赛迪：移动互联网医疗安全风控白皮书（29页）.pdf

上传人：孔明

编号：18675

2020-09-09

PDF 29页 749.60KB

《赛迪：移动互联网医疗安全风控白皮书（29页）.pdf》由会员分享，可在线阅读，更多相关《赛迪：移动互联网医疗安全风控白皮书（29页）.pdf（29页珍藏版）》请在三个皮匠报告上搜索。

1、技术白皮书移动互联网医疗安全风控白皮书中国软件评测中心医疗测评实验室 2020 年 9 月 2 3 序序言言国家高度重视“互联网+医疗健康”工作，近年来出台了一系列政策推动其发展。移动互联网医疗的出现，提升了患者就诊方便性和就医及时性。移动互联网医疗通过移动终端或互联网提供医疗健康服务，由于移动终端应用安全保障机制和系统纵深防御不足，导致其面临新的安全风险挑战。本白皮书通过分析移动互联网医疗安全风险现状及成因，结合实际应用，提出建立针对移动互联网医疗应用的安全风险监控技术模型和管理机制。倡议成立安全风控联盟，形成政府监管、行业自律、机构自治的三重安全防线。本白皮

2、书由中国软件评测中心医疗测评实验室撰写，参与人员包括孟晓、赵亮、徐鹏、黄晓培、张春芳、李真、杨令宜、李佳奇，在此特别感谢中心品牌宣传推广部刘喜喜、闫晓丽的编辑及排版支持。限于研究时间有限，领域方兴未艾，报告内容难免存在纰漏，不足之处恳请各方同仁批评指正！中国软件评测中心 2020 年 9 月 1 日 4 版权声明本白皮书版权属于中国软件评测中心，并受法律保护。转载、摘编或者利用其它方式使用本白皮书文字或者观点的，应注明 “来源：中国软件评测中心” 。违反上述声明者，本单位将追究相关法律责任。 5 6 目录一、移动互联网医疗四类安全风险日渐严峻 . 1 1.1 系统

3、安全风险日益增加 . 1 1.2 应用渠道安全风险不可忽视 . 3 1.3 违法违规收集使用个人信息问题日益凸显 . 4 1.4 数据泄露事件频发，影响程度加剧 . 4 二、移动互联网医疗安全风险成因分析 . 6 2.1 移动互联网医疗系统安全纵深防御体系不健全 . 6 2.2 移动客户端应用渠道安全监测力度不够 . 8 2.3 “认证-授权-审计”安全机制薄弱 . 9 2.4 医疗健康数据生命周期安全保护机制和措施不足 . 10 2.5 行业层面缺乏风险监控管理手段 . 11 三、移动互联网医疗安全风险应对思路 . 12 3.1 打造政府监管、行业自律、机构自治的三重安全防线 . 12

4、3.2 构建技术模型和管理机制相结合的安全风险监控管理体系 . 13 四、风险监控技术模型 . 15 4.1 移动互联网应用安全风控平台技术框架 . 15 4.2 移动互联网医疗应用风控平台监测内容 . 17 五、风险监控管理机制 . 19 5.1 建立事前备案、事中监测、事后追溯的闭环管理流程 . 19 5.2 建立移动互联网医疗应用安全风险评价及处置机制 . 20 5.3 建立移动互联网医疗应用安全风险事件通报机制 . 22 六、思考和建议 . 23 1 一、一、移动互联网医疗四类安全风险日渐严峻移动互联网医疗四类安全风险日渐严峻随着 5G 的持续推进和移动智能终端设备的深化应用，

5、越来越多的生活服务类数据通过移动应用涌入移动互联网。工信部发布的中国互联网市场移动应用相关报告中指出，截至 2018 年，我国移动市场共检测到移动应用 449 万款，净增数量 42 万款。作为与公民密切相关的互联网医疗服务发展尤其迅速，各大医院都推出了各自的移动医疗 App，许多第三方机构更是把握市场方向，建立医院、医生和患者三者撮合的第三方移动医疗 App 平台，为公众提供寻医问诊、预约挂号、购买医药产品及查询专业信息等服务，当前市场上已有 2 万多款移动医疗 App 提供医疗相关服务。在新型冠状病毒肺炎疫情影响下及近年来国家对“互联网+ 医疗健康”的鼓励支持下，可以

6、预见移动互联网医疗业务呈蓬勃发展之势。同时，移动互联网医疗应用安全风险也呈现着增加趋势。主要表现在以下四个方面： 1.11.1 系统安全风险日益增加系统安全风险日益增加由于移动互联网医疗数据中包含患者姓名、年龄、居住地址、电话、银行账户、诊断、检验报告、用药记录、病史等个人敏感信息，蕴含重要财富价值，移动互联网医疗系统成为不法份子所觑视的重要目标，黑客可通过后台系统漏洞进行攻击从而获得大量的医疗健康数据。 2 医疗健康行业联网系统高危漏洞需要警惕。医疗健康行业联网系统高危漏洞需要警惕。根据国家互联网应急中心发布的2019 年我国互联网网络安全态势综述报告显示，医疗健康行业