厦门新闻网移动版

　　随着各类新型医疗设备的落地应用，医疗设备网络安全将面临巨大的挑战。我国针对医疗设备的网络安全监管仍处于建设期，各类医疗设备网络安全监管标准体系和机制手段需要进一步健全和完善。

　　疫情期间医疗网络安全攻击特征总结

　　1.疫情相关题材网络钓鱼成为主要攻击手段

　　新冠肺炎疫情暴发后，利用新冠肺炎相关题材的网络钓鱼攻击事件频发，成为疫情期间最为主要的网络攻击手段。

　　研究团队基于观测数据发现，此次借助新冠肺炎疫情开展网络钓鱼的病毒木马恶意程序以文件夹病毒、蠕虫病毒、后门远控木马、后门程序木马等类型为主，并冠以“武汉肺炎”、“新型肺炎”、“冠状病毒”、“疫情动态”、“口罩厂家名单”等涉及疫情的关键字。

　　黑产团队通过修改病毒样本名称，伪装后诱导受害者下载运行，实现窃取数据、控制用户设备等目的。以此手段开展网络钓鱼攻击的组织涉及 APT 组织、黑客以及黑产团伙，受攻击地域涉及中国、美国、日本等多个国家。

　　另外，研究团队整理网络钓鱼攻击的 6 个典型样本——“新型冠状病毒配方.com”、“open新型冠状病毒资料.exe”、“5 名医务人员感染新型冠状病毒!!.com”、“新型冠状病毒培训班.exe”、“疫情杂物.exe”、“疫情重要事项报告.exe”，可用于全网布控和防护。

　　2.医疗服务认证暴力破解攻击态势持续严峻

　　春节假期是企业“封网”的休息时期，企业安全策略更新时效性相比平时较差，本身容易吸引黑客在此时期发动攻击。

　　新冠肺炎疫情暴发后，为避免人员聚集产生的交叉传染风险，大量企事业单位延迟复工或远程办公。企业为了员工远程办公便利，往往对外开放远程服务，直通敏感信息系统甚至办公内网。在这种情况下，认证暴力破解成为黑客最常使用的手法。

　　在 1 月 31 日(正月初七，即往年开工首日)，黑客对医疗行业的暴力破解攻击达到了单日 80 万次的高峰。其中，Windows 生态中的远程桌面服务 RDP 和数据库服务 SQLServer 成为受到攻击的重灾区。

　　雷锋网注：图为医疗行业被暴力破解攻击态势

　　从攻击源分布上看，针对腾讯云上医疗行业客户的认证暴力破解攻击超过 70% 来自境外 125 个国家。由于美国区域机房管控趋严，使得美国成为攻击源的“冷门片区”，而来自印度、俄罗斯的国家的攻击跃居前列。

　　疫情期间网络安全工作思路建议

　　1.强化安全标准，规范行业发展

　　随着物联网、5G 等新技术在数字医疗领域的深度应用，新型医疗设备和医疗应用不断涌现，亟需健全完善的健康医疗行业网络安全标准化体系建设。

　　应充分利用 ICT 领域新技术安全应用实践经验，支撑和构建新型医疗设备和医疗应用等领域的安全标准体系，推动数字医疗与 ICT 融合领域安全发展。

　　2.持续动态监测，建立反馈闭环

　　网络安全风险具有长期性和动态变化的特点，且不同行业的网络安全风险特点不同。因此，建立健康医疗行业维度的网络安全风险观测机制和平台十分重要。

　　同时，风险动态监测需要与风险反馈处置形成闭环，将监测到的安全风险尽快反馈到存在风险的医疗机构，修复相关安全漏洞或升级相关服务版本，从而有效控制和降低健康医疗行业整体的安全风险。

　　3.加强安全培训，提高安全意识

　　实际上，在安全观测中发现的数据服务暴露、组件版本过低以及高危端口开放等安全隐患，都直接或间接与人员网络安全意识不足存在关联。

　　因此，应推动和加强健康医疗行业从业人员网络安全相关培训，建立健全医疗机构内部网络安全管理规章制度，从医疗信息系统安全设计研发维护、医疗设备安全操作运维管理、医疗数据安全采集存储共享等多方面、全视角规范内部安全操作流程，切实提升相关人员的网络安全意识，落实网络安全责任。

　　4.突出能力建设，形成长效机制

　　健康医疗行业相关机构应提升自身网络数据安全综合防护能力，加强在网络数据安全领域的投入，建立系统化的安全保障体系，构建安全长效机制：

　　加快推进网络安全等级保护测评工作，定位安全问题，排除安全隐患。

　　定期开展网络安全风险评估工作，评估医疗设备、医疗信息系统安全状况，发现潜在的安全风险。

　　协同国家专业安全机构，建立新型医疗设备和技术的安全融合应用机制，保障数字医疗新技术的安全发展。