4大测试评估维度
15个医疗行业业务场景
107个安全风险检查项
6小时18轮次持续测试
这是一场国家级医疗行业安全“证无”演练
5月26日,由国家卫生健康委员会主办,中国医院协会信息专业委员会承办的“第三届卫生健康行业网络安全技能大赛”在福州收官。永信至诚作为大赛连续三届独家技术支持单位,依托“数字风洞”产品体系,构建平行仿真医疗行业业务场景,开展医疗行业信息系统全场景网络与数据安全测试评估,为数字医疗安全保驾护航。
聚焦数字医疗安全,永信至诚连续三届为国家级医疗行业网络安全赛事护航
传统医疗和数字技术的结合,无疑为医疗行业发展插上了翅膀,病患可以远程挂号问诊,医生可以通过电子系统调取病例档案、利用人工智能等技术开展智慧医疗……可以说数字技术为医疗行业带来了翻天覆地的变化。但在数字医疗发展的B面,医疗数字化系统却面临勒索攻击、供应链攻击等诸多网络和数据安全风险挑战,大规模盗取泄露个人医疗数据、医保信息、临床试验信息等高价值数据的恶性事件层出不穷。
在此背景下,国家不断呼吁关键信息基础设施行业加强安全部署。国家卫生健康委、国家中医药局、国家疾控局三部委联合印发《医疗卫生机构网络安全管理办法》,要求“建立完善应急预案、组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全事件,提高应对网络安全事件能力。积极参加网络安全攻防演练,提升保护和对抗能力”,并强调网络安全检测评估、人才培养、比武竞赛等内容。
国家卫生健康委员会规划发展与信息化司司长毛群安发表致辞
为了进一步加强医疗行业网络安全防御能力,国家卫生健康委举办“全国卫生健康行业网络安全技能大赛”,至今已成功举办三届。在第三届卫生健康行业网络安全技能大赛开赛仪式上,国家卫生健康委员会规划发展与信息化司司长毛群安表示,大赛自2020年连续举办以来,受到全国各级各类医疗卫生机构广泛参与,已成为全国医疗卫生健康行业覆盖范围最广、规模最大的网络安全技能赛。通过大赛平台,卫生健康行业充分检验并提升了自身网络安全意识和攻防技能水平。
本届大赛继续坚持推动以赛促学,让实战经验得以转化,切实提升医疗网络安全应急响应及处置能力。作为大赛连续三届独家技术支持单位,永信至诚贴合大赛主旨围绕比赛开展赛前培训、赛后复盘等行业定制化课程,系统化助力医疗卫生行业网络安全实战对抗水平提升。值得一提的是,为保障比赛的公平公正,永信至诚创新采用人工智能技术来构建人脸验证系统,实现了赛前的高精度人脸识别,有效防止代打等违规现象,同时部署烽火台反作弊平台,用于监控竞赛过程中的异常行为。
5月26日上午9点,来自全国144家医疗卫生机构的98支战队齐聚福州总决赛现场,开启医疗行业安全“证无”测试评估演练。
开启全场景安全测试评估,助力数字医疗安全风险“证无”
在医疗行业数字化系统中,包含HIS(医院信息系统)、EMR(电子病历)、PACS(医学影像存档与通讯系统)等众多信息化平台,信息和数据密集且业务交叉,安全威胁暴露面更广,因此在实际业务中更需要从防御角度出发,整体提高抵抗来自内外部攻击的能力,保障医疗业务体系的连续运行。基于此,本届大赛采用永信至诚全新开创的“ZHWU”(证无)赛制,以用户为中心,数字健康为目标,强化实质防御效果,设置理论知识、数据分析及实景防御(RDG)三大考核区,依托平行仿真技术搭建“医疗卫生信息系统安全测试评估”环境,考核参赛选手环境修复、漏洞排查、应急响应等技能,从防御加固、安全意识、运维、取证溯源等维度评估医疗行业整体安全能力。
同时,基于医疗行业网络安全高风险点位及行业系统部署特点,永信至诚依托“数字风洞”产品体系,从基础设施、数字医疗、应急响应、数据安全4个维度开展测试评估,涵盖人员意识、信息安全、公共服务、内网安全、后门排查、安全合规、应用漏洞、攻击取证、攻击溯源、数据加密、网站配置服务、网络运维、设备安全、通信协议、邮件安全15个关键场景以及107个检查项。区别于以往比赛的竞速解题模式,在本次大赛中,参赛选手需要在6小时内共同对目标系统进行集中且高密度的持续测试,消除安全死角,完成对医疗数字信息系统的安全风险排查和安全“证无”,全方位、多层次、实战化提升网络安全风险防范及处置能力。
最终,经过6小时反复18轮次的持续测试评估,第三届卫生健康行业网络安全技能大赛圆满收官。所有选手在“数字风洞”中消除了医疗信息系统中79%的安全风险,完成了大部分安全风险排查和消除。但现实中,即使是已知而未消除的风险依然存在安全隐患,极可能导致网络和数据安全威胁事件突发。相信通过此次“数字风洞”测试评估实践,能够让参赛选手和参与机构在常态化网络安全运维中学以致用,加强并优化风险发现、应急响应及处置、溯源分析等方面网络安全体系建设,获得真正的安全感。
近年来,各行业领域进入数字化转型关键时期,网络安全成为影响数字化经济发展的命脉,越来越多的政企机构通过开展持续地、频繁地、全面地测试评估加强自身网络安全建设。正如永信至诚提出的安全风险“证无”理念,一次对人、系统、数据的测试评估及风险优化不能做到100%安全,但将这个过程迭代1000次后,安全风险将下降至0.0043%,而在10000次的迭代下,安全风险将无限趋近于零,最终实现安全“证无”。
永信至诚“数字风洞”产品体系从切实维护用户安全价值出发,为全流程测试评估提供高标准平台,目前已在医疗、能源、运营商、军工、航天、交通等多领域实现成果落地,提供行业测试评估解决方案。未来,永信至诚也将继续发挥网络靶场和人才建设领军优势,持续领跑测试评估赛道,为政企数字化转型提供专业安全测试评估保障及专有人才支撑,助力数字中国及网络强国建设!
