大數(shù)據(jù)背景下的公共衛(wèi)生信息安全

張 賓

（北京市門頭溝區(qū)醫(yī)院，北京 102300）

一、概述

在當(dāng)前的大數(shù)據(jù)背景下，網(wǎng)絡(luò)上提供了高效、便捷的信息，但與此同時(shí)，信息安全仍然面臨諸多問題。目前，現(xiàn)有的各種信息安全措施和手段都已經(jīng)無法滿足當(dāng)下的大數(shù)據(jù)時(shí)代下對于信息安全所需的實(shí)踐性要求。2018年7月，廣東、重慶多家三甲醫(yī)院服務(wù)器遭到黑客攻擊，攻擊者將挖掘一個(gè)木馬以不容易被人察覺的遠(yuǎn)程幫助工具Teamviewer出現(xiàn)，攻擊者的這個(gè)挖掘木馬系統(tǒng)會(huì)自動(dòng)檢測得到一個(gè)多達(dá)50個(gè)的常見挖掘程序進(jìn)度，并在這些程序中完成了進(jìn)度后壟斷服務(wù)器資源的地位來進(jìn)行挖掘。通過數(shù)據(jù)分析我們認(rèn)為，隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)大數(shù)據(jù)等時(shí)代的進(jìn)一步深入到來，網(wǎng)絡(luò)安全管理問題已經(jīng)變得愈發(fā)困難和必要。本文重點(diǎn)研究與公眾密切相關(guān)的公共衛(wèi)生信息安全問題[1]。

二、面臨的安全威脅

在大數(shù)據(jù)背景下，公共衛(wèi)生信息[2]面臨安全威脅，根據(jù)威脅來源的不同，我們可以將威脅分為兩類，一類是內(nèi)部安全威脅，一類是外部入侵安全威脅。自身內(nèi)部安全威脅主要包括有數(shù)據(jù)集成、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)的挖掘與利用、數(shù)據(jù)安全保護(hù)等數(shù)據(jù)應(yīng)用中存在的各種問題。外部入侵安全威脅重點(diǎn)包括網(wǎng)絡(luò)安全方面的外部入侵威脅、數(shù)據(jù)安全方面的外部入侵威脅、信息安全方面的外部入侵威脅這三個(gè)方面的安全威脅。

1.自身內(nèi)部安全威脅

1.1數(shù)據(jù)的整合。對于“小數(shù)據(jù)”來說，最基本也是最重要的要求就是減少錯(cuò)誤，同時(shí)，還要保證質(zhì)量，允許錯(cuò)誤和缺陷出現(xiàn)并不是因?yàn)殄e(cuò)誤的缺點(diǎn)，而是這個(gè)大數(shù)據(jù)時(shí)代的一個(gè)全新亮點(diǎn)[3]。與健康信息共享平臺(tái)相互連接的各種健康醫(yī)療衛(wèi)生組織和機(jī)構(gòu)都會(huì)在網(wǎng)絡(luò)上產(chǎn)生很多異構(gòu)化的數(shù)據(jù)，而且對于這些數(shù)據(jù)的收集和整合處理工作便會(huì)因此而變得極其困難，現(xiàn)有這些平臺(tái)的數(shù)據(jù)質(zhì)量也并不是很理想。然而，只將重心放在數(shù)據(jù)質(zhì)量的提升上而忽略不準(zhǔn)確數(shù)據(jù)的使用，將無法順應(yīng)大數(shù)據(jù)時(shí)代潮流的發(fā)展。錯(cuò)誤不是大數(shù)據(jù)固有特征，而是一個(gè)需要我們?nèi)テ惹刑幚淼膶?shí)際問題，且這種情況的存在也將會(huì)是持續(xù)性的。

1.2數(shù)據(jù)的存儲(chǔ)。首先，提出的是容量方面的問題?！按笕萘俊蓖ǔＤ軌蜻_(dá)到PB級(jí)的數(shù)據(jù)規(guī)模，因此，海量的數(shù)據(jù)存儲(chǔ)系統(tǒng)必須具備其相應(yīng)層次的擴(kuò)充能力。除了龐大的元數(shù)據(jù)體量之外，還會(huì)需要具備很多的元數(shù)據(jù)，因此，如何管理好文件系統(tǒng)層中積累下來的元數(shù)據(jù)對于我們也是一個(gè)挑戰(zhàn)。其次，運(yùn)用時(shí)延性的問題。我國醫(yī)療領(lǐng)域?qū)τ诖髷?shù)據(jù)運(yùn)用的研究往往具有實(shí)時(shí)性，需要采取實(shí)時(shí)或者準(zhǔn)時(shí)的方式對其進(jìn)行處理，并且做到二級(jí)查詢響應(yīng)要求。在健康信息研究過程中，有不少醫(yī)護(hù)人員反映數(shù)據(jù)訪問速度較慢，放射科醫(yī)生需要等到數(shù)幾分鐘之后才能查看訪問患者的CT圖像。很明顯靜態(tài)的數(shù)字存儲(chǔ)解決方案已經(jīng)無法適應(yīng)動(dòng)態(tài)化和復(fù)雜的數(shù)據(jù)存儲(chǔ)環(huán)境帶來的挑戰(zhàn)。

1.3數(shù)據(jù)的挖掘利用。目前，區(qū)域健康信息平臺(tái)對數(shù)據(jù)的綜合利用方式主要可以劃分為直接利用方式和間接利用方式。直接使用方式包括健康信息訪問與共享、健康服務(wù)的智能化提示和診斷幫助，以及基于信息共享的各種功能性業(yè)務(wù)協(xié)同服務(wù)。間接使用主要是基于健康行政和管理的需要，實(shí)現(xiàn)BI統(tǒng)計(jì)，以及對績效的分析。在很多企業(yè)中，很多已經(jīng)都開始了更加深入地對醫(yī)學(xué)健康數(shù)據(jù)進(jìn)行挖掘和綜合利用[4]，并且從這些企業(yè)的大數(shù)據(jù)中已經(jīng)發(fā)現(xiàn)了更多關(guān)于醫(yī)學(xué)健康密切相關(guān)的潛力價(jià)值，例如2009年甲型流感H1N1爆發(fā)前幾周，谷歌成功地預(yù)測到了動(dòng)機(jī)性流感的傳播。也可以看出，醫(yī)療衛(wèi)生系統(tǒng)人員不能夠充分地利用服務(wù)器中的大量的醫(yī)療數(shù)據(jù)，大多數(shù)還是處在更注重?cái)?shù)據(jù)的準(zhǔn)確性的階段，并不是數(shù)據(jù)的相關(guān)性。

2.外部入侵安全威脅

2.1網(wǎng)絡(luò)安全。在互聯(lián)網(wǎng)和大數(shù)據(jù)的新時(shí)代背景下，公共健康網(wǎng)絡(luò)的安全仍然存在著很多的隱患，公共健康信息最終也不一定能夠完整地被顯露出來，也是一種可以直接通過大數(shù)據(jù)的方式進(jìn)行傳播的。每個(gè)職業(yè)相關(guān)人員每天也會(huì)獲得各種各樣的信息。其中日常瀏覽互聯(lián)網(wǎng)頁、發(fā)送微信消息等也都是通過互聯(lián)網(wǎng)數(shù)據(jù)傳輸從而實(shí)現(xiàn)的，在開放互聯(lián)網(wǎng)上獲取和訪問到的數(shù)據(jù)便能夠掌握他們個(gè)人相關(guān)的信息。這也就是明顯的網(wǎng)絡(luò)安全隱患需要提高的問題。有針對性地制訂一套保障各個(gè)國家網(wǎng)絡(luò)信息安全的政策、確?；ヂ?lián)網(wǎng)安全，是維護(hù)公共健康和信息安全的根本屏障。我國政府應(yīng)該積極推動(dòng)提高關(guān)鍵應(yīng)用型主機(jī)的國產(chǎn)化和代替速度，嚴(yán)格防范其主機(jī)安全與網(wǎng)絡(luò)安全。

2.2數(shù)據(jù)安全。公共健康信息中的數(shù)據(jù)一直在郵箱、云端乃至計(jì)算機(jī)終端上被存儲(chǔ)著，很有可能會(huì)經(jīng)由網(wǎng)絡(luò)均勻地泄露出來。然而現(xiàn)行法律并沒有明確規(guī)定這些數(shù)據(jù)的實(shí)際所有者和受害人是誰，以及并有規(guī)定這些數(shù)據(jù)應(yīng)該歸產(chǎn)生這些數(shù)據(jù)的公共健康管理部門還是其他人員所有。清晰和明確其歸屬性，這就是保證公共健康信息資料安全穩(wěn)定的重要前提。

任何一項(xiàng)高新技術(shù)的發(fā)展進(jìn)步都在推動(dòng)著整個(gè)社會(huì)進(jìn)步的同時(shí)，都將不可避免地給我們帶來一定的社會(huì)負(fù)面影響。在醫(yī)學(xué)領(lǐng)域的數(shù)據(jù)與其應(yīng)用中已經(jīng)呈現(xiàn)出了一個(gè)指數(shù)量級(jí)的上升趨勢，對于動(dòng)態(tài)化的數(shù)據(jù)安全監(jiān)測及其隱私保護(hù)工作彰顯出了其重要性和面臨的挑戰(zhàn)。當(dāng)前，衛(wèi)生網(wǎng)絡(luò)信息安全的內(nèi)部和外部都一直存在問題，信息被泄漏的事件引發(fā)了非常惡劣的社會(huì)影響，歸結(jié)起來這本身便是一個(gè)政策的銜接不充分、監(jiān)督和管理松懈等方面的問題，是非常有必要讓我們予以重視與反思的。

2.3信息安全。一旦公共健康信息系統(tǒng)中的數(shù)據(jù)被發(fā)現(xiàn)或者泄露，還對其中的數(shù)據(jù)資料進(jìn)行了深入的研究挖掘和有效的綜合分析，就已經(jīng)可以從中得到了可利用的巨大價(jià)值[5]。而對于公共健康專業(yè)人員來說這些都是個(gè)人隱私，對于國家機(jī)關(guān)和健康管理行政主體部門來說則很有可能就是一些機(jī)密的資料，這便是當(dāng)前大數(shù)據(jù)時(shí)代下的公共健康信息安全所面臨的巨大風(fēng)險(xiǎn)和隱患。

三、安全策略

1.做好頂層設(shè)計(jì)

維護(hù)好互聯(lián)網(wǎng)和大數(shù)據(jù)時(shí)代下的公共衛(wèi)生信息安全，首先，必須要切實(shí)做好頂層規(guī)劃，把公共衛(wèi)生信息安全體系建成為推動(dòng)國家突發(fā)公共衛(wèi)生應(yīng)急響應(yīng)的重點(diǎn)戰(zhàn)略。其次，應(yīng)當(dāng)制定健康醫(yī)療衛(wèi)生相關(guān)的法律法規(guī)，清晰每一個(gè)公共衛(wèi)生單位所產(chǎn)生的健康統(tǒng)計(jì)數(shù)據(jù)（者）歸屬權(quán)（者）。再次，醫(yī)療衛(wèi)生行政主管部門應(yīng)根據(jù)具體行業(yè)情況制定相應(yīng)的醫(yī)療信息安全保障制度建設(shè)規(guī)范，以指導(dǎo)醫(yī)療機(jī)構(gòu)進(jìn)行數(shù)據(jù)采集、傳輸、儲(chǔ)存、使用、刪除、銷毀等整個(gè)醫(yī)療服務(wù)生命周期中的各個(gè)環(huán)節(jié)的安全保障和防護(hù)工作要求，可以從安全科學(xué)技術(shù)和安全管理兩個(gè)角度入手，對所涉及的醫(yī)療服務(wù)信息內(nèi)容做出一套規(guī)范性的保障措施；最后對網(wǎng)絡(luò)技術(shù)進(jìn)行不斷地創(chuàng)新，重點(diǎn)是要把握其核心的技術(shù)，不要過度的依賴進(jìn)口，避免帶來信息安全的“后門”隱患。

2.明確信息安全分級(jí)

制定公共衛(wèi)生政策時(shí)首先要考慮的問題就是對數(shù)據(jù)的安全進(jìn)行分級(jí)。醫(yī)療衛(wèi)生主管部門要根據(jù)醫(yī)療衛(wèi)生行業(yè)的特點(diǎn)制定數(shù)據(jù)分類和分級(jí)指南，明確什么數(shù)據(jù)只能由政府和衛(wèi)生行政部門掌控；什么數(shù)據(jù)需要公共衛(wèi)生專業(yè)人士進(jìn)行深入的挖掘；什么數(shù)據(jù)可以在公共衛(wèi)生網(wǎng)絡(luò)平臺(tái)上透明化處理，這些就需要對數(shù)據(jù)的安全等級(jí)進(jìn)行確定。這里要指出公共衛(wèi)生專業(yè)人員知道什么樣的信息更具有方向性和排他性，要把這類信息的安全等級(jí)設(shè)置為更高級(jí)別的才能更加安全。

3.重要數(shù)據(jù)備份

在公共健康信息安全實(shí)際應(yīng)用運(yùn)行的環(huán)境中，數(shù)據(jù)的備份與恢復(fù)工作是其中的重中之重，即便從風(fēng)險(xiǎn)防范、保護(hù)、加密、檢測等各個(gè)方面都要加強(qiáng)安全管理措施，也不可能夠做到保證系統(tǒng)百分百無安全或者是故障，因此我們應(yīng)當(dāng)備份重要的數(shù)據(jù)，從而保證數(shù)據(jù)備份的準(zhǔn)確度。建議公共健康相關(guān)專業(yè)技術(shù)人員利用統(tǒng)一的備份系統(tǒng)和備份軟件，按照備份策略對所有必須進(jìn)行備份的重點(diǎn)數(shù)據(jù)資源進(jìn)行增量完整的備份。同時(shí)還應(yīng)該配備有相關(guān)專門知識(shí)的專業(yè)數(shù)據(jù)分析人員進(jìn)行嚴(yán)格負(fù)責(zé)并且監(jiān)督檢查以確保數(shù)據(jù)的可靠性和數(shù)據(jù)的完整性，定期地進(jìn)行數(shù)據(jù)恢復(fù)和穩(wěn)定性測試，測試其可用性，并及時(shí)地調(diào)整數(shù)據(jù)的備份和恢復(fù)的策略[6]。目前，由于我國的虛擬數(shù)據(jù)倉庫存儲(chǔ)技術(shù)已經(jīng)日漸成熟，在異地也能夠自己安裝一套數(shù)據(jù)倉庫的存儲(chǔ)器來進(jìn)行資料的備份，若不能夠滿足這個(gè)條件，備份介質(zhì)必須存放在不同的位置，其中所有的備份介質(zhì)都是由專業(yè)人員負(fù)責(zé)保管。

4.健全公共衛(wèi)生信息互通機(jī)制

建立衛(wèi)生服務(wù)信息共享溝通機(jī)制，各公共衛(wèi)生服務(wù)單位要認(rèn)真指定專職人員配備好衛(wèi)生服務(wù)聯(lián)絡(luò)人，確保突發(fā)公共衛(wèi)生事件中衛(wèi)生服務(wù)單位應(yīng)急救援工作的信息及時(shí)、高效、準(zhǔn)確的傳遞。在應(yīng)急管理中，公共健康部門之間需要互相通報(bào)告知各個(gè)團(tuán)隊(duì)的準(zhǔn)備工作情況、活動(dòng)進(jìn)度、現(xiàn)場條件等。及時(shí)地建立了公共健康和信息安全技術(shù)的交流與合作機(jī)制，定期組織開展咨詢、專業(yè)指導(dǎo)、方案銜接、實(shí)驗(yàn)室質(zhì)量監(jiān)督、科學(xué)技術(shù)交流與合作。在突發(fā)公共衛(wèi)生事件的應(yīng)對中，各方都要密切配合，相互為群眾提供人員、技能、物資等必要的應(yīng)急保障，形成健全的公共衛(wèi)生事件應(yīng)對信息溝通機(jī)制，共同做好對突發(fā)公共衛(wèi)生事件的應(yīng)對工作。

結(jié)語

本文從實(shí)際出發(fā)結(jié)合公共衛(wèi)生信息與大數(shù)據(jù)兩方面深入分析當(dāng)前發(fā)展形勢以及我們在大數(shù)據(jù)下公共信息安全所面臨的問題，并給出了解決的辦法。解決安全問題應(yīng)從技術(shù)和管理兩方面入手，讓大數(shù)據(jù)更好地服務(wù)于公共衛(wèi)生信息領(lǐng)域。