某大型公立醫(yī)院醫(yī)療設(shè)備數(shù)據(jù)安全管理實踐與思考

■ 譚 健 程 銘 賈志剛 李郁鴻 付 航②

近年來，信息技術(shù)與醫(yī)療健康行業(yè)深度融合，醫(yī)療數(shù)據(jù)體量越來越大。醫(yī)療數(shù)據(jù)是產(chǎn)生于醫(yī)療機(jī)構(gòu)診療活動關(guān)于患者的生理和健康狀況的數(shù)據(jù)[1]。作為電子化信息本身，這些來自廣大地理范圍內(nèi)的各類感知數(shù)據(jù)不可避免地蘊(yùn)含著患者的大量時間和空間信息，其敏感性較高，一旦泄露可能影響患者個人隱私保護(hù)、醫(yī)療行業(yè)發(fā)展乃至國家衛(wèi)生安全[2]。因此，醫(yī)療數(shù)據(jù)安全至關(guān)重要。其中，醫(yī)療設(shè)備數(shù)據(jù)安全作為數(shù)據(jù)安全的范疇之一，值得重視和關(guān)注。2022年3月，國家衛(wèi)生健康委發(fā)布《國家三級公立醫(yī)院績效考核操作手冊（2022版）》，對大型醫(yī)療設(shè)備指標(biāo)進(jìn)行了修訂，進(jìn)一步強(qiáng)調(diào)醫(yī)療設(shè)備網(wǎng)絡(luò)安全。

醫(yī)療設(shè)備是醫(yī)院資產(chǎn)構(gòu)成的重要組成部分，也是臨床科室完成正常醫(yī)療診治的重要保障[3]。在醫(yī)改處于攻堅階段的形勢下，大型公立醫(yī)院虹吸現(xiàn)象仍然客觀存在，院內(nèi)醫(yī)療設(shè)備均高負(fù)荷運轉(zhuǎn)。以鄭州大學(xué)第一附屬醫(yī)院（以下稱案例醫(yī)院）為例，每臺PECT設(shè)備的年均治療人次達(dá)6 000以上，彩超機(jī)多達(dá)1.5萬人次，產(chǎn)生大量醫(yī)療數(shù)據(jù)。然而，在醫(yī)療設(shè)備管理領(lǐng)域，針對數(shù)據(jù)安全的重視程度亟待加強(qiáng)。部分醫(yī)療設(shè)備仍存在不同程度連接互聯(lián)網(wǎng)和開啟遠(yuǎn)程控制的現(xiàn)象，尤其很多醫(yī)療設(shè)備為進(jìn)口，通過跨境服務(wù)器可能導(dǎo)致醫(yī)療數(shù)據(jù)出境，具有較高安全隱患。針對上述情況，案例醫(yī)院開展專項調(diào)研，并針對結(jié)果進(jìn)行管理實踐，取得了一定成效。

1 醫(yī)療設(shè)備數(shù)據(jù)安全調(diào)查結(jié)果

通常醫(yī)療設(shè)備連網(wǎng)的主要目的是實時監(jiān)測設(shè)備運行情況和異常告警，預(yù)判是否有部件需要更換，或通過互聯(lián)網(wǎng)訪問控制醫(yī)療設(shè)備，從而快速處理故障。然而，將醫(yī)療設(shè)備暴露在互聯(lián)網(wǎng)可能會被惡意人員攻擊復(fù)用，造成設(shè)備被遠(yuǎn)程控制，可能導(dǎo)致醫(yī)療設(shè)備被攻擊、設(shè)備失控及數(shù)據(jù)泄露等情況。

為解決這一問題，2021年8月，案例醫(yī)院信息、裝備、醫(yī)技部門對4個院區(qū)共計387臺主要醫(yī)療設(shè)備實施數(shù)據(jù)安全調(diào)查，查明連接互聯(lián)網(wǎng)及開啟遠(yuǎn)程控制的醫(yī)療設(shè)備，并根據(jù)連網(wǎng)設(shè)備的IP地址解析是否存在境外數(shù)據(jù)傳輸通道。調(diào)查結(jié)果見表1。

表1 案例醫(yī)院中大型醫(yī)療設(shè)備聯(lián)網(wǎng)情況

由表1可知，彩超、檢驗及放療設(shè)備均未連接互聯(lián)網(wǎng)，亦不存在遠(yuǎn)程控制和境外數(shù)據(jù)通道。剩余設(shè)備有28臺開啟互聯(lián)網(wǎng)及遠(yuǎn)程控制，其中24臺設(shè)備存在境外數(shù)據(jù)傳輸通道，占比達(dá)到6.2%。就單類設(shè)備分析，手術(shù)機(jī)器人、磁共振設(shè)備、核醫(yī)學(xué)設(shè)備、血管造影設(shè)備、放射設(shè)備的聯(lián)網(wǎng)比率及境外傳輸通道比率分別為100%、57.1%、50%、27.3%、15.2%和100%、57.1%、25%、27.3%、10.8%。此外，醫(yī)療設(shè)備USB接口均未采取控制。

調(diào)查上述28臺連網(wǎng)設(shè)備的產(chǎn)地，結(jié)果顯示只有1臺為國產(chǎn)，其余為進(jìn)口，產(chǎn)地以美國、德國為主，其中德國13臺、美國12臺。而存在境外通道的24臺設(shè)備均通過虛擬專用網(wǎng)絡(luò)連接到境外服務(wù)器，缺乏安全防護(hù)和審計等措施。

2 醫(yī)療設(shè)備數(shù)據(jù)安全管理措施

通常大型公立醫(yī)院中醫(yī)療設(shè)備的種類和數(shù)量均不在少數(shù)，涉及的科室、部門和人員更為繁雜。相關(guān)資料和案例顯示，很多安全事件的發(fā)生是由于人為因素，欠缺的是對行為的管理[4]。管理是信息安全工作的重中之重，是信息安全技術(shù)有效實施的關(guān)鍵[5]?；谡{(diào)查結(jié)果，案例醫(yī)院以精細(xì)化的管理手段和高效的技術(shù)方式，調(diào)動相關(guān)部門自上而下協(xié)同參與，實現(xiàn)層級化管理。

2.1 以管理為核心，壓實責(zé)任、全員參與，健全數(shù)據(jù)安全制度

對內(nèi)，首先制定醫(yī)院層面的數(shù)據(jù)安全管理制度，明確醫(yī)療設(shè)備遠(yuǎn)程規(guī)定和數(shù)據(jù)出境審批流程，并建立醫(yī)院級、處室級（學(xué)部級）、科室級（病區(qū)級）和個人級4級責(zé)任分解制度，責(zé)任到具體部門和人員，提升整體安全意識，強(qiáng)化責(zé)任分工，使相關(guān)人員有規(guī)可守。其次，加強(qiáng)和健全數(shù)據(jù)安全的宣教力度、監(jiān)管力度，以多種形式對設(shè)備管理人員、使用人員以及監(jiān)管人員進(jìn)行培訓(xùn)。將監(jiān)管方式分為醫(yī)技科室自檢、管理部門抽檢和第三方機(jī)構(gòu)巡檢，提高監(jiān)管頻率，嚴(yán)查一切違反安全規(guī)定的行為。最后，增加數(shù)據(jù)安全建設(shè)預(yù)算和投入，建立信息安全保障平臺，構(gòu)筑計算機(jī)網(wǎng)絡(luò)安全環(huán)境，確保醫(yī)療設(shè)備的安全正常運行，防止惡意軟件或病毒漏洞感染[6]。

對外，嚴(yán)格管控第三方公司及人員，及時斷開目前醫(yī)療設(shè)備上搭建的境外數(shù)據(jù)傳輸通道和遠(yuǎn)程連接。對于需要開啟遠(yuǎn)程的醫(yī)療設(shè)備，按照申請人發(fā)起遠(yuǎn)程請求、技術(shù)人員評估風(fēng)險、管理部門負(fù)責(zé)人審批、申請人根據(jù)審批結(jié)果開啟遠(yuǎn)程控制的流程嚴(yán)格審批和備案。系統(tǒng)權(quán)限管理方面，采用基于角色的訪問控制（role-based access control，RBAC）策略，設(shè)定角色、用戶和具體權(quán)限3個相互依賴的層級，將相應(yīng)權(quán)限賦予給角色（管理員、院內(nèi)監(jiān)管人員、醫(yī)技使用人員、院外維護(hù)人員等），把角色又賦予具體用戶，杜絕用戶濫權(quán)、越權(quán)和非法用戶等現(xiàn)象。根據(jù)醫(yī)療設(shè)備排查結(jié)果及資產(chǎn)清單，同所有廠商、第三方維護(hù)人員就負(fù)責(zé)的醫(yī)療設(shè)備簽署單方醫(yī)療數(shù)據(jù)保密協(xié)議，承擔(dān)相應(yīng)保密義務(wù)和法律責(zé)任。

2.2 以技術(shù)為抓手，補(bǔ)齊短板、加強(qiáng)審計，建立醫(yī)院安全基線

訪問控制列表(access control lists，ACL)是一種基于包過濾的訪問控制技術(shù)[7]，可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄。在實際調(diào)研中發(fā)現(xiàn)，連接互聯(lián)網(wǎng)的大型醫(yī)療設(shè)備主要通過“4G”工業(yè)路由器、無線路由器、專線等方式訪問，因此在網(wǎng)絡(luò)層（路由器接口）部署ACL指令，僅允許醫(yī)療設(shè)備訪問經(jīng)過備案的服務(wù)器地址，縮減網(wǎng)絡(luò)訪問范圍，可有效控制用戶訪問網(wǎng)絡(luò)行為，進(jìn)而保障網(wǎng)絡(luò)安全。

針對特定的醫(yī)療設(shè)備，安裝相應(yīng)的防火墻、殺毒軟件以及終端管理軟件，在加固安全基礎(chǔ)上便于遠(yuǎn)程監(jiān)控。當(dāng)醫(yī)療設(shè)備出現(xiàn)異常行為，及時預(yù)警并發(fā)送信息至管理客戶端，由管理人員處理。同時，修改部分設(shè)備的注冊表鍵值，通過驅(qū)動管理對U盤等敏感外部設(shè)備進(jìn)行禁用控制。最后，加強(qiáng)安全審計，定期邀請專業(yè)的審計公司對院內(nèi)醫(yī)療設(shè)備進(jìn)行審計和評估，根據(jù)出具的審計報告以PDCA的流程按期整改。

通過建制度、建標(biāo)準(zhǔn)、建平臺，全面提升醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力，健全數(shù)據(jù)安全策略，逐步形成內(nèi)網(wǎng)安全基線。按照由小至大的顆粒度分為數(shù)據(jù)安全基線、系統(tǒng)安全基線和邊界安全基線（圖1）。

圖1 醫(yī)院內(nèi)網(wǎng)安全基線

3 醫(yī)療設(shè)備數(shù)據(jù)安全優(yōu)化策略思考

3.1 提升戰(zhàn)略高度，樹立大局眼光

國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)-健康醫(yī)療數(shù)據(jù)安全指南》中明確提出了數(shù)據(jù)跨境傳輸場景之一就是醫(yī)療器械廠商對器械進(jìn)行遠(yuǎn)程維護(hù)、讀取數(shù)據(jù)、維護(hù)日志和報告的情形。公立醫(yī)院管理者要具備大局意識，堅持“沒有網(wǎng)絡(luò)安全就沒有國家安全”的底線，涉及數(shù)據(jù)出境時要具備政治敏感和戰(zhàn)略高度，防止我國寶貴醫(yī)療數(shù)據(jù)被惡意竊取。

3.2 發(fā)揮政府主導(dǎo)，拓寬信息渠道

在數(shù)字化轉(zhuǎn)型方面，醫(yī)療行業(yè)一直走在前列。隨著醫(yī)療和數(shù)據(jù)兩者相結(jié)合的服務(wù)需求加大，相應(yīng)的政策法規(guī)和標(biāo)準(zhǔn)層出不窮?！吨腥A人民共和國數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律和國家安全法律制度體系的重要組成部分[8]，填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白，使數(shù)據(jù)的有效監(jiān)管實現(xiàn)了有法可依，同時完善了網(wǎng)絡(luò)空間安全治理的法律體系。在接連政策利好的形勢下，政府要充分發(fā)揮主導(dǎo)作用，建立良好的監(jiān)管體系，推動相應(yīng)法規(guī)盡快落地。相關(guān)政府公共安全管理部門可實施定期評估手段，檢測醫(yī)院以及醫(yī)療器械設(shè)備的信息安全性能，加強(qiáng)信息安全等級保護(hù)[9]，進(jìn)一步完善國內(nèi)醫(yī)療設(shè)備數(shù)據(jù)安全治理能力評估體系。在信息上報途徑方面，深入利用微信小程序、公眾號等新媒介，結(jié)合電話專線、信訪、郵件等傳統(tǒng)方式，提高上報數(shù)據(jù)質(zhì)量，拓寬數(shù)據(jù)安全事件上報渠道[10]。此外，加大數(shù)據(jù)安全宣教，將異常情況暴露在一線并及時處理，避免問題由小拖大，造成嚴(yán)重后果。

3.3 依托精細(xì)化管理，助力智慧醫(yī)院建設(shè)

近年來，醫(yī)療領(lǐng)域的數(shù)字化進(jìn)程不斷向縱深推進(jìn)，并逐漸邁進(jìn)智慧醫(yī)療階段[11]。相比傳統(tǒng)醫(yī)院，智慧醫(yī)院主要涵蓋范圍為面向醫(yī)務(wù)人員的“智慧醫(yī)療”、面向患者的“智慧服務(wù)”和面向醫(yī)院的“智慧管理”[12]。智慧管理作為智慧醫(yī)院建設(shè)的三大領(lǐng)域之一，是實現(xiàn)智慧醫(yī)院的重要基礎(chǔ)，也是智慧醫(yī)院建設(shè)中容易忽略的短板，對醫(yī)院的運行效率和安全性影響較大[13]?！夺t(yī)院智慧管理分級評估標(biāo)準(zhǔn)體系（試行）》對醫(yī)療設(shè)備以及信息安全提出了明確要求。相關(guān)部門在醫(yī)療設(shè)備的應(yīng)用和管理中，要始終堅持以政策為導(dǎo)向，以患者為中心，密切關(guān)注醫(yī)療設(shè)備治療全過程。同時，要將管理工作細(xì)化。一方面，建立醫(yī)院整體數(shù)據(jù)安全應(yīng)急預(yù)案，并安排定期應(yīng)急演練，提升突發(fā)安全狀況處置能力。另一方面，將大型醫(yī)療設(shè)備的運維、質(zhì)量、安全、效益分析納入智慧醫(yī)院管理體系，構(gòu)建智慧化管理流程，形成可視化的數(shù)據(jù)和視圖，進(jìn)而助力管理決策和智慧醫(yī)院建設(shè)。

3.4 加強(qiáng)部門監(jiān)管，筑牢安全防線

根據(jù)2011年發(fā)布的《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》，三級甲等醫(yī)院的核心業(yè)務(wù)系統(tǒng)必須通過等保3級安全測評[14]，并且對第2級以上信息系統(tǒng)報屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案。2019年5月，等保2.0正式發(fā)布，對醫(yī)療信息安全提出了更高要求。然而需要明確，測評的過程尤為重要。醫(yī)院可以通過一系列評級和測評促改、促建，實現(xiàn)數(shù)據(jù)安全提升和信息化發(fā)展。但切忌盲目自信，通過等保測評不代表數(shù)據(jù)絕對安全，現(xiàn)下大型公立醫(yī)院中的醫(yī)療設(shè)備采購渠道仍以進(jìn)口為主，在“為我所用”的同時要關(guān)注到醫(yī)療設(shè)備數(shù)據(jù)安全的盲點，在將設(shè)備引入醫(yī)療機(jī)構(gòu)時與醫(yī)院特有的IT環(huán)境、業(yè)務(wù)流程相契合，梳理潛在風(fēng)險點[15]，進(jìn)而從不同層面保障醫(yī)療數(shù)據(jù)安全。一是，完善網(wǎng)絡(luò)安全組織機(jī)構(gòu)和管理體系，成立醫(yī)院信息安全管理委員會和醫(yī)學(xué)裝備管理委員會，充分發(fā)揮職能，將醫(yī)療設(shè)備和信息安全結(jié)合起來，積累管理經(jīng)驗、拔高人才梯隊，儲備領(lǐng)域內(nèi)管理及技術(shù)人才。二是，強(qiáng)化醫(yī)技科室和第三方人員監(jiān)督、醫(yī)療設(shè)備隨訪，以及信息安全系統(tǒng)建設(shè)，運用技術(shù)手段對醫(yī)療信息進(jìn)行加密處理，防止信息被惡意竊取，筑牢醫(yī)院數(shù)據(jù)安全堤壩，嚴(yán)把每一道防線。