當(dāng)今時代隨著網(wǎng)絡(luò)快速發(fā)展,各個行業(yè)逐漸信息化���,科技化����,數(shù)據(jù)化。毋庸置疑信息給我們帶來便利同時對各個行業(yè)也存在潛在的危險�����。例如在醫(yī)學(xué)上患者的醫(yī)療信息頻頻泄露��,這種情況的發(fā)生對人民的生活和財產(chǎn)安全都是非常不利的�����。所以網(wǎng)絡(luò)醫(yī)療信息的保護不僅是患者的事�,更是醫(yī)院的事����,政府的事�����,國家的事�����。
自1994年互聯(lián)網(wǎng)引進中國以來����,互聯(lián)網(wǎng)已經(jīng)逐漸滲透到了生活的方方面面����。對于互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,信息的傳播速度也越來越快��。信息在當(dāng)今社會尤為重要��?��;ヂ?lián)網(wǎng)的普遍運用�����,使互聯(lián)網(wǎng)滲透到了許多關(guān)乎民生的產(chǎn)業(yè)����,網(wǎng)絡(luò)醫(yī)療也不例外。各種醫(yī)療信息的查找和收集越來越容易����,得到的信息也越來越真實。但同時也伴隨著一定不安全因素��。信息的一點點暴露都有可能引發(fā)一系列的問題����。”互聯(lián)網(wǎng)+”和大數(shù)據(jù)等概念的提出改變了人們對傳統(tǒng)醫(yī)療的認知��,醫(yī)院的好壞可能直接反映在網(wǎng)絡(luò)醫(yī)療的好壞中���,同時許多私人企業(yè)也發(fā)現(xiàn)了商機�����,網(wǎng)絡(luò)醫(yī)療變得越來越受人重視���。網(wǎng)絡(luò)醫(yī)療的興起方便了患者的就診,優(yōu)化了醫(yī)療的產(chǎn)業(yè)模式�����,方便了醫(yī)療知識的傳播和發(fā)展���,是傳統(tǒng)醫(yī)療的衍生和進步���。但這些進步時患者的信息更容易獲得和聚集。在醫(yī)院存儲��,調(diào)用患者信息越來越方便的同時�����,也伴隨著信息被竊聽�����,泄露�,篡改的風(fēng)險。而患者的病癥信息往往是敏感的����。近幾年�,孕��、產(chǎn)婦個人信息泄露的新聞幾乎不絕于耳�,其帶來的一系列推銷、詐騙問題嚴重困擾信息當(dāng)事人�����。就此情況醫(yī)院醫(yī)療信息的保存和在信息傳送過程中的保護變得尤為重要��。對網(wǎng)絡(luò)安全的維護是刻不容緩的�。
01
—
1.1 硬件安全中的漏洞
保護醫(yī)療信息存儲安全的基礎(chǔ)是硬件,硬件設(shè)施經(jīng)常關(guān)乎到醫(yī)療服務(wù)質(zhì)量的安全性和可靠性�,好的硬件設(shè)施會使信息保護起到事半功倍的效果。自改革開放以來我國對醫(yī)療網(wǎng)絡(luò)的構(gòu)建成果是有目共睹的��,但還是時常出現(xiàn)設(shè)備老化和安全管理不到位等問題�����,這些問題會對信息的保存和使用造成極大的安全隱患��,不利于醫(yī)院信息網(wǎng)絡(luò)的安全穩(wěn)定�。問題主要包括:
(1)溫度和濕度對硬件長期的侵蝕;
(2)雷雨天氣,地震海嘯等自然災(zāi)害的侵擾;
(3)老化的電腦和主機沒有及時升級和更換導(dǎo)致信息的丟失;
(4)突然斷電使系統(tǒng)的備份丟失�。硬件安全對患者信息的處理和保存尤為重要。
1.2 人為因素對醫(yī)院信息安全的威脅
某省婦幼保健院的大量新生兒視頻泄露���,其主要原因是黑客入侵了數(shù)據(jù)庫。這是人為因素影響醫(yī)院信息安全的典型案列����。人為因素也是影響醫(yī)院信息安全的因素之一,其中分為內(nèi)部成員因素和外部成員因素��。
(1)內(nèi)部成員因素:主要是內(nèi)部成員未經(jīng)患者允許有意向外界公布或出售患者的病例和個人信息���,不僅使患者的名譽和財產(chǎn)甚至是生命安全受到侵害��,而且對醫(yī)院的聲譽有很大的負面影響��,也是最難防范的威脅之一;
(2)外部成員因素:是外部成員通過對醫(yī)院安全網(wǎng)絡(luò)植入木馬�,竊聽軟件����,電腦病毒等使醫(yī)院網(wǎng)絡(luò),電腦癱瘓或者盜取患者個人信息以一己私利的人為威脅����,對醫(yī)院信息網(wǎng)絡(luò)的破壞性極強�����,會造成社會恐慌和信用危機�����,加劇醫(yī)患矛盾�����,不利于醫(yī)療網(wǎng)絡(luò)建立的良性發(fā)展��。
1.3 使用網(wǎng)絡(luò)醫(yī)療產(chǎn)品中的泄露風(fēng)險
近年來��,隨著“互聯(lián)網(wǎng)+”和“云平臺”的廣泛應(yīng)用����,患者可在具有掛號功能的網(wǎng)頁上進行預(yù)約掛號����。醫(yī)生也可以通過云平臺來了解患者的情況和換院前的病例,既方便了患者����,也方便了醫(yī)生�,但仍然存在安全隱患�。首先,患者要填寫一系列個人信息注冊��,這樣才能獲取網(wǎng)站服務(wù)����,在這過程中����,網(wǎng)站對患者信息的保護是否安全和他們是否非法出售這些信息,我們無從得知;其次��,患者在進行網(wǎng)絡(luò)咨詢和掛號是可能會被竊聽或者被不法分子攔截��,造成信息泄露;再者��,在進行醫(yī)療咨詢時�,患者可能會有意無意的泄露自己的信息,這些信息看似毫無用處���,但“千里之堤毀于蟻穴”——患者提供的碎片化信息之間相互關(guān)聯(lián)可能會讓對方知道患者的詳細資料�����,不法分子和私人機構(gòu)獲得后可能會給患者帶來身體或者財產(chǎn)的危害�。所以在使用網(wǎng)絡(luò)醫(yī)療產(chǎn)品時應(yīng)注意網(wǎng)站是否合法,上網(wǎng)環(huán)境是否安全���,從而保護醫(yī)療信息���。
02
—
2.1 物理安全的防范
好的硬件是醫(yī)院信息安全防護的前提,在保護硬件方面�,應(yīng)做到:
(2)機房應(yīng)該單獨隔離,配置恒溫措施和做到防潮��,避免設(shè)備的快速老化;
(3)建立合理的醫(yī)療網(wǎng)絡(luò)線路��,不亂搭電線�,合理規(guī)劃網(wǎng)線布局;
(4)建立內(nèi)網(wǎng)和外網(wǎng),內(nèi)網(wǎng)只與數(shù)據(jù)庫連接����,負責(zé)院內(nèi)的信息傳遞和患者的信息存儲。外網(wǎng)與互聯(lián)網(wǎng)連接����,負責(zé)掛號����,跨院信息傳遞和院外網(wǎng)絡(luò)咨詢���。外網(wǎng)和內(nèi)網(wǎng)不能在同一臺電腦主機中應(yīng)用�����,外網(wǎng)要隨時監(jiān)控以防止外部的病毒�、木馬入侵���。
硬件的保護很重要,但人為的破壞往往比硬件損壞的損失更嚴重��,嚴格的醫(yī)院信息安全管理會將損失減到最低�。我國互聯(lián)網(wǎng)醫(yī)療正處于不斷改善階段,內(nèi)部制度仍需不斷完善�����。
(1)建立安全監(jiān)控系統(tǒng)��,保證主機房24小時的時時監(jiān)控與維護�����。
(2)與電腦維修機構(gòu)積極聯(lián)系,保證“隨叫隨到”���,將安全事故所引發(fā)的信息和財產(chǎn)損失降到最低����。
(3)完善機房管理制度�,未經(jīng)院長和相關(guān)人員的批準,不允許任何人私自進入機房�����。
(4)完善責(zé)任制度�����,將責(zé)任分到每個人���,哪里出問題就找哪個人的責(zé)任�,不允許徇私舞弊的情況���。
(5)不建議醫(yī)院將網(wǎng)絡(luò)醫(yī)療服務(wù)外包給沒有自制的網(wǎng)站和公司����,這等于將敏感信息置于危險的境地。
2.3 網(wǎng)絡(luò)安全的保護
社會已經(jīng)進入信息化時代����,基于4G網(wǎng)絡(luò)使用范圍的擴大,給在網(wǎng)絡(luò)醫(yī)療的便利越來越明顯���。針對這一現(xiàn)狀����,醫(yī)院對網(wǎng)絡(luò)安全的保護是必不可少的���。醫(yī)院網(wǎng)絡(luò)安全的防護有:
(1)網(wǎng)絡(luò)醫(yī)療產(chǎn)品的保護:網(wǎng)絡(luò)醫(yī)療產(chǎn)品時醫(yī)院與患者溝通和交流的新途徑�,在患者注冊產(chǎn)品的同時���,醫(yī)院應(yīng)該將保護患者的信息不被侵害。建議醫(yī)院與大公司合作來共同推出網(wǎng)絡(luò)醫(yī)療產(chǎn)品����。
(2)服務(wù)器的升級:黑客經(jīng)常利用服務(wù)器的漏洞,向服務(wù)器不間斷地輸送無用的信息�,造成服務(wù)器的關(guān)閉��,建議醫(yī)院不斷升級服務(wù)器�,讓犯罪分子沒有可乘之機����。
(3)采用最新安全技術(shù):引進國內(nèi)最新的信息安全技術(shù)有利于信息的存儲,也有利于中國醫(yī)療網(wǎng)絡(luò)安全的發(fā)展����,從而創(chuàng)造出符合我國國情的防護措施。
網(wǎng)絡(luò)安全不僅是醫(yī)院的責(zé)任����,個人同樣要保護自己的醫(yī)療信息不受侵害,應(yīng)該做到:不使用信用度低的�,規(guī)模小的醫(yī)療網(wǎng)絡(luò)安全產(chǎn)品。下載安全軟件保護自己的上網(wǎng)環(huán)境不受侵害�。用戶在使用計算機的過程中,必須需要安裝防火墻以及殺毒軟件���。
03
—
3.1 法律法規(guī)
2016.4.19���,習(xí)主席在網(wǎng)絡(luò)安全和信息化工作座談會上,深刻闡明網(wǎng)絡(luò)生態(tài)事關(guān)人民利益。2014年成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組��,并于2018年改組為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會�。2017年實施《中華人民共和國網(wǎng)絡(luò)安全法》
其中重點:第二十一條 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求��,履行下列安全保護義務(wù)���,保障網(wǎng)絡(luò)免受干擾���、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改�����。第三十三條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定�、持續(xù)運行的性能,并保證安全技術(shù)措施同步規(guī)劃�、同步建設(shè)、同步使用����。網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的��,由有關(guān)主管部門責(zé)令改正���,給予警告����;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的�����,處一萬元以上十萬元以下罰款�,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條���、第三十四條���、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的�����,由有關(guān)主管部門責(zé)令改正����,給予警告���;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款�����,對直接負責(zé)的主管人員處一萬元以上十萬元以下罰款�����。2007年發(fā)布《信息安全等級保護管理辦法》2021年實施《中華人民共和國數(shù)據(jù)安全法》2021年實施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》
第二條 本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施�����,是指公共通信和信息服務(wù)�����、能源����、交通、水利����、金融、公共服務(wù)����、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的��,以及其他一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露�,可能嚴重危害國家安全、國計民生��、公共利益的重要網(wǎng)絡(luò)設(shè)施�����、信息系統(tǒng)等���。
3.2 醫(yī)療行業(yè)相關(guān)政策
2018年4月�,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信息化建設(shè)標準與規(guī)范(試行)的通知》�。對二級及以上醫(yī)院的數(shù)據(jù)中心安全��、終端安全���、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求。
2018年9月13日�,國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法(試行)》�����,明確責(zé)任單位應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護制度要求���,對健康醫(yī)療大數(shù)據(jù)中心��、相關(guān)信息系統(tǒng)開展定級���、備案、測評等工作���。
2018年9月14日����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個文件的通知》��,管理辦法要求醫(yī)療機構(gòu)開展互聯(lián)網(wǎng)診療活動,應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)施��、信息系統(tǒng)��、技術(shù)人員以及信息安全系統(tǒng)����,并實施第三級信息安全等級保護��。
2018年12月21日���,國家衛(wèi)生健康委辦公廳發(fā)文《加快推進電子健康卡普及及應(yīng)用工作的意見》�,對重點工作任務(wù)進行部署�����,要求著力加強電子健康卡應(yīng)用安全建設(shè)及管理�����,對電子健康卡管理服務(wù)系統(tǒng)�����、識讀終端設(shè)備、應(yīng)用密碼機�、互聯(lián)網(wǎng)醫(yī)療健康服務(wù)應(yīng)用軟件等依據(jù)國家行業(yè)標準實行質(zhì)量及安全檢測,強化個人健康信息安全管理��,建立相關(guān)安全風(fēng)險動態(tài)評估管理機制����,同時要求電子健康卡積極采用國密算法和國產(chǎn)自主可控安全技術(shù),確保居民健康信息的安全�����。
2019年4月�����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國基層醫(yī)療衛(wèi)生機構(gòu)信息化建設(shè)標準與規(guī)范(試行)的通知》��,明確了基層醫(yī)療衛(wèi)生機構(gòu)未來 5-10 年信息化建設(shè)的基本內(nèi)容和要求�。其中信息安全部分包括身份認證、桌面終端安全�����、移動終端安全�、計算安全���、通信安全、數(shù)據(jù)防泄露��、可信組網(wǎng)�����、數(shù)據(jù)備份與恢復(fù)�����、應(yīng)用容災(zāi)���、安全運維等10個方面。
2019年12月�����,經(jīng)第十三屆全國人民代表大會常務(wù)委員會第十五次會議通過����,我國頒布衛(wèi)生健康領(lǐng)域第一部基礎(chǔ)性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》�����,明確國家采取措施推進醫(yī)療衛(wèi)生機構(gòu)建立健全信息安全制度,保護公民個人健康信息安全�,對醫(yī)療信息安全制度、保障措施不健全���,導(dǎo)致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進行處罰�����。
2020年2月28日����,國家醫(yī)療保障局�、國家衛(wèi)生健康委員會發(fā)布《關(guān)于推進新冠肺炎疫情防控期間開展“互聯(lián)網(wǎng)+”醫(yī)保服務(wù)的指導(dǎo)意見》,要求不斷提升信息化水平�����,同步做好互聯(lián)網(wǎng)醫(yī)保服務(wù)有關(guān)數(shù)據(jù)的網(wǎng)絡(luò)安全工作�����,防止數(shù)據(jù)泄露。
實施風(fēng)險評估
網(wǎng)絡(luò)安全風(fēng)險評估主要包括資產(chǎn)�、威脅、脆弱性和風(fēng)險四個主要因素�����。網(wǎng)絡(luò)安全風(fēng)險評估能為全面有效落實安全管理工作提供基礎(chǔ)����,通過預(yù)測事件發(fā)生的可能性、影響范圍和危害程度���,有效提高預(yù)防保護的準確性�。企業(yè)信息系統(tǒng)建設(shè)之初就存在安全問題���,好比高樓大廈建在流沙之上,地基不固���,樓建的越高倒塌的風(fēng)險就越大�。網(wǎng)絡(luò)安全風(fēng)險評估是信息系統(tǒng)這座高樓大廈的安全根基����,它可以幫助信息系統(tǒng)管理者了解潛在威脅,合理利用現(xiàn)有資源開展規(guī)劃建設(shè)。網(wǎng)絡(luò)安全風(fēng)險評估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資�����,達到“以最小成本獲得最大安全保障”的效果���。
建議:邀請本地專業(yè)且具有網(wǎng)絡(luò)安全服務(wù)的企業(yè)對于本單位內(nèi)部整理網(wǎng)絡(luò)安全狀況進行檢查和梳理���,并完成自查,便于清晰問題理清責(zé)任隱患點�����。
