隨著醫(yī)療信息化的不斷發(fā)展，尤其是互聯(lián)網(wǎng)醫(yī)療的興起，醫(yī)療數(shù)據(jù)安全面臨全新壓力。如何識別醫(yī)療數(shù)據(jù)安全風(fēng)險并進行管控成為醫(yī)療信息化建設(shè)的當(dāng)務(wù)之急。對此，首都兒科研究所附屬兒童醫(yī)院醫(yī)工處處長于雪梅在CHIMA 2020大會上進行了詳細(xì)解讀。

以下內(nèi)容根據(jù)于雪梅處長演講內(nèi)容整理。

醫(yī)療數(shù)據(jù)安全不是一個新鮮話題，但是在特殊時刻重提有了特殊的含義。在2020年這個不平凡的一年，醫(yī)療信息化建設(shè)既存在機遇，也面臨挑戰(zhàn)。在這個大環(huán)境下，互聯(lián)網(wǎng)醫(yī)療成為一個熱詞。新形勢下互聯(lián)網(wǎng)醫(yī)療的發(fā)展無論是主動還是被動，都已呈現(xiàn)出乘風(fēng)破浪的趨勢。然而，這卻給已經(jīng)相對穩(wěn)固的醫(yī)院信息安全建設(shè)帶來一個新的挑戰(zhàn)。醫(yī)院的信息系統(tǒng)充分暴露在互聯(lián)網(wǎng)環(huán)境下，展開了一個新的業(yè)務(wù)環(huán)境。

和醫(yī)院早期的信息化、網(wǎng)絡(luò)化非常不同，當(dāng)前醫(yī)院網(wǎng)絡(luò)已經(jīng)發(fā)展到智慧化的環(huán)境下，平臺安全和數(shù)據(jù)安全成為關(guān)注重點，主要存在以下挑戰(zhàn)：現(xiàn)有安全技術(shù)過于專業(yè)，無法支持醫(yī)院的管理模式和管理復(fù)雜度；醫(yī)院業(yè)務(wù)開始向互聯(lián)網(wǎng)開放，安全防護措施和主動防御手段不足，針對互聯(lián)網(wǎng)醫(yī)療WEB應(yīng)用防護，入侵監(jiān)測未在行業(yè)普及；安全運維工作缺失，補丁和安全風(fēng)險解決時機滯后，部分機構(gòu)的補丁管理依賴于國外工具；院內(nèi)資產(chǎn)不清晰，容易產(chǎn)生大量安全事件和風(fēng)險。

互聯(lián)網(wǎng)醫(yī)療的特點是全鏈條社會化，并且跨行業(yè)、跨部門、跨區(qū)域，涉及的環(huán)節(jié)非常多：包括醫(yī)院、物流配送、藥廠藥店、患者在內(nèi)的不同端點；覆蓋面廣，從社區(qū)醫(yī)院到三甲醫(yī)院全覆蓋；數(shù)據(jù)流通環(huán)節(jié)涉及采集、存儲、交換、處理；合作模式多樣，包括自建、第三方合作和第三方運營；數(shù)據(jù)價值主要體現(xiàn)為交易、挖掘、再利用。

不同于傳統(tǒng)模式，互聯(lián)網(wǎng)醫(yī)療需針對上述全鏈條的場景、角色和應(yīng)用廣度深度，營造安全管控大環(huán)境，主要涉及以下方面：患者隱私，主要包括基本信息、疾病信息等；黑客威脅，出于政治或經(jīng)濟目的的攻擊、勒索、竊取、剽竊、篡改等；主管部門、醫(yī)保、醫(yī)療機構(gòu)、運維單位、患者等不同角色的責(zé)任邊界劃分等。

2019年全國兩會保障期間，國家衛(wèi)生健康委委托中電數(shù)據(jù)針對200余家醫(yī)院網(wǎng)站進行安全掃描和域名安全分析，整理出行業(yè)互聯(lián)網(wǎng)安全情況，輔助國家衛(wèi)生健康委進行行業(yè)安全治理，結(jié)果顯示：2018年，互聯(lián)網(wǎng)醫(yī)院興起，因為安全運維管理不到位，導(dǎo)致這一年成為醫(yī)院網(wǎng)絡(luò)安全漏洞出現(xiàn)特別集中的一年。同時，近幾年醫(yī)院的高危漏洞數(shù)呈現(xiàn)明顯的上升趨勢，醫(yī)院信息化安全風(fēng)險趨勢嚴(yán)峻。

做好醫(yī)院信息安全保障，標(biāo)準(zhǔn)須先行。目前，有關(guān)醫(yī)療信息安全的標(biāo)準(zhǔn)有公共標(biāo)準(zhǔn)，即等保2.0。同時，智慧醫(yī)療、智慧服務(wù)，以及正在擬定中的智慧管理等行業(yè)評價標(biāo)準(zhǔn)中，也對醫(yī)院信息安全的標(biāo)準(zhǔn)做出了界定。

具體到每一家醫(yī)院，需認(rèn)清有哪些安全風(fēng)險以及用什么方式進行管控。醫(yī)院智慧服務(wù)數(shù)據(jù)全生命周期安全保障體系中涉及到的終端數(shù)據(jù)、數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)應(yīng)用、數(shù)據(jù)存儲、數(shù)據(jù)管理等各個環(huán)節(jié)，都會面臨著安全風(fēng)險。

醫(yī)院和封閉式的管理機構(gòu)不同，屬于半開放機構(gòu)。醫(yī)院的終端呈現(xiàn)出以下特點：數(shù)量多，管理復(fù)雜；分布分散，維護困難；環(huán)境復(fù)雜，安全服務(wù)保障；使用不可控，數(shù)據(jù)易泄露；人員復(fù)雜，內(nèi)部威脅不可知。因此，需確保合適的人在合適的地點、合適的時間規(guī)范使用網(wǎng)絡(luò)資源，同時確保每臺終端安全可靠，全面管控各個終端以防引入安全風(fēng)險。

隨著醫(yī)院信息化的發(fā)展進程加快，系統(tǒng)與系統(tǒng)之間、檢測設(shè)備與系統(tǒng)之間、系統(tǒng)與終端之間，以及醫(yī)院與三方合作機構(gòu)之間存在大量的數(shù)據(jù)傳輸交互，而不安全的數(shù)據(jù)傳輸極易導(dǎo)致傳輸數(shù)據(jù)被竊取、篡改、銷毀等，存在極大的安全風(fēng)險。缺乏對跨安全域、內(nèi)外網(wǎng)、系統(tǒng)的數(shù)據(jù)傳輸安全，無法保證數(shù)據(jù)傳輸過程中的機密性、完整性和可用性防護。

醫(yī)院數(shù)據(jù)交換環(huán)節(jié)主要存在以下安全風(fēng)險：缺乏對敏感信息和個人隱私的數(shù)據(jù)保護；缺乏對原始數(shù)據(jù)的保護，特別是應(yīng)用系統(tǒng)數(shù)據(jù)交換；缺乏數(shù)據(jù)交換脫敏系統(tǒng)，無法提供事后審計功能，對數(shù)據(jù)提取、人員操作、平臺規(guī)則維護進行審計。

在數(shù)據(jù)應(yīng)用環(huán)節(jié)，需認(rèn)清網(wǎng)站不等于WEB應(yīng)用，防止信息泄露、網(wǎng)頁篡改和植入后門。

數(shù)據(jù)存儲環(huán)節(jié)面臨的信息安全威脅之一是醫(yī)療系統(tǒng)或設(shè)備存在安全漏洞，可能被入侵或破壞。

在數(shù)據(jù)管理環(huán)節(jié)，隨著醫(yī)院內(nèi)網(wǎng)絡(luò)應(yīng)用規(guī)模和復(fù)雜度的不斷提高，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量急劇上升，網(wǎng)絡(luò)攻防對抗日趨激烈，醫(yī)院內(nèi)部新的安全問題開始顯現(xiàn)。

要想確保醫(yī)院網(wǎng)絡(luò)安全，需制定安全規(guī)劃體系，主要包括以下內(nèi)容：技術(shù)體系，涉及訪問控制、完整性保護、系統(tǒng)和通信保護、物理與環(huán)境保護、檢測與響應(yīng)、備份與恢復(fù)等一系列技術(shù)方案；運維體系，包含流程和規(guī)范、日常維護、風(fēng)險評估、行為管理、應(yīng)急處置等；管理體系，包括組織機構(gòu)、規(guī)章制度、人員安全、安全培訓(xùn)等。其中，數(shù)據(jù)安全是信息安全體系的一個方面。

安全規(guī)劃要有思路，提供以下六種思路供參考：業(yè)務(wù)需求，主要與醫(yī)院的業(yè)務(wù)特點結(jié)合，了解業(yè)務(wù)模式和發(fā)展方向，同步規(guī)劃、同步建設(shè)，主要包括互聯(lián)網(wǎng)服務(wù)、AI、科研多中心等；合規(guī)需求，醫(yī)院安全需遵循國家等級保護規(guī)定、參照相關(guān)國家標(biāo)準(zhǔn)，合法合規(guī)使用數(shù)據(jù)；威脅識別，充分識別內(nèi)部隱患和外部威脅，持續(xù)追蹤最新安全態(tài)勢；風(fēng)險評估，了解安全事件所產(chǎn)生的后果，針對重大風(fēng)險做出有效控制計劃；安全治理，明確治理目標(biāo)、責(zé)任人、技術(shù)路線和時間節(jié)點；動態(tài)改進和管理，追蹤溯源，持續(xù)改進。

數(shù)據(jù)流動中安全性薄弱，應(yīng)該明確的是傳輸及交互的原則與標(biāo)準(zhǔn)、數(shù)據(jù)提取及分析中有哪些敏感數(shù)據(jù)，避開不予提取。在數(shù)據(jù)展示中，需界定哪些是患者隱私不能披露，明晰數(shù)據(jù)應(yīng)用是否需征得患者的授權(quán)等。在安全規(guī)劃過程中，需分清數(shù)據(jù)資產(chǎn)性質(zhì)，劃分不同風(fēng)險級別，給出相應(yīng)對策（分層、分級、分域），關(guān)注新應(yīng)用、醫(yī)療設(shè)備、物聯(lián)網(wǎng)接入。同時，防止數(shù)據(jù)被篡改和刪除，做好應(yīng)急恢復(fù)和容災(zāi)備份。

在進行安全規(guī)劃時，需特點注意以下幾點：清晰地整理醫(yī)院暴漏在互聯(lián)網(wǎng)上的信息資產(chǎn)情況，及時規(guī)避風(fēng)險；做好整體邊界和內(nèi)部敏感區(qū)域的防護，防止未授權(quán)的訪問行為發(fā)生；做好數(shù)據(jù)管理；定期開展醫(yī)院漏洞掃描和風(fēng)險評估；安全合規(guī)是底線，標(biāo)準(zhǔn)的等級保護、密碼應(yīng)用、信息安全管理不能忽視；采取零信任原則，不自動信任何內(nèi)部/外部的人、事、物。

在實踐中，安全規(guī)劃最重要的是營造安全管控大環(huán)境，需明確的是數(shù)據(jù)安全是全局性的，需要的是整體安全能力的提升。回歸到醫(yī)院端，需要從以下方面做好數(shù)據(jù)安全管理：在管理方面，做好制度修訂、流程修訂、規(guī)范修訂，增加一項新業(yè)務(wù)的同時進行安全評估和安全加固，持續(xù)開展安全培訓(xùn)；在技術(shù)方面，摸清數(shù)據(jù)資產(chǎn)、明確患者隱私保護內(nèi)容、必要的知情同意、自身安全加固、信息交換審批與留痕、建立可追溯機制；在合規(guī)方面，互聯(lián)網(wǎng)醫(yī)療需達到等保三級，合規(guī)是手段，不是目的，應(yīng)針對自身業(yè)務(wù)特點進行安全細(xì)化；在實際操作中，要做好應(yīng)用安全、交互安全、訪問控制。

同時，醫(yī)療數(shù)據(jù)安全保護過程中要做好資產(chǎn)分類，明確邊界，進行風(fēng)險評估，加強資產(chǎn)的全生命周期管理；保障系統(tǒng)存儲安全，做好數(shù)據(jù)備份與恢復(fù)；制定合適的防護安全策略，持續(xù)提升技術(shù)保障能力；建立數(shù)據(jù)管理委員會，充分討論安全、倫理，加強監(jiān)管；對數(shù)據(jù)進行脫敏處理，進行知情告知，整個過程留痕追溯。

點擊此處可查看于雪梅處長演講回放