“互聯網+醫療”中信息安全的探討

李璐

摘要： 隨著信息技術的飛速發展，近幾年出現了“互聯網+醫療”新的醫療模式，本文在介紹互聯網醫療的基礎上，探討了互聯網醫療中信息安全的現狀及存在的問題，并提出相應策略，以此保障醫療信息安全，提升醫療服務模式。

Abstract： With the rapid development of information technology， the new medical model of "Internet + medical care" appeared in recent years. On the basis of introducing Internet medical treatment， this paper discusses the current situation and existing problems of information security in Internet medical care， and proposes corresponding strategies to protect the medical information security and improve the medical service model.

關鍵詞： 互聯網醫療；信息安全；防護

Key words： Internet medical care；information security；protection

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-4311（2017）09-0049-02

0 引言

近年來，“互聯網+”作為一種新興模式，通過大數據、云計算、移動智能穿戴等信息技術將互聯網與傳統行業相融合，提升各行各業的發展水平，帶來諸多便利。從2015年3月李克強總理在十二全國人大三次會議中提出制定“互聯網+”行動后，“互聯網+”成為了國家重要的發展戰略[1]。另外，國務院發布的多個文件指出，“互聯網+”與醫療行業的融合，能夠改善我國現有醫療模式的缺陷，如“看病難，看病貴”等問題，并通過遠程醫療、健康醫療大數據平臺、互聯網醫囑、互聯網電子病歷等手段建立互聯網醫療健康服務應用。隨著互聯網醫療的規模逐漸壯大，其交互的數據量越來越多，數據的安全性要求也越來越高，信息安全成為了互聯網醫療建設的一個重要內容；另外，我國在互聯網醫療方面與國外相比，起步較晚，研究較少，大多數研究仍停留在介紹互聯網醫療現狀分析及展望等方面，深入其中某些方面的研究較少，因此針對互聯網醫療發展的趨勢，對其背后存在的信息安全問題進行探討與研究，有重要的現實意義。

1 信息安全相關要素

在互聯網醫療中，互聯網診療、互聯網健康保健咨詢服務、互聯網診療輔助服務等都是利用醫療數據的信息化，突破時間與空間的限制，實現醫患關系的良好發展。在此過程中，存在著多種信息安全隱患。因此，完善信息安全體系關系著互聯網醫院的發展，發揮著重要作用。

信息安全體系主要包含硬件安全、軟件安全、以及管理安全。在互聯網醫療實現數據交互時，需要的外部硬件設施有：服務器、網絡設備、線路、機房溫濕度環境、監控設備等[2]。只有確保硬件設施穩定運作，才能保證醫療信息共享與交互順利進行。軟件方面包括數據庫、終端應用等，其中數據庫的維護尤為重要，數據庫作為存儲及新增、刪除、修改的醫療信息數據存儲的倉庫，實現醫療數據的信息化處理，因此數據庫需要做到數據安全備份以及及時恢復數據的功能，以確保數據的安全性[2]。終端應用同樣需要穩定性保障，才能提供準確及有效的數據信息。管理安全包括了人為因素、安全管理規范等，患者的各類醫療信息常常被醫療工作者所接觸，因此醫療信息被泄露的風險也越來越高，如若經傳播嚴重的，還會影響患者的正常生活。

2 互聯網醫療的信息安全當下存在的隱患

從互聯網醫療的發展趨勢來看，我國的醫療模式逐漸從傳統醫院的看病就診轉向互聯網醫療，通過移動可穿戴醫療設備、大數據、遠程醫療等，從診前、診中、診后幾個方面逐步改善患者的就醫模式，使醫療形成互聯網生態格局。但在其中，信息安全也存在著多方面的隱患。

2.1 法律法規 目前，我國在醫療信息安全方面，還未出臺相關的醫療健康系統性的安全法律法規，在2009年6月發布的《互聯網醫療保健信息服務管理辦法》在信息安全的關系也很少[3]。因此，在法律法規方面，需要有專門的互聯網醫療信息安全的研究與制度，以此規范我國的醫療信息安全防護。

2.2 網絡環境 目前，我國的醫療信息系統絕大部分都是以安全為前提，使用醫院內部網絡，采用內外網物理隔離的模式。但針對互聯網醫療的特點，此種方法有所欠缺，很難實現互聯網應用服務安全的內外網一體化建設，再加上當前大多數醫療機構的網絡系統管理缺乏互聯網醫療的網絡安全管理經驗，不能高效地對網絡入侵進行追蹤與及時反饋，缺乏漏洞管理流程，如若擴大安全防護的范圍，則相應的風險也在增大[4]。因此網絡安全是互聯網醫療信息安全管理中的重要組成部分。

2.3 數據共享 互聯網醫療最重要的是實現醫療數據的共享，即建立患者健康檔案、電子病歷、醫囑信息、檢驗檢查報告等數據共享交換的服務平臺，跨越時間與空間的限制，方便醫生與患者，同時經共享的醫療數據，可通過數據挖掘獲取高價值信息，預測流行病、傳染病、和各患者可能出現的病癥，以此及時發現問題，這類信息對于商業來說，能帶去更多的商業價值與利潤。另外，此前提到目前醫療機構的信息安全體系是基于內網的，針對互聯網醫療的特點，需將此類醫療數據共享于互聯網，無疑會存在巨大的安全隱患，同時，二者在平臺的對接上缺少相應的規范與統一標準，因此需要重視對數據共享的安全防護。

2.4 個人隱私 在2015年2月，美國的保險公司Anthem宣布黑客盜取了公司超過8000萬的個人信息，包括用戶家庭住址、電話、收入、社保等，此次泄露是美國有史以來最嚴重的醫療信息泄露事件。根據美國衛生與公民服務部的統計，近幾年來，醫療信息泄露事件頻頻發生，受泄露所影響的人數呈爆發式的增長，數據如圖1所示。

互聯網醫療中，患者的健康數據是重點，此處提到的個人隱私主要針對患者的醫療健康數據。互聯網醫療中安全管理制度不規范或工作人員工作失誤等各方面原因，都極可能造成患者的個人隱私泄露。然而，目前無論在技術層面或是安全管理制度層面都不完善，另外，經調查大部分患者最關心的也是自身的個人信息安全問題，因此在個人信息防泄漏方面應該重視。

3 互聯網醫療中信息安全的相應策略

3.1 完善安全監管體制 在安全監管方面，可以借鑒美國，美國作為最先探索醫療信息安全政策制定的國家，在2003年制定的健康保險攜帶責任法案中，詳細規定了醫療信息安全、醫療隱私、健康計劃識別、從業人員的識別等多方面的具體規范[3]。英國和瑞典的法律限制未經明確允許收集的任何類型的個人信息。根據我國的情況，也可制定適合我國的互聯網醫療信息安全政策，提供醫生與患者相應的法律保障。

3.2 完善安全體系 互聯網醫療的信息安全，應該構建并完善硬件、軟件、管理多層次的防護體系，如圖2所示。

軟硬件是互聯網醫療平臺的基礎設施，硬件安全涉及到設備的安全，機房環境、防盜防破壞的安全，網絡環境的安全，訪問控制、防止入侵等，尤其是中心機房的建設，可通過雙機房的數據和網絡雙冗余實現系統運行的穩定性，降低數據處理壓力。在網絡方面，有研究者提出了關于醫療信息系統的安全管理模型：包括了安全預警（防火墻、IDS與FW聯動預警）、安全防護（加密）、安全檢測（CA認證、C/S病毒檢測）、安全恢復（備份）、安全管理、安全響應，通過網絡安全技術的綜合使用，完善安全體系[5]。軟件主安全涉及到數據安全，可以通過技術手段，例如：VPN，SSL等對醫療網絡的安全進行保護，同時進行數據的安全防護及備份，重要的數據信息在交互共享時不被破壞，保證其完整性，完善數據備份管理流程等[6]。在醫療信息化建設的發展趨勢下，采用“云計算”應用模型，可實現信息化基本構架，實現數據互聯共享，將數據保存于“云”中，避免了個人電腦和本地服務器設備故障，保障數據安全，軟件維護也由云計算服務商完成，不會影響本地用戶對軟件的使用。因此，可通過軟硬件基礎設施，“云計算”的技術手段、構建安全模型等多方面，不同角度防護互聯網醫療的信息系統安全，提高相應防范能力。

管理方面主要是對人員安全的管理和制度的管理。目前，我國互聯網醫療模式中的管理制度處于空白狀態，浙江省寧波市的“云醫院”是為數不多的制定了相關管理措施的互聯網醫院，其通過判斷患者是否與網上注冊醫生在實體醫院有過診療記錄，是否與該醫生簽訂過“云醫院”的就診協議，對患者進行嚴格的篩選控制，同時通過授權的形式，才能使該醫生有權限查看該患者的病歷檔案，問診等，另外，廣東省的網絡醫院是通過衛生計生委的審批通過，在醫師的準入中采取機構備案制[7]。因此，可從患者、看診醫生不同角色進行管理，通過患者的信譽度篩選患者、對工作人員進行考核培訓，以提高就診效果；同時制定相關管理制度，設立相應的安全管理機構，進行監督。

3.3 個人隱私的保護 醫療數據的泄露的原因有多種多樣：數據丟失被盜、黑客入侵、工作人員操作不當等。因此個人隱私的保護可從三方面入手[3]，一個管理制度，可通過分級管理的方法，完善信息安全認證保護監管平臺，根據數據的重要性，對不同數據進行分級信息安全保障管理；二是從技術手段上，對患者醫療隱私數據進行加密、信息匿名化、數據授權、訪問控制、身份認證等；三是工作人員的安全管理，防止其利用職務便利或操作不當造成信息泄露。通過此類方法，保障數據的安全，提升信息安全服務。

4 結束語

互聯網醫療改變了傳統的醫療模式，給就醫人員和患者帶去諸多便利，但這種新興的模式也存在許多不足，尤其是醫療信息安全防護，是互聯網醫療的“基石”，需要國家法律法規、相應管理制度、技術手段、從業人員的把關等多方面進行防護，防止醫療數據的泄露，使互聯網醫療的數據共享暢通無阻，安全可靠，完善互聯網醫療市場。

參考文獻：

[1]李小華，趙霞，周毅.“互聯網+醫療”催生醫療衛生大資源時代[J].中國數字醫學，2016，01（02）：8-11.

[2]鐘紅霞.“互聯網+”模式下的醫院信息安全系統建設的關鍵環境及策略分析[J].科學與財富，2013（34）：84.

[3]孟群.醫療健康+互聯網[M].北京：人民衛生出版社，2016.

[4]何劍虎，周慶利.互聯網環境下的醫療數據安全交換技術研究[J].醫院信息化，2013，4（28）：44-47.

[5]張蓮萍.醫療信息系統縱深防御安全模型及風險評價體系[J].系統工程，2014，4（32）：147-154.

[6]Derek J. Sedlack. Improving Information Security Through Techno-logical Frames of R eference[J]. Proceedings of the Southern Association for Information Systems Conference. 2011，3：153- 157.

[7]趙大仁，何思長，孫渤星，等.我國“互聯網+醫療”的實施現狀與思考[J].衛生經濟研究，2016，7（351）：14-17.