患者安全目標：智慧醫院建設中的網絡安全風險

——舒 婷 趙 韡 徐 帆 韓作為

獨立安全評估公司(ISE)2016年發布的一項調查顯示，醫療衛生行業中普遍存在安全漏洞。漏洞攻擊曾造成過英國等國家多家醫院和診所癱瘓，各類歷史診療數據丟失，醫療服務處于混亂狀態。網絡安全風險帶來的損失對整個醫療衛生行業來講不可估量，甚至會威脅到國家及種族安全。所以主動了解醫療行業網絡安全風險，制定嚴密的防范措施，出臺更嚴格的安全制度迫在眉睫。

1 國外智慧醫院建設網絡安全現狀

1.1 現狀與問題

澳大利亞健康信息學學會(HISA)2018年對醫療機構的調查顯示，95%的人了解他們對患者和醫院數據的安全性和完整性負有個人責任；60%的人清楚發生網絡安全事件時應遵循的程序；69%的人每天執行數據和系統備份；36%的人意識到網絡安全風險評估至少每年進行1次；28%的人經歷過一次黑客事件；17%的人遭遇過數據泄露[1]。

針對醫院的網絡攻擊在全球范圍內都發生過，尤其是在信息技術更為先進的西方國家。常見的網絡安全事件包括：盜竊、篡改醫療設備，獲取患者EHR信息，勒索軟件攻擊，拒絕服務攻擊等。2017年4月暴發的WannaCry病毒席卷了全球超20萬臺主機和服務器，波及100多個國家。英國國立醫療服務系統(NHS)就曾成為重災區，旗下248個醫療機構中有48個受到攻擊[2]。德國紐斯的盧卡斯醫院和克林庫姆·阿恩斯伯格醫院均遭到了加密勒索軟件CryptoLocker 33的攻擊。波士頓兒童醫院也曾遭受過拒絕服務的攻擊，造成了嚴重損失[3]。

這一現象說明了兩個問題：一方面，醫療機構的資產價值較高；另一方面，醫療機構的網絡安全基礎薄弱，很容易受到損害。事實上，根據畢馬威的說法，“醫療行業在保護其基礎設施和數據方面落后于其他行業”。因此，醫療行業是各類黑客以低成本獲取高回報的首要目標。造成這些安全事件的原因可以歸納為三個方面：

(1)組織管理層面。管理層缺乏網絡安全意識，組織架構不明確，資金投入不足；醫療機構中信息安全人員少，不遵循網絡安全政策與制度要求，醫務人員缺少相應的網絡安全培訓。

(2)專業技術層面。機房建設沒有按照標準施行，網絡設計時缺乏對安全問題的考慮，使用陳舊、過時、有漏洞的設備設施，運行過程中不完全了解IT架構導致系統更新和升級被延遲。技術人員專業水平不高，且沒有專業的安全服務支持。

(3)物理環境層面。機房選址不合理，醫院的布線環境，終端、醫療設備和無線等接入點無人值守，醫務人員當患者面訪問信息系統，暴露相關信息等。

1.2 經驗與做法

2016年，歐盟網絡和信息安全局(ENISA)發布了《智慧醫院——智慧醫療服務和基礎設施的安全性和可靠性》報告，提出要從組織管理和專業技術兩個方面維護網絡安全，這些實踐被醫院廣泛實施，效果顯著。圖1描述了有效的措施及有效性占比，其中藍色代表專業技術層面，黃色代表組織管理層面。通過對歐盟醫院的調查發現，至少一半被調查者認為有效的措施中有三分之二是專業技術措施，組織管理措施中除了安全組織，以及定期的培訓和提高認識外，其他內容不是特別有效或者尚未在醫院廣泛實施[4]。

圖1 有效的措施

美國前總統克林頓簽署的Health Insurance Portability and Accountability Act(簡稱HIPAA)是為了解決醫療機構中患者的信息泄露問題，HIPAA對多種醫療健康產業都具有規范作用，包括交易規則、醫療服務機構的識別、從業人員的識別、醫療信息安全、醫療隱私、健康計劃識別、第一傷病報告、患者識別等。其實施手段是對違反網絡安全導致的數據泄露事件的主體進行一定程度的罰款[5]。

2 我國醫院面臨的網絡安全現狀

2.1 網絡安全要求

近年來，我國出臺了一系列網絡安全相關的政策法規，如：2007年出臺的《信息安全等級保護管理辦法》，2008年出臺的《信息安全等級保護基本要求》(簡稱：等保1.0)，2019年發布《信息安全技術網絡安全等級保護基本要求》(簡稱：等保2.0)等。等級保護是我國信息安全保障的基本制度，也是對網絡安全在產業層面、標準層面和執行層面的具體落實。除此之外，2017年《中華人民共和國網絡安全法》的實行，2018年國家衛健委發布《關于印發國家健康醫療大數據標準、安全和服務管理辦法(試行)的通知》(國衛規劃發〔2018〕23號)，以及對網絡安全的等級測評和監督檢查，都是為了保證醫療機構網絡安全實現進不去、拿不到、看不懂、改不了、癱不成、賴不掉的目標[6]。

2.2 醫療機構認識上的誤區

(1)認為只要通過了等保備案與測評就不會再發生安全事件了。醫院可能只有某些核心業務系統通過了三級等保測評，但醫院整體安全防護能力較弱。

(2)認為安全問題只是技術問題。安全問題不只包括技術上的漏洞，還包括組織管理和社會環境方面的漏洞。而與其最相關的群體是醫務人員和管理層，尤其是與購買、管理和操作信息系統相關的群體。

(3)認為只有患者隱私信息有價值。其實醫院的用藥、設備、耗材、處方等運營方面的數據也具有市場價值。因此除了關注患者數據的隱私保護以外，也應該重視運營管理方面的數據信息。

(4)認為機房外包能夠解決機房硬件問題，減少信息系統運行和安全壓力。隨著醫院信息化發展加快，數據每年翻倍增長，原有機房設備已不能滿足需求，一些醫院開始尋求新的機房運營模式：機房建設與服務管理外包。但是外包不意味著徹底撒手不管，數據安全應該更加受到關注。醫院內部必須要有職責明確的管理人員，負責監督檢查外包供應商的服務是否到位。

(5)認為傳統數據中心向云模式轉化更安全。云模式在一定程度上能夠減少醫院整體投入，提高管理效率，但云模式對網絡安全要求更高，尤其是數據安全。醫院缺少對數據安全和監控體系、數據庫的審計、數據庫權限的設計、網絡連接的監控、操作系統的使用監控、第三方軟件的安全監控等方面的系統考慮。

3 目前存在的主要問題

目前，醫院網絡安全技術的“老幾樣”(防火墻、入侵檢測、病毒查殺、容災備份、VPN/網閘等)已經過時[7-10]。新的環境下，在機房基礎建設、安全制度、應急預案與應急演練、安全審計、身份認證、隱私保護、終端安全等方面更需要完善建設，具體表現在：

(1)機房選址不合理，整體規劃不科學，環境差，物理安全不達標；

(2)巡檢記錄空缺或太過簡單；

(3)運維記錄過于簡單，且無異常情況記錄與說明；

(4)網絡安全分域拓撲圖缺失，內外網邊界不清；

(5)無線網絡可視化監控管理不到位，各類監控和安全設備應用不充分，無安全匯總分析記錄；

(6)登錄密碼過于簡單，Key使用不規范；

(7)缺少有限網絡的準入控制措施，離線傳輸數據機制不完善。防火墻、交換機等基礎架構和網絡安全設備缺少自行維護的能力；

(8)應急預案不全面，內容過于簡單，應急演練規模小，無記錄；

(9)無電子簽名系統或電子簽名系統存在單點故障；

(10)缺乏網絡信息安全的專業人才，整體信息安全資金投入不足，安全重視程度不夠。

4 下一步工作建議

4.1 加強網絡安全制度建設

在醫院信息系統的實際應用及運行中，保證其安全性的重點就是加強對系統的實時監控，避免系統出現安全問題[11]。在對系統進行實時監控時，需要從兩方面入手，即外部安全問題與內部安全問題。首先，在對系統外部安全問題的實時監控方面，應當注意對機房環境進行監控，保持機房內部環境始終適宜，為計算機網絡信息系統的應用提供理想的環境基礎，從而使計算機網絡信息系統得以安全運行。另外，還應當注意避免外部人為因素的影響，避免受到惡意攻擊。其次，在對系統內部安全問題的實時監控方面，應當注意避免操作系統出現漏洞，同時還應當注意提高數據庫的穩定性，注意安裝防火墻及殺毒軟件，并對系統進行不斷優化，確保能夠及時發現系統存在的安全漏洞，并且及時進行修復，從而使系統的安全性能夠得到保證。與此同時，還需要注意對服務器加強管理，保證服務器的安全性，在此基礎上使系統整體的安全性得到保證。

4.2 提高一線醫務人員的安全防范意識

網絡安全，意識先行。提高醫務人員的網絡安全防護意識，定期進行網絡安全相關知識培訓是一個有效手段。醫務人員對于網絡安全培訓有著極大的需求和熱情，可通過講座、知識競賽、攻防演練等多種形式進行培訓。

4.3 定期進行安全應急演練

做好全院級應急預案，并定期進行安全應急演練對醫療機構來說非常重要，在應急演練中及時發現信息系統及網絡暴露的安全問題，及時進行修補完善，進一步提高安全水平。

4.4 引進專業人才或定期購買第三方網絡安全服務

增大醫院對網絡安全的投入，引進熟知醫療行業安全風險的人才，購買第三方網絡安全服務，才能制定具有行業特征、本院特色的信息安全保護方案。定期開展入侵檢測系統、病毒特征庫的更新，避免病毒入侵、漏洞利用等安全隱患。

4.5 參照相關規范標準的要求完善建設

在2018年發布的《電子病歷分級評價標準》中增加了對基礎設施與安全管控的要求，其中四級要求具備獨立的信息機房，局域網全院聯通，服務器部署在獨立的安全保護區域內，有相關的網絡管理制度。五級要求樓層機房、網絡設備和配線架要有清晰且正確的標識；根據不同業務劃分獨立的網絡區域，全院重點區域應覆蓋無線局域網，部分醫療設備接入院內局域網；有配套的安全運維管理制度；具有保障信息系統服務器時間一致的機制；建立數據使用的審查機制，如需向境外傳輸數據應經過安全評估。四級標準也特意設置了基礎安全項，其中二級要求醫院必須建立數據安全管理制度；服務器、存儲等核心設備都要部署在專用機房內；服務器部署于獨立的安全域，且僅開放必要的網絡服務端口；系統之間進行數據交互時需要進行授權認證，對敏感數據進行標記，與其他系統進行數據交互時，可根據敏感標記進行有效控制；具備有效避免越權的措施，具備完整的授權審批管理流程，操作過程可通過系統追溯。

兩套標準中同時強調了安全管理制度、服務器獨立部署、數據使用安全的內容。醫院可根據實際業務需求，參照標準要求開展工作。

5 總結

網絡安全事件層出不窮，歸根到底取決于醫院的網絡安全意識薄弱、制度不規范、政策不嚴明。美國、澳大利亞等發達國家醫療機構網絡安全起步較早，為我國提供了許多值得借鑒的風險應對方法，如制定嚴格的處罰政策，提高專業技術水平修補漏洞等[12]。鑒于我國醫療機構網絡安全起步較晚，在網絡安全方面還存在許多誤區，實際建設中也存在許多問題，矯正認識誤區，完善建設中的問題迫在眉睫。智慧醫院的建設，前提是醫院網絡安全的建設。安全是基礎，沒有基礎，再多智慧、先進的功能都是空中樓閣，甚至會成為最危險的風險點。綜上，智慧醫院建設中要一手抓智慧，一手抓安全。