深入了解医疗卫生行业网络安全建设水平与运营现状，为医疗卫生行业各单位提升网络安全实战化保障能力提供参考依据，奇安信行业安全研究中心与医疗卫生行业一线运营团队联合编撰了 《2022 医疗卫生行业网络安全分析报告》 。报告从安全漏洞、运营风险、应急响应等多个维度出发，通过数据、案例等多种方式对医疗卫生行业网络安全现状展开全面分析。报告内容涉及医疗卫省行业网站 2100 个，应急响应事件 84 起，及百余起医疗卫生行业网络安全运营风险事件。医疗卫生行业网络安全分析报告03 2022网站是政府和企业重要的信息化平台。网站安全也是政企机构最为关注的网络安全问题之一。近年来，国内大中型政企机