新冠肺炎疫情仍在持续蔓延，各国均处在抗击疫情的紧要关头。然而，不法分子却借疫情之名开展网络攻击和网络欺诈，造成恶劣影响，数字医疗网络安全也逐渐成为“抗疫第二战场”。

　　近日，中国信息通信研究院安全研究发布了《2020数字医疗：疫情防控期间网络安全风险研究报告》（下称《报告》）。

　　报告从公共互联网安全、移动 App 安全、新型医疗设备和网络攻击态势 4 个方面出发，解析疫情防控期间医疗领域面临的网络安全风险。

　　结果显示，在 2 月份观测的单位中，存在脆弱性的单位高达 10,013 家，占观测单位的 62.79%。另外，数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到 29.8% 和 28.88%，共涉及 2.1 万项数据资产。

　　在医院层面，针对健康医疗行业观测共发现 330 个安全漏洞，涉及 251 家医疗单位，占全部观测对象的 1.57%。其中，私立医院风险偏高，公立医院承受攻击较多。

　　App 方面，报告团队对 21,846 款健康医疗行业 App 进行漏洞扫描，共计检测出 346,974 条漏洞记录，涉及 61 种漏洞类型，其中高危漏洞有 23 种。另外，84.15% 健康医疗行业 App 存在不同程度的安全漏洞，平均每款 App 存在 18.88 个漏洞，81.24% 的 App 存在高危漏洞。

　　在恶意程序方面，共有 806 款健康医疗 App 被检测出含有恶意程序，感染恶意程序 App 占比达到 3.69%。从恶意程序类型来看，64.05% 的 App 受到具有流氓行为的恶意程序感染。

　　通过对医疗网络安全风险的分析以及网络安全风险变化趋势的深度研究，报告从四个不同方面给出了工作建议，为构建和健全数字医疗网络安全体系提供思路参考。

　　如果您想获得本报告的全文 pdf，请在雷锋网微信（leiphone-sz）回复关键词“317报告”提取。

　　在 2 月份观测的单位中，存在脆弱性的单位高达 10,013 家，占观测单位的 62.79%，健康医疗行业网络资产脆弱性问题仍然居高不下。

　　报告团队基于观测结果分析发现，健康医疗行业易被利用实施攻击的脆弱性主要集中在三个方面：敏感服务暴露在公共互联网（39.28%）、存在公开漏洞的低版本服务（44.39%）、可被利用的高危端口开放（49.46%）。

　　在本次观测中，数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到 29.8% 和 28.88%，共涉及 2.1 万项数据资产。从省份分布情况来看，山东、广东、四川、江苏等省份暴露的数据服务数量最多。

　　应用服务组件版本的及时升级是安全防护的重要手段之一。本次观测发现，有 7080 家单位使用存在公开漏洞的低版本组件服务，占全部观测对象的 44.39%。相比去年的观测结果，OpenSSH、MySQL、Apache、涉及的单位数量均有不同程度增加，风险形势极为严峻。

　　端口方面，从观测结果可以看到，开放 MySQL 端口 3306 的机构数量最多，随后是 SSH 端口 22、Windows 远程桌面端口 3389 和网络打印端口 9100。

　　值得注意的是，受此次新冠肺炎疫情影响，远程办公、远程运维等活动增加，开放远程登录端口 22、3389 的单位数相比 2019 年 7 月增加 31.76% 和 34.95%，这两个端口的漏洞问题需重点关注。

　　研究团队针对健康医疗行业观测发现的问题进行了渗透测试，共发现 330 个安全漏洞，涉及 251 家医疗单位，占全部观测对象的 1.57%。

　　对比 2019 年 7 月，高危漏洞问题有较大幅度下降。同时，弱密码问题也得到了缓解，由 411 家下降到了 48 家。Apache Struts2 相关漏洞呈上升态势，建议关注该服务的相关补丁信息，及时修复漏洞。

　　另外，研究团队重点关注了漏洞数量 Top5 的医疗机构——1 家疾病预防控制中心，4 家私立医院。值得注意的是，4 家私立医院均扫描出不同类型的高危漏洞，一定程度上反应出私立医院网络安全漏洞防护相对落后。

　　为了便于分析评估疫情期间健康医疗行业遭受网络攻击的变化情况，研究团队对比了 2019 年 11 月、2020 年 1 月、2020 年 2 月的观测数据。

　　疫情暴发后，流氓或广告软件、与恶意主机通信、挖矿软件、漏洞利用等大部分恶意软件感染单位数量均呈现上升趋势，仅勒索软件微降。可见疫情期间，健康医疗行业面临更为严峻的网络安全态势，僵尸、木马、病毒等恶意程序感染风险更高。

　　在受到恶意程序感染最为严重的 10 家医疗机构中，8 家为公立医院，2 家为私立医院。这些医院感染的恶意程序总量达到 907 个，占到全部恶意程序样本总量的 26.28%，相关医院亟需提升恶意程序监测和防护能力。

　　根据网站篡改效果，网站篡改可分为显式篡改和隐式篡改两种。显式篡改主要用于帮助攻击者声明自己的主张，因此篡改内容可见，如果改为非法信息，影响极其恶劣。隐式篡改的内容不可见，一般通过植入、、等非法信息，帮助攻击者谋取非法经济利益。

　　本次观测发现，被篡改的网站共涉及 171 家单位，其中篡改为的网站涉及单位 157 个，篡改为的网站涉及单位 18 个。

　　从网站篡改的攻击趋势来看，2020 年 2 月网站篡改类攻击相比 2019 年 11 月明显增长，增长幅度达到 44.92%，且在各类机构增长趋势基本一致。

　　从数字资产三大脆弱性方面对比公立医院与私立医院可以看到，虽然公立医院和私立医院均存在较高比例的网络安全隐患，但公立医院在三大脆弱性防护方面要强于私立医院，一定程度可以反映出公立医院的安全防护意识相对私立医院更强。

　　在安全漏洞层面，存在高危和低危安全漏洞的私立医院占比都超过公立医院。在恶意程序感染方面，公立医院受到恶意程序感染的医院数量和比例都超过私立医院，且随着新冠肺炎疫情的暴发，受恶意程序感染的单位数量呈现上升趋势，而私立医院则没有表现出类似特点。

　　综合以上分析可知，在网络安全风险防护方面，公立医院的安全意识和手段要强于私立医院，私立医院相较面临着更大的网络安全风险。然而，从实际攻击结果方面，公立医院被感染和植入的恶意程序更多，且随着疫情暴发呈现增长趋势，可以推断公立医院承受更多的安全攻击压力。

　　报告团队对 21,846 款健康医疗行业 App 进行漏洞扫描，共计检测出 346,974 条漏洞记录，涉及 61 种漏洞类型，其中高危漏洞有 23 种。

　　健康医疗行业 App 中，84.15% 存在不同程度的安全漏洞，平均每款 App 存在 18.88 个漏洞，81.24% 的 App 存在高危漏洞，虽然相比 2019 年的 88.83% 有所下降，但 App 的高危漏洞风险仍非常严重。

　　从高危漏洞类型来看，存在 Janus 漏洞的 App 数量最多，占监测总数的 66.08%；其次是 Java 代码加壳检测，占监测总数的 53.89%；WebView 远程代码执行漏洞排行第三，52.24% 的 App 存在此漏洞。

　　攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等，对 App 安全具有严重威胁。

　　在恶意程序方面，共有 806 款健康医疗 App 被检测出含有恶意程序，感染恶意程序 App 占比达到 3.69%，而 2019 年的感染率仅为 0.86%；可见，健康医疗 App 恶意程序感染风险加剧。

　　从恶意程序类型来看，64.05% 的 App 受到具有流氓行为的恶意程序感染。这类恶意程序会在用户未授权的情况下，任意弹出广告窗口，影响用户体验的同时，可能因误触点击导致隐私安全风险。

　　另外，存在 16.01% 的 App 受到具有资费消耗行为的恶意程序感染，这类恶意程序会在用户不知情或未授权情况下，通过频繁连接网络等方式导致用户资费损失，具有资费消耗属性。

　　SDK 是 Software Development Kit 的缩写，即“软件开发工具包”，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。

　　开发者在开发过程中，为了提升效率、降低成本，往往会嵌入第三方 SDK。但是，第三方 SDK 存在安全漏洞、恶意程序、隐蔽收集个人信息等安全问题，嵌入第三方 SDK 往往会给 App 带来安全隐患。

　　对比来看，2019 年健康医疗行业 App 被嵌入第三方 SDK 的比例仅 25.58%，可见，在健康医疗行业 App 中第三方 SDK 使用更为普遍，而 SDK 应用带来的安全隐患也在持续升高。

　　基于 Java 编写的安卓 App 容易被破解暴露 App 源代码，进而带来 App 盗版、二次打包、注入等安全问题。

　　“安全加固”是维护 App 安全的重要防护手段，它能够有效阻止对 App 的反汇编分析。经过安全加固的 App，不仅其系统稳定性得到提升，还拥有能力规避一定程度的安全风险。

　　本次检测发现，健康医疗行业 App 加固比例降低至 18.04%（2019 年其加固比例为 24.83%），有超过 80% 的 App 未进行过安全加固，安卓 App 源代码暴露风险进一步恶化。

　　在疫情防控过程中，在政府政策的推动。