醫(yī)療設備網絡數據安全體系建設

摘要：醫(yī)療設備網絡數據安全體系建設是保障醫(yī)療數據安全、防止信息泄露的關鍵。該體系通過強化設備物理安全、網絡安全、應用安全等方面的保障措施，建立多層防線，有效降低醫(yī)療數據被攻擊、篡改或泄露的風險。同時，采用加密技術、訪問控制等手段，確保數據在傳輸、存儲和使用過程中的安全性。此外，定期開展安全審計和風險評估，及時發(fā)現和修復潛在的安全隱患，確保醫(yī)療設備網絡數據安全體系始終處于最佳狀態(tài)。這一體系的建立，將為醫(yī)療行業(yè)的健康發(fā)展提供有力支撐。本文以某醫(yī)院醫(yī)療設備網絡數據安全體系建設為例，完整介紹了包括醫(yī)療設備網絡安全防護、患者隱私數據保護等在內的網絡安全體系化建設方案。該方案產生了良好的社會效益與經濟效益，對國內大型綜合醫(yī)院具有廣泛適用性。

關鍵詞：數據安全；患者隱私；醫(yī)療設備防護

數據安全是指保護數據免受未經授權的訪問、使用、修改、破壞或泄露的一系列措施。它涵蓋了數據的完整性、保密性和可用性，同時也需要確保數據符合適用的法律和行業(yè)標準。數據安全是保護個人、組織和社會利益的重要組成部分，可以通過技術、管理和教育等多種手段實現。2018 年 5 月 25 日，歐盟《一般數據保護條例》（GDPR）正式實施。GDPR 法案要求，不論數據控制者、處理者及其處理行為在歐盟境內還是境外，只要處理的是歐盟境內居民的數據，均適用此法案，對數據實施長臂管理。2021 年 6 月 10 日，全國人大常委會通過了《數據安全法》，并于 2021 年 9 月 1 日起施行。目前，全球已有近 100 個國家和地區(qū)制定了數據安全保護相關法律，數據安全保護專項立法已成為國際慣例。

一 、醫(yī)療設備安全管理所面臨的挑戰(zhàn)

（一）物聯網下醫(yī)療設備數據保護存在的安全問題

近幾年，尤其是新冠疫情開始后，伴隨著智慧醫(yī)療的快速發(fā)展，以及各種智能醫(yī)療設備（如5G手術機器人）的遠程接入使用，如何保護醫(yī)療數據安全逐漸成為各個國家不得不面對的挑戰(zhàn)。2022年11月，印度主要公共醫(yī)療機構之一，全印度醫(yī)學科學研究所（AIIMS）醫(yī)療設備因網絡遭遇勒索病毒攻擊導致業(yè)務中斷。此次中斷影響到數百位使用基礎醫(yī)療服務的患者和醫(yī)生，波及患者診斷、結算等系統(tǒng)。由于負責記錄患者數據的服務器停止工作，該機構只能轉向手動操作，包括手寫影像報告[1]。醫(yī)療設備業(yè)務中斷還導致排隊時間延長，應急處置工作也開始出現失誤。在經歷最初幾個小時的中斷之后，醫(yī)院方面發(fā)布一份聲明，確認了網絡攻擊的存在。中斷一直持續(xù)到次日。一位住院醫(yī)生在采訪中表示，“有很多采血樣本無法發(fā)送，沒法進行影像學研究，也看不到之前的報告和圖像。大量操作只能以手動方式完成，但這樣既耗時也更容易出錯?！备鶕蘒BM數據泄露年度報告顯示，從2022年3月至2023年3月，全球醫(yī)療行業(yè)是網絡攻擊的最大受害者。該年度報告連續(xù)13年均顯示，醫(yī)療保健行業(yè)遭遇的數據泄露成本最高，平均每起攻擊損失1100萬美元。其次是金融業(yè)，平均每起攻擊損失590萬美元。

（二）外部數據安全威脅

非法數據盜竊集團通過誘騙警惕性不高的用戶安裝盜版軟件或手機App、點擊釣魚網站等方式竊取數據信息；通過高可持續(xù)威脅攻擊對醫(yī)院網絡展開定向威脅攻擊；通過繞開傳統(tǒng)安全方案（包括防火墻、殺毒軟件、入侵防御系統(tǒng)等）和運用社會工程學等其他手段實施持久且有效的威脅和攻擊，在目標醫(yī)療設備上建立登錄點，并進行長期潛伏，逐步突破安全防御措施，從而達到竊取患者診療數據的目的。

（三）日益嚴峻的內部數據安全風險

隨著智慧醫(yī)療的應用日益廣泛，醫(yī)院醫(yī)療服務供應鏈也愈趨復雜化，面對多變且日新月異的攻擊形態(tài)，基礎的內網安全防護仍是不可或缺的一環(huán)，因攻擊者的最終目標依然在于醫(yī)院內網[2]。如有些能夠接觸到患者健康數據、第一手檢查檢驗結果的設備操作技師，可能因為收受賄賂、幫助親友、線上非法交易牟利等目的，違規(guī)篡改數據。另外，擁有數據和系統(tǒng)高級操作權限的人員，可能出于個人恩怨等報復動機，對組織或個人的重要醫(yī)療數據進行篡改、刪除等破壞行為等。

二、醫(yī)療信息化發(fā)展與數據安全體系建設

（一）防護體系建設標準

2021年，國家衛(wèi)生健康委辦公廳印發(fā)《公立醫(yī)院高質量發(fā)展評價指標（試行）》，其要求以病人為中心、從使用者需求出發(fā)，積極推動數位轉型，展開智慧照護、AI人工智能、遠程醫(yī)療、智慧服務管理及云端運算等五大應用領域發(fā)展，打造行動化、數字化的智慧醫(yī)院。

在跨團隊合作的推動下，目前國內醫(yī)療領域已有多項卓越亮眼的智慧醫(yī)療服務落地應用，例如運用大數據技術開發(fā)“急診敗血癥AI智能系統(tǒng)”，結合人工智能及SOFA Score自動評估，降低敗血癥死亡率與病人平均住院時數；打造FHIR格式的云端電子病歷平臺，促進院際、機構間的醫(yī)療信息交換效率；配備導入式護士站電子白板、智慧床邊系統(tǒng)及電子床頭卡，提升住院病人照護質量。然而，要建構兼具敏捷與韌性的醫(yī)療照護服務系統(tǒng)，除了對新興醫(yī)療器械的運用外，還應加強數據安全保護，畢竟醫(yī)院所收集的病歷、醫(yī)療與健康檢查資料均屬于患者隱私。因其數據背后的巨大價值，黑客將醫(yī)療產業(yè)列為主要攻擊目標。根據國家網絡安全部門發(fā)布的調查報告顯示，勒索軟件已成為醫(yī)療產業(yè)發(fā)展的主要威脅之一，占總體網絡安全事件的50%以上。但是，目前只有27%的醫(yī)院擁有專門的勒索軟件防御計劃。

（二）多部署方案加固數據生成端安全體系

為了做好數據安全防護，某院自2020年起已投入超過1000萬元預算用于加強網絡安全建設。如在內網導入高級防火墻用以落實LAN網段區(qū)隔，阻擋惡意DNS、過濾IP；部署端點安全軟件，實時排期掃描，并針對全院PC機及服務器進行威脅監(jiān)測與記錄。另外，在上網策略管控方面，借由導入資料外泄防護（DLP）方案，針對網頁類別過濾，并強化SSL網頁加解密以及惡意網站阻擋力度。此外，面對未知的外來攻擊，該院設置了下一代防火墻來強化防御，防御層級涵蓋L7應用層，通過檢查封包內容以實現安全防護機制的升級。在數據安全事件管理方面，該院通過SIEM方案負責執(zhí)行日志資料的搜集、事件關聯性與交叉分析，以提高設備資產的可視性，管理分享情資。該院以往的數據安全防護機制都只針對外部的安全威脅，一旦進入內網信任區(qū)，便基本不會有安全防護措施。為了強化網絡安全管理，消除安全防護死角，近兩年，該院強化了內網防火墻設計，對內網進行網段區(qū)隔，在區(qū)隔化安全措施下，當某一單獨VLAN出現設備中毒時，不會影響到整個內網其他區(qū)域的正常、安全運行。

另外，該院還聘請了具有專業(yè)資質的信息安全服務公司，以季度為單位進行弱點掃描、導入網站應用程序防火墻（WAF），通過比對病毒與惡意程序等網絡攻擊，來拒絕可疑、惡意流量進入網站，保護網站應用程序。此外，該院還投入建設了網絡安全運營中心。網絡病毒通常具有高隱蔽性，通常隱藏于看似正常的信息中，且其通過正常信息侵入電腦系統(tǒng)后，通常會先潛伏而不進行系統(tǒng)攻擊等操作，因此不易被用戶察覺。但系統(tǒng)透過態(tài)勢感知探針收集內部網絡的日志資料，就能送到安全大腦加以分析是否存在不正常的訪問行為，例如短時間內有某賬號密碼大量嘗試進入不同的IP，就是很明顯的異常行為。網絡安全運營中心的建設與管理，為網絡系統(tǒng)的安全保障、異常行為的監(jiān)測和管理具有重要的作用。

（三）數據安全防御人人有責 防堵措施強化管控

在國家法律法規(guī)的推動下，大型三甲醫(yī)院都在強化醫(yī)療數據安全管理工作。但醫(yī)院強化數據管理的目標不只是合規(guī)，而是打造能保護醫(yī)療信息安全的數據安全防御機制，提供讓病患放心的高質量醫(yī)療服務。在此目標的指引下，該院除了積極導入相關安全解決方案外，也設計了一些防護措施，如在醫(yī)療器械導出的數據中，若是有超過五項敏感資料特征，如身份證、病歷號碼、出生日期、電話號碼、家庭住址等，數據監(jiān)測系統(tǒng)就會以內部郵件通知數據安全部門主管。再如，院內所有醫(yī)療器械基本無法使用外接存儲設備。如需批量復制設備資料時，醫(yī)院會對該設備進行偵測，并且將欲復制的資料在系統(tǒng)中進行備份，以便發(fā)生資料外泄事件時可以比對追溯。隨著數據安全防范措施越來越嚴密，該院對醫(yī)技科室人員操作醫(yī)療設備的要求也越來越嚴謹，嚴格依循國家衛(wèi)健委公布的網絡數據安全責任等級分級辦法里面提到的施行細則，即“誰主管、誰負責，誰使用、誰負責”，讓醫(yī)療設備使用及數據安全保護責任到人，從操作規(guī)范與安全層面，大大降低了數據安全事件發(fā)生的風險。

三、強化醫(yī)療設備準入機制、減少風險暴露面

（一）終端準入系統(tǒng)防非法設備接入

提供 IP 保護功能，避免因 IP 沖突、 客戶端搶 IP 等事件導致醫(yī)院重要業(yè)務系統(tǒng)中斷、服務停止。根據不同的業(yè)務場景，可以采用多種設備入網綁定的方式。如門診醫(yī)生站、住院醫(yī)生站的電腦主機是固定的，使用場景不會輕易發(fā)生變動，此種情況下多采用IP地址綁定、網卡物理地址MAC綁定等方式加強安全保護。對于大型醫(yī)療設備，其本身的硬件使用安全責任歸屬于醫(yī)療器械科，入網安全責任歸屬于信息安全管理中心。此類設備通常由廠商工程師在入院時進行調試，后期基本不會發(fā)生變動。因此，可采用資產屬性、設備名稱等綁定方式。對于其他外接設備，如U盤或者讀取患者院外影像資料的光盤等，根據醫(yī)院網絡安全管理制度，原則上不可隨意接入，如確需使用，則由醫(yī)療科室提出申請、醫(yī)務部門審批通過后進行單獨開放。此類設備入網時通過硬件指紋模式進行單獨放行。對于其他特殊情況或突發(fā)緊急狀態(tài)，則使用白名單機制， 允許白名單內設備進行網絡存取，且白名單設置了有效期。有效期結束后設備入網權限自動失效。通過以上多種手段綜合運用，能夠有效阻擋外來設備連入網絡，減少信息安全風險。

（二）完善存取權限管理，減少資料外泄風險

使用設備的本機賬號登入時常伴隨著相當程度的風險，一方面無法限制使用者的存取權限，另一方面在發(fā)生數據安全事件時無法確認使用者身份。針對這種問題，可啟用域控服務。域控服務下，AD 管理員可以確認使用者身份，并且可以采取多項措施防止資料外流?？蓮娭埔笤簝扔嬎銠C設備使用 AD 賬號登入，若偵測到私退 AD 網域事件和未加入網域設備訪問內網，則自動強制阻斷并要求其加入網域，以避免員工任意退出 AD 網域，或在無法監(jiān)管的情況下使用計算機設備。AD 賬號與計算機名稱綁定，非指定賬號無法登入。整合員工信息，提供“加入/退出”AD 網域、“登入/登出”AD 賬號的日期、時間和次數。域控服務器可以監(jiān)測各終端設備是否安裝應裝軟件，如 DLP 軟件，通過軟件的監(jiān)控可以有效減少資料外泄、竊取的狀況發(fā)生。限制 USB 儲存裝置的存取權限，避免設備遭到惡意程序的入侵，防止員工通過 USB 儲存裝置竊取機密資料。GPO 的套用常常使管理人員頭痛，繁復的設定與眾多的計算機設備，使導入的過程極為繁瑣，更有許多原因會造成套用失敗。UPAS NOC 提供完善的 GPO 功能，可幫助管理者了解在網域中的設備 GPO 套用狀況，查找沒有符合規(guī)定套用 GPO 之端點設備。[3]

四、可供推廣的經驗

（一）圍繞四種設備，打造設備網絡與數據安全

防火墻：它是醫(yī)院網絡安全的第一道防線。通過檢查經過防火墻的數據包并根據預設的安全策略決定數據包的流向。它能夠以物理的或虛擬的方式對單個終端或網絡域進行隔離。

入侵防御系統(tǒng)（IPS）：IPS是用于監(jiān)視、檢測和阻止入侵嘗試和惡意活動的系統(tǒng)。它是網絡安全架構中的重要組成部分，多放置于防火墻之后。通過分析網絡流量檢測入侵，并實時中止入侵行為，從而保護醫(yī)院信息系統(tǒng)和網絡架構免受侵害。

堡壘機：堡壘機可以將所有針對醫(yī)療設備的遠程操作集中在同一個平臺上進行管理，并對所有的運維行為進行監(jiān)控，及時發(fā)現任何違規(guī)操作。

態(tài)勢感知系統(tǒng)：態(tài)勢感知系統(tǒng)通過對整個院內網絡流量的收集偵測，對醫(yī)院網絡安全情況進行整體評估，結合互聯網側最新安全趨勢，為醫(yī)院網絡安全管理人員提供決策分析。該系統(tǒng)上線后平均每日偵測威脅攻擊300余次，在數次護網行動中協助醫(yī)院成功防御安全公司的模擬進攻。態(tài)勢感知系統(tǒng)已成為我院網絡安全防護體系的核心設備。

（二）可靠的網絡隔離方案

網絡解決方案：通過東部院區(qū)一、二期機房建成雙活網絡。內外網之間采用啟明星辰網閘隔離，出口采用深信服提供的下一代防火墻，保障內網安全性。

設備網解決方案：設備網包括大型醫(yī)療器械、安防視頻監(jiān)控、樓宇控制等設施，由醫(yī)院的安保部門負責。從方便運維和管理的角度出發(fā)，設備網采用單獨建設方案，與集團信息網絡物理隔離。

網絡設備管理方案：借助IMC 智能網絡管理平臺，實現對網絡的靈活可視化管理，大大降低了運維的復雜度。

設備準入解決方案：借助聯軟終端準入系統(tǒng)對所有接入醫(yī)院內網的設備采取強制網絡接入認證，防止任何未經授權的終端訪問內網信息系統(tǒng)。

五、結束語

醫(yī)療設備網絡與數據安全體系的建設有效提高了網絡的安全性，保護了患者隱私，防止未經授權的訪問和攻擊。在目前網絡安全越來越重要的背景下，建立健全醫(yī)院網絡數據安全體系建設，加強醫(yī)院網絡安全保護，對保障醫(yī)院醫(yī)療服務升級及可持續(xù)發(fā)展具有重要的意義。

作者單位：劉大龍 徐然 丁士富 青島市市立醫(yī)院

參考文獻

[1]費曉璐.淺談醫(yī)療設備信息安全[J].中國醫(yī)院建筑與裝備，2019，20（05）：26-29.

[2]向飛，劉洪濤，張秋京，等.可穿戴醫(yī)療設備技術發(fā)展分析[J].中國醫(yī)療器械信息，2016，22（09）：6-11.

[3]汪火明，孫潤康，任宇飛.基于數據分級的醫(yī)療大數據中心數據安全管理策略研究[J]. 中國醫(yī)院管理，2022，（10）：64-67.