醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)研究與思考

——張 蕾 韓作為 舒 婷*

醫(yī)療行業(yè)利用信息化技術(shù)為患者提供便捷醫(yī)療服務(wù)的同時(shí)，也伴隨產(chǎn)生了大量的醫(yī)療數(shù)據(jù)，這些數(shù)據(jù)與患者隱私、醫(yī)療行為、醫(yī)學(xué)研究緊密相關(guān)[1]。對于醫(yī)療事業(yè)單位而言，提高應(yīng)對網(wǎng)絡(luò)安全事件的能力和建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制十分必要。分析《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》等法律法規(guī)可以發(fā)現(xiàn)，國家對醫(yī)療行業(yè)的網(wǎng)絡(luò)安全工作高度重視。但在信息化蓬勃發(fā)展之際，醫(yī)療事業(yè)單位所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來越多，無論是管理還是人才培養(yǎng)等方面都相對滯后，網(wǎng)絡(luò)安全整體狀況不理想。因此，制定健全的網(wǎng)絡(luò)安全管理制度，建立高效可行的技術(shù)架構(gòu)體系，才能保障醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全[2]。

1 網(wǎng)絡(luò)安全管理存在的問題

隨著社會(huì)的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)的應(yīng)用范圍不斷擴(kuò)大，與此同時(shí)，黑客入侵、惡意軟件、病毒泛濫、數(shù)據(jù)信息泄露等網(wǎng)絡(luò)安全攻擊事件也越來越多[3]。作為國家醫(yī)療行業(yè)行政管理和科學(xué)研究以及為政府機(jī)關(guān)提供決策支持的醫(yī)療事業(yè)單位，其網(wǎng)絡(luò)安全建設(shè)和管理尤為重要。分析醫(yī)療行業(yè)網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢，目前醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全管理工作主要存在以下幾方面的問題。

1.1 制度不健全

2018年，國務(wù)院辦公廳印發(fā)了《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，提出了促進(jìn)互聯(lián)網(wǎng)與醫(yī)療健康深入融合發(fā)展的一系列政策措施，其中加強(qiáng)行業(yè)監(jiān)管和安全保障，對強(qiáng)化醫(yī)療質(zhì)量監(jiān)管，保障數(shù)據(jù)安全等方面提出了具體要求。由國務(wù)院直屬多部門共同負(fù)責(zé)，要求各地區(qū)、各有關(guān)部門及時(shí)出臺(tái)配套政策措施，明確責(zé)任，嚴(yán)格執(zhí)行信息安全和健康醫(yī)療數(shù)據(jù)保密規(guī)定，完善各項(xiàng)信息保護(hù)制度，定期開展信息安全隱患排查以及監(jiān)測預(yù)警等工作[4]。2019年，國家衛(wèi)生健康委員會(huì)和國家中醫(yī)藥管理局聯(lián)合印發(fā)了《關(guān)于落實(shí)衛(wèi)生健康行業(yè)網(wǎng)絡(luò)信息與數(shù)據(jù)安全責(zé)任的通知》，要求行業(yè)內(nèi)各部門要制定相關(guān)規(guī)章制度和標(biāo)準(zhǔn)規(guī)范，建立行業(yè)監(jiān)測預(yù)警、巡查抽查制度和網(wǎng)絡(luò)安全事件處置機(jī)制等[5]。

從中國信息安全測評(píng)中心對我國醫(yī)療行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全測評(píng)結(jié)果來看，絕大多數(shù)醫(yī)療信息系統(tǒng)都存在監(jiān)管不力、制度不完善、安全管理機(jī)構(gòu)職責(zé)不明、人員安全意識(shí)淡薄等問題[6]。這些都表明了醫(yī)療行業(yè)事業(yè)單位在網(wǎng)絡(luò)安全管理制度方面存在漏洞，嚴(yán)重影響了網(wǎng)絡(luò)安全工作的有效實(shí)施，同時(shí)在應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件時(shí)，缺乏有效的應(yīng)急處理機(jī)制，甚至?xí)斐蓢?yán)重的網(wǎng)絡(luò)安全事件[7]。

1.2 技術(shù)及管理人才短缺

在網(wǎng)絡(luò)安全管理工作中，人員的儲(chǔ)備和管理十分重要。近年來，國家對網(wǎng)絡(luò)安全高度重視，醫(yī)療行業(yè)的網(wǎng)絡(luò)安全是我國網(wǎng)絡(luò)安全的重要組成部分。例如，某醫(yī)療行業(yè)事業(yè)單位因自身人才短缺等原因，在信息系統(tǒng)日常維護(hù)中，不能做到全面排查，及時(shí)發(fā)現(xiàn)并改正問題，導(dǎo)致未能及時(shí)發(fā)現(xiàn)信息系統(tǒng)的漏洞，未進(jìn)行及時(shí)修復(fù)，被惡意利用，引發(fā)安全事件[8]。

醫(yī)療事業(yè)單位大多缺乏專職的網(wǎng)絡(luò)安全管理人員和技術(shù)人員，工作人員一般不具備專業(yè)知識(shí)，在日常工作中無法對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期檢查和維護(hù)，面對突發(fā)網(wǎng)絡(luò)安全事件時(shí)，無法進(jìn)行有效處理，而且在業(yè)務(wù)系統(tǒng)的建立及管理工作中參與度有限，影響了醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全管理的規(guī)劃和日常技術(shù)管理工作[9-10]。

1.3 培訓(xùn)教育不及時(shí)

網(wǎng)絡(luò)安全意識(shí)以及安全技能等方面的培訓(xùn)可以提高網(wǎng)絡(luò)安全管理人員的能力，有些單位卻忽略了對職工網(wǎng)絡(luò)安全意識(shí)的培養(yǎng)，職工能夠參與并接觸到的網(wǎng)絡(luò)安全培訓(xùn)機(jī)會(huì)非常少，從而導(dǎo)致許多職工的網(wǎng)絡(luò)安全知識(shí)匱乏或網(wǎng)絡(luò)安全意識(shí)淡薄。因此，在完善網(wǎng)絡(luò)安全制度建設(shè)的同時(shí)，也應(yīng)通過培訓(xùn)，不斷提高工作人員安全意識(shí)，降低因人員誤操作或無意識(shí)中泄露隱私數(shù)據(jù)而帶來的安全風(fēng)險(xiǎn)。

1.4 管理及應(yīng)對措施不到位

騰訊智慧安全發(fā)布的《醫(yī)療行業(yè)勒索病毒專題報(bào)告》顯示，2018年全國有247家三甲醫(yī)院檢測出了勒索病毒。2019年初，某省幾十家互聯(lián)互通醫(yī)院同時(shí)感染GlobeImposter 3.0變種勒索病毒而被加密，在眾多感染該病毒的機(jī)構(gòu)中，醫(yī)療事業(yè)單位占一半，這使之遭遇了巨大的經(jīng)濟(jì)損失[6]?？梢姡t(yī)療行業(yè)的網(wǎng)絡(luò)安全管理缺乏經(jīng)驗(yàn)和整體思路，在職人員的網(wǎng)絡(luò)安全維護(hù)技術(shù)水平也相對薄弱。監(jiān)測預(yù)警和應(yīng)急處置是加強(qiáng)網(wǎng)絡(luò)安全工作的重要內(nèi)容，尤其是當(dāng)涉及到關(guān)鍵信息、基礎(chǔ)設(shè)施、重要系統(tǒng)時(shí)，必須進(jìn)行專業(yè)的實(shí)時(shí)監(jiān)測，建立立體化的監(jiān)測預(yù)警體系，并能第一時(shí)間發(fā)現(xiàn)并處置問題。而在實(shí)際工作中，會(huì)因從業(yè)人員網(wǎng)絡(luò)安全管理知識(shí)和經(jīng)驗(yàn)不足、防護(hù)措施不到位、缺乏必要的網(wǎng)絡(luò)安全防御設(shè)備等問題導(dǎo)致被動(dòng)應(yīng)對，未能提前做好動(dòng)態(tài)管理及相應(yīng)的主動(dòng)防御。

2 網(wǎng)絡(luò)安全管理建議

2.1 完善組織管理，建立健全管理制度

于2020年6月1日起實(shí)施的《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》提出，因醫(yī)療衛(wèi)生機(jī)構(gòu)的醫(yī)療信息安全制度、保障措施不健全，導(dǎo)致醫(yī)療信息泄露，或者醫(yī)療質(zhì)量管理和醫(yī)療技術(shù)管理制度、安全措施不健全的，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人依法追究法律責(zé)任[11]。2016年印發(fā)的《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》強(qiáng)調(diào)，強(qiáng)化安全管理責(zé)任，有效保護(hù)個(gè)人隱私和信息安全、建立安全防護(hù)、系統(tǒng)互聯(lián)共享、公民隱私保護(hù)等軟件的評(píng)價(jià)和安全審查制度[12]。2018年印發(fā)的《關(guān)于印發(fā)國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》中也提到，責(zé)任單位應(yīng)當(dāng)建立健全相關(guān)安全管理制度、操作規(guī)程和技術(shù)規(guī)范，落實(shí)“一把手”責(zé)任制，加強(qiáng)安全保障體系建設(shè)，強(qiáng)化統(tǒng)籌管理和協(xié)調(diào)監(jiān)督，保障健康醫(yī)療大數(shù)據(jù)安全[13]。以上法律文件均從不同角度強(qiáng)調(diào)了醫(yī)療行業(yè)網(wǎng)絡(luò)安全的重要性，因此任何醫(yī)療事業(yè)單位都應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全規(guī)章制度，通過制度的約束和嚴(yán)格的管理輔助日常工作。(1)組織制定信息安全管理制度和規(guī)范；(2)成立信息化和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，組建專門的信息化和網(wǎng)絡(luò)安全隊(duì)伍，研究網(wǎng)絡(luò)安全管理及發(fā)展機(jī)制；(3)對網(wǎng)站、信息系統(tǒng)的開發(fā)、運(yùn)維、升級(jí)改造等進(jìn)行安全把控，保障本單位的信息化工作安全有序開展。

2.2 加強(qiáng)人員儲(chǔ)備及管理

保障網(wǎng)絡(luò)安全的所有環(huán)節(jié)都需要人來參與，從管理到實(shí)操，人是最關(guān)鍵的因素之一。人員儲(chǔ)備應(yīng)該包括負(fù)責(zé)頂層設(shè)計(jì)的管理人員、實(shí)際操作的技術(shù)人員以及維護(hù)人員等。

醫(yī)療事業(yè)單位大多沒有足夠的專業(yè)人員來建立自己的網(wǎng)絡(luò)安全管理團(tuán)隊(duì)，這種情況必須考慮擴(kuò)充人才隊(duì)伍，主要由兩部分人員組成：(1)內(nèi)部人員。為本單位長期聘用人員，服從單位的各項(xiàng)制度管理；(2)外部人員。為向本單位提供服務(wù)的外單位人員，如軟硬件維護(hù)和技術(shù)支持人員、網(wǎng)絡(luò)安全顧問等。

2.3 提高思想認(rèn)識(shí)

對于醫(yī)療事業(yè)單位尤其是網(wǎng)絡(luò)專業(yè)技術(shù)人員數(shù)量有限的科研機(jī)構(gòu)來說，加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)、知識(shí)普及和業(yè)務(wù)交流是提升工作人員思想認(rèn)識(shí)和基礎(chǔ)知識(shí)水平的有效途徑，可以通過以下幾種方式進(jìn)行：(1)加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的政策宣貫；(2)強(qiáng)化培訓(xùn)教育、業(yè)務(wù)交流等方式，推動(dòng)網(wǎng)絡(luò)安全人才教育培訓(xùn)體系建設(shè)，達(dá)到強(qiáng)化全體職工網(wǎng)絡(luò)安全理念、提高網(wǎng)絡(luò)安全意識(shí)等目的；(3)通過組織網(wǎng)絡(luò)安全應(yīng)急演練，開展網(wǎng)絡(luò)攻防演習(xí)等活動(dòng)，提高技術(shù)工作人員的實(shí)戰(zhàn)能力。

3 構(gòu)建監(jiān)測預(yù)警與應(yīng)急處置體系

2005年頒布的《國家突發(fā)公共事件總體應(yīng)急預(yù)案》提出，應(yīng)建立我國應(yīng)急預(yù)案體系的基本框架。并明確指出，各單位要做好網(wǎng)絡(luò)安全事件的日常預(yù)防工作，制定完善應(yīng)急預(yù)案，做好網(wǎng)絡(luò)安全檢查、隱患排查、風(fēng)險(xiǎn)評(píng)估和容災(zāi)備份，健全網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，及時(shí)采取有效措施，提高網(wǎng)絡(luò)安全事件的應(yīng)對能力[14]。

3.1 監(jiān)測預(yù)警

《中華人民共和國網(wǎng)絡(luò)安全法》要求，國家層面建立統(tǒng)一的監(jiān)測預(yù)警、信息通報(bào)和應(yīng)急處置機(jī)制，各單位也應(yīng)當(dāng)建立自己的網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，以便盡早發(fā)現(xiàn)事件的隱患，及時(shí)上報(bào)并采取有效措施，避免信息數(shù)據(jù)泄露等事件發(fā)生[15]。

建立監(jiān)測預(yù)警體系一般分為預(yù)警分級(jí)、預(yù)警監(jiān)測、預(yù)警研判和發(fā)布、預(yù)警響應(yīng)、預(yù)警解除5個(gè)部分。(1)預(yù)警分級(jí)可由高到低用不同顏色表示事件的級(jí)別和嚴(yán)重程度。(2)預(yù)警監(jiān)測主要是對遠(yuǎn)期預(yù)警信息的監(jiān)測，建立相關(guān)網(wǎng)絡(luò)信息與數(shù)據(jù)安全事件預(yù)警和監(jiān)控系統(tǒng)，并結(jié)合第三方監(jiān)測信息，及時(shí)發(fā)現(xiàn)并上報(bào)網(wǎng)絡(luò)安全威脅或事件發(fā)生的跡象和趨勢。(3)建立預(yù)警信息專家研判隊(duì)伍，完善預(yù)警上報(bào)及發(fā)布的流程和規(guī)范。由專家對監(jiān)測信息進(jìn)行研判，如需要立即采取防范措施的，應(yīng)及時(shí)向有關(guān)部門和單位發(fā)布預(yù)警信息；如涉及重大網(wǎng)絡(luò)安全事件的，應(yīng)立即向上級(jí)主管單位報(bào)告。發(fā)布預(yù)警信息應(yīng)當(dāng)包含類別、級(jí)別、起始時(shí)間、影響范圍、警示事項(xiàng)、應(yīng)采取的措施和時(shí)限等要求。(4)在收到預(yù)警信息后，應(yīng)立即進(jìn)入預(yù)警狀態(tài)，并按照相關(guān)應(yīng)急預(yù)案開展相關(guān)工作。(5)當(dāng)獲得上級(jí)部門或者本單位相關(guān)管理部門授權(quán)后，發(fā)布預(yù)警解除信息。

3.2 應(yīng)急處置

應(yīng)急處置要求在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過程中建立跨部門聯(lián)動(dòng)的應(yīng)急處置體系，需要行政管理部門、業(yè)務(wù)管理部門以及技術(shù)支持部門的通力配合。應(yīng)急處置體系一般分為發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、先期處置、基本響應(yīng)、分級(jí)響應(yīng)、擴(kuò)大應(yīng)急、應(yīng)急結(jié)束等環(huán)節(jié)。(1)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，應(yīng)第一時(shí)間上報(bào)至本單位的信息安全領(lǐng)導(dǎo)小組辦公室，信息安全領(lǐng)導(dǎo)小組辦公室統(tǒng)籌協(xié)調(diào)，組織技術(shù)團(tuán)隊(duì)核實(shí)事件的真實(shí)性，并做好相關(guān)信息的保密工作。(2)當(dāng)核實(shí)為真實(shí)事件后，上報(bào)至上級(jí)行政主管部門，同時(shí)組織相關(guān)專家和技術(shù)團(tuán)隊(duì)對事件進(jìn)行研判并確定事件等級(jí)，做好信息通報(bào)工作。(3)根據(jù)專家研判結(jié)果，啟動(dòng)相應(yīng)級(jí)別的應(yīng)急方案。一般可將事件基本分成高級(jí)、中級(jí)、低級(jí)等級(jí)別，可結(jié)合本單位實(shí)際情況增加分級(jí)級(jí)別。級(jí)別不同，應(yīng)急響應(yīng)的時(shí)間也有所區(qū)別。同時(shí)成立現(xiàn)場應(yīng)急指揮部，相關(guān)部門進(jìn)入應(yīng)急狀態(tài)，并及時(shí)將有關(guān)信息上報(bào)至上級(jí)行政主管單位。(4)根據(jù)事件級(jí)別，應(yīng)急響應(yīng)也可分級(jí)別響應(yīng)，通常跟事件分級(jí)相對應(yīng)。應(yīng)急響應(yīng)過程和具體執(zhí)行步驟需要根據(jù)級(jí)別的不同分別設(shè)定。(5)擴(kuò)大應(yīng)急狀態(tài)通常指在應(yīng)急處置過程中，如果事態(tài)有所發(fā)展，事件級(jí)別應(yīng)由原先專家研判的級(jí)別提升至更高級(jí)，并及時(shí)啟動(dòng)高級(jí)響應(yīng)的相關(guān)預(yù)案。(6)當(dāng)網(wǎng)絡(luò)安全事件應(yīng)急處置完成，次生、衍生危害基本消除，風(fēng)險(xiǎn)得到控制，即宣告應(yīng)急處置工作結(jié)束。如為高級(jí)別事件，應(yīng)由領(lǐng)導(dǎo)小組辦公室向上級(jí)行政主管部門提出申請，經(jīng)批準(zhǔn)后通報(bào)應(yīng)急結(jié)束。

4 小結(jié)

醫(yī)療事業(yè)單位在日常網(wǎng)絡(luò)安全管理中存在不足，應(yīng)根據(jù)國家出臺(tái)的相關(guān)政策及法律法規(guī)，建立檢測預(yù)警與應(yīng)急處置體系。當(dāng)前，我國醫(yī)療行業(yè)信息化非常快速，傳統(tǒng)醫(yī)療與新興技術(shù)的深度融合促進(jìn)了醫(yī)療衛(wèi)生行業(yè)的服務(wù)水平，但所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也逐漸加大。醫(yī)療行業(yè)掌握了大量的、可利用的信息，但整體應(yīng)對網(wǎng)絡(luò)安全的防護(hù)水平不高以及應(yīng)對網(wǎng)絡(luò)安全防護(hù)的能力較弱。因此，醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全工作需要管理部門的組織協(xié)調(diào)、溝通，并以強(qiáng)大的技術(shù)團(tuán)隊(duì)作為支撐，不斷加強(qiáng)頂層設(shè)計(jì)，提升管理和技術(shù)能力，以有效推進(jìn)網(wǎng)絡(luò)安全管理工作的持續(xù)發(fā)展。