醫療事業單位網絡安全管理風險研究與思考

——張 蕾 韓作為 舒 婷*

醫療行業利用信息化技術為患者提供便捷醫療服務的同時，也伴隨產生了大量的醫療數據，這些數據與患者隱私、醫療行為、醫學研究緊密相關[1]。對于醫療事業單位而言，提高應對網絡安全事件的能力和建立網絡安全應急機制十分必要。分析《中華人民共和國網絡安全法》《國家網絡安全事件應急預案》《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》《中華人民共和國基本醫療衛生與健康促進法》等法律法規可以發現，國家對醫療行業的網絡安全工作高度重視。但在信息化蓬勃發展之際，醫療事業單位所面臨的網絡安全風險也越來越多，無論是管理還是人才培養等方面都相對滯后，網絡安全整體狀況不理想。因此，制定健全的網絡安全管理制度，建立高效可行的技術架構體系，才能保障醫療事業單位網絡安全[2]。

1 網絡安全管理存在的問題

隨著社會的快速發展，互聯網技術的應用范圍不斷擴大，與此同時，黑客入侵、惡意軟件、病毒泛濫、數據信息泄露等網絡安全攻擊事件也越來越多[3]。作為國家醫療行業行政管理和科學研究以及為政府機關提供決策支持的醫療事業單位，其網絡安全建設和管理尤為重要。分析醫療行業網絡安全面臨的嚴峻形勢，目前醫療事業單位網絡安全管理工作主要存在以下幾方面的問題。

1.1 制度不健全

2018年，國務院辦公廳印發了《關于促進“互聯網+醫療健康”發展的意見》，提出了促進互聯網與醫療健康深入融合發展的一系列政策措施，其中加強行業監管和安全保障，對強化醫療質量監管，保障數據安全等方面提出了具體要求。由國務院直屬多部門共同負責，要求各地區、各有關部門及時出臺配套政策措施，明確責任，嚴格執行信息安全和健康醫療數據保密規定，完善各項信息保護制度，定期開展信息安全隱患排查以及監測預警等工作[4]。2019年，國家衛生健康委員會和國家中醫藥管理局聯合印發了《關于落實衛生健康行業網絡信息與數據安全責任的通知》，要求行業內各部門要制定相關規章制度和標準規范，建立行業監測預警、巡查抽查制度和網絡安全事件處置機制等[5]。

從中國信息安全測評中心對我國醫療行業信息系統的網絡安全測評結果來看，絕大多數醫療信息系統都存在監管不力、制度不完善、安全管理機構職責不明、人員安全意識淡薄等問題[6]。這些都表明了醫療行業事業單位在網絡安全管理制度方面存在漏洞，嚴重影響了網絡安全工作的有效實施，同時在應對網絡安全突發事件時，缺乏有效的應急處理機制，甚至會造成嚴重的網絡安全事件[7]。

1.2 技術及管理人才短缺

在網絡安全管理工作中，人員的儲備和管理十分重要。近年來，國家對網絡安全高度重視，醫療行業的網絡安全是我國網絡安全的重要組成部分。例如，某醫療行業事業單位因自身人才短缺等原因，在信息系統日常維護中，不能做到全面排查，及時發現并改正問題，導致未能及時發現信息系統的漏洞，未進行及時修復，被惡意利用，引發安全事件[8]。

醫療事業單位大多缺乏專職的網絡安全管理人員和技術人員，工作人員一般不具備專業知識，在日常工作中無法對網絡系統進行定期檢查和維護，面對突發網絡安全事件時，無法進行有效處理，而且在業務系統的建立及管理工作中參與度有限，影響了醫療事業單位網絡安全管理的規劃和日常技術管理工作[9-10]。

1.3 培訓教育不及時

網絡安全意識以及安全技能等方面的培訓可以提高網絡安全管理人員的能力，有些單位卻忽略了對職工網絡安全意識的培養，職工能夠參與并接觸到的網絡安全培訓機會非常少，從而導致許多職工的網絡安全知識匱乏或網絡安全意識淡薄。因此，在完善網絡安全制度建設的同時，也應通過培訓，不斷提高工作人員安全意識，降低因人員誤操作或無意識中泄露隱私數據而帶來的安全風險。

1.4 管理及應對措施不到位

騰訊智慧安全發布的《醫療行業勒索病毒專題報告》顯示，2018年全國有247家三甲醫院檢測出了勒索病毒。2019年初，某省幾十家互聯互通醫院同時感染GlobeImposter 3.0變種勒索病毒而被加密，在眾多感染該病毒的機構中，醫療事業單位占一半，這使之遭遇了巨大的經濟損失[6]。可見，醫療行業的網絡安全管理缺乏經驗和整體思路，在職人員的網絡安全維護技術水平也相對薄弱。監測預警和應急處置是加強網絡安全工作的重要內容，尤其是當涉及到關鍵信息、基礎設施、重要系統時，必須進行專業的實時監測，建立立體化的監測預警體系，并能第一時間發現并處置問題。而在實際工作中，會因從業人員網絡安全管理知識和經驗不足、防護措施不到位、缺乏必要的網絡安全防御設備等問題導致被動應對，未能提前做好動態管理及相應的主動防御。

2 網絡安全管理建議

2.1 完善組織管理，建立健全管理制度

于2020年6月1日起實施的《中華人民共和國基本醫療衛生與健康促進法》提出，因醫療衛生機構的醫療信息安全制度、保障措施不健全，導致醫療信息泄露，或者醫療質量管理和醫療技術管理制度、安全措施不健全的，對直接負責的主管人員和其他直接責任人依法追究法律責任[11]。2016年印發的《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》強調，強化安全管理責任，有效保護個人隱私和信息安全、建立安全防護、系統互聯共享、公民隱私保護等軟件的評價和安全審查制度[12]。2018年印發的《關于印發國家健康醫療大數據標準、安全和服務管理辦法(試行)的通知》中也提到，責任單位應當建立健全相關安全管理制度、操作規程和技術規范，落實“一把手”責任制，加強安全保障體系建設，強化統籌管理和協調監督，保障健康醫療大數據安全[13]。以上法律文件均從不同角度強調了醫療行業網絡安全的重要性，因此任何醫療事業單位都應當建立健全網絡安全規章制度，通過制度的約束和嚴格的管理輔助日常工作。(1)組織制定信息安全管理制度和規范；(2)成立信息化和網絡安全領導小組，組建專門的信息化和網絡安全隊伍，研究網絡安全管理及發展機制；(3)對網站、信息系統的開發、運維、升級改造等進行安全把控，保障本單位的信息化工作安全有序開展。

2.2 加強人員儲備及管理

保障網絡安全的所有環節都需要人來參與，從管理到實操，人是最關鍵的因素之一。人員儲備應該包括負責頂層設計的管理人員、實際操作的技術人員以及維護人員等。

醫療事業單位大多沒有足夠的專業人員來建立自己的網絡安全管理團隊，這種情況必須考慮擴充人才隊伍，主要由兩部分人員組成：(1)內部人員。為本單位長期聘用人員，服從單位的各項制度管理；(2)外部人員。為向本單位提供服務的外單位人員，如軟硬件維護和技術支持人員、網絡安全顧問等。

2.3 提高思想認識

對于醫療事業單位尤其是網絡專業技術人員數量有限的科研機構來說，加強網絡安全培訓、知識普及和業務交流是提升工作人員思想認識和基礎知識水平的有效途徑，可以通過以下幾種方式進行：(1)加強網絡安全等級保護和關鍵信息基礎設施保護的政策宣貫；(2)強化培訓教育、業務交流等方式，推動網絡安全人才教育培訓體系建設，達到強化全體職工網絡安全理念、提高網絡安全意識等目的；(3)通過組織網絡安全應急演練，開展網絡攻防演習等活動，提高技術工作人員的實戰能力。

3 構建監測預警與應急處置體系

2005年頒布的《國家突發公共事件總體應急預案》提出，應建立我國應急預案體系的基本框架。并明確指出，各單位要做好網絡安全事件的日常預防工作，制定完善應急預案，做好網絡安全檢查、隱患排查、風險評估和容災備份，健全網絡安全信息通報機制，及時采取有效措施，提高網絡安全事件的應對能力[14]。

3.1 監測預警

《中華人民共和國網絡安全法》要求，國家層面建立統一的監測預警、信息通報和應急處置機制，各單位也應當建立自己的網絡安全監測預警體系，以便盡早發現事件的隱患，及時上報并采取有效措施，避免信息數據泄露等事件發生[15]。

建立監測預警體系一般分為預警分級、預警監測、預警研判和發布、預警響應、預警解除5個部分。(1)預警分級可由高到低用不同顏色表示事件的級別和嚴重程度。(2)預警監測主要是對遠期預警信息的監測，建立相關網絡信息與數據安全事件預警和監控系統，并結合第三方監測信息，及時發現并上報網絡安全威脅或事件發生的跡象和趨勢。(3)建立預警信息專家研判隊伍，完善預警上報及發布的流程和規范。由專家對監測信息進行研判，如需要立即采取防范措施的，應及時向有關部門和單位發布預警信息；如涉及重大網絡安全事件的，應立即向上級主管單位報告。發布預警信息應當包含類別、級別、起始時間、影響范圍、警示事項、應采取的措施和時限等要求。(4)在收到預警信息后，應立即進入預警狀態，并按照相關應急預案開展相關工作。(5)當獲得上級部門或者本單位相關管理部門授權后，發布預警解除信息。

3.2 應急處置

應急處置要求在網絡安全事件應急響應過程中建立跨部門聯動的應急處置體系，需要行政管理部門、業務管理部門以及技術支持部門的通力配合。應急處置體系一般分為發現網絡安全事件、先期處置、基本響應、分級響應、擴大應急、應急結束等環節。(1)當發現網絡安全事件時，應第一時間上報至本單位的信息安全領導小組辦公室，信息安全領導小組辦公室統籌協調，組織技術團隊核實事件的真實性，并做好相關信息的保密工作。(2)當核實為真實事件后，上報至上級行政主管部門，同時組織相關專家和技術團隊對事件進行研判并確定事件等級，做好信息通報工作。(3)根據專家研判結果，啟動相應級別的應急方案。一般可將事件基本分成高級、中級、低級等級別，可結合本單位實際情況增加分級級別。級別不同，應急響應的時間也有所區別。同時成立現場應急指揮部，相關部門進入應急狀態，并及時將有關信息上報至上級行政主管單位。(4)根據事件級別，應急響應也可分級別響應，通常跟事件分級相對應。應急響應過程和具體執行步驟需要根據級別的不同分別設定。(5)擴大應急狀態通常指在應急處置過程中，如果事態有所發展，事件級別應由原先專家研判的級別提升至更高級，并及時啟動高級響應的相關預案。(6)當網絡安全事件應急處置完成，次生、衍生危害基本消除，風險得到控制，即宣告應急處置工作結束。如為高級別事件，應由領導小組辦公室向上級行政主管部門提出申請，經批準后通報應急結束。

4 小結

醫療事業單位在日常網絡安全管理中存在不足，應根據國家出臺的相關政策及法律法規，建立檢測預警與應急處置體系。當前，我國醫療行業信息化非常快速，傳統醫療與新興技術的深度融合促進了醫療衛生行業的服務水平，但所面臨的網絡安全風險也逐漸加大。醫療行業掌握了大量的、可利用的信息，但整體應對網絡安全的防護水平不高以及應對網絡安全防護的能力較弱。因此，醫療事業單位網絡安全工作需要管理部門的組織協調、溝通，并以強大的技術團隊作為支撐，不斷加強頂層設計，提升管理和技術能力，以有效推進網絡安全管理工作的持續發展。