赛迪：移动互联网医疗安全风控白皮书（29页）.pdf

1、 技术白皮书 移动互联网医疗安全 风控白皮书 中国软件评测中心 医疗测评实验室 2020 年 9 月 2 3 序序 言言 国家高度重视“互联网+医疗健康”工作，近年来出台了一系 列政策推动其发展。移动互联网医疗的出现，提升了患者就诊方 便性和就医及时性。移动互联网医疗通过移动终端或互联网提供 医疗健康服务，由于移动终端应用安全保障机制和系统纵深防御 不足，导致其面临新的安全风险挑战。 本白皮书通过分析移动互联网医疗安全风险现状及成因，结 合实际应用，提出建立针对移动互联网医疗应用的安全风险监控 技术模型和管理机制。倡议成立安全风控联盟，形成政府监管、 行业自律、机构自治的三重安全防线。 本白皮

2、书由中国软件评测中心医疗测评实验室撰写，参与人 员包括孟晓、赵亮、徐鹏、黄晓培、张春芳、李真、杨令宜、 李佳奇，在此特别感谢中心品牌宣传推广部刘喜喜、闫晓丽的编 辑及排版支持。限于研究时间有限，领域方兴未艾，报告内容难 免存在纰漏，不足之处恳请各方同仁批评指正！ 中国软件评测中心 2020 年 9 月 1 日 4 版权声明 本白皮书版权属于中国软件评测中心， 并受法律保护。 转载、 摘编或者利用其它方式使用本白皮书文字或者观点的， 应注明 “来 源：中国软件评测中心” 。违反上述声明者，本单位将追究相关法 律责任。 5 6 目 录 一、 移动互联网医疗四类安全风险日渐严峻 . 1 1.1 系统

3、安全风险日益增加 . 1 1.2 应用渠道安全风险不可忽视 . 3 1.3 违法违规收集使用个人信息问题日益凸显 . 4 1.4 数据泄露事件频发，影响程度加剧 . 4 二、 移动互联网医疗安全风险成因分析 . 6 2.1 移动互联网医疗系统安全纵深防御体系不健全 . 6 2.2 移动客户端应用渠道安全监测力度不够 . 8 2.3 “认证-授权-审计”安全机制薄弱 . 9 2.4 医疗健康数据生命周期安全保护机制和措施不足 . 10 2.5 行业层面缺乏风险监控管理手段 . 11 三、 移动互联网医疗安全风险应对思路 . 12 3.1 打造政府监管、行业自律、机构自治的三重安全防线 . 12

4、3.2 构建技术模型和管理机制相结合的安全风险监控管理体系 . 13 四、 风险监控技术模型 . 15 4.1 移动互联网应用安全风控平台技术框架 . 15 4.2 移动互联网医疗应用风控平台监测内容 . 17 五、 风险监控管理机制 . 19 5.1 建立事前备案、事中监测、事后追溯的闭环管理流程 . 19 5.2 建立移动互联网医疗应用安全风险评价及处置机制 . 20 5.3 建立移动互联网医疗应用安全风险事件通报机制 . 22 六、 思考和建议 . 23 1 一、一、移动互联网医疗四类安全风险日渐严峻移动互联网医疗四类安全风险日渐严峻 随着 5G 的持续推进和移动智能终端设备的深化应用，

5、 越来越 多的生活服务类数据通过移动应用涌入移动互联网。工信部发布 的中国互联网市场移动应用相关报告中指出，截至 2018 年，我国 移动市场共检测到移动应用 449 万款，净增数量 42 万款。 作为与公民密切相关的互联网医疗服务发展尤其迅速，各大 医院都推出了各自的移动医疗 App， 许多第三方机构更是把握市场 方向，建立医院、医生和患者三者撮合的第三方移动医疗 App 平 台，为公众提供寻医问诊、预约挂号、购买医药产品及查询专业 信息等服务，当前市场上已有 2 万多款移动医疗 App 提供医疗相 关服务。 在新型冠状病毒肺炎疫情影响下及近年来国家对“互联网+ 医疗健康”的鼓励支持下，可以

6、预见移动互联网医疗业务呈蓬勃 发展之势。同时，移动互联网医疗应用安全风险也呈现着增加趋 势。主要表现在以下四个方面： 1.11.1 系统安全风险日益增加系统安全风险日益增加 由于移动互联网医疗数据中包含患者姓名、 年龄、 居住地址、 电话、银行账户、诊断、检验报告、用药记录、病史等个人敏感 信息，蕴含重要财富价值，移动互联网医疗系统成为不法份子所 觑视的重要目标，黑客可通过后台系统漏洞进行攻击从而获得大 量的医疗健康数据。 2 医疗健康行业联网系统高危漏洞需要警惕。医疗健康行业联网系统高危漏洞需要警惕。根据国家互联网 应急中心发布的2019 年我国互联网网络安全态势综述报告显 示，医疗健康行业