隨著醫(yī)療信息化的不斷發(fā)展，尤其是互聯(lián)網(wǎng)醫(yī)療的興起，醫(yī)療數(shù)據(jù)安全面臨全新壓力。如何識(shí)別醫(yī)療數(shù)據(jù)安全風(fēng)險(xiǎn)并進(jìn)行管控成為醫(yī)療信息化建設(shè)的當(dāng)務(wù)之急。對(duì)此，首都兒科研究所附屬兒童醫(yī)院醫(yī)工處處長(zhǎng)于雪梅在CHIMA 2020大會(huì)上進(jìn)行了詳細(xì)解讀。

以下內(nèi)容根據(jù)于雪梅處長(zhǎng)演講內(nèi)容整理。

醫(yī)療數(shù)據(jù)安全不是一個(gè)新鮮話題，但是在特殊時(shí)刻重提有了特殊的含義。在2020年這個(gè)不平凡的一年，醫(yī)療信息化建設(shè)既存在機(jī)遇，也面臨挑戰(zhàn)。在這個(gè)大環(huán)境下，互聯(lián)網(wǎng)醫(yī)療成為一個(gè)熱詞。新形勢(shì)下互聯(lián)網(wǎng)醫(yī)療的發(fā)展無(wú)論是主動(dòng)還是被動(dòng)，都已呈現(xiàn)出乘風(fēng)破浪的趨勢(shì)。然而，這卻給已經(jīng)相對(duì)穩(wěn)固的醫(yī)院信息安全建設(shè)帶來(lái)一個(gè)新的挑戰(zhàn)。醫(yī)院的信息系統(tǒng)充分暴露在互聯(lián)網(wǎng)環(huán)境下，展開了一個(gè)新的業(yè)務(wù)環(huán)境。

和醫(yī)院早期的信息化、網(wǎng)絡(luò)化非常不同，當(dāng)前醫(yī)院網(wǎng)絡(luò)已經(jīng)發(fā)展到智慧化的環(huán)境下，平臺(tái)安全和數(shù)據(jù)安全成為關(guān)注重點(diǎn)，主要存在以下挑戰(zhàn)：現(xiàn)有安全技術(shù)過(guò)于專業(yè)，無(wú)法支持醫(yī)院的管理模式和管理復(fù)雜度；醫(yī)院業(yè)務(wù)開始向互聯(lián)網(wǎng)開放，安全防護(hù)措施和主動(dòng)防御手段不足，針對(duì)互聯(lián)網(wǎng)醫(yī)療WEB應(yīng)用防護(hù)，入侵監(jiān)測(cè)未在行業(yè)普及；安全運(yùn)維工作缺失，補(bǔ)丁和安全風(fēng)險(xiǎn)解決時(shí)機(jī)滯后，部分機(jī)構(gòu)的補(bǔ)丁管理依賴于國(guó)外工具；院內(nèi)資產(chǎn)不清晰，容易產(chǎn)生大量安全事件和風(fēng)險(xiǎn)。

互聯(lián)網(wǎng)醫(yī)療的特點(diǎn)是全鏈條社會(huì)化，并且跨行業(yè)、跨部門、跨區(qū)域，涉及的環(huán)節(jié)非常多：包括醫(yī)院、物流配送、藥廠藥店、患者在內(nèi)的不同端點(diǎn)；覆蓋面廣，從社區(qū)醫(yī)院到三甲醫(yī)院全覆蓋；數(shù)據(jù)流通環(huán)節(jié)涉及采集、存儲(chǔ)、交換、處理；合作模式多樣，包括自建、第三方合作和第三方運(yùn)營(yíng)；數(shù)據(jù)價(jià)值主要體現(xiàn)為交易、挖掘、再利用。

不同于傳統(tǒng)模式，互聯(lián)網(wǎng)醫(yī)療需針對(duì)上述全鏈條的場(chǎng)景、角色和應(yīng)用廣度深度，營(yíng)造安全管控大環(huán)境，主要涉及以下方面：患者隱私，主要包括基本信息、疾病信息等；黑客威脅，出于政治或經(jīng)濟(jì)目的的攻擊、勒索、竊取、剽竊、篡改等；主管部門、醫(yī)保、醫(yī)療機(jī)構(gòu)、運(yùn)維單位、患者等不同角色的責(zé)任邊界劃分等。

2019年全國(guó)兩會(huì)保障期間，國(guó)家衛(wèi)生健康委委托中電數(shù)據(jù)針對(duì)200余家醫(yī)院網(wǎng)站進(jìn)行安全掃描和域名安全分析，整理出行業(yè)互聯(lián)網(wǎng)安全情況，輔助國(guó)家衛(wèi)生健康委進(jìn)行行業(yè)安全治理，結(jié)果顯示：2018年，互聯(lián)網(wǎng)醫(yī)院興起，因?yàn)榘踩\(yùn)維管理不到位，導(dǎo)致這一年成為醫(yī)院網(wǎng)絡(luò)安全漏洞出現(xiàn)特別集中的一年。同時(shí)，近幾年醫(yī)院的高危漏洞數(shù)呈現(xiàn)明顯的上升趨勢(shì)，醫(yī)院信息化安全風(fēng)險(xiǎn)趨勢(shì)嚴(yán)峻。

做好醫(yī)院信息安全保障，標(biāo)準(zhǔn)須先行。目前，有關(guān)醫(yī)療信息安全的標(biāo)準(zhǔn)有公共標(biāo)準(zhǔn)，即等保2.0。同時(shí)，智慧醫(yī)療、智慧服務(wù)，以及正在擬定中的智慧管理等行業(yè)評(píng)價(jià)標(biāo)準(zhǔn)中，也對(duì)醫(yī)院信息安全的標(biāo)準(zhǔn)做出了界定。

具體到每一家醫(yī)院，需認(rèn)清有哪些安全風(fēng)險(xiǎn)以及用什么方式進(jìn)行管控。醫(yī)院智慧服務(wù)數(shù)據(jù)全生命周期安全保障體系中涉及到的終端數(shù)據(jù)、數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)應(yīng)用、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理等各個(gè)環(huán)節(jié)，都會(huì)面臨著安全風(fēng)險(xiǎn)。

醫(yī)院和封閉式的管理機(jī)構(gòu)不同，屬于半開放機(jī)構(gòu)。醫(yī)院的終端呈現(xiàn)出以下特點(diǎn)：數(shù)量多，管理復(fù)雜；分布分散，維護(hù)困難；環(huán)境復(fù)雜，安全服務(wù)保障；使用不可控，數(shù)據(jù)易泄露；人員復(fù)雜，內(nèi)部威脅不可知。因此，需確保合適的人在合適的地點(diǎn)、合適的時(shí)間規(guī)范使用網(wǎng)絡(luò)資源，同時(shí)確保每臺(tái)終端安全可靠，全面管控各個(gè)終端以防引入安全風(fēng)險(xiǎn)。

隨著醫(yī)院信息化的發(fā)展進(jìn)程加快，系統(tǒng)與系統(tǒng)之間、檢測(cè)設(shè)備與系統(tǒng)之間、系統(tǒng)與終端之間，以及醫(yī)院與三方合作機(jī)構(gòu)之間存在大量的數(shù)據(jù)傳輸交互，而不安全的數(shù)據(jù)傳輸極易導(dǎo)致傳輸數(shù)據(jù)被竊取、篡改、銷毀等，存在極大的安全風(fēng)險(xiǎn)。缺乏對(duì)跨安全域、內(nèi)外網(wǎng)、系統(tǒng)的數(shù)據(jù)傳輸安全，無(wú)法保證數(shù)據(jù)傳輸過(guò)程中的機(jī)密性、完整性和可用性防護(hù)。

醫(yī)院數(shù)據(jù)交換環(huán)節(jié)主要存在以下安全風(fēng)險(xiǎn)：缺乏對(duì)敏感信息和個(gè)人隱私的數(shù)據(jù)保護(hù)；缺乏對(duì)原始數(shù)據(jù)的保護(hù)，特別是應(yīng)用系統(tǒng)數(shù)據(jù)交換；缺乏數(shù)據(jù)交換脫敏系統(tǒng)，無(wú)法提供事后審計(jì)功能，對(duì)數(shù)據(jù)提取、人員操作、平臺(tái)規(guī)則維護(hù)進(jìn)行審計(jì)。

在數(shù)據(jù)應(yīng)用環(huán)節(jié)，需認(rèn)清網(wǎng)站不等于WEB應(yīng)用，防止信息泄露、網(wǎng)頁(yè)篡改和植入后門。

數(shù)據(jù)存儲(chǔ)環(huán)節(jié)面臨的信息安全威脅之一是醫(yī)療系統(tǒng)或設(shè)備存在安全漏洞，可能被入侵或破壞。

在數(shù)據(jù)管理環(huán)節(jié)，隨著醫(yī)院內(nèi)網(wǎng)絡(luò)應(yīng)用規(guī)模和復(fù)雜度的不斷提高，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量急劇上升，網(wǎng)絡(luò)攻防對(duì)抗日趨激烈，醫(yī)院內(nèi)部新的安全問(wèn)題開始顯現(xiàn)。

要想確保醫(yī)院網(wǎng)絡(luò)安全，需制定安全規(guī)劃體系，主要包括以下內(nèi)容：技術(shù)體系，涉及訪問(wèn)控制、完整性保護(hù)、系統(tǒng)和通信保護(hù)、物理與環(huán)境保護(hù)、檢測(cè)與響應(yīng)、備份與恢復(fù)等一系列技術(shù)方案；運(yùn)維體系，包含流程和規(guī)范、日常維護(hù)、風(fēng)險(xiǎn)評(píng)估、行為管理、應(yīng)急處置等；管理體系，包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全培訓(xùn)等。其中，數(shù)據(jù)安全是信息安全體系的一個(gè)方面。

安全規(guī)劃要有思路，提供以下六種思路供參考：業(yè)務(wù)需求，主要與醫(yī)院的業(yè)務(wù)特點(diǎn)結(jié)合，了解業(yè)務(wù)模式和發(fā)展方向，同步規(guī)劃、同步建設(shè)，主要包括互聯(lián)網(wǎng)服務(wù)、AI、科研多中心等；合規(guī)需求，醫(yī)院安全需遵循國(guó)家等級(jí)保護(hù)規(guī)定、參照相關(guān)國(guó)家標(biāo)準(zhǔn)，合法合規(guī)使用數(shù)據(jù)；威脅識(shí)別，充分識(shí)別內(nèi)部隱患和外部威脅，持續(xù)追蹤最新安全態(tài)勢(shì)；風(fēng)險(xiǎn)評(píng)估，了解安全事件所產(chǎn)生的后果，針對(duì)重大風(fēng)險(xiǎn)做出有效控制計(jì)劃；安全治理，明確治理目標(biāo)、責(zé)任人、技術(shù)路線和時(shí)間節(jié)點(diǎn)；動(dòng)態(tài)改進(jìn)和管理，追蹤溯源，持續(xù)改進(jìn)。

數(shù)據(jù)流動(dòng)中安全性薄弱，應(yīng)該明確的是傳輸及交互的原則與標(biāo)準(zhǔn)、數(shù)據(jù)提取及分析中有哪些敏感數(shù)據(jù)，避開不予提取。在數(shù)據(jù)展示中，需界定哪些是患者隱私不能披露，明晰數(shù)據(jù)應(yīng)用是否需征得患者的授權(quán)等。在安全規(guī)劃過(guò)程中，需分清數(shù)據(jù)資產(chǎn)性質(zhì)，劃分不同風(fēng)險(xiǎn)級(jí)別，給出相應(yīng)對(duì)策（分層、分級(jí)、分域），關(guān)注新應(yīng)用、醫(yī)療設(shè)備、物聯(lián)網(wǎng)接入。同時(shí)，防止數(shù)據(jù)被篡改和刪除，做好應(yīng)急恢復(fù)和容災(zāi)備份。

在進(jìn)行安全規(guī)劃時(shí)，需特點(diǎn)注意以下幾點(diǎn)：清晰地整理醫(yī)院暴漏在互聯(lián)網(wǎng)上的信息資產(chǎn)情況，及時(shí)規(guī)避風(fēng)險(xiǎn)；做好整體邊界和內(nèi)部敏感區(qū)域的防護(hù)，防止未授權(quán)的訪問(wèn)行為發(fā)生；做好數(shù)據(jù)管理；定期開展醫(yī)院漏洞掃描和風(fēng)險(xiǎn)評(píng)估；安全合規(guī)是底線，標(biāo)準(zhǔn)的等級(jí)保護(hù)、密碼應(yīng)用、信息安全管理不能忽視；采取零信任原則，不自動(dòng)信任何內(nèi)部/外部的人、事、物。

在實(shí)踐中，安全規(guī)劃最重要的是營(yíng)造安全管控大環(huán)境，需明確的是數(shù)據(jù)安全是全局性的，需要的是整體安全能力的提升。回歸到醫(yī)院端，需要從以下方面做好數(shù)據(jù)安全管理：在管理方面，做好制度修訂、流程修訂、規(guī)范修訂，增加一項(xiàng)新業(yè)務(wù)的同時(shí)進(jìn)行安全評(píng)估和安全加固，持續(xù)開展安全培訓(xùn)；在技術(shù)方面，摸清數(shù)據(jù)資產(chǎn)、明確患者隱私保護(hù)內(nèi)容、必要的知情同意、自身安全加固、信息交換審批與留痕、建立可追溯機(jī)制；在合規(guī)方面，互聯(lián)網(wǎng)醫(yī)療需達(dá)到等保三級(jí)，合規(guī)是手段，不是目的，應(yīng)針對(duì)自身業(yè)務(wù)特點(diǎn)進(jìn)行安全細(xì)化；在實(shí)際操作中，要做好應(yīng)用安全、交互安全、訪問(wèn)控制。

同時(shí)，醫(yī)療數(shù)據(jù)安全保護(hù)過(guò)程中要做好資產(chǎn)分類，明確邊界，進(jìn)行風(fēng)險(xiǎn)評(píng)估，加強(qiáng)資產(chǎn)的全生命周期管理；保障系統(tǒng)存儲(chǔ)安全，做好數(shù)據(jù)備份與恢復(fù)；制定合適的防護(hù)安全策略，持續(xù)提升技術(shù)保障能力；建立數(shù)據(jù)管理委員會(huì)，充分討論安全、倫理，加強(qiáng)監(jiān)管；對(duì)數(shù)據(jù)進(jìn)行脫敏處理，進(jìn)行知情告知，整個(gè)過(guò)程留痕追溯。

點(diǎn)擊此處可查看于雪梅處長(zhǎng)演講回放