摘要：醫(yī)療設(shè)備網(wǎng)絡(luò)數(shù)據(jù)安全體系建設(shè)是保障醫(yī)療數(shù)據(jù)安全、防止信息泄露的關(guān)鍵。該體系通過強化設(shè)備物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面的保障措施，建立多層防線，有效降低醫(yī)療數(shù)據(jù)被攻擊、篡改或泄露的風險。同時，采用加密技術(shù)、訪問控制等手段，確保數(shù)據(jù)在傳輸、存儲和使用過程中的安全性。此外，定期開展安全審計和風險評估，及時發(fā)現(xiàn)和修復潛在的安全隱患，確保醫(yī)療設(shè)備網(wǎng)絡(luò)數(shù)據(jù)安全體系始終處于最佳狀態(tài)。這一體系的建立，將為醫(yī)療行業(yè)的健康發(fā)展提供有力支撐。本文以某醫(yī)院醫(yī)療設(shè)備網(wǎng)絡(luò)數(shù)據(jù)安全體系建設(shè)為例，完整介紹了包括醫(yī)療設(shè)備網(wǎng)絡(luò)安全防護、患者隱私數(shù)據(jù)保護等在內(nèi)的網(wǎng)絡(luò)安全體系化建設(shè)方案。該方案產(chǎn)生了良好的社會效益與經(jīng)濟效益，對國內(nèi)大型綜合醫(yī)院具有廣泛適用性。

關(guān)鍵詞：數(shù)據(jù)安全；患者隱私；醫(yī)療設(shè)備防護

數(shù)據(jù)安全是指保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、使用、修改、破壞或泄露的一系列措施。它涵蓋了數(shù)據(jù)的完整性、保密性和可用性，同時也需要確保數(shù)據(jù)符合適用的法律和行業(yè)標準。數(shù)據(jù)安全是保護個人、組織和社會利益的重要組成部分，可以通過技術(shù)、管理和教育等多種手段實現(xiàn)。2018 年 5 月 25 日，歐盟《一般數(shù)據(jù)保護條例》（GDPR）正式實施。GDPR 法案要求，不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對數(shù)據(jù)實施長臂管理。2021 年 6 月 10 日，全國人大常委會通過了《數(shù)據(jù)安全法》，并于 2021 年 9 月 1 日起施行。目前，全球已有近 100 個國家和地區(qū)制定了數(shù)據(jù)安全保護相關(guān)法律，數(shù)據(jù)安全保護專項立法已成為國際慣例。

一 、醫(yī)療設(shè)備安全管理所面臨的挑戰(zhàn)

（一）物聯(lián)網(wǎng)下醫(yī)療設(shè)備數(shù)據(jù)保護存在的安全問題

近幾年，尤其是新冠疫情開始后，伴隨著智慧醫(yī)療的快速發(fā)展，以及各種智能醫(yī)療設(shè)備（如5G手術(shù)機器人）的遠程接入使用，如何保護醫(yī)療數(shù)據(jù)安全逐漸成為各個國家不得不面對的挑戰(zhàn)。2022年11月，印度主要公共醫(yī)療機構(gòu)之一，全印度醫(yī)學科學研究所（AIIMS）醫(yī)療設(shè)備因網(wǎng)絡(luò)遭遇勒索病毒攻擊導致業(yè)務(wù)中斷。此次中斷影響到數(shù)百位使用基礎(chǔ)醫(yī)療服務(wù)的患者和醫(yī)生，波及患者診斷、結(jié)算等系統(tǒng)。由于負責記錄患者數(shù)據(jù)的服務(wù)器停止工作，該機構(gòu)只能轉(zhuǎn)向手動操作，包括手寫影像報告[1]。醫(yī)療設(shè)備業(yè)務(wù)中斷還導致排隊時間延長，應(yīng)急處置工作也開始出現(xiàn)失誤。在經(jīng)歷最初幾個小時的中斷之后，醫(yī)院方面發(fā)布一份聲明，確認了網(wǎng)絡(luò)攻擊的存在。中斷一直持續(xù)到次日。一位住院醫(yī)生在采訪中表示，“有很多采血樣本無法發(fā)送，沒法進行影像學研究，也看不到之前的報告和圖像。大量操作只能以手動方式完成，但這樣既耗時也更容易出錯?！备鶕?jù)IBM數(shù)據(jù)泄露年度報告顯示，從2022年3月至2023年3月，全球醫(yī)療行業(yè)是網(wǎng)絡(luò)攻擊的最大受害者。該年度報告連續(xù)13年均顯示，醫(yī)療保健行業(yè)遭遇的數(shù)據(jù)泄露成本最高，平均每起攻擊損失1100萬美元。其次是金融業(yè)，平均每起攻擊損失590萬美元。

（二）外部數(shù)據(jù)安全威脅

非法數(shù)據(jù)盜竊集團通過誘騙警惕性不高的用戶安裝盜版軟件或手機App、點擊釣魚網(wǎng)站等方式竊取數(shù)據(jù)信息；通過高可持續(xù)威脅攻擊對醫(yī)院網(wǎng)絡(luò)展開定向威脅攻擊；通過繞開傳統(tǒng)安全方案（包括防火墻、殺毒軟件、入侵防御系統(tǒng)等）和運用社會工程學等其他手段實施持久且有效的威脅和攻擊，在目標醫(yī)療設(shè)備上建立登錄點，并進行長期潛伏，逐步突破安全防御措施，從而達到竊取患者診療數(shù)據(jù)的目的。

（三）日益嚴峻的內(nèi)部數(shù)據(jù)安全風險

隨著智慧醫(yī)療的應(yīng)用日益廣泛，醫(yī)院醫(yī)療服務(wù)供應(yīng)鏈也愈趨復雜化，面對多變且日新月異的攻擊形態(tài)，基礎(chǔ)的內(nèi)網(wǎng)安全防護仍是不可或缺的一環(huán)，因攻擊者的最終目標依然在于醫(yī)院內(nèi)網(wǎng)[2]。如有些能夠接觸到患者健康數(shù)據(jù)、第一手檢查檢驗結(jié)果的設(shè)備操作技師，可能因為收受賄賂、幫助親友、線上非法交易牟利等目的，違規(guī)篡改數(shù)據(jù)。另外，擁有數(shù)據(jù)和系統(tǒng)高級操作權(quán)限的人員，可能出于個人恩怨等報復動機，對組織或個人的重要醫(yī)療數(shù)據(jù)進行篡改、刪除等破壞行為等。

二、醫(yī)療信息化發(fā)展與數(shù)據(jù)安全體系建設(shè)

（一）防護體系建設(shè)標準

2021年，國家衛(wèi)生健康委辦公廳印發(fā)《公立醫(yī)院高質(zhì)量發(fā)展評價指標（試行）》，其要求以病人為中心、從使用者需求出發(fā)，積極推動數(shù)位轉(zhuǎn)型，展開智慧照護、AI人工智能、遠程醫(yī)療、智慧服務(wù)管理及云端運算等五大應(yīng)用領(lǐng)域發(fā)展，打造行動化、數(shù)字化的智慧醫(yī)院。

在跨團隊合作的推動下，目前國內(nèi)醫(yī)療領(lǐng)域已有多項卓越亮眼的智慧醫(yī)療服務(wù)落地應(yīng)用，例如運用大數(shù)據(jù)技術(shù)開發(fā)“急診敗血癥AI智能系統(tǒng)”，結(jié)合人工智能及SOFA Score自動評估，降低敗血癥死亡率與病人平均住院時數(shù)；打造FHIR格式的云端電子病歷平臺，促進院際、機構(gòu)間的醫(yī)療信息交換效率；配備導入式護士站電子白板、智慧床邊系統(tǒng)及電子床頭卡，提升住院病人照護質(zhì)量。然而，要建構(gòu)兼具敏捷與韌性的醫(yī)療照護服務(wù)系統(tǒng)，除了對新興醫(yī)療器械的運用外，還應(yīng)加強數(shù)據(jù)安全保護，畢竟醫(yī)院所收集的病歷、醫(yī)療與健康檢查資料均屬于患者隱私。因其數(shù)據(jù)背后的巨大價值，黑客將醫(yī)療產(chǎn)業(yè)列為主要攻擊目標。根據(jù)國家網(wǎng)絡(luò)安全部門發(fā)布的調(diào)查報告顯示，勒索軟件已成為醫(yī)療產(chǎn)業(yè)發(fā)展的主要威脅之一，占總體網(wǎng)絡(luò)安全事件的50%以上。但是，目前只有27%的醫(yī)院擁有專門的勒索軟件防御計劃。

（二）多部署方案加固數(shù)據(jù)生成端安全體系

為了做好數(shù)據(jù)安全防護，某院自2020年起已投入超過1000萬元預算用于加強網(wǎng)絡(luò)安全建設(shè)。如在內(nèi)網(wǎng)導入高級防火墻用以落實LAN網(wǎng)段區(qū)隔，阻擋惡意DNS、過濾IP；部署端點安全軟件，實時排期掃描，并針對全院PC機及服務(wù)器進行威脅監(jiān)測與記錄。另外，在上網(wǎng)策略管控方面，借由導入資料外泄防護（DLP）方案，針對網(wǎng)頁類別過濾，并強化SSL網(wǎng)頁加解密以及惡意網(wǎng)站阻擋力度。此外，面對未知的外來攻擊，該院設(shè)置了下一代防火墻來強化防御，防御層級涵蓋L7應(yīng)用層，通過檢查封包內(nèi)容以實現(xiàn)安全防護機制的升級。在數(shù)據(jù)安全事件管理方面，該院通過SIEM方案負責執(zhí)行日志資料的搜集、事件關(guān)聯(lián)性與交叉分析，以提高設(shè)備資產(chǎn)的可視性，管理分享情資。該院以往的數(shù)據(jù)安全防護機制都只針對外部的安全威脅，一旦進入內(nèi)網(wǎng)信任區(qū)，便基本不會有安全防護措施。為了強化網(wǎng)絡(luò)安全管理，消除安全防護死角，近兩年，該院強化了內(nèi)網(wǎng)防火墻設(shè)計，對內(nèi)網(wǎng)進行網(wǎng)段區(qū)隔，在區(qū)隔化安全措施下，當某一單獨VLAN出現(xiàn)設(shè)備中毒時，不會影響到整個內(nèi)網(wǎng)其他區(qū)域的正常、安全運行。

另外，該院還聘請了具有專業(yè)資質(zhì)的信息安全服務(wù)公司，以季度為單位進行弱點掃描、導入網(wǎng)站應(yīng)用程序防火墻（WAF），通過比對病毒與惡意程序等網(wǎng)絡(luò)攻擊，來拒絕可疑、惡意流量進入網(wǎng)站，保護網(wǎng)站應(yīng)用程序。此外，該院還投入建設(shè)了網(wǎng)絡(luò)安全運營中心。網(wǎng)絡(luò)病毒通常具有高隱蔽性，通常隱藏于看似正常的信息中，且其通過正常信息侵入電腦系統(tǒng)后，通常會先潛伏而不進行系統(tǒng)攻擊等操作，因此不易被用戶察覺。但系統(tǒng)透過態(tài)勢感知探針收集內(nèi)部網(wǎng)絡(luò)的日志資料，就能送到安全大腦加以分析是否存在不正常的訪問行為，例如短時間內(nèi)有某賬號密碼大量嘗試進入不同的IP，就是很明顯的異常行為。網(wǎng)絡(luò)安全運營中心的建設(shè)與管理，為網(wǎng)絡(luò)系統(tǒng)的安全保障、異常行為的監(jiān)測和管理具有重要的作用。

（三）數(shù)據(jù)安全防御人人有責 防堵措施強化管控

在國家法律法規(guī)的推動下，大型三甲醫(yī)院都在強化醫(yī)療數(shù)據(jù)安全管理工作。但醫(yī)院強化數(shù)據(jù)管理的目標不只是合規(guī)，而是打造能保護醫(yī)療信息安全的數(shù)據(jù)安全防御機制，提供讓病患放心的高質(zhì)量醫(yī)療服務(wù)。在此目標的指引下，該院除了積極導入相關(guān)安全解決方案外，也設(shè)計了一些防護措施，如在醫(yī)療器械導出的數(shù)據(jù)中，若是有超過五項敏感資料特征，如身份證、病歷號碼、出生日期、電話號碼、家庭住址等，數(shù)據(jù)監(jiān)測系統(tǒng)就會以內(nèi)部郵件通知數(shù)據(jù)安全部門主管。再如，院內(nèi)所有醫(yī)療器械基本無法使用外接存儲設(shè)備。如需批量復制設(shè)備資料時，醫(yī)院會對該設(shè)備進行偵測，并且將欲復制的資料在系統(tǒng)中進行備份，以便發(fā)生資料外泄事件時可以比對追溯。隨著數(shù)據(jù)安全防范措施越來越嚴密，該院對醫(yī)技科室人員操作醫(yī)療設(shè)備的要求也越來越嚴謹，嚴格依循國家衛(wèi)健委公布的網(wǎng)絡(luò)數(shù)據(jù)安全責任等級分級辦法里面提到的施行細則，即“誰主管、誰負責，誰使用、誰負責”，讓醫(yī)療設(shè)備使用及數(shù)據(jù)安全保護責任到人，從操作規(guī)范與安全層面，大大降低了數(shù)據(jù)安全事件發(fā)生的風險。

三、強化醫(yī)療設(shè)備準入機制、減少風險暴露面

（一）終端準入系統(tǒng)防非法設(shè)備接入

提供 IP 保護功能，避免因 IP 沖突、 客戶端搶 IP 等事件導致醫(yī)院重要業(yè)務(wù)系統(tǒng)中斷、服務(wù)停止。根據(jù)不同的業(yè)務(wù)場景，可以采用多種設(shè)備入網(wǎng)綁定的方式。如門診醫(yī)生站、住院醫(yī)生站的電腦主機是固定的，使用場景不會輕易發(fā)生變動，此種情況下多采用IP地址綁定、網(wǎng)卡物理地址MAC綁定等方式加強安全保護。對于大型醫(yī)療設(shè)備，其本身的硬件使用安全責任歸屬于醫(yī)療器械科，入網(wǎng)安全責任歸屬于信息安全管理中心。此類設(shè)備通常由廠商工程師在入院時進行調(diào)試，后期基本不會發(fā)生變動。因此，可采用資產(chǎn)屬性、設(shè)備名稱等綁定方式。對于其他外接設(shè)備，如U盤或者讀取患者院外影像資料的光盤等，根據(jù)醫(yī)院網(wǎng)絡(luò)安全管理制度，原則上不可隨意接入，如確需使用，則由醫(yī)療科室提出申請、醫(yī)務(wù)部門審批通過后進行單獨開放。此類設(shè)備入網(wǎng)時通過硬件指紋模式進行單獨放行。對于其他特殊情況或突發(fā)緊急狀態(tài)，則使用白名單機制， 允許白名單內(nèi)設(shè)備進行網(wǎng)絡(luò)存取，且白名單設(shè)置了有效期。有效期結(jié)束后設(shè)備入網(wǎng)權(quán)限自動失效。通過以上多種手段綜合運用，能夠有效阻擋外來設(shè)備連入網(wǎng)絡(luò)，減少信息安全風險。

（二）完善存取權(quán)限管理，減少資料外泄風險

使用設(shè)備的本機賬號登入時常伴隨著相當程度的風險，一方面無法限制使用者的存取權(quán)限，另一方面在發(fā)生數(shù)據(jù)安全事件時無法確認使用者身份。針對這種問題，可啟用域控服務(wù)。域控服務(wù)下，AD 管理員可以確認使用者身份，并且可以采取多項措施防止資料外流?？蓮娭埔笤簝?nèi)計算機設(shè)備使用 AD 賬號登入，若偵測到私退 AD 網(wǎng)域事件和未加入網(wǎng)域設(shè)備訪問內(nèi)網(wǎng)，則自動強制阻斷并要求其加入網(wǎng)域，以避免員工任意退出 AD 網(wǎng)域，或在無法監(jiān)管的情況下使用計算機設(shè)備。AD 賬號與計算機名稱綁定，非指定賬號無法登入。整合員工信息，提供“加入/退出”AD 網(wǎng)域、“登入/登出”AD 賬號的日期、時間和次數(shù)。域控服務(wù)器可以監(jiān)測各終端設(shè)備是否安裝應(yīng)裝軟件，如 DLP 軟件，通過軟件的監(jiān)控可以有效減少資料外泄、竊取的狀況發(fā)生。限制 USB 儲存裝置的存取權(quán)限，避免設(shè)備遭到惡意程序的入侵，防止員工通過 USB 儲存裝置竊取機密資料。GPO 的套用常常使管理人員頭痛，繁復的設(shè)定與眾多的計算機設(shè)備，使導入的過程極為繁瑣，更有許多原因會造成套用失敗。UPAS NOC 提供完善的 GPO 功能，可幫助管理者了解在網(wǎng)域中的設(shè)備 GPO 套用狀況，查找沒有符合規(guī)定套用 GPO 之端點設(shè)備。[3]

四、可供推廣的經(jīng)驗

（一）圍繞四種設(shè)備，打造設(shè)備網(wǎng)絡(luò)與數(shù)據(jù)安全

防火墻：它是醫(yī)院網(wǎng)絡(luò)安全的第一道防線。通過檢查經(jīng)過防火墻的數(shù)據(jù)包并根據(jù)預設(shè)的安全策略決定數(shù)據(jù)包的流向。它能夠以物理的或虛擬的方式對單個終端或網(wǎng)絡(luò)域進行隔離。

入侵防御系統(tǒng)（IPS）：IPS是用于監(jiān)視、檢測和阻止入侵嘗試和惡意活動的系統(tǒng)。它是網(wǎng)絡(luò)安全架構(gòu)中的重要組成部分，多放置于防火墻之后。通過分析網(wǎng)絡(luò)流量檢測入侵，并實時中止入侵行為，從而保護醫(yī)院信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。

堡壘機：堡壘機可以將所有針對醫(yī)療設(shè)備的遠程操作集中在同一個平臺上進行管理，并對所有的運維行為進行監(jiān)控，及時發(fā)現(xiàn)任何違規(guī)操作。

態(tài)勢感知系統(tǒng)：態(tài)勢感知系統(tǒng)通過對整個院內(nèi)網(wǎng)絡(luò)流量的收集偵測，對醫(yī)院網(wǎng)絡(luò)安全情況進行整體評估，結(jié)合互聯(lián)網(wǎng)側(cè)最新安全趨勢，為醫(yī)院網(wǎng)絡(luò)安全管理人員提供決策分析。該系統(tǒng)上線后平均每日偵測威脅攻擊300余次，在數(shù)次護網(wǎng)行動中協(xié)助醫(yī)院成功防御安全公司的模擬進攻。態(tài)勢感知系統(tǒng)已成為我院網(wǎng)絡(luò)安全防護體系的核心設(shè)備。

（二）可靠的網(wǎng)絡(luò)隔離方案

網(wǎng)絡(luò)解決方案：通過東部院區(qū)一、二期機房建成雙活網(wǎng)絡(luò)。內(nèi)外網(wǎng)之間采用啟明星辰網(wǎng)閘隔離，出口采用深信服提供的下一代防火墻，保障內(nèi)網(wǎng)安全性。

設(shè)備網(wǎng)解決方案：設(shè)備網(wǎng)包括大型醫(yī)療器械、安防視頻監(jiān)控、樓宇控制等設(shè)施，由醫(yī)院的安保部門負責。從方便運維和管理的角度出發(fā)，設(shè)備網(wǎng)采用單獨建設(shè)方案，與集團信息網(wǎng)絡(luò)物理隔離。

網(wǎng)絡(luò)設(shè)備管理方案：借助IMC 智能網(wǎng)絡(luò)管理平臺，實現(xiàn)對網(wǎng)絡(luò)的靈活可視化管理，大大降低了運維的復雜度。

設(shè)備準入解決方案：借助聯(lián)軟終端準入系統(tǒng)對所有接入醫(yī)院內(nèi)網(wǎng)的設(shè)備采取強制網(wǎng)絡(luò)接入認證，防止任何未經(jīng)授權(quán)的終端訪問內(nèi)網(wǎng)信息系統(tǒng)。

五、結(jié)束語

醫(yī)療設(shè)備網(wǎng)絡(luò)與數(shù)據(jù)安全體系的建設(shè)有效提高了網(wǎng)絡(luò)的安全性，保護了患者隱私，防止未經(jīng)授權(quán)的訪問和攻擊。在目前網(wǎng)絡(luò)安全越來越重要的背景下，建立健全醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)安全體系建設(shè)，加強醫(yī)院網(wǎng)絡(luò)安全保護，對保障醫(yī)院醫(yī)療服務(wù)升級及可持續(xù)發(fā)展具有重要的意義。

作者單位：劉大龍 徐然 丁士富 青島市市立醫(yī)院

參考文獻

[1]費曉璐.淺談醫(yī)療設(shè)備信息安全[J].中國醫(yī)院建筑與裝備，2019，20（05）：26-29.

[2]向飛，劉洪濤，張秋京，等.可穿戴醫(yī)療設(shè)備技術(shù)發(fā)展分析[J].中國醫(yī)療器械信息，2016，22（09）：6-11.

[3]汪火明，孫潤康，任宇飛.基于數(shù)據(jù)分級的醫(yī)療大數(shù)據(jù)中心數(shù)據(jù)安全管理策略研究[J]. 中國醫(yī)院管理，2022，（10）：64-67.