随着大数据、云计算、物联网在医疗行业的应用不断深入,增强了就医的便捷性,提高了优质医疗资源的利用效率。与此同时,医疗行业面临的网络安全风险也逐渐增多。
![]()
例如:
1.员工安全意识的淡薄、针对信息安全工作总体方针政策的缺失以及管理制度的不完善,面临着来自内部的人为失误或蓄意破坏及信息窃取;
2.作为医院最核心的业务系统,医院医疗信息系统(HIS)、临床医疗信息系统(CIS)、病人管理系统(PAS)、系统管理平台(SMS)的运营缺少有效的安全保护措施和审计机制,存在账号滥用、业务数据被非法读取的风险,譬如,由于HIS系统缺乏权限管理,任何有机会接触HIS终端的人员均可以通过HIS系统进行药物使用情况的查询等;
3.内外网划分不清晰,缺少内外网隔离措施,有可能存在医院的核心业务信息通过互联网泄密的风险;
4.医院的医疗信息系统不是一个孤立的系统,同合作单位(如社保部门)甚至互联网都存在接口,存在被黑客入侵、网络攻击的风险;
5.移动医疗应用存在漏洞,且漏洞管理机制缺失;
6.新应用上线前缺乏足够的安全测试及代码审计环节;
7.运维人员安全技能的缺乏,将会导致医院在面对安全事件时的处置不当,造成重大经济损失;
8.没有制定符合医院实际情况的事件分类标准,应急预案实际可操作性不高,且缺乏应急演练持续、动态完善应急预案。
医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网+医疗健康”的不断推进,党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规,逐步完善医疗行业网络安全体系。
2018 年 4 月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2018 年 9 月 13 日,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
2018 年 9 月 14 日,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等 3 个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
2018 年 12 月 21 日,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。
2019 年 4 月,国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等 10 个方面。
2019 年 12 月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
2020 年 2 月 28 日,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
从陆续出台的政策法规可以看出,国家对医疗行业网络安全高度重视,无论从医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”、“医疗大数据”,到一些基本惠民便民的传统医疗信息系统建设,以及国家出台的第一部卫生健康领域基础性、综合性法律,无不强调落实做好网络安全工作。
不知道什么时候开始,网络和我们的生活早已密不可分,网络安全正在成为影响医疗网络健康重要因素之一,我国网民数破9亿,构建安全可信医疗网络环境刻不容缓,强大、安全、可信的医疗网络环境才能让社会持续繁荣。
基于PKI技术的SSL证书产品,通过SSL/TLS协议的加密认证机制,确保数据私密性和完整性以及数据交互方身份真实性,可有效解决假冒网站、流量劫持、数据泄露和数据篡改等安全问题,已成为保障全球医疗网络安全建设的基本配置,是医疗网络数据传输安全及可信的优秀方案。
