袁飛　于海燕

[摘要] 在國家推進(jìn)“互聯(lián)網(wǎng)+醫(yī)療”產(chǎn)業(yè)發(fā)展日益深入的背景下，“互聯(lián)網(wǎng)+”正以其獨(dú)特的發(fā)展優(yōu)勢，為醫(yī)療機(jī)構(gòu)公共服務(wù)方式的轉(zhuǎn)型、發(fā)展提供了動(dòng)力。與此同時(shí)，信息安全建設(shè)的不足也逐步顯現(xiàn)，物理環(huán)境薄弱的隱患、敏感信息的泄露、惡意網(wǎng)絡(luò)入侵等現(xiàn)象越來越不容忽視。面對機(jī)遇和挑戰(zhàn)，醫(yī)療機(jī)構(gòu)如何應(yīng)對因信息互聯(lián)互通極速拓展而帶來的信息安全問題，這是需要醫(yī)療信息化建設(shè)者們一同探討的問題。該文對當(dāng)前醫(yī)療機(jī)構(gòu)存在的信息安全問題提出分析，針對“互聯(lián)網(wǎng)+醫(yī)療”新形勢下醫(yī)療機(jī)構(gòu)的信息安全建設(shè)提出對策。

[關(guān)鍵詞] 互聯(lián)網(wǎng)+;醫(yī)療機(jī)構(gòu);信息安全

[中圖分類號] R197 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1672-5654（2019）02（c）-0165-02

2015年3月在十二屆全國人大三次會議的政府工作報(bào)告上，李克強(qiáng)總理首次提出“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，隨即“互聯(lián)網(wǎng)+”成為輿論熱點(diǎn)并作為國家重要發(fā)展戰(zhàn)略在全國推廣[1]?！盎ヂ?lián)網(wǎng)+醫(yī)療”作為改善我國現(xiàn)有醫(yī)療模式缺陷的一種手段，成為了解決“看病難，看病貴”在醫(yī)療行業(yè)信息建設(shè)中一種全新解決方案。但是，在海量醫(yī)療數(shù)據(jù)和劇增的互聯(lián)網(wǎng)醫(yī)療服務(wù)的背后，醫(yī)療機(jī)構(gòu)信息安全問題也日益顯現(xiàn)[2]。醫(yī)療黑色產(chǎn)業(yè)鏈的猖獗，使得醫(yī)療數(shù)據(jù)的價(jià)值越來越大。近幾年來，國內(nèi)外醫(yī)療機(jī)構(gòu)被互聯(lián)網(wǎng)黑客入侵、勒索病毒攻擊等信息安全事件日益增多。

1? 醫(yī)療信息安全的現(xiàn)況與案例

1.1? 近年來醫(yī)療信息安全事件案例

2016年2月，浙一互聯(lián)網(wǎng)醫(yī)院發(fā)生信息泄漏事件，造成患者個(gè)人隱私被泄漏，醫(yī)療機(jī)構(gòu)內(nèi)部數(shù)據(jù)信息被一覽無余。

2017年5月，英國國家醫(yī)療服務(wù)體系（NHS）的至少16家醫(yī)療機(jī)構(gòu)遭到了攻擊，黑客索要每家醫(yī)療機(jī)構(gòu)300比特幣（接近400萬人民幣）的贖金，否則將刪除所有資料。

2018年7月，新加坡健康檔案數(shù)據(jù)庫遭黑客攻擊，導(dǎo)致150萬患者個(gè)人診療信息數(shù)據(jù)泄露。

2018年3月，湖南省兒童醫(yī)院信息系統(tǒng)癱瘓，多臺服務(wù)器感染GlobeImposter勒索病毒，黑客要求院方必須在6 h內(nèi)為每臺中招機(jī)器支付1個(gè)比特幣贖金，約合人民幣66 000余元。

1.2? 全球醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)信息安全概況

在國內(nèi)（除港澳臺以外），根據(jù)《醫(yī)療行業(yè)安全指數(shù)報(bào)告（2018年8月）》報(bào)告顯示：各醫(yī)療機(jī)構(gòu)不同維度來看，醫(yī)療機(jī)構(gòu)安全指數(shù)的分布如下：22%的醫(yī)療機(jī)構(gòu)安全指數(shù)處于優(yōu)秀水平;38%的醫(yī)療機(jī)構(gòu)安全指數(shù)處于良好水平;39%的醫(yī)療機(jī)構(gòu)安全指數(shù)處于一般水平;1%的醫(yī)療機(jī)構(gòu)安全指數(shù)處于較差水平。在國外，根據(jù)美國衛(wèi)生及公共服務(wù)部（United States Department of Health and Human Services）統(tǒng)計(jì)，醫(yī)療信息泄露帶給美國整個(gè)醫(yī)療行業(yè)的損失高達(dá)每年60億美元，平均每次泄露會給醫(yī)療機(jī)構(gòu)造成350萬美元的損失，會給個(gè)人造成近400美元的損失。

縱觀全球，黑客攻擊造成的的醫(yī)療信息泄露事件頻發(fā)。僅在2018年過去的幾個(gè)月中，單次泄露數(shù)據(jù)大于500條的數(shù)據(jù)泄露事件就發(fā)生了數(shù)百起，幾乎每個(gè)月都會發(fā)生3～4起重大醫(yī)療數(shù)據(jù)泄露事件。

2? 醫(yī)療機(jī)構(gòu)信息安全問題的原因與分析

2.1? 醫(yī)療數(shù)據(jù)的價(jià)值越來越高，不法分子趨之如騖

目前不法份子已經(jīng)發(fā)現(xiàn)一條穩(wěn)定的“生財(cái)之道”，黑客利用醫(yī)療信息安全漏洞來獲利，主要可以分為以下3大類方式：①是利用泄露的個(gè)人醫(yī)療信息直接“變現(xiàn)”。在黑市上，個(gè)人醫(yī)療信息的價(jià)值比信用卡信息要高50倍。因?yàn)樗锩姘嘶颊叩膫€(gè)人基本信息、財(cái)務(wù)信息和健康信息等多種敏感數(shù)據(jù)[3]。不法分子可以通過販賣個(gè)人數(shù)據(jù)而獲利。②利用網(wǎng)絡(luò)技術(shù)入侵信息系統(tǒng)，獲取非法權(quán)限占用醫(yī)療資源再換取財(cái)產(chǎn)，比如：醫(yī)療機(jī)構(gòu)的服務(wù)器資源被黑客濫用于挖礦牟利。③利用安全漏洞，勒索醫(yī)療機(jī)構(gòu)間接“變現(xiàn)”。主要的手段是通過網(wǎng)絡(luò)安全漏洞控制醫(yī)院網(wǎng)絡(luò)系統(tǒng)，以破壞醫(yī)院正常運(yùn)營秩序，進(jìn)而向醫(yī)院索要贖金。

2.2? 國際信息博弈激烈，網(wǎng)絡(luò)安全形勢嚴(yán)峻

當(dāng)前國際網(wǎng)絡(luò)空間競合博弈高熱，各國著力打造網(wǎng)絡(luò)攻防博弈的“矛”與“盾”，發(fā)達(dá)國家加緊對新興網(wǎng)絡(luò)大國的威脅渲染，網(wǎng)絡(luò)聯(lián)盟趨勢愈發(fā)緊密，網(wǎng)絡(luò)部隊(duì)的戰(zhàn)略地位獲得進(jìn)一步鞏固和提升。近期，美國外交政策全國委員會（NCAFP）發(fā)布題為《防御新前沿：網(wǎng)絡(luò)空間與美國外交政策》研究報(bào)告，認(rèn)為當(dāng)前的美國網(wǎng)絡(luò)安全可分解為中國、伊朗和俄羅斯是美國網(wǎng)絡(luò)空間領(lǐng)域的主要對手。2017年美國宣布升級美軍網(wǎng)絡(luò)司令部，成為美軍第十個(gè)聯(lián)合作戰(zhàn)司令部，其目標(biāo)是在2018年9月30日前建成133支具有全面作戰(zhàn)能力的網(wǎng)絡(luò)部隊(duì)[4]。

2.3? 醫(yī)療機(jī)構(gòu)信息安全防護(hù)能力較弱，信息安全投入較少

醫(yī)療機(jī)構(gòu)對保障信息安全工作的資源投入較少，是使得數(shù)據(jù)安全得不到保障的直接原因之一。醫(yī)療機(jī)構(gòu)在信息化上的投入并不是很大，一般要求為企業(yè)年收入的2%～4%，但大多數(shù)醫(yī)療機(jī)構(gòu)未能投入該額度預(yù)算[5]。相對軟件應(yīng)用系統(tǒng)來說，投入到信息安全硬件設(shè)備上的預(yù)算更少，信息管理部門在這方面的防范措施更是力不從心。多數(shù)軟件在設(shè)計(jì)之初，并沒與完全考慮到未來互聯(lián)互通時(shí)可能存在的安全問題，留下了很多安全隱患漏洞。

2.4? 醫(yī)療機(jī)構(gòu)普遍缺乏信息安全專業(yè)人才

面對嚴(yán)峻的網(wǎng)絡(luò)信息安全攻防來說，醫(yī)療機(jī)構(gòu)的管理水平稍顯不足。網(wǎng)絡(luò)信息安全建設(shè)所需的信息技術(shù)人員多為信息技術(shù)專業(yè)畢業(yè)，網(wǎng)絡(luò)技術(shù)、加密技術(shù)、通信技術(shù)任何一科都是專業(yè)性很強(qiáng)的學(xué)科。在“互聯(lián)網(wǎng)+醫(yī)療”飛速發(fā)展的當(dāng)下，信息安全相關(guān)技術(shù)人才的數(shù)量和技術(shù)含量與實(shí)際需要存在較大差距。

3? 醫(yī)療機(jī)構(gòu)信息安全建設(shè)的對策

3.1? 提升管理人員對信息安全重要性的認(rèn)識

醫(yī)療機(jī)構(gòu)在大力推行“互聯(lián)網(wǎng)+醫(yī)療”的同時(shí)，必須對信息安全建設(shè)有足夠的認(rèn)識。我國在2016年11月7日通過《中華人民共和國網(wǎng)絡(luò)安全法》，自2017年6月1日起正式施行。習(xí)近平主席指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。將用網(wǎng)絡(luò)安全法來捍衛(wèi)我國的第五疆域。”在這新時(shí)期到來之際，從業(yè)者（醫(yī)療機(jī)構(gòu)信息部門乃至醫(yī)療機(jī)構(gòu)全體職工、相關(guān)公司等）其工作原則和具體方案實(shí)施中都必須進(jìn)行調(diào)整和改變思路，方能在《網(wǎng)絡(luò)安全法》的大框架下，完美、有效、良性、安全地做好醫(yī)療機(jī)構(gòu)的信息化工作。

3.2? 加大信息系統(tǒng)安全建設(shè)的投入

一個(gè)運(yùn)行安全可靠的信息系統(tǒng)，必須依賴于完善的安全硬件設(shè)備和專業(yè)的技術(shù)管理人員相配合，才能為繁重的信息系統(tǒng)安全保障工作提供足夠的支持。因此，醫(yī)療機(jī)構(gòu)必須加大信息安全建設(shè)的投入，除了重要安全基礎(chǔ)設(shè)施的配置外，還要重視IT管理人員專業(yè)素質(zhì)的培養(yǎng)，才能在日益復(fù)雜的信息安全環(huán)境中，使醫(yī)療機(jī)構(gòu)得以從容應(yīng)對。

3.3? 構(gòu)建完善的信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（Management System，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用?！靶畔ⅰ弊鳛橘Y產(chǎn)的一種，在不同的生命周期階段，包括構(gòu)思、規(guī)約、設(shè)計(jì)、開發(fā)、測試、實(shí)現(xiàn)、使用、維護(hù)，并最終退役和銷毀中，其資產(chǎn)的價(jià)值和所面臨的風(fēng)險(xiǎn)可能會發(fā)生變化，在每一階段上應(yīng)當(dāng)考慮信息安全。醫(yī)療機(jī)構(gòu)需要通過規(guī)范的標(biāo)準(zhǔn)，構(gòu)建一個(gè)可靠的信息安全保障系統(tǒng)，繼承各種硬件、軟件和密碼設(shè)備，保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運(yùn)行的專用信息應(yīng)用系統(tǒng)，附帶系統(tǒng)相關(guān)崗位、人員、策略、制度和規(guī)程的總和。從而形成一道立體的、多層面的信息安全防御系統(tǒng)。

3.4? 加強(qiáng)信息安全技術(shù)人員的專業(yè)素養(yǎng)培養(yǎng)

專業(yè)人員的素質(zhì)是信息安全環(huán)節(jié)中極為重要的部分之一。人既是信息安全最大的防護(hù)者，也是信息安全問題的制造者。由于種種原因，目前世界上信息攻擊技術(shù)遠(yuǎn)遠(yuǎn)超前于防護(hù)技術(shù)，因此需要技術(shù)人員不斷學(xué)習(xí)前沿技術(shù)，了解個(gè)技術(shù)發(fā)展趨勢，才能具備足夠的專業(yè)知識面對各種信息安全問題。

4? 醫(yī)療機(jī)構(gòu)信息安全建設(shè)的總結(jié)與展望

身處信息化時(shí)代，對信息化的依賴程度越來越高，高度互聯(lián)互通的信息系統(tǒng)一方面確實(shí)提升了不少民生辦事效率，但是另一方面也要面對“牽一發(fā)而動(dòng)全身”的系統(tǒng)安全風(fēng)險(xiǎn)。當(dāng)用戶將業(yè)務(wù)服務(wù)系統(tǒng)高連續(xù)性和新功能快速增長當(dāng)成一種習(xí)慣時(shí)，政府、醫(yī)療機(jī)構(gòu)、信息化建設(shè)者、用戶都會不約而同地追求這種高增長的成就感。越來越多傳統(tǒng)醫(yī)療機(jī)構(gòu)將其業(yè)務(wù)從線下擴(kuò)展到線上，同時(shí)我們也看到醫(yī)療機(jī)構(gòu)在信息安全建設(shè)的投入依舊有限。數(shù)字化為世界打開了一扇扇帶來巨大效益的大門時(shí)，也不可避免地帶來了一個(gè)個(gè)被攻擊的安全風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)+、移動(dòng)醫(yī)療、大數(shù)據(jù)建設(shè)取得穩(wěn)步上升的新形勢下，信息化建設(shè)者們都應(yīng)砥礪前行，為迎接每一個(gè)信息風(fēng)險(xiǎn)管理浪潮做好充分準(zhǔn)備。

[參考文獻(xiàn)]

[1]? 劉洪梅，張舒，磨惟偉.2017年國際信息安全總體態(tài)勢[J].中國安全信息，2018（1）：56-59.

[2]? 孫巍，王玉珍，陳韜.基于等級保護(hù)要求 加強(qiáng)醫(yī)療機(jī)構(gòu)信息安全管理[J].中國衛(wèi)生信息管理雜志，2017，14（6）：843-845.

[3]? 木須.對系統(tǒng)安全防護(hù)重視不夠 國外多家醫(yī)療機(jī)構(gòu)遭到勒索軟件攻擊[J].信息安全與通信保密，2016（5）：68-69.

[4]? 趙大仁，何思長，孫渤星，等.我國“互聯(lián)網(wǎng)+醫(yī)療”的實(shí)施現(xiàn)狀與思考[J].衛(wèi)生經(jīng)濟(jì)研究，2016（7）：14-17.

[5]? 葛斌，張友能，石文兵.新形勢下高校信息安全專業(yè)教學(xué)改革探討[J].通化師范學(xué)院學(xué)報(bào)，2015（8）：94-96.