移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)控白皮書

孟曉 趙亮 徐鵬 黃曉培 張春芳 李真 楊令宜 李佳奇

本白皮書通過分析移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險現(xiàn)狀及成因，結(jié)合實(shí)際應(yīng)用，提出建立針對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用的安全風(fēng)險監(jiān)控技術(shù)模型和管理機(jī)制，倡議成立安全風(fēng)控聯(lián)盟，形成政府監(jiān)管、行業(yè)自律、機(jī)構(gòu)自治的三重安全防線。

移動互聯(lián)網(wǎng)醫(yī)療四類安全風(fēng)險日漸嚴(yán)峻

隨著5G的持續(xù)推進(jìn)和移動智能終端設(shè)備的深化應(yīng)用，越來越多的生活服務(wù)類數(shù)據(jù)通過移動應(yīng)用涌入移動互聯(lián)網(wǎng)。工信部發(fā)布的中國互聯(lián)網(wǎng)市場移動應(yīng)用相關(guān)報告指出，截至2018年，我國移動市場共檢測到移動應(yīng)用449萬款，凈增數(shù)量42萬款。

作為與公民密切相關(guān)的互聯(lián)網(wǎng)醫(yī)療服務(wù)發(fā)展尤其迅速，各大醫(yī)院都推出了各自的移動醫(yī)療App，許多第三方機(jī)構(gòu)更是把握市場方向，建立醫(yī)院、醫(yī)生和患者三者撮合的第三方移動醫(yī)療App平臺，為公眾提供尋醫(yī)問診、預(yù)約掛號、購買醫(yī)藥產(chǎn)品及查詢專業(yè)信息等服務(wù)。當(dāng)前，市場上已有2萬多款移動醫(yī)療App提供醫(yī)療相關(guān)服務(wù)。

在新冠肺炎疫情影響和近年來國家對“互聯(lián)網(wǎng)+醫(yī)療健康”的鼓勵支持下，可以預(yù)見移動互聯(lián)網(wǎng)醫(yī)療業(yè)務(wù)將呈蓬勃發(fā)展之勢。同時，移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用安全風(fēng)險也呈現(xiàn)著增加趨勢。主要表現(xiàn)在以下四個方面。

系統(tǒng)安全風(fēng)險日益增加

由于移動互聯(lián)網(wǎng)醫(yī)療數(shù)據(jù)中包含患者姓名、年齡、居住地址、電話、銀行賬戶、診斷、檢驗(yàn)報告、用藥記錄、病史等個人敏感信息，蘊(yùn)含重要財富價值，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)成為不法分子覷視的重要目標(biāo)，黑客可通過后臺系統(tǒng)漏洞進(jìn)行攻擊從而獲得大量的醫(yī)療健康數(shù)據(jù)。

醫(yī)療健康行業(yè)聯(lián)網(wǎng)系統(tǒng)高危漏洞需要警惕。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告顯示，醫(yī)療健康行業(yè)存在高危漏洞的聯(lián)網(wǎng)系統(tǒng)數(shù)量最多，安全風(fēng)險較高。據(jù)《2019醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全觀測報告》統(tǒng)計數(shù)據(jù)顯示，在被調(diào)查的醫(yī)療健康行業(yè)15339家單位中，網(wǎng)絡(luò)資產(chǎn)評估具有脆弱性的有9523家，應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)的有6446家，網(wǎng)站存在安全隱患的有4546家。

互聯(lián)網(wǎng)醫(yī)療網(wǎng)站被篡改現(xiàn)象依然突出。移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用通常通過互聯(lián)網(wǎng)網(wǎng)站提供醫(yī)療服務(wù)或進(jìn)行系統(tǒng)管理。根據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)布的《第44次中國互聯(lián)網(wǎng)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》統(tǒng)計數(shù)據(jù)，2019年上半年，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測發(fā)現(xiàn)并協(xié)調(diào)處置我國境內(nèi)被篡改的網(wǎng)站近4萬個。根據(jù)《2019醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全觀測報告》統(tǒng)計數(shù)據(jù)，有4546家單位網(wǎng)站存在安全隱患，其中261家單位的網(wǎng)站發(fā)現(xiàn)被惡意篡改。

App漏洞和第三方SDK漏洞成為移動醫(yī)療領(lǐng)域的主要安全隱患。根據(jù)《2019醫(yī)療健康行業(yè)移動App安全觀測報告》統(tǒng)計，88.83%的醫(yī)療健康行業(yè)App存在高危漏洞。攻擊者可利用漏洞對App進(jìn)行仿冒、植入惡意程序、非法竊取個人敏感信息等。醫(yī)療健康行業(yè)的機(jī)構(gòu)為了給公眾提供更多的便民服務(wù)，在App中集成了第三方SDK。愛加密2019年發(fā)布的《全國移動應(yīng)用SDK市場占有率分析報告》顯示，有25.58%的醫(yī)療健康行業(yè)App引入了第三方SDK，高于全行業(yè)平均水平，平均每款A(yù)pp引入了2.5個SDK，同時也指出超過60%的SDK含有多種漏洞。

應(yīng)用渠道安全風(fēng)險不可忽視

移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用渠道主要分為兩類：一類是PC端互聯(lián)網(wǎng)門戶網(wǎng)站，另一類是移動客戶端軟件下載渠道。

釣魚網(wǎng)站威脅移動互聯(lián)網(wǎng)醫(yī)療安全。2018年8月21日，奧古斯塔大學(xué)醫(yī)療中心遭遇了網(wǎng)絡(luò)釣魚攻擊，導(dǎo)致約41.7萬份記錄遭泄露。遭泄露的數(shù)據(jù)包含患者個人信息以及他們的醫(yī)療健康記錄、財務(wù)記錄和社會安全號碼。新冠肺炎疫情的爆發(fā)引發(fā)了網(wǎng)絡(luò)釣魚和惡意軟件攻擊的新潮流，不良行為者希望以此流行病為誘餌進(jìn)行攻擊。根據(jù)Checkpoint的研究，全球超過4000個與冠狀病毒相關(guān)的域名中，3%是惡意域名，5%是非?？梢捎蛎?。

移動客戶端軟件仿冒帶來敏感信息泄露問題。由于下載渠道的多樣性，以及渠道對移動客戶端軟件的管理、技術(shù)檢測等手段的不足，使得具有釣魚目的、欺詐行為的移動客戶端軟件仿冒成為不法者的工具?；颊吆歪t(yī)生使用仿冒或被篡改的移動客戶端軟件后，其個人醫(yī)療信息和金融信息將被不法之徒獲取，給患者和醫(yī)生帶來安全和財產(chǎn)風(fēng)險。隨著移動醫(yī)療應(yīng)用的加速普及，該威脅愈發(fā)突出。

違法違規(guī)收集使用

個人信息問題日益凸顯

在中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門2019年開展的App違法違規(guī)收集使用個人信息專項(xiàng)治理行動中發(fā)現(xiàn)移動醫(yī)療App存在違規(guī)收集個人隱私信息行為，如讀取用戶聯(lián)系人數(shù)據(jù)、讀取用戶日歷信息、讀取用戶短信內(nèi)容、允許應(yīng)用發(fā)送短信/彩信導(dǎo)致意外收費(fèi)、允許應(yīng)用程序錄制音頻等超范圍收集用戶信息的情況，部分存在無用戶協(xié)議和隱私政策。據(jù)愛加密發(fā)布的2019年《全國移動App安全性研究報告》，70%以上的App存在違規(guī)收集個人隱私信息的行為。

數(shù)據(jù)泄露事件頻發(fā)

影響程度加劇

由于很多移動互聯(lián)網(wǎng)醫(yī)療運(yùn)營機(jī)構(gòu)在安全保障和健康醫(yī)療數(shù)據(jù)生命周期管理方面措施不足，運(yùn)行在互聯(lián)網(wǎng)上的移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)成為黑客攻擊的主要目標(biāo)。國外醫(yī)療健康分析公司發(fā)布的醫(yī)療行業(yè)數(shù)據(jù)安全報告顯示，2019年較上一年針對醫(yī)療行業(yè)黑客攻擊事件猛增了48%，受影響的患者數(shù)量較上一年增長了兩倍，影響范圍和程度均加劇。

從2018年到2019年爆發(fā)了一系列國內(nèi)外醫(yī)療數(shù)據(jù)泄露事件：2018年1月，某社區(qū)衛(wèi)生服務(wù)中心工作人員，掌握了某市“婦幼信息某管理系統(tǒng)”市級權(quán)限賬號密碼，利用職務(wù)之便，多次將2016年至2017年的某市新生嬰兒信息及預(yù)產(chǎn)信息導(dǎo)出，累計非法下載新生嬰兒數(shù)據(jù)50余萬條;2018年4月，MEDantex旗下的一個門戶網(wǎng)站存在泄露患者醫(yī)療記錄的安全隱患，包含了與2300多名醫(yī)生相關(guān)的文件;2018年8月，某MongoDB數(shù)據(jù)庫被發(fā)現(xiàn)可以通過互聯(lián)網(wǎng)公開訪問，其中包含了超過200萬墨西哥公民的醫(yī)療健康數(shù)據(jù)，這些數(shù)據(jù)包括個人的全名、性別、出生日期、保險信息、殘疾狀況和家庭住址等信息;2019年9月，國內(nèi)醫(yī)療PACS服務(wù)器泄露近28萬條患者記錄，包括姓名、出生日期、檢查日期、調(diào)查范圍、成像程序的類型、主治醫(yī)師、研究所/診所和生成的圖像數(shù)量等個人和醫(yī)療細(xì)節(jié);2019年，我國某第三方預(yù)約掛號平臺的短信平臺存在漏洞，導(dǎo)致大量患者個人信息泄露。

新冠肺炎疫情的出現(xiàn)，推動了我國移動互聯(lián)網(wǎng)醫(yī)療服務(wù)的發(fā)展和普及。與此同時，移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險影響深度和廣度也在加劇，需要提高警惕并加以應(yīng)對。

移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險成因分析

移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)

安全縱深防御體系不健全

移動互聯(lián)網(wǎng)醫(yī)療是以移動終端或互聯(lián)網(wǎng)為載體，將醫(yī)師、患者等聯(lián)系起來并提供服務(wù)。相對于傳統(tǒng)的醫(yī)療系統(tǒng)來說，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)更多地暴露在公網(wǎng)上，不少移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)安全縱深防御體系尚不健全，主要表現(xiàn)在以下五個方面：

1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不安全。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全性設(shè)計中最重要的因素是根據(jù)網(wǎng)絡(luò)安全區(qū)域安全等級的不同，設(shè)計不同的網(wǎng)絡(luò)安全區(qū)域，并且避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，不同安全等級的網(wǎng)絡(luò)區(qū)域之間采取可靠技術(shù)隔離手段。有些移動互聯(lián)網(wǎng)醫(yī)療機(jī)構(gòu)為了部署和管理方便，采用了具有安全風(fēng)險的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，一是將Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器均部署在同一子網(wǎng)，或Web及應(yīng)用服務(wù)器未經(jīng)過防火墻能直接訪問數(shù)據(jù)庫服務(wù)器;二是將數(shù)據(jù)庫服務(wù)器部署在DMZ區(qū)域，黑客可通過攻破DMZ區(qū)域，獲取數(shù)據(jù)庫服務(wù)器上的敏感數(shù)據(jù)。

2.入侵防御設(shè)施配備不足或配置不合理。移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)需識別和防范外部和內(nèi)部的網(wǎng)絡(luò)攻擊行為，尤其是外部攻擊行為，如DDoS攻擊、SQL注入攻擊、跨站腳本攻擊等。DDoS攻擊會導(dǎo)致提供的醫(yī)療服務(wù)無法使用，SQL注入攻擊和跨站腳本攻擊會導(dǎo)致醫(yī)療健康信息泄露。多數(shù)移動互聯(lián)網(wǎng)系統(tǒng)未在網(wǎng)絡(luò)邊界處部署入侵防范設(shè)備，或者未按照正確的方式進(jìn)行部署，或者未配置及啟用針對常見攻擊行為的防范功能，或者使用已過期的規(guī)則庫。這些都是造成外部攻擊行為成功的重要因素。

3.遠(yuǎn)程傳輸和接入安全防護(hù)措施不健全。對外部使用者來說，患者在注冊和使用移動互聯(lián)網(wǎng)醫(yī)療服務(wù)過程中，個人健康醫(yī)療信息在互聯(lián)網(wǎng)傳輸時未進(jìn)行加密或使用安全通道進(jìn)行傳輸，攻擊者容易截獲敏感數(shù)據(jù)。對內(nèi)部使用者來說，運(yùn)維人員通過互聯(lián)網(wǎng)使用HTTP或TELNET進(jìn)行遠(yuǎn)程管理時，未采取安全措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，攻擊者容易截獲鑒別信息和管理信息，獲得系統(tǒng)訪問權(quán)限，盜取更多的敏感數(shù)據(jù)。

4.安全監(jiān)控和審計力度不夠。建設(shè)移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)時，在安全監(jiān)控和事件預(yù)警機(jī)制方面采取的措施力度不夠，設(shè)計時未充分考慮業(yè)務(wù)操作監(jiān)控和審計功能，黑客入侵事件發(fā)生概率較高。同時，也未能有效防止內(nèi)部人員進(jìn)行違規(guī)操作，業(yè)務(wù)和數(shù)據(jù)操作不可追溯。通常攻擊者需要經(jīng)過多次系統(tǒng)滲透或入侵才能獲取相應(yīng)訪問權(quán)限，從而獲得敏感數(shù)據(jù)。因而，有必要通過安全監(jiān)控和審計對入侵行為進(jìn)行分析和預(yù)警，可以在入侵事件發(fā)生前進(jìn)行主動防御，阻止攻擊行為。

5.Web應(yīng)用漏洞的安全防范和客戶端抗攻擊能力不足。移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)主要采用HTTP協(xié)議向服務(wù)器提供請求，保障Web頁面安全是非常重要的。從近幾年的安全事件來看，SQL注入和跨站腳本攻擊占大半比例。大部分機(jī)構(gòu)的Web頁面均未提供防范SQL注入和跨站腳本攻擊的安全防護(hù)措施，未從代碼層面防止漏洞的產(chǎn)生。同時，移動客戶端軟件未采用代碼混淆、代碼加殼、檢測調(diào)式器等有效手段，抵御靜態(tài)分析、動態(tài)調(diào)試等操作;未在軟件安裝、啟動、更新時進(jìn)行完整性和真實(shí)性校驗(yàn)，抵御篡改或劫持，導(dǎo)致用戶的敏感信息在使用過程中容易被非法獲取。

移動客戶端應(yīng)用渠道

安全監(jiān)測力度不夠

移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用渠道安全風(fēng)險的主要原因有四個方面：一是大多數(shù)移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用運(yùn)營方?jīng)]有識別移動客戶端軟件仿冒和盜版應(yīng)用的手段;二是由于各渠道發(fā)布時間不同，存在版本不一致的情況，用戶可能會下載具有安全漏洞版本的移動客戶端軟件;三是多數(shù)移動客戶端軟件沒有進(jìn)行安全加固，給用戶帶來安全風(fēng)險;四是渠道對移動客戶端軟件的管理、技術(shù)檢測等手段的不足，導(dǎo)致仿冒或篡改的應(yīng)用存在。

“認(rèn)證—授權(quán)—審計”

安全機(jī)制薄弱

“認(rèn)證—授權(quán)—審計”（AAA）安全機(jī)制包括認(rèn)證（Authentication）、授權(quán)（Authorization）和審計（Auditing），是網(wǎng)絡(luò)安全中最為重要的安全管理機(jī)制，也是防范數(shù)據(jù)泄露的關(guān)鍵手段。當(dāng)前，多數(shù)的移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)在認(rèn)證、授權(quán)和審計方面做得不夠完善甚至缺失，導(dǎo)致數(shù)據(jù)泄露影響程度加劇。

從認(rèn)證機(jī)制來看，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)應(yīng)采用“雙因素認(rèn)證”方式和設(shè)置復(fù)雜口令來保障身份認(rèn)證的安全性。目前，大多數(shù)系統(tǒng)采用安全性較差的“用戶名+口令”單因素身份認(rèn)證方式和使用弱口令，容易被不法之徒通過工具暴力破解或被猜測出來，從而導(dǎo)致身份認(rèn)證信息被盜用。

從授權(quán)機(jī)制來看，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)應(yīng)合理分配和控制賬戶權(quán)限。目前多數(shù)系統(tǒng)未分配用戶承擔(dān)任務(wù)最小權(quán)限，權(quán)限粒度設(shè)置過大，未限制默認(rèn)賬戶的訪問權(quán)限，未及時收回賬戶權(quán)限，導(dǎo)致未授權(quán)的用戶訪問系統(tǒng)功能或數(shù)據(jù)。

從安全審計來看，相對于認(rèn)證、授權(quán)機(jī)制，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)在安全審計機(jī)制建設(shè)方面更為薄弱，未提供高頻登錄、批量登錄、關(guān)鍵數(shù)據(jù)使用等審計功能，甚至缺失基本的日志記錄功能，導(dǎo)致無法預(yù)防潛在的安全事件發(fā)生及事后追溯。

醫(yī)療健康數(shù)據(jù)生命周期

安全保護(hù)機(jī)制和措施不足

數(shù)據(jù)生命周期主要包括數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)銷毀五個環(huán)節(jié)。加強(qiáng)數(shù)據(jù)全生命周期的安全管理能夠有效降低數(shù)據(jù)泄露的安全風(fēng)險。目前，大多數(shù)醫(yī)療機(jī)構(gòu)缺少相應(yīng)的安全管理措施和技術(shù)手段。尤其在數(shù)據(jù)管理方面，未對數(shù)據(jù)進(jìn)行分類分級設(shè)置并采取針對性的措施進(jìn)行數(shù)據(jù)安全保護(hù)。

第一，在數(shù)據(jù)收集環(huán)節(jié)，有些機(jī)構(gòu)未依據(jù)最小夠用原則收集醫(yī)療健康數(shù)據(jù)，且移動客戶端應(yīng)用軟件抗攻擊能力不足，在數(shù)據(jù)收集環(huán)節(jié)可能導(dǎo)致數(shù)據(jù)泄露;第二，在數(shù)據(jù)傳輸環(huán)節(jié)，對于涉及數(shù)據(jù)安全等級較高的醫(yī)療健康數(shù)據(jù)，有些機(jī)構(gòu)未采取加密傳輸或全通道傳輸保證傳輸保密性，數(shù)據(jù)被竊聽的風(fēng)險加大，同時在數(shù)據(jù)傳輸時也未采取校驗(yàn)碼或哈希算法確保數(shù)據(jù)完整性，醫(yī)療健康數(shù)據(jù)被篡改的風(fēng)險增大;第三，在數(shù)據(jù)存儲環(huán)節(jié)，對于敏感的醫(yī)療健康數(shù)據(jù)，有些機(jī)構(gòu)未采用足夠安全的加密算法進(jìn)行加密存儲，而且未構(gòu)建安全可控的暫時存儲環(huán)境，數(shù)據(jù)泄露風(fēng)險較高;第四，在數(shù)據(jù)使用環(huán)節(jié)，有些機(jī)構(gòu)未建立有效的醫(yī)療健康數(shù)據(jù)脫敏機(jī)制，未建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)范和使用機(jī)制，未明確數(shù)據(jù)獲取的范圍、數(shù)據(jù)量、頻率、方式、訪問接口、授權(quán)機(jī)制，通常該環(huán)節(jié)數(shù)據(jù)泄露風(fēng)險最大;第五，在數(shù)據(jù)銷毀環(huán)節(jié)，有些機(jī)構(gòu)未根據(jù)數(shù)據(jù)的分級分類和數(shù)據(jù)使用情況，建立合理的數(shù)據(jù)銷毀方式，導(dǎo)致數(shù)據(jù)泄露。對于托管到公有云的移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)，數(shù)據(jù)銷毀的措施不當(dāng)，會造成數(shù)據(jù)泄露情況更加嚴(yán)重。

行業(yè)層面缺乏

風(fēng)險監(jiān)控管理手段

國家衛(wèi)健委在2018年和2019年發(fā)布了《電子健康卡建設(shè)與管理指南》《電子健康卡服務(wù)應(yīng)用指南》征求意見稿，均對電子健康卡的應(yīng)用監(jiān)測和安全管理提出了要求。但是醫(yī)療健康行業(yè)仍然缺乏針對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用的安全風(fēng)險監(jiān)控管理手段。從行業(yè)監(jiān)管層面來看，需要有效的安全風(fēng)險監(jiān)控管理體系去實(shí)現(xiàn)對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用的風(fēng)險監(jiān)控、風(fēng)險評價及處置、風(fēng)險事件通報，從而提高移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用安全防護(hù)水平。

移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險應(yīng)對思路

為了應(yīng)對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用存在的種種安全風(fēng)險，為保護(hù)公民、法人和其他組織的合法權(quán)益，在國家層面陸續(xù)發(fā)布了一系列的安全政策。面對國家在移動互聯(lián)網(wǎng)應(yīng)用方面的監(jiān)管要求，各級監(jiān)管機(jī)構(gòu)都在積極探討和嘗試移動互聯(lián)網(wǎng)應(yīng)用監(jiān)管、監(jiān)控解決方案。

面對移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)安全縱深防御體系不健全、移動客戶端應(yīng)用渠道安全監(jiān)測力度不夠、AAA安全機(jī)制薄弱、醫(yī)療健康數(shù)據(jù)生命周期安全保護(hù)機(jī)制和措施不足、行業(yè)層面缺乏風(fēng)險監(jiān)控管理手段等問題，通過構(gòu)建技術(shù)模型和管理機(jī)制相結(jié)合的安全風(fēng)險監(jiān)控管理體系，來實(shí)現(xiàn)對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用的安全風(fēng)險管控。

打造政府監(jiān)管、行業(yè)自律、

機(jī)構(gòu)自治的三重安全防線

為了貫徹國家對于“互聯(lián)網(wǎng)+醫(yī)療健康”政策要求，應(yīng)對移動互聯(lián)網(wǎng)醫(yī)療的安全風(fēng)險，需要打造政府監(jiān)管、行業(yè)自律、機(jī)構(gòu)自治的三重安全防線，建立分級的風(fēng)險監(jiān)控管理模式，并圍繞該模式建立事前備案、事中監(jiān)測、事后追溯的閉環(huán)管理機(jī)制、風(fēng)險處置和事件通報機(jī)制，降低移動互聯(lián)網(wǎng)醫(yī)療領(lǐng)域的整體安全風(fēng)險。

移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險控制不是由單一部門來實(shí)現(xiàn)的，而是一個分級管理、多方協(xié)助的業(yè)務(wù)邏輯關(guān)系，需構(gòu)建“政府監(jiān)管、行業(yè)自律、機(jī)構(gòu)自治”的管理模式。

一是政府監(jiān)管。行業(yè)主管部門作為風(fēng)控體系管理的主導(dǎo)者，發(fā)揮規(guī)劃、指導(dǎo)、行業(yè)牽引的作用，建立健全監(jiān)管協(xié)調(diào)機(jī)制，確保各項(xiàng)監(jiān)管舉措落地實(shí)施。二是行業(yè)自律。風(fēng)控體系管理的實(shí)際操作更多地要依靠行業(yè)性聯(lián)盟，通過行業(yè)組織的自律行為實(shí)現(xiàn)。聯(lián)盟配合行業(yè)主管部門落實(shí)相應(yīng)的管理性和技術(shù)性工作，為監(jiān)管要求落地提供支撐。三是機(jī)構(gòu)自治。醫(yī)療和衛(wèi)生機(jī)構(gòu)落實(shí)風(fēng)控主體責(zé)任，加強(qiáng)安全內(nèi)控和自我約束，主動接受行業(yè)自律和社會監(jiān)督，建立健全投訴響應(yīng)、應(yīng)急處置、風(fēng)險補(bǔ)償、安全責(zé)任等機(jī)制，切實(shí)保障用戶合法權(quán)益。

構(gòu)建安全風(fēng)險監(jiān)控管理體系

行業(yè)主管部門：行業(yè)主管部門作為安全風(fēng)控管理體系的主導(dǎo)者，明確行業(yè)監(jiān)管目標(biāo)和監(jiān)管流程，協(xié)調(diào)相關(guān)資源，制定相關(guān)監(jiān)管協(xié)調(diào)機(jī)制，完成行業(yè)管理模型頂層設(shè)計。

區(qū)域監(jiān)管機(jī)構(gòu)：包含區(qū)域有移動應(yīng)用監(jiān)管需求的各類組織和機(jī)構(gòu)，通常情況下由各區(qū)域或地方衛(wèi)健委承擔(dān)該角色，對屬地內(nèi)的移動應(yīng)用進(jìn)行風(fēng)險監(jiān)測和匯總，收集的數(shù)據(jù)進(jìn)行分析統(tǒng)計后向行業(yè)管理主體平臺進(jìn)行上報，并接收行業(yè)管理主體發(fā)放的移動應(yīng)用風(fēng)險提示，根據(jù)風(fēng)險提示進(jìn)行核查。

終端監(jiān)控節(jié)點(diǎn)：風(fēng)控監(jiān)管技術(shù)落地單位，包括各類型醫(yī)院、各種醫(yī)療服務(wù)機(jī)構(gòu)，他們通過技術(shù)和管理手段對所屬移動應(yīng)用按照監(jiān)控規(guī)則進(jìn)行數(shù)據(jù)采集并向區(qū)域或地方監(jiān)管機(jī)構(gòu)上報。

標(biāo)準(zhǔn)支撐組織：本著行業(yè)自管、自控、自律原則，倡議在互聯(lián)網(wǎng)醫(yī)療領(lǐng)域成立安全風(fēng)控聯(lián)盟，依據(jù)行業(yè)頂層設(shè)計，制定行業(yè)風(fēng)控標(biāo)準(zhǔn)規(guī)范，建立風(fēng)控匯聚平臺，為技術(shù)實(shí)現(xiàn)提供依據(jù)。

技術(shù)支撐單位：依據(jù)行業(yè)標(biāo)準(zhǔn)提供多技術(shù)維度技術(shù)保障解決方案，實(shí)現(xiàn)風(fēng)險管控目標(biāo)。移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險監(jiān)控管理體系從構(gòu)建技術(shù)模型和建立管理機(jī)制兩個方面來實(shí)現(xiàn)主動、持續(xù)、動態(tài)的安全風(fēng)險管控，協(xié)助各類監(jiān)管機(jī)構(gòu)建立一個長效的評估體系，對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用進(jìn)行評估和抽查，同步執(zhí)行發(fā)布備案、運(yùn)行監(jiān)管等管理措施。通過完善的備案、審核、監(jiān)督、抽查等業(yè)務(wù)流程，保障移動應(yīng)用的安全合規(guī)運(yùn)行。

移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險監(jiān)控技術(shù)模型

為保證接入移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用在公眾使用時的安全性和合規(guī)性，對其應(yīng)用安全風(fēng)險進(jìn)行控制，應(yīng)構(gòu)建應(yīng)用安全風(fēng)險監(jiān)控技術(shù)模型?；诨ヂ?lián)網(wǎng)移動應(yīng)用標(biāo)識認(rèn)證技術(shù)實(shí)現(xiàn)對互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的行為監(jiān)測、行為追溯、移動互聯(lián)網(wǎng)渠道監(jiān)測、安全風(fēng)險監(jiān)測以及黑白名單管理，監(jiān)管業(yè)務(wù)狀況和系統(tǒng)風(fēng)險情況，為管理模型提供技術(shù)支撐數(shù)據(jù)。基于該模型構(gòu)建的平臺應(yīng)支持與互聯(lián)網(wǎng)平臺業(yè)務(wù)系統(tǒng)的對接，進(jìn)而更全面地獲取互聯(lián)網(wǎng)業(yè)務(wù)平臺各運(yùn)營節(jié)點(diǎn)的實(shí)時運(yùn)行數(shù)據(jù)，通過數(shù)據(jù)歸類和分析，呈現(xiàn)集中監(jiān)管展示。還可以根據(jù)當(dāng)?shù)刂鞴懿块T的要求提供相應(yīng)的數(shù)據(jù)接口，為互聯(lián)網(wǎng)政策出臺提供決策支撐。

移動互聯(lián)網(wǎng)應(yīng)用安全

風(fēng)控平臺技術(shù)框架

構(gòu)建主動、持續(xù)的安全風(fēng)控平臺，實(shí)現(xiàn)在行業(yè)互聯(lián)網(wǎng)業(yè)務(wù)場景下，各類移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用接入的安全風(fēng)險發(fā)現(xiàn)、預(yù)警和分析。技術(shù)要點(diǎn)主要包含以下幾方面：

一是建立數(shù)字化監(jiān)測規(guī)則庫。監(jiān)測規(guī)則庫主要由監(jiān)測指標(biāo)和監(jiān)測規(guī)則構(gòu)成。監(jiān)測指標(biāo)來自兩方面：一是監(jiān)管要求，根據(jù)國家、行業(yè)和主管部門對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用相關(guān)安全風(fēng)險監(jiān)管要求;二是應(yīng)用本身的安全性數(shù)據(jù)。監(jiān)控規(guī)則是規(guī)定了監(jiān)控指標(biāo)經(jīng)過規(guī)則表達(dá)式處理后所要求取值范圍。

二是建立安全風(fēng)險管理模型。該模型主要是在所建設(shè)的監(jiān)測規(guī)則庫基礎(chǔ)上，研究在安全風(fēng)險中風(fēng)險所對應(yīng)的監(jiān)測規(guī)則及其規(guī)則直接所存在的相互關(guān)系，進(jìn)而構(gòu)建移動應(yīng)用安全風(fēng)險管理模型，通過所采集的移動應(yīng)用的監(jiān)測數(shù)據(jù)，進(jìn)行分析計算得到移動應(yīng)用的安全風(fēng)險等級;根據(jù)安全風(fēng)險等級，采取相關(guān)風(fēng)險處置措施。

三是建立業(yè)務(wù)監(jiān)測指標(biāo)體系。主要針對互聯(lián)網(wǎng)醫(yī)療移動應(yīng)用建立業(yè)務(wù)監(jiān)測指標(biāo)體系，為核心業(yè)務(wù)建立全周期行為留痕監(jiān)控。對互聯(lián)網(wǎng)醫(yī)療應(yīng)用的處方、處方的審方行為、整個處方開立流程和執(zhí)行人情況、醫(yī)囑、病歷書寫、藥品配送等關(guān)鍵節(jié)點(diǎn)數(shù)據(jù)的留痕情況進(jìn)行全周期監(jiān)控。監(jiān)測指標(biāo)涵蓋醫(yī)療服務(wù)、公共衛(wèi)生服務(wù)、家庭醫(yī)生簽約服務(wù)、醫(yī)學(xué)教育和科普服務(wù)、醫(yī)療信息互通共享、三醫(yī)聯(lián)動等方面。

四是基于國密算法的授權(quán)管理。采用國密算法的數(shù)據(jù)安全加密組件，為無證書密鑰及認(rèn)證管理、身份認(rèn)證服務(wù)、監(jiān)測報告防篡改和審核結(jié)果簽名等基礎(chǔ)數(shù)據(jù)安全加密服務(wù)。

移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用

風(fēng)控平臺監(jiān)測內(nèi)容

監(jiān)測的內(nèi)容可包括以下三類：

一是資產(chǎn)清查：管理移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用清單，包括App及Web應(yīng)用數(shù)據(jù)、渠道數(shù)據(jù)、SDK數(shù)據(jù)和企業(yè)數(shù)據(jù)等，做到對風(fēng)險對象了然于心。

二是應(yīng)用合法性監(jiān)測：實(shí)現(xiàn)對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用本身在各種流通渠道有無被篡改、仿冒應(yīng)用等風(fēng)險監(jiān)測;展示發(fā)布來源、發(fā)布時間、發(fā)布版本、下載量、活躍度等統(tǒng)計特征;進(jìn)行移動應(yīng)用關(guān)聯(lián)的開發(fā)公司或個人信息、運(yùn)營公司等的分析。

三是安全風(fēng)險監(jiān)測：實(shí)現(xiàn)對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用在線自動化的常規(guī)漏洞掃描、靜態(tài)安全檢測、動態(tài)安全檢測及惡意行為安全檢測等，通過風(fēng)控平臺從安全防護(hù)漏洞和惡意行為安全檢測的角度對移動應(yīng)用進(jìn)行監(jiān)測，確保正在使用的移動應(yīng)用能夠持續(xù)符合安全要求。