醫療服務信息化是國際發展的趨勢，也是我國醫療改革的的重要內容和必由之路。隨著信息技術的快速發展，越來越多的企業和醫療機構加入到醫療信息化的建設浪潮中。互聯網醫療火熱背后，醫療信息安全問題如影隨形。近年來，針對醫院的勒索、挖礦、醫療信息泄露等醫療行業的信息安全事件層出不窮，醫院信息系統已經成為了不法黑客的重點攻擊對象之一。
一、概述
本報告由騰訊智慧安全研究發布，中國醫院協會信息管理專業委員會（CHIMA）提供醫療行業信息化狀況調查報告，雙方基于大數據對醫療行業安全狀況進行了客觀、量化的評估，深入分析了醫療行業的典型安全威脅以及所面臨的潛在安全風險，并嘗試引導性的進行行業安全治理、規避潛在的安全風險，提升安全管理水平。
報告以安全大數據及第三方授權或公開的信息和數據為基礎，結合抽樣分析/調查報告等方法，經綜合整理、分析得出。其主要選取了信息化程度高，管理水平強的大中型醫院和指標數據作為參考對象，涵蓋956家三級甲等醫院、7家第三方醫療服務平臺，包括92個授權網站、79個患者APP（安卓版）等外部網絡資產。
另外本報告還參考了由中國醫院協會信息管理專業委員會（CHIMA）發布的《2017-2018年度中國醫院信息化狀況調查報告》（以下簡稱《調查報告》）。
自《中華人民共和國網絡安全法》頒布，在衛健委指導下，全國醫院信息安全建設水平不斷提升。從指數總體來看，全國醫療行業指數值處于良好水平（759分）。
然而，2018年至今，我國醫療體系遭受攻擊的頻率呈明顯上升趨勢，醫療信息安全環境并不樂觀。黑客入侵攻擊、信息泄露等安全問題對醫院等公共機構的威脅仍不容忽視。
從安全指數所指向的問題來看，醫療行業信息安全建設意識薄弱，核心數據缺乏有效的安全防護。問題主要表現為：
網絡空間資產端口開放較多，隱患大，如開放遠程登錄服務的比例高達50%；
外網電腦的安全風險較多，可能會給不法訪問者以可乘之機；
線上服務平臺及第三方醫療服務平臺脆弱性會提升醫療數據泄露的風險；
醫療行業已經成為勒索病毒攻擊的主要目標，醫療業務連續性受到挑戰。
二、安全指數情況
2.1、安全指數評估
安全指數說明
本報告聯合團隊基于安全大數據、人工智能分析技術和威脅實時感知能力，從多個安全維度和安全特征，對醫療行業整體安全態勢進行了全面、客觀的威脅分析和脆弱性評估，并在全面風險量化分析的基礎上匯總得到了“騰訊智慧安全指數”（以下簡稱“安全指數”）。
安全指數以多個不同維度的安全問題評估為基礎，在安全問題評估的基礎上分別匯集到相應的安全域，對各個安全域進行加權匯總，得到了企業安全指數。然后按照行業屬性，對企業安全指數求均值即可得到行業互聯網安全指數。
安全指數以客觀安全數據為依據的特性，使其一定程度上能夠反映行業安全趨勢，具有先導性、預測性。進一步地，利用該安全指數，可對相關行業進行安全狀況差距對比、安全問題洞察等。更多關于安全指數的定義和計算的詳情，見附錄。
安全指數是介于0~1000區間內，數值越高，其安全狀況越好、風險水平越低。不同指數區間，反應的響應安全狀況如下表所示。
指數值
含義
0~499
較差
500~699
一般
700~899
良好
900~1000
優秀
表2-1 指數的含義映射表
安全指數態勢
除港澳臺以外的各省市、自治區具體數據來看，北京市、上海市、吉林省、重慶市、山東省的安全指數排名最高，安全指數均高于770，排名靠后的幾個�。ㄊ校┌踩�指數值均低于750分。

圖2-1 各�。ㄊ校┌踩�指數排名（前五）
以國內（除港澳臺以外）各醫院的維度來看， 醫院安全指數的分布如下：
22%的醫院安全指數處于優秀水平；
38%的醫院安全指數處于良好水平；
39%的醫院安全指數處于一般水平；
1%的醫院安全指數處于較差水平。

圖2-2 安全指數的等級分布情況（醫院維度）
目前醫療行業面臨的問題主要集中在主機安全、應用安全和網絡安全。如圖2-3所示，其安全指數值越低，風險越高。

圖2-3 醫療行業網絡安全指數情況(除港澳臺以外)
2.2、安全措施采用情況
安全措施采用情況，引用了由中國醫院協會信息管理專業委員會（CHIMA）發布的《2017-2018年度中國醫院信息化狀況調查報告》中的調查數據，該調查報告共收到反饋的調查報告535份，其中有效答卷484份，分別對應484家相互獨立，沒有重復與關聯的醫院。484家醫院占到全國醫院總數的1.80%。
樣本覆蓋除香港特別行政區、澳門特別行政區以及臺灣省以外的29個行政區。數據詳情可參閱《2017-2018年度中國醫院信息化狀況調查報告》。
醫院實施等級保護情況
從調查數據來看，有36.16%的醫院通過了等級保護測評。經濟發達地區實施等級保護工作的比例高于中等發達地區和經濟欠發達地區。

圖2-4 醫院等級保護工作情況
系統安全措施采用情況
對參與調查關于醫院采用的操作系統