患者安全目標(biāo)：智慧醫(yī)院建設(shè)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

——舒 婷 趙 韡 徐 帆 韓作為

獨(dú)立安全評(píng)估公司(ISE)2016年發(fā)布的一項(xiàng)調(diào)查顯示，醫(yī)療衛(wèi)生行業(yè)中普遍存在安全漏洞。漏洞攻擊曾造成過英國(guó)等國(guó)家多家醫(yī)院和診所癱瘓，各類歷史診療數(shù)據(jù)丟失，醫(yī)療服務(wù)處于混亂狀態(tài)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)帶來的損失對(duì)整個(gè)醫(yī)療衛(wèi)生行業(yè)來講不可估量，甚至?xí){到國(guó)家及種族安全。所以主動(dòng)了解醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，制定嚴(yán)密的防范措施，出臺(tái)更嚴(yán)格的安全制度迫在眉睫。

1 國(guó)外智慧醫(yī)院建設(shè)網(wǎng)絡(luò)安全現(xiàn)狀

1.1 現(xiàn)狀與問題

澳大利亞健康信息學(xué)學(xué)會(huì)(HISA)2018年對(duì)醫(yī)療機(jī)構(gòu)的調(diào)查顯示，95%的人了解他們對(duì)患者和醫(yī)院數(shù)據(jù)的安全性和完整性負(fù)有個(gè)人責(zé)任；60%的人清楚發(fā)生網(wǎng)絡(luò)安全事件時(shí)應(yīng)遵循的程序；69%的人每天執(zhí)行數(shù)據(jù)和系統(tǒng)備份；36%的人意識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估至少每年進(jìn)行1次；28%的人經(jīng)歷過一次黑客事件；17%的人遭遇過數(shù)據(jù)泄露[1]。

針對(duì)醫(yī)院的網(wǎng)絡(luò)攻擊在全球范圍內(nèi)都發(fā)生過，尤其是在信息技術(shù)更為先進(jìn)的西方國(guó)家。常見的網(wǎng)絡(luò)安全事件包括：盜竊、篡改醫(yī)療設(shè)備，獲取患者EHR信息，勒索軟件攻擊，拒絕服務(wù)攻擊等。2017年4月暴發(fā)的WannaCry病毒席卷了全球超20萬臺(tái)主機(jī)和服務(wù)器，波及100多個(gè)國(guó)家。英國(guó)國(guó)立醫(yī)療服務(wù)系統(tǒng)(NHS)就曾成為重災(zāi)區(qū)，旗下248個(gè)醫(yī)療機(jī)構(gòu)中有48個(gè)受到攻擊[2]。德國(guó)紐斯的盧卡斯醫(yī)院和克林庫(kù)姆·阿恩斯伯格醫(yī)院均遭到了加密勒索軟件CryptoLocker 33的攻擊。波士頓兒童醫(yī)院也曾遭受過拒絕服務(wù)的攻擊，造成了嚴(yán)重?fù)p失[3]。

這一現(xiàn)象說明了兩個(gè)問題：一方面，醫(yī)療機(jī)構(gòu)的資產(chǎn)價(jià)值較高；另一方面，醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全基礎(chǔ)薄弱，很容易受到損害。事實(shí)上，根據(jù)畢馬威的說法，“醫(yī)療行業(yè)在保護(hù)其基礎(chǔ)設(shè)施和數(shù)據(jù)方面落后于其他行業(yè)”。因此，醫(yī)療行業(yè)是各類黑客以低成本獲取高回報(bào)的首要目標(biāo)。造成這些安全事件的原因可以歸納為三個(gè)方面：

(1)組織管理層面。管理層缺乏網(wǎng)絡(luò)安全意識(shí)，組織架構(gòu)不明確，資金投入不足；醫(yī)療機(jī)構(gòu)中信息安全人員少，不遵循網(wǎng)絡(luò)安全政策與制度要求，醫(yī)務(wù)人員缺少相應(yīng)的網(wǎng)絡(luò)安全培訓(xùn)。

(2)專業(yè)技術(shù)層面。機(jī)房建設(shè)沒有按照標(biāo)準(zhǔn)施行，網(wǎng)絡(luò)設(shè)計(jì)時(shí)缺乏對(duì)安全問題的考慮，使用陳舊、過時(shí)、有漏洞的設(shè)備設(shè)施，運(yùn)行過程中不完全了解IT架構(gòu)導(dǎo)致系統(tǒng)更新和升級(jí)被延遲。技術(shù)人員專業(yè)水平不高，且沒有專業(yè)的安全服務(wù)支持。

(3)物理環(huán)境層面。機(jī)房選址不合理，醫(yī)院的布線環(huán)境，終端、醫(yī)療設(shè)備和無線等接入點(diǎn)無人值守，醫(yī)務(wù)人員當(dāng)患者面訪問信息系統(tǒng)，暴露相關(guān)信息等。

1.2 經(jīng)驗(yàn)與做法

2016年，歐盟網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了《智慧醫(yī)院——智慧醫(yī)療服務(wù)和基礎(chǔ)設(shè)施的安全性和可靠性》報(bào)告，提出要從組織管理和專業(yè)技術(shù)兩個(gè)方面維護(hù)網(wǎng)絡(luò)安全，這些實(shí)踐被醫(yī)院廣泛實(shí)施，效果顯著。圖1描述了有效的措施及有效性占比，其中藍(lán)色代表專業(yè)技術(shù)層面，黃色代表組織管理層面。通過對(duì)歐盟醫(yī)院的調(diào)查發(fā)現(xiàn)，至少一半被調(diào)查者認(rèn)為有效的措施中有三分之二是專業(yè)技術(shù)措施，組織管理措施中除了安全組織，以及定期的培訓(xùn)和提高認(rèn)識(shí)外，其他內(nèi)容不是特別有效或者尚未在醫(yī)院廣泛實(shí)施[4]。

圖1 有效的措施

美國(guó)前總統(tǒng)克林頓簽署的Health Insurance Portability and Accountability Act(簡(jiǎn)稱HIPAA)是為了解決醫(yī)療機(jī)構(gòu)中患者的信息泄露問題，HIPAA對(duì)多種醫(yī)療健康產(chǎn)業(yè)都具有規(guī)范作用，包括交易規(guī)則、醫(yī)療服務(wù)機(jī)構(gòu)的識(shí)別、從業(yè)人員的識(shí)別、醫(yī)療信息安全、醫(yī)療隱私、健康計(jì)劃識(shí)別、第一傷病報(bào)告、患者識(shí)別等。其實(shí)施手段是對(duì)違反網(wǎng)絡(luò)安全導(dǎo)致的數(shù)據(jù)泄露事件的主體進(jìn)行一定程度的罰款[5]。

2 我國(guó)醫(yī)院面臨的網(wǎng)絡(luò)安全現(xiàn)狀

2.1 網(wǎng)絡(luò)安全要求

近年來，我國(guó)出臺(tái)了一系列網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)，如：2007年出臺(tái)的《信息安全等級(jí)保護(hù)管理辦法》，2008年出臺(tái)的《信息安全等級(jí)保護(hù)基本要求》(簡(jiǎn)稱：等保1.0)，2019年發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(簡(jiǎn)稱：等保2.0)等。等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度，也是對(duì)網(wǎng)絡(luò)安全在產(chǎn)業(yè)層面、標(biāo)準(zhǔn)層面和執(zhí)行層面的具體落實(shí)。除此之外，2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)行，2018年國(guó)家衛(wèi)健委發(fā)布《關(guān)于印發(fā)國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》(國(guó)衛(wèi)規(guī)劃發(fā)〔2018〕23號(hào))，以及對(duì)網(wǎng)絡(luò)安全的等級(jí)測(cè)評(píng)和監(jiān)督檢查，都是為了保證醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)現(xiàn)進(jìn)不去、拿不到、看不懂、改不了、癱不成、賴不掉的目標(biāo)[6]。

2.2 醫(yī)療機(jī)構(gòu)認(rèn)識(shí)上的誤區(qū)

(1)認(rèn)為只要通過了等保備案與測(cè)評(píng)就不會(huì)再發(fā)生安全事件了。醫(yī)院可能只有某些核心業(yè)務(wù)系統(tǒng)通過了三級(jí)等保測(cè)評(píng)，但醫(yī)院整體安全防護(hù)能力較弱。

(2)認(rèn)為安全問題只是技術(shù)問題。安全問題不只包括技術(shù)上的漏洞，還包括組織管理和社會(huì)環(huán)境方面的漏洞。而與其最相關(guān)的群體是醫(yī)務(wù)人員和管理層，尤其是與購(gòu)買、管理和操作信息系統(tǒng)相關(guān)的群體。

(3)認(rèn)為只有患者隱私信息有價(jià)值。其實(shí)醫(yī)院的用藥、設(shè)備、耗材、處方等運(yùn)營(yíng)方面的數(shù)據(jù)也具有市場(chǎng)價(jià)值。因此除了關(guān)注患者數(shù)據(jù)的隱私保護(hù)以外，也應(yīng)該重視運(yùn)營(yíng)管理方面的數(shù)據(jù)信息。

(4)認(rèn)為機(jī)房外包能夠解決機(jī)房硬件問題，減少信息系統(tǒng)運(yùn)行和安全壓力。隨著醫(yī)院信息化發(fā)展加快，數(shù)據(jù)每年翻倍增長(zhǎng)，原有機(jī)房設(shè)備已不能滿足需求，一些醫(yī)院開始尋求新的機(jī)房運(yùn)營(yíng)模式：機(jī)房建設(shè)與服務(wù)管理外包。但是外包不意味著徹底撒手不管，數(shù)據(jù)安全應(yīng)該更加受到關(guān)注。醫(yī)院內(nèi)部必須要有職責(zé)明確的管理人員，負(fù)責(zé)監(jiān)督檢查外包供應(yīng)商的服務(wù)是否到位。

(5)認(rèn)為傳統(tǒng)數(shù)據(jù)中心向云模式轉(zhuǎn)化更安全。云模式在一定程度上能夠減少醫(yī)院整體投入，提高管理效率，但云模式對(duì)網(wǎng)絡(luò)安全要求更高，尤其是數(shù)據(jù)安全。醫(yī)院缺少對(duì)數(shù)據(jù)安全和監(jiān)控體系、數(shù)據(jù)庫(kù)的審計(jì)、數(shù)據(jù)庫(kù)權(quán)限的設(shè)計(jì)、網(wǎng)絡(luò)連接的監(jiān)控、操作系統(tǒng)的使用監(jiān)控、第三方軟件的安全監(jiān)控等方面的系統(tǒng)考慮。

3 目前存在的主要問題

目前，醫(yī)院網(wǎng)絡(luò)安全技術(shù)的“老幾樣”(防火墻、入侵檢測(cè)、病毒查殺、容災(zāi)備份、VPN/網(wǎng)閘等)已經(jīng)過時(shí)[7-10]。新的環(huán)境下，在機(jī)房基礎(chǔ)建設(shè)、安全制度、應(yīng)急預(yù)案與應(yīng)急演練、安全審計(jì)、身份認(rèn)證、隱私保護(hù)、終端安全等方面更需要完善建設(shè)，具體表現(xiàn)在：

(1)機(jī)房選址不合理，整體規(guī)劃不科學(xué)，環(huán)境差，物理安全不達(dá)標(biāo)；

(2)巡檢記錄空缺或太過簡(jiǎn)單；

(3)運(yùn)維記錄過于簡(jiǎn)單，且無異常情況記錄與說明；

(4)網(wǎng)絡(luò)安全分域拓?fù)鋱D缺失，內(nèi)外網(wǎng)邊界不清；

(5)無線網(wǎng)絡(luò)可視化監(jiān)控管理不到位，各類監(jiān)控和安全設(shè)備應(yīng)用不充分，無安全匯總分析記錄；

(6)登錄密碼過于簡(jiǎn)單，Key使用不規(guī)范；

(7)缺少有限網(wǎng)絡(luò)的準(zhǔn)入控制措施，離線傳輸數(shù)據(jù)機(jī)制不完善。防火墻、交換機(jī)等基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)安全設(shè)備缺少自行維護(hù)的能力；

(8)應(yīng)急預(yù)案不全面，內(nèi)容過于簡(jiǎn)單，應(yīng)急演練規(guī)模小，無記錄；

(9)無電子簽名系統(tǒng)或電子簽名系統(tǒng)存在單點(diǎn)故障；

(10)缺乏網(wǎng)絡(luò)信息安全的專業(yè)人才，整體信息安全資金投入不足，安全重視程度不夠。

4 下一步工作建議

4.1 加強(qiáng)網(wǎng)絡(luò)安全制度建設(shè)

在醫(yī)院信息系統(tǒng)的實(shí)際應(yīng)用及運(yùn)行中，保證其安全性的重點(diǎn)就是加強(qiáng)對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)控，避免系統(tǒng)出現(xiàn)安全問題[11]。在對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控時(shí)，需要從兩方面入手，即外部安全問題與內(nèi)部安全問題。首先，在對(duì)系統(tǒng)外部安全問題的實(shí)時(shí)監(jiān)控方面，應(yīng)當(dāng)注意對(duì)機(jī)房環(huán)境進(jìn)行監(jiān)控，保持機(jī)房?jī)?nèi)部環(huán)境始終適宜，為計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用提供理想的環(huán)境基礎(chǔ)，從而使計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)得以安全運(yùn)行。另外，還應(yīng)當(dāng)注意避免外部人為因素的影響，避免受到惡意攻擊。其次，在對(duì)系統(tǒng)內(nèi)部安全問題的實(shí)時(shí)監(jiān)控方面，應(yīng)當(dāng)注意避免操作系統(tǒng)出現(xiàn)漏洞，同時(shí)還應(yīng)當(dāng)注意提高數(shù)據(jù)庫(kù)的穩(wěn)定性，注意安裝防火墻及殺毒軟件，并對(duì)系統(tǒng)進(jìn)行不斷優(yōu)化，確保能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，并且及時(shí)進(jìn)行修復(fù)，從而使系統(tǒng)的安全性能夠得到保證。與此同時(shí)，還需要注意對(duì)服務(wù)器加強(qiáng)管理，保證服務(wù)器的安全性，在此基礎(chǔ)上使系統(tǒng)整體的安全性得到保證。

4.2 提高一線醫(yī)務(wù)人員的安全防范意識(shí)

網(wǎng)絡(luò)安全，意識(shí)先行。提高醫(yī)務(wù)人員的網(wǎng)絡(luò)安全防護(hù)意識(shí)，定期進(jìn)行網(wǎng)絡(luò)安全相關(guān)知識(shí)培訓(xùn)是一個(gè)有效手段。醫(yī)務(wù)人員對(duì)于網(wǎng)絡(luò)安全培訓(xùn)有著極大的需求和熱情，可通過講座、知識(shí)競(jìng)賽、攻防演練等多種形式進(jìn)行培訓(xùn)。

4.3 定期進(jìn)行安全應(yīng)急演練

做好全院級(jí)應(yīng)急預(yù)案，并定期進(jìn)行安全應(yīng)急演練對(duì)醫(yī)療機(jī)構(gòu)來說非常重要，在應(yīng)急演練中及時(shí)發(fā)現(xiàn)信息系統(tǒng)及網(wǎng)絡(luò)暴露的安全問題，及時(shí)進(jìn)行修補(bǔ)完善，進(jìn)一步提高安全水平。

4.4 引進(jìn)專業(yè)人才或定期購(gòu)買第三方網(wǎng)絡(luò)安全服務(wù)

增大醫(yī)院對(duì)網(wǎng)絡(luò)安全的投入，引進(jìn)熟知醫(yī)療行業(yè)安全風(fēng)險(xiǎn)的人才，購(gòu)買第三方網(wǎng)絡(luò)安全服務(wù)，才能制定具有行業(yè)特征、本院特色的信息安全保護(hù)方案。定期開展入侵檢測(cè)系統(tǒng)、病毒特征庫(kù)的更新，避免病毒入侵、漏洞利用等安全隱患。

4.5 參照相關(guān)規(guī)范標(biāo)準(zhǔn)的要求完善建設(shè)

在2018年發(fā)布的《電子病歷分級(jí)評(píng)價(jià)標(biāo)準(zhǔn)》中增加了對(duì)基礎(chǔ)設(shè)施與安全管控的要求，其中四級(jí)要求具備獨(dú)立的信息機(jī)房，局域網(wǎng)全院聯(lián)通，服務(wù)器部署在獨(dú)立的安全保護(hù)區(qū)域內(nèi)，有相關(guān)的網(wǎng)絡(luò)管理制度。五級(jí)要求樓層機(jī)房、網(wǎng)絡(luò)設(shè)備和配線架要有清晰且正確的標(biāo)識(shí)；根據(jù)不同業(yè)務(wù)劃分獨(dú)立的網(wǎng)絡(luò)區(qū)域，全院重點(diǎn)區(qū)域應(yīng)覆蓋無線局域網(wǎng)，部分醫(yī)療設(shè)備接入院內(nèi)局域網(wǎng)；有配套的安全運(yùn)維管理制度；具有保障信息系統(tǒng)服務(wù)器時(shí)間一致的機(jī)制；建立數(shù)據(jù)使用的審查機(jī)制，如需向境外傳輸數(shù)據(jù)應(yīng)經(jīng)過安全評(píng)估。四級(jí)標(biāo)準(zhǔn)也特意設(shè)置了基礎(chǔ)安全項(xiàng)，其中二級(jí)要求醫(yī)院必須建立數(shù)據(jù)安全管理制度；服務(wù)器、存儲(chǔ)等核心設(shè)備都要部署在專用機(jī)房?jī)?nèi)；服務(wù)器部署于獨(dú)立的安全域，且僅開放必要的網(wǎng)絡(luò)服務(wù)端口；系統(tǒng)之間進(jìn)行數(shù)據(jù)交互時(shí)需要進(jìn)行授權(quán)認(rèn)證，對(duì)敏感數(shù)據(jù)進(jìn)行標(biāo)記，與其他系統(tǒng)進(jìn)行數(shù)據(jù)交互時(shí)，可根據(jù)敏感標(biāo)記進(jìn)行有效控制；具備有效避免越權(quán)的措施，具備完整的授權(quán)審批管理流程，操作過程可通過系統(tǒng)追溯。

兩套標(biāo)準(zhǔn)中同時(shí)強(qiáng)調(diào)了安全管理制度、服務(wù)器獨(dú)立部署、數(shù)據(jù)使用安全的內(nèi)容。醫(yī)院可根據(jù)實(shí)際業(yè)務(wù)需求，參照標(biāo)準(zhǔn)要求開展工作。

5 總結(jié)

網(wǎng)絡(luò)安全事件層出不窮，歸根到底取決于醫(yī)院的網(wǎng)絡(luò)安全意識(shí)薄弱、制度不規(guī)范、政策不嚴(yán)明。美國(guó)、澳大利亞等發(fā)達(dá)國(guó)家醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全起步較早，為我國(guó)提供了許多值得借鑒的風(fēng)險(xiǎn)應(yīng)對(duì)方法，如制定嚴(yán)格的處罰政策，提高專業(yè)技術(shù)水平修補(bǔ)漏洞等[12]。鑒于我國(guó)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全起步較晚，在網(wǎng)絡(luò)安全方面還存在許多誤區(qū)，實(shí)際建設(shè)中也存在許多問題，矯正認(rèn)識(shí)誤區(qū)，完善建設(shè)中的問題迫在眉睫。智慧醫(yī)院的建設(shè)，前提是醫(yī)院網(wǎng)絡(luò)安全的建設(shè)。安全是基礎(chǔ)，沒有基礎(chǔ)，再多智慧、先進(jìn)的功能都是空中樓閣，甚至?xí)蔀樽钗ｋU(xiǎn)的風(fēng)險(xiǎn)點(diǎn)。綜上，智慧醫(yī)院建設(shè)中要一手抓智慧，一手抓安全。