史敬華

[摘要] 信息系統(tǒng)存在的安全問(wèn)題是影響醫(yī)療信息系統(tǒng)發(fā)揮其效益的隱患，是影響醫(yī)療行業(yè)完成其治病救人使命的嚴(yán)重隱患。因此，各國(guó)普遍把醫(yī)療信息系統(tǒng)的安全保護(hù)列為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（CIIP）。原衛(wèi)生部2011年85號(hào)文件要求：重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)。本文介紹了我國(guó)信息安全等級(jí)保護(hù)基本概念和等級(jí)劃分，以及我國(guó)醫(yī)療行業(yè)信息安全等級(jí)保護(hù)的安全監(jiān)管技術(shù)現(xiàn)狀。在此基礎(chǔ)上，分析了我國(guó)醫(yī)療行業(yè)信息安全等級(jí)保護(hù)在安全監(jiān)管技術(shù)上未來(lái)需要進(jìn)行優(yōu)化調(diào)整的方向，為適應(yīng)未來(lái)信息化發(fā)展，提出了進(jìn)一步做好信息安全等級(jí)保護(hù)安全監(jiān)管工作的建議。

[關(guān)鍵詞] 醫(yī)療;信息安全;等級(jí)保護(hù);監(jiān)管

[中圖分類(lèi)號(hào)] R39? ? ? ? ? [文獻(xiàn)標(biāo)識(shí)碼] A? ? ? ? ? [文章編號(hào)] 1673-7210（2019）02（b）-0177-04

[Abstract] Whether the medical information system is safe or not is a hidden trouble which affects the efficiency and benefit of the system， and it is serious hidden danger which affects the medical profession to complete its mission of curing and saving people. Therefore， countries arounds the world generally regard the security protection of medical information system as the critical information infrastructure protection （CIIP）. Document No.85 of the origina Ministry of Health of China in 2011 requires that the level of security protection of important health information systems is not lower than the third in principle. The paper introduces the basic concept and classification of classified protection of information system security in our country， and the present situation of security supervision technology in medical profession in our country. On this basis， the paper analyzes the future direction of optimization and adjustment in terms of security supervision technology in Chinese medical industry. In order to adapt to the information development， this paper also puts forward some suggestions to further do well in security supervision.

[Key words] Medical care; Information security; Classified protection; Supervision

信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息安全的三要素為：保密性（Confidentiality），信息不能被未授權(quán)的個(gè)人，實(shí)體利用或知悉;完整性（Integrity），保護(hù)信息的準(zhǔn)確和完整;可用性（Availability），保障信息的正常訪(fǎng)問(wèn)和使用。除了這三個(gè)基本屬性外，信息的真實(shí)性、不可否認(rèn)性、可問(wèn)責(zé)性、可控性也是信息安全不可缺少的屬性。

1 信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是根據(jù)我國(guó)國(guó)情，在現(xiàn)有的人、財(cái)、資源環(huán)境下，為保障信息系統(tǒng)安全，實(shí)行的一項(xiàng)基本制度和方法。不同重要程度的信息系統(tǒng)，開(kāi)展等級(jí)不同的安全保障措施和不同的技術(shù)監(jiān)管，是我國(guó)多年信息安全工作的經(jīng)驗(yàn)總結(jié)[1]。在衛(wèi)生行業(yè)涉及個(gè)人隱私、影響患者救治的重要信息系統(tǒng)建設(shè)過(guò)程中，落實(shí)信息安全等級(jí)保護(hù)相關(guān)制度，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系患者隱私[2]的重要信息系統(tǒng)安全，有利于社會(huì)穩(wěn)定，有利于大衛(wèi)生在健康理念下的衛(wèi)生行業(yè)數(shù)字化轉(zhuǎn)型發(fā)展。

1.1 信息安全等級(jí)保護(hù)級(jí)別劃分

依據(jù)GB17859-1999[2]，“根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素”，將信息系統(tǒng)安全等級(jí)由低到高分為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、專(zhuān)控保護(hù)五個(gè)級(jí)別。同時(shí)規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)級(jí)別。第一級(jí)：用戶(hù)自主保護(hù)級(jí);第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí)：安全標(biāo)記保護(hù)級(jí);第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)。針對(duì)每個(gè)級(jí)別，詳細(xì)列出了等級(jí)劃分準(zhǔn)則[3]，其本質(zhì)是要明確重點(diǎn)、確保重點(diǎn)、標(biāo)準(zhǔn)管理。

1.2 信息安全等級(jí)保護(hù)的技術(shù)保障

信息安全進(jìn)行等級(jí)保護(hù)是要對(duì)信息以及信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù);對(duì)系統(tǒng)中使用的信息安全產(chǎn)品進(jìn)行分等級(jí)管理;對(duì)系統(tǒng)中發(fā)生的安全事件分等級(jí)響應(yīng)和處置。通過(guò)對(duì)信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、測(cè)評(píng)規(guī)范的步驟，來(lái)滿(mǎn)足安全等級(jí)保護(hù)標(biāo)準(zhǔn)中五個(gè)層面的技術(shù)要求，即物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全。醫(yī)療行業(yè)中，衛(wèi)生機(jī)構(gòu)信息系統(tǒng)遭到破壞后的影響程度，基本只損害到地區(qū)部分公民的就醫(yī)權(quán)利，不造成對(duì)社會(huì)秩序和公共利益的損害，因此，衛(wèi)生行業(yè)的信息系統(tǒng)一般僅做三級(jí)等級(jí)保護(hù)[4]。信息安全等級(jí)保護(hù)技術(shù)保障要求如下：

1.2.1 物理安全保障? 物理環(huán)境安全是要保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁兼容工作環(huán)境，并防止非法用戶(hù)進(jìn)入計(jì)算機(jī)控制中心和各種偷窺、破壞活動(dòng)的發(fā)生。

1.2.2 網(wǎng)絡(luò)安全保障? 網(wǎng)絡(luò)結(jié)構(gòu)安全是網(wǎng)絡(luò)安全的基礎(chǔ)，對(duì)于衛(wèi)生行業(yè)網(wǎng)絡(luò)[5]，選擇網(wǎng)絡(luò)設(shè)備的帶寬時(shí)要考慮每日業(yè)務(wù)高峰時(shí)的數(shù)據(jù)流量;要考慮業(yè)務(wù)系統(tǒng)服務(wù)的重要次序;分配帶寬的優(yōu)先級(jí)、劃分網(wǎng)段或VLAN。同時(shí)進(jìn)行網(wǎng)絡(luò)設(shè)備的加固、布置網(wǎng)絡(luò)審計(jì)、終端安全管理系統(tǒng)等保障網(wǎng)絡(luò)邊界安全。

1.2.3 主機(jī)安全保障? 為保障各種應(yīng)用能在主機(jī)上運(yùn)行，經(jīng)常采用身份鑒別、訪(fǎng)問(wèn)權(quán)限控制、終端安全管理、主機(jī)審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、終端安全系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)保障主機(jī)安全。

1.2.4 應(yīng)用安全保障? 信息系統(tǒng)應(yīng)用安全是等級(jí)保護(hù)技術(shù)保障的重點(diǎn)部位。應(yīng)用系統(tǒng)業(yè)務(wù)層面同樣要求部署身份鑒別、訪(fǎng)問(wèn)控制、應(yīng)用審計(jì)、入侵防范來(lái)保障應(yīng)用安全，還應(yīng)考慮邊界安全、軟件容錯(cuò)、資源控制、抗抵賴(lài)、客體安全重用等措施。

1.2.5 數(shù)據(jù)安全保障? 保障數(shù)據(jù)安全是信息安全等級(jí)保護(hù)的核心目標(biāo)，即要實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性和可用性。為防止數(shù)據(jù)泄露、篡改與破壞，通常在數(shù)據(jù)傳輸、處理及存儲(chǔ)環(huán)節(jié)加固安全防護(hù)[6]。

2 我國(guó)醫(yī)療行業(yè)信息安全現(xiàn)狀

與發(fā)達(dá)國(guó)家相比，我國(guó)衛(wèi)生行業(yè)的信息安全管理領(lǐng)域的工作推進(jìn)還處于起步階段。如信息系統(tǒng)在部署和應(yīng)用上不規(guī)范、網(wǎng)絡(luò)規(guī)劃不合理、信息安全應(yīng)急體系不健全、信息安全人才“產(chǎn)能”與實(shí)際需求相差太大，造成了信息泄漏不斷、移動(dòng)互聯(lián)網(wǎng)惡意程序增加、網(wǎng)絡(luò)攻擊數(shù)量增加、攻擊方式升級(jí)、信息泄露損失更加嚴(yán)重[7]。這不僅嚴(yán)重影響到衛(wèi)生業(yè)務(wù)系統(tǒng)的正常運(yùn)行，還直接威脅到患者隱私，甚至患者的生命安全。

2.1 醫(yī)療信息中的隱私內(nèi)容及個(gè)人隱私泄露風(fēng)險(xiǎn)

醫(yī)療服務(wù)的對(duì)象是人，其維護(hù)的不僅是人的生命與健康，還應(yīng)有對(duì)患者隱私及隱私權(quán)的尊重。公共衛(wèi)生中血液系統(tǒng)信息、疾病控制信息、精神衛(wèi)生管理系統(tǒng)中的信息;個(gè)人在體檢、診斷、治療中形成的電子病歷、電子處方、電子健康檔案等涉及到的機(jī)體特征、健康狀況、遺傳基因、病史病歷等個(gè)人信息，都是個(gè)人的秘密信息，是個(gè)人隱私權(quán)的核心部位。另外，疾病疫情信息、衛(wèi)生監(jiān)管數(shù)據(jù)、智能手機(jī)與遠(yuǎn)程醫(yī)療技術(shù)[8]的普及，使得越來(lái)越多的醫(yī)療行為、個(gè)人信息和支付方式[9]參與到網(wǎng)絡(luò)之中，這些信息一旦被他人竊取、偽造或篡改，將產(chǎn)生敏感信息泄露、醫(yī)療決策失誤等嚴(yán)重后果。

在涉及到個(gè)人隱私的重要信息系統(tǒng)建設(shè)時(shí)，建立身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定為基礎(chǔ)的安全保障機(jī)制[10]就顯得尤為重要，只有患者隱私在為醫(yī)務(wù)人員提供科學(xué)、合理就診的基礎(chǔ)信息時(shí)，又能保證患者隱私不被非法泄露和侵犯，才能體現(xiàn)我國(guó)醫(yī)療為民服務(wù)、尊重患者隱私的宗旨，才能推進(jìn)我國(guó)數(shù)字化醫(yī)療的順利實(shí)施。

2.2 醫(yī)療行業(yè)服務(wù)對(duì)信息系統(tǒng)的依賴(lài)

隨著醫(yī)療服務(wù)對(duì)信息化的依賴(lài)，信息系統(tǒng)所維系的不僅僅的醫(yī)療服務(wù)業(yè)務(wù)的支撐和輔助，而是整個(gè)衛(wèi)生服務(wù)行業(yè)的命脈[11]。WEB2.0和互聯(lián)網(wǎng)+的深入落實(shí)，使得整個(gè)醫(yī)療行業(yè)的業(yè)務(wù)被緊綁在信息系統(tǒng)之上，個(gè)人健康檔案、衛(wèi)生疾病控制、血液管控、衛(wèi)生監(jiān)管、新藥研制、疾病預(yù)防、臨床診療繁雜的醫(yī)療數(shù)據(jù)中蘊(yùn)含著豐富的醫(yī)學(xué)知識(shí)，醫(yī)療信息化的應(yīng)用場(chǎng)景越發(fā)豐富多彩，勢(shì)必會(huì)導(dǎo)致沒(méi)有信息安全就沒(méi)有醫(yī)療服務(wù)的業(yè)務(wù)安全[12]。

2.3 醫(yī)療衛(wèi)生信息安全等級(jí)保護(hù)級(jí)別

依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》和原衛(wèi)生部2011年85號(hào)文件要求，衛(wèi)生行業(yè)作為涉及國(guó)計(jì)民生的重要組成部分，其信息系統(tǒng)安全事關(guān)社會(huì)穩(wěn)定、國(guó)民人口健康、國(guó)家疾病控制。因此，在醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)中，要求核心醫(yī)療信息系統(tǒng)、公共衛(wèi)生信息系統(tǒng)成為醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)建設(shè)中核心的系統(tǒng)[13]，重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí);而協(xié)同辦公系統(tǒng)及外圍業(yè)務(wù)系統(tǒng)一般定級(jí)為二級(jí)保護(hù)系統(tǒng)。

3 衛(wèi)生信息安全等級(jí)保護(hù)安全監(jiān)管技術(shù)與不足

3.1 衛(wèi)生信息安全等級(jí)保護(hù)安全監(jiān)管技術(shù)

基于醫(yī)療衛(wèi)生行業(yè)核心信息系統(tǒng)必須進(jìn)行三級(jí)安全保護(hù)的要求[14]，衛(wèi)生信息安全等級(jí)保護(hù)中，現(xiàn)今主要采用以下17種安全監(jiān)管技術(shù)：

3.1.1 網(wǎng)絡(luò)設(shè)備防護(hù)及邊界訪(fǎng)問(wèn)控制? 對(duì)網(wǎng)絡(luò)管理員進(jìn)行唯一身份鑒別、限制登錄地址、登錄口令合規(guī)、登錄失敗處理、啟用SSH加密防止竊聽(tīng)[15]、采用兩種或兩種以上組合的鑒別技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行一系列的加固防護(hù)。

3.1.2 網(wǎng)絡(luò)安全審計(jì)? 利用網(wǎng)絡(luò)審計(jì)系統(tǒng)，甄別出網(wǎng)絡(luò)中存在的威脅，分析出網(wǎng)絡(luò)中發(fā)生的網(wǎng)絡(luò)異常、網(wǎng)絡(luò)攻擊和病毒等內(nèi)外部安全事件，實(shí)現(xiàn)入侵檢測(cè)、信息還原，生成詳細(xì)審計(jì)報(bào)表的功能。

3.1.3 通信完整保密? 采用校驗(yàn)碼、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名[16]等技術(shù)，以保障信息傳輸和存儲(chǔ)的完整性;通過(guò)部署VPN[17]系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性，從而保障通信保密性。

3.1.4 網(wǎng)絡(luò)可信接入? 在網(wǎng)絡(luò)邊界處布置終端安全管理系統(tǒng)對(duì)非法外聯(lián)及非法接入進(jìn)行監(jiān)控與阻斷，實(shí)現(xiàn)網(wǎng)絡(luò)可信接入從而保障網(wǎng)絡(luò)邊界完整。