新業(yè)態(tài)下互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險分析與防控建議研究

孟玉顏， 袁得崳,2， 楊 明， 丁 錳

(1.中國人民公安大學(xué)信息網(wǎng)絡(luò)安全學(xué)院， 北京 100038； 2.安全防范與風(fēng)險評估公安部重點(diǎn)實驗室， 北京 102623； 3.中國人民公安大學(xué)公共安全行為科學(xué)實驗室， 北京 100038)

0 引言

近年來，以網(wǎng)絡(luò)信息技術(shù)為載體的醫(yī)療健康業(yè)務(wù)模式正在從單純的簡單信息展示向更為復(fù)雜成熟的多樣化業(yè)務(wù)模式轉(zhuǎn)變[1]?！渡罨t(yī)藥衛(wèi)生體制改革2019年重點(diǎn)工作任務(wù)》中明確，要把有序發(fā)展醫(yī)聯(lián)體推進(jìn)分級診療功能作為下步管理工作的重心，統(tǒng)籌共同推動“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展[2]。2020年7月，《關(guān)于支持新業(yè)態(tài)新模式健康發(fā)展 激發(fā)消費(fèi)市場帶動擴(kuò)大就業(yè)的意見》提出要鼓勵互聯(lián)網(wǎng)醫(yī)療，同時促進(jìn)平臺就醫(yī)、養(yǎng)老健康等多領(lǐng)域協(xié)聯(lián)合蓬勃發(fā)展。

互聯(lián)網(wǎng)醫(yī)療是指以網(wǎng)絡(luò)信息技術(shù)為基礎(chǔ)，充分使用云計算技術(shù)、大數(shù)據(jù)分析、物聯(lián)網(wǎng)等新興信息技術(shù)，與傳統(tǒng)醫(yī)療進(jìn)行交叉滲透、融合創(chuàng)新后所形成的一個開放式、互動和跨界的全新醫(yī)療模式。以網(wǎng)絡(luò)信息技術(shù)發(fā)展為助力，積極推動醫(yī)療服務(wù)供給側(cè)改革，使醫(yī)療業(yè)務(wù)從醫(yī)院向病人端的拓展，向新技術(shù)架構(gòu)與醫(yī)院數(shù)據(jù)開放逐步轉(zhuǎn)變。但隨之而來，也伴隨著新的網(wǎng)絡(luò)安全風(fēng)險與挑戰(zhàn)，由于黑客入侵、木馬病毒等嚴(yán)重違法行為導(dǎo)致的醫(yī)療數(shù)據(jù)泄露事故時有發(fā)生。據(jù)《2020年上半年網(wǎng)絡(luò)安全態(tài)勢情況綜述》表明：在2020上半年所出現(xiàn)的網(wǎng)絡(luò)安全事件中，醫(yī)療行業(yè)所出現(xiàn)的高危漏洞數(shù)量與嚴(yán)重攻擊事件位居榜首，多個醫(yī)療機(jī)構(gòu)的官方網(wǎng)站都遭遇到了不同類別攻擊，僅暴力破解竟達(dá)到單日80萬次高峰，攻擊者輕而易舉地搜集到醫(yī)護(hù)人員與病患的敏感個人信息。故針對新業(yè)態(tài)下互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險進(jìn)行分析，同時提出行之有效的防控建議，值得進(jìn)一步探索研究。

1 互聯(lián)網(wǎng)醫(yī)療的新業(yè)態(tài)特征

新業(yè)態(tài)是指傳統(tǒng)行業(yè)在5G、區(qū)塊鏈等互聯(lián)網(wǎng)新興技術(shù)的加持下，催生出來的復(fù)雜成熟多樣化業(yè)務(wù)模式的新型產(chǎn)業(yè)模式[3]。

當(dāng)下，我國醫(yī)療機(jī)構(gòu)正在逐步推進(jìn)互聯(lián)網(wǎng)醫(yī)療的發(fā)展，互聯(lián)網(wǎng)醫(yī)療主要有3個模式：借助現(xiàn)有的醫(yī)療資源進(jìn)行互聯(lián)網(wǎng)醫(yī)療業(yè)務(wù)(如北京協(xié)和醫(yī)院APP等)、醫(yī)療機(jī)構(gòu)與互聯(lián)網(wǎng)公司合作提供互聯(lián)網(wǎng)醫(yī)療服務(wù)(如丁香醫(yī)生等)、由衛(wèi)生行政部門單獨(dú)設(shè)立的醫(yī)療機(jī)構(gòu)提供互聯(lián)網(wǎng)醫(yī)療服務(wù)[4]。新技術(shù)與新服務(wù)模式相融合形成的新型醫(yī)療模式，在實踐生活中突顯出了極具優(yōu)勢的新業(yè)態(tài)特征。

1.1 在線咨詢優(yōu)化醫(yī)療資源配置

在線咨詢與遠(yuǎn)程診療的合理搭配，對有限的醫(yī)療資源重新開展跨時空配置，使只提供現(xiàn)場服務(wù)的單一傳統(tǒng)模式發(fā)生巨變，并有效解決醫(yī)療資源分布不均的問題[5]。在線咨詢給患者看病無序問題帶來一種新的處理思路，通過利用建立的疾病庫，再根據(jù)具體的醫(yī)生資源加以整合，使得病人能夠被快速導(dǎo)診至相應(yīng)的科室，這一做法極大減少了就診排隊用時。同時，遠(yuǎn)程醫(yī)療還可以對醫(yī)院內(nèi)部、醫(yī)院之間的聯(lián)網(wǎng)信息開展即時數(shù)據(jù)共享業(yè)務(wù)，這也突破了傳統(tǒng)醫(yī)院資源分配不合理的困局，使稀缺醫(yī)療資源得到了更加合理的充分利用[6]。

1.2 線上操作重塑醫(yī)院服務(wù)流程

普通患者利用移動應(yīng)用，即可與醫(yī)生開展實時互動，使得醫(yī)療服務(wù)效率大大提升，整個醫(yī)療服務(wù)環(huán)節(jié)也得以完善[7]。預(yù)約就診、排隊候診、線上繳費(fèi)以及自助報告查詢等一系列傳統(tǒng)服務(wù)在無線終端即可快速完成；此外，醫(yī)療公眾號、醫(yī)療小程序等也成為患者開展自助掛號、在線繳費(fèi)、化驗報告查詢及滿意度評價等操作的新陣地?；ヂ?lián)網(wǎng)醫(yī)療，不但解決了傳統(tǒng)醫(yī)療服務(wù)流程中掛號難、排隊耗時長、就醫(yī)時間短等問題，而且極大增強(qiáng)了病患獲取服務(wù)的滿意度。

1.3 大數(shù)據(jù)設(shè)備強(qiáng)化自我健康管理

近年來，可穿戴設(shè)備作為互聯(lián)網(wǎng)醫(yī)療的一個分支發(fā)展迅猛[8]，它為用戶提供了一種自我健康監(jiān)測的新途徑。對于在傳統(tǒng)醫(yī)療流程中難以直接獲取的數(shù)據(jù)信息，借助可穿戴設(shè)備即可實現(xiàn)實時數(shù)據(jù)檢測與采集，從而為分析數(shù)據(jù)進(jìn)行篩選、防治疾病提供了鋪墊[9]。另外，利用可穿戴設(shè)備還能夠?qū)崿F(xiàn)在線專業(yè)健康咨詢、疾病篩查等活動，將推動人們的保健需求向慢性病預(yù)防型、保健型健康過渡[10]。

2 互聯(lián)網(wǎng)醫(yī)療存在網(wǎng)絡(luò)安全問題

然而科技從來都是一把雙刃劍，互聯(lián)網(wǎng)醫(yī)療因其新業(yè)態(tài)特征帶來諸多便利的同時，也產(chǎn)生了不容小覷的網(wǎng)絡(luò)安全風(fēng)險問題。

2.1 數(shù)據(jù)安全不容小覷

健康醫(yī)療數(shù)據(jù)具備了私密性較強(qiáng)、與個人聯(lián)系密切等特征[11]，且屬于個人的敏感信息安全領(lǐng)域，醫(yī)療數(shù)據(jù)安全保護(hù)成為醫(yī)院網(wǎng)絡(luò)安全管控的重中之重。在大數(shù)據(jù)時代，患者醫(yī)療數(shù)據(jù)已涵蓋了門診、住院、檢驗、檢查等各個環(huán)節(jié)，內(nèi)容更加立體化，尤其是隨著網(wǎng)絡(luò)信息技術(shù)在醫(yī)院業(yè)務(wù)的逐漸滲透，以及移動醫(yī)療、可穿戴設(shè)備等在醫(yī)院的大規(guī)模使用，醫(yī)院的醫(yī)療數(shù)據(jù)傳輸已經(jīng)遠(yuǎn)遠(yuǎn)地超越了醫(yī)院內(nèi)部范圍，傳輸方式、途徑也更為多樣化，這無疑對醫(yī)院患者醫(yī)療數(shù)據(jù)的保護(hù)產(chǎn)生了全新的挑戰(zhàn)，也加大了保障的難度[12]。但由于患者醫(yī)療數(shù)據(jù)的私密性，如果出現(xiàn)了數(shù)據(jù)泄露，往往會對醫(yī)院和病患自身都產(chǎn)生難以預(yù)料的結(jié)果，其嚴(yán)重性也無法忽略。

2.2 云環(huán)境安全問題凸顯

從建立隔離醫(yī)療機(jī)構(gòu)到各地疫情防控平臺建設(shè)，在抗擊新冠疫情中，無處沒有IT技術(shù)的身影。在云環(huán)境中，利用虛擬化技術(shù)，對現(xiàn)有資源進(jìn)行整合與再利用，使其更好地服務(wù)于各種醫(yī)療業(yè)務(wù)系統(tǒng)[13]。然而在提供便利的同時，虛擬環(huán)境也暴露出了新問題。基于虛擬機(jī)間攻擊流量的特殊性，傳統(tǒng)的安全防火墻無法有效監(jiān)控虛擬機(jī)流量。虛擬化的網(wǎng)絡(luò)流量分析無法實現(xiàn)對所有通過虛擬機(jī)的數(shù)據(jù)分組進(jìn)行更深層次的檢查，即無法組織所有未經(jīng)批準(zhǔn)的連接與允許進(jìn)行檢測確保虛擬機(jī)之間通信安全的目的。

2.3 邊界安全存在風(fēng)險

互聯(lián)網(wǎng)技術(shù)為醫(yī)療行業(yè)提供便利，利用移動應(yīng)用程序、門戶網(wǎng)站等多種方式為患者提供服務(wù)，將醫(yī)院原有的獨(dú)立網(wǎng)絡(luò)環(huán)境打開，自此，醫(yī)院信息安全問題由傳統(tǒng)的單一局域網(wǎng)安全轉(zhuǎn)為多網(wǎng)接入安全[14]。特別是網(wǎng)上結(jié)算功能，使得醫(yī)院的信息系統(tǒng)與銀行專網(wǎng)、遠(yuǎn)程會診專網(wǎng)、醫(yī)保網(wǎng)站以及政務(wù)網(wǎng)等出現(xiàn)大量關(guān)聯(lián)，這也使得醫(yī)療互聯(lián)網(wǎng)遭受網(wǎng)絡(luò)攻擊或者被黑客入侵的風(fēng)險大大提升[15]。此外，醫(yī)院為了提高效率，引入眾多的智能醫(yī)療終端，如自助繳費(fèi)機(jī)、自助報告打印機(jī)，在我國，醫(yī)療終端的發(fā)展仍處于起步階段，終端安全難以保障，不法分子以終端上的漏洞為跳板，接入醫(yī)療系統(tǒng)內(nèi)部，以到達(dá)攻擊的目的。醫(yī)院因其自身的特殊性，要求內(nèi)部電子系統(tǒng)全天候待機(jī)，一旦某一環(huán)節(jié)出現(xiàn)故障，整個醫(yī)療系統(tǒng)都會受到影響，出現(xiàn)網(wǎng)絡(luò)癱瘓甚至數(shù)據(jù)丟失現(xiàn)象，醫(yī)院業(yè)務(wù)都將受到極大的影響，醫(yī)院的服務(wù)質(zhì)量與效率也會大大打折扣，同時會給醫(yī)院帶來極大損失。

3 新業(yè)態(tài)下互聯(lián)網(wǎng)醫(yī)療風(fēng)險防控建議

3.1 增強(qiáng)系統(tǒng)防御，強(qiáng)化數(shù)據(jù)分類管理

醫(yī)院應(yīng)該嚴(yán)格遵守內(nèi)外網(wǎng)一體化防護(hù)原則，從雙重保護(hù)信息的角度出發(fā)，盡可能降低信息出現(xiàn)故障的風(fēng)險。通過嚴(yán)格劃分區(qū)域、全面檢測信息管理以及整體審計監(jiān)控系統(tǒng)，以確保整個系統(tǒng)信息的完整性與私密性[16]。

《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》(國辦發(fā)[2016]47號)指出：“強(qiáng)化標(biāo)準(zhǔn)和安全體系建設(shè)，強(qiáng)化安全管理責(zé)任，妥善處理應(yīng)用發(fā)展與保障安全的關(guān)系，增強(qiáng)安全技術(shù)支撐能力，有效保護(hù)個人隱私和信息安全?！盵17]根據(jù)在病人就醫(yī)流程中形成的各種數(shù)據(jù)開展了分級分類管理工作,從高至低分別將安全性信息管理級別分類為3級、2級、1級,將數(shù)據(jù)安全根據(jù)受到損害后的危害對象及其受到危害的嚴(yán)重程度,對其所包含的各種數(shù)據(jù)進(jìn)行了定級工作,即將醫(yī)患信息、與病人就醫(yī)過程相關(guān)記錄、平臺等整合的醫(yī)療數(shù)據(jù)分析定為3級，將醫(yī)療機(jī)構(gòu)的安全管理級數(shù)據(jù)(安全性審計日記以及相應(yīng)系統(tǒng)配置信息等)定為2級，將公開數(shù)據(jù)分析定為1級。針對不同級別的數(shù)據(jù)采取不同強(qiáng)度的防護(hù)策略。針對2級數(shù)據(jù)，通過人工加固，將操作系統(tǒng)與數(shù)據(jù)庫賬號開展分開管理，根據(jù)最小授權(quán)原則，對口令策略加以限定，并不定期開展數(shù)據(jù)庫審計工作，針對遠(yuǎn)程數(shù)據(jù)庫訪問進(jìn)行地址限制與備份，同時定期開展數(shù)據(jù)備份工作，編制災(zāi)難恢復(fù)計劃，不定期開展災(zāi)難演練。針對3級數(shù)據(jù)，在2級數(shù)據(jù)保護(hù)的基礎(chǔ)上，增設(shè)數(shù)據(jù)動態(tài)脫敏系統(tǒng)確保實現(xiàn)數(shù)據(jù)保護(hù)。

3.2 筑牢防線，提升邊界安全

按照區(qū)域重要程度與對應(yīng)用途，醫(yī)療網(wǎng)絡(luò)可以被劃分為若干區(qū)域[18]，總體遵循如下準(zhǔn)則：首先按照應(yīng)用系統(tǒng)進(jìn)行區(qū)域劃分，再規(guī)定嚴(yán)格的邊界訪問控制權(quán)限；最后加強(qiáng)監(jiān)控等輔助建設(shè)。大致上可分為安全管理域、專線接入域、數(shù)據(jù)交換域、二級域、三級域以及互聯(lián)網(wǎng)服務(wù)接入域等6個主要區(qū)域，如圖1所示。

圖1 醫(yī)療系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D

安全管理域包括了防病毒軟件、堡壘主機(jī)、態(tài)勢感知平臺、監(jiān)測系統(tǒng)、日記審計和認(rèn)證系統(tǒng)等管理網(wǎng)絡(luò)的服務(wù)器，較業(yè)務(wù)系統(tǒng)隔離開，同時在邊界部分嚴(yán)控進(jìn)出流量。

數(shù)據(jù)交換域主要實現(xiàn)數(shù)據(jù)中轉(zhuǎn)功能與應(yīng)用代理控制功能，在邊界處合理部署下一代防火墻系統(tǒng)，打開入侵防御以及防病毒模塊，并嚴(yán)格控制出入流量。中轉(zhuǎn)服務(wù)器既可實現(xiàn)互聯(lián)網(wǎng)服務(wù)或線上醫(yī)療服務(wù)向HIS等核心系統(tǒng)發(fā)出數(shù)據(jù)申請所需的數(shù)據(jù)中轉(zhuǎn)，也可完成低安全級別系統(tǒng)向HIS系統(tǒng)發(fā)出請求時所需的應(yīng)用代理功能，以處理不同信息系統(tǒng)之間的信任問題。

三級域?qū)嵭凶顕?yán)厲的技術(shù)保護(hù)，主要有醫(yī)院核心的HIS系統(tǒng)、集成平臺以及數(shù)據(jù)倉庫；其余業(yè)務(wù)應(yīng)用則被劃為二級域范圍，門戶網(wǎng)站、VPN、以及線上服務(wù)等也都被歸為互聯(lián)網(wǎng)服務(wù)接入域。邊界部分安置防火墻與Web防火墻。同時，應(yīng)用系統(tǒng)防火墻需要開啟入侵防御以及防病毒等功能，只允許應(yīng)用系統(tǒng)對外提供服務(wù)的接口訪問流量，并限制每個源IP的新建連接數(shù)、半開放連接數(shù)以及并發(fā)連接數(shù)等。Web防火墻則根據(jù)實際情況，設(shè)定了有關(guān)數(shù)據(jù)庫以及開發(fā)語言等的防御規(guī)則。

由于三級域的服務(wù)量很大，因此采用多臺應(yīng)用服務(wù)器并行，利用旁掛負(fù)載均衡器以達(dá)到負(fù)載分擔(dān)、應(yīng)用引流等功能，以保證應(yīng)用系統(tǒng)的處理能力。此外，用數(shù)據(jù)庫防火墻能夠把將應(yīng)用服務(wù)器跟數(shù)據(jù)庫服務(wù)器隔離、控制，以角色權(quán)限以及SQL語句等出發(fā)保護(hù)數(shù)據(jù)。

在網(wǎng)絡(luò)出口方面，配置防DDOS設(shè)備、防毒墻、IPS、負(fù)載均衡器等，對網(wǎng)絡(luò)信息流量實行了全面過濾。醫(yī)保中心、銀行等的相關(guān)業(yè)務(wù)使用物理專線接入至專線接入?yún)^(qū)域，并使用前置機(jī)和網(wǎng)絡(luò)防火墻對此業(yè)務(wù)實施訪問控制。

總之，綜合利用多設(shè)備全面管理，最大限度確保在開展互聯(lián)網(wǎng)線上服務(wù)的同時，進(jìn)行網(wǎng)絡(luò)防護(hù)工作。

3.3 健全管理制度，確保等保落地

根據(jù)《GB/T 22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，緊密圍繞 “信息技術(shù)同管理工作并重，七分管理工作三分科學(xué)技術(shù)”原則，通過設(shè)置以等級保護(hù)標(biāo)準(zhǔn)為基礎(chǔ)的網(wǎng)絡(luò)系統(tǒng)安全管理制度，統(tǒng)一指導(dǎo)安全建設(shè)管理工作[20]。建議從安全的保障體系、科學(xué)的管理制度以及考核機(jī)制3個維度構(gòu)建網(wǎng)絡(luò)安全體系框架。首先，從安全技術(shù)保障角度，以及信息安全計算環(huán)境、信息安全區(qū)域邊界、安全通信網(wǎng)絡(luò)系統(tǒng)、物理環(huán)境以及信息安全管理出發(fā)，綜合利用網(wǎng)絡(luò)安全、入侵防御等信息化技術(shù)，定期開展風(fēng)險評估與反饋工作，開展應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急預(yù)案，嚴(yán)防發(fā)生信息泄漏事件，全方位構(gòu)建安全保障體系；其次，在制度建設(shè)角度，設(shè)立相應(yīng)安全機(jī)構(gòu)定期對醫(yī)護(hù)人員開展信息安全培訓(xùn)，逐步細(xì)化行為規(guī)范；最后，組織專門人員定期進(jìn)行管理、安全復(fù)盤、動態(tài)預(yù)警、態(tài)勢感知、監(jiān)督檢查等工作，設(shè)置完整的考核機(jī)制以確保將等級保護(hù)落到實處。網(wǎng)絡(luò)安全體系框架具體如圖2所示。

圖2 網(wǎng)絡(luò)安全體系框架圖

醫(yī)院成立專人專班負(fù)責(zé)醫(yī)院網(wǎng)絡(luò)安全等保建設(shè)，并以等級保護(hù)標(biāo)準(zhǔn)作為其他工作的基礎(chǔ)，因地制宜，結(jié)合自身情況，搭建完整的安全技術(shù)體系與安全管理體系，最終使得整個醫(yī)院系統(tǒng)配備滿足等級安全保護(hù)需要的網(wǎng)絡(luò)安全綜合防御體系。

3.4 完善法律法規(guī)，嚴(yán)守違法必究

互聯(lián)網(wǎng)醫(yī)療發(fā)展迅速且規(guī)模不斷壯大，國家相關(guān)部門應(yīng)給予重視與關(guān)注。習(xí)總書記曾強(qiáng)調(diào)，“新業(yè)態(tài)雖是后來者，但依法規(guī)范不要姍姍來遲”。盡早出臺科學(xué)合理的醫(yī)療信息安全政策，同時進(jìn)一步完善相對應(yīng)的法律法規(guī)制度，盡早將醫(yī)療信息數(shù)據(jù)上升至立法層面進(jìn)行保護(hù)，為醫(yī)療信息安全提供堅實的法律支撐，進(jìn)而使互聯(lián)網(wǎng)醫(yī)療更快更好地發(fā)展。針對當(dāng)下我國互聯(lián)網(wǎng)醫(yī)療信息安全存在的問題進(jìn)行層層分析，不難發(fā)現(xiàn)，相關(guān)部門應(yīng)加快法律法規(guī)建設(shè)的進(jìn)展，對于惡意破壞醫(yī)療信息系統(tǒng)、非法竊取醫(yī)療數(shù)據(jù)和肆意泄露病患個人隱私等給社會造成嚴(yán)重不良影響的行為必須給予嚴(yán)格制止，同時追究其相應(yīng)的責(zé)任，防止此類行為再次出現(xiàn)。只有這樣，才能確保醫(yī)療信息安全有法可依，進(jìn)而保證互聯(lián)網(wǎng)醫(yī)療的健康發(fā)展，營造良好社會風(fēng)氣。

4 結(jié)論

傳統(tǒng)醫(yī)療行業(yè)正以互聯(lián)網(wǎng)技術(shù)為載體，全方位多層次綜合使用大數(shù)據(jù)、云計算等新興技術(shù)手段，與傳統(tǒng)醫(yī)療服務(wù)交叉融合，最終整合成全新的業(yè)務(wù)形態(tài)。利用在技術(shù)發(fā)展的同時，也應(yīng)時刻警惕新業(yè)態(tài)下互聯(lián)網(wǎng)醫(yī)療所面臨的種種挑戰(zhàn)。醫(yī)院要結(jié)合自身實際，對院內(nèi)數(shù)據(jù)實施分級管理，嚴(yán)格設(shè)置使用規(guī)則，確保權(quán)限管理落到實處，同時及時備份數(shù)據(jù)庫。在搭建內(nèi)外網(wǎng)絡(luò)架構(gòu)時，注意按需劃分區(qū)域，在邊界處配備下一代防火墻、WEB防火墻，在三級域內(nèi)設(shè)置負(fù)載均衡器，謹(jǐn)防DDOS攻擊，設(shè)置中轉(zhuǎn)服務(wù)器，解決不同系統(tǒng)間的信任問題。在“技防”同時加強(qiáng)“人防”構(gòu)建符合要求的網(wǎng)絡(luò)安全管理體系，不斷提升網(wǎng)絡(luò)安全防范意識。