試論移動醫療的網絡安全問題及解決策略

◆謝志納 鄭文俊 葉均明

試論移動醫療的網絡安全問題及解決策略

◆謝志納 鄭文俊 葉均明

（江門市中心醫院 廣東 529000）

移動醫療是智慧醫療布局的一種具體形式，目前移動醫療正在成為醫院信息化建設的重心和熱點，移動醫療的最大優勢是推動醫院突破傳統的有線應用模式，進入到無線化、移動化的新應用狀態。無線網絡作為承載移動醫療業務的必要基礎，其固有的安全問題也遷延到了移動醫療領域。本文首先闡述了移動醫療的概念、服務功能及運作形式，其次分析了移動醫療在系統、渠道、數據信息等方面存在的安全問題，最后從提升移動醫療系統安全等級，完善移動醫療無線終端管理制度，加強移動醫療系統風險監管幾個方面進行策略探討。希望有利于改善和優化移動醫療網絡體系，降低移動醫療的網絡安全損失，從而更好地為社會公共衛生事業服務。

移動醫療；網絡安全問題；解決策略

1 移動醫療概述

1.1 移動醫療的基本概念

移動醫療（mHealth），這是以互聯網、電子通信技術為關鍵支撐構建的網絡化、數據化醫療服務平臺。其醫療信息獲取和服務功能的實現可以借助（，Personal Digital Assistant）、移動電話或衛星通信，它將社區、醫院、以及其他社會資源連接成一個緊密整體，通過無線網絡平臺實現醫療數據信息高效傳輸、聯網共享、線上線下同步服務等，可有效提升醫療衛生服務效率和服務質量，使患者就醫變得更加簡單便捷。

1.2 移動醫療的服務功能

移動醫療通過無線網絡借助移動終端，將移動醫療中心平臺、移動社區應用、城市無線應用、醫院移動應用連接成一個網絡體系，支持各主體部分實現一體化醫療服務功能（見圖1）。如醫院移動應用包括：預約掛號、預約體檢、檢驗結果查詢、RFID應用、護士移動護理、醫生移動查房、無線藥品管理、無線監護等；社區移動應包括：遠程健康監護、社區移動隨診、人員移動定位等；城市無線醫療應用包括：遠程醫療、醫療健康服務、健康檔案移動管理等；移動醫療中心平臺包括：信息分析及管理、信息安全管理、系統監控和管理、云計算數據中心服務等功能。[1]借助無線技術優勢，可以移動救護車上的醫護人員，通過移動高清視頻獲得清晰、準確的遠程醫療指引，可幫助患者靈活預約就診，及時接受醫療救助；各醫療機構可通過網絡系統平臺組織專家級醫生遠程會診；利用社區醫療信息平臺，可以用短信、WAP、呼叫中心等方式向公眾提供豐富的掌上醫訊和預約掛號等服務，對構建人性化、智慧化大醫療體系有著重大意義。

圖1 移動醫療服務體系

1.3 移動醫療的運作形式

移動醫療系統網絡主要由手機終端、APP軟件、無線接入點、服務器設備等組成。移動醫療的網絡接入既具有開放性，又具有隱蔽性，醫生和護理人員可以借助護理終端和病例檔案管理終端，實現對樓道內患者的初步檢測，確認相關信息。同時在醫院局域網環境下，各類醫療服務APP與各樓層交換機對接，交換機又通過光纖接入醫院會合器上，最后通過交換機或防火墻等接入中央機房。在這個連接過程中，APP連接仍保持著隱蔽性或開放性，因此，存在誤接其他終端設備的可能性，也容易受到多種風險因素的威脅。

2 移動醫療存在網絡安全問題

近年來國家高度重視公共醫療服務事業，在社會醫療保險體系建設的支持下，以及在突發性公共衛生事件的影響下，“互聯網+醫療健康”逐漸成為一種新的趨勢。但與之而來的移動醫療網絡安全風險也在逐步增長，主要為以下幾個方面：

2.1 系統安全風險不容忽視

開放性網絡，決定了移動醫療系統不可避免存在各類安全缺陷，網絡化醫療數據中包含了很多重要信息，諸如患者姓名、年齡、通訊方式等個人私密信息，也讓移動醫療網絡系統成了犯罪分子的首選侵害目標。據《醫療衛生行業網絡安全報告》2019年統計結果顯示，在受訪的醫療衛生行業15339個單位中，有6446個單位的應用服務端口完全暴露于公共網絡環境下，有4546個單位的網站存在不同程度的安全缺陷，醫療網站被侵入，被黑化和篡改數據的現象仍然比較常見[2]。據中國網絡信息安全管理中心公布的第44次中國網絡發展狀況統計報告顯示，僅2019年上旬，國家計算機網絡突發事件監測中心發現并處理的被篡改網站就高達40000多個，其中醫療衛生服務類網站安全問題占比18.6%，其主要網絡安全問題體現為第三方SDK安全缺陷和應用軟件程序漏洞。根據醫療保健行業移動應用程序安全觀察報告顯示，2019年整個醫療衛生行業中存在應用程序安全風險的單位和組織比例達到88.83%。將第三方SDK集成到醫療服務App是大多數醫療衛生機構的常規做法，目的是提高用戶使用便捷性，減輕醫療服務線下的工作壓力，但也讓不法分子有機可乘。根據“全國移動應用SDK市場報告”，醫療衛生及保健行業中，終端APP應用SDK的醫療機構占比25.58%，而其中60%以上的App都存在多種安全風險。

2.2 應用渠道安全風險凸顯

移動醫療應用渠道主要分為PC端門戶網站和手機客戶端軟件下載渠道兩大類。釣魚網站是移動醫療網絡安全的最大威脅因素，據相關統計報道，在全球4000多個與冠狀病毒有關的域名中，惡意域名占比3%，可疑域名占5%。另外，由于網絡下載路徑多種多樣，其中真假鏈接難以區分，大量的仿冒軟件和假鏈接隱藏著大量的木馬病毒，造成用戶個人信息被盜。

2.3 數據信息安全風險加重

一是非法收集、盜用用戶隱私信息的問題日益突出。移動醫療App在為患者提供就醫服務便利的同時，也暴露出用戶隱私泄密的普遍問題，現階段我國還沒有專門針對移動醫療APP安全風險的有效監管治理機制，移動醫療APP的開發、運營隨意性非常大，每一個醫療衛生機構或社會企業組織可以開發自己的APP軟件，卻沒有用戶協議和隱私政策，其合法性難以保障；某些APP以醫療服務為幌子，通過福利性承諾來吸引用戶注冊，背后卻干著肆意非法收集個人隱私信息的勾當，如監控用戶手機信息、竊取用戶聯系方式、身份信息、短信內容，套取金融賬戶密碼等。二是醫療數據頻繁泄露，造成惡劣社會影響。一些移動醫療網絡運營商缺乏完善的醫療系統安全防控機制，醫療健康關鍵數據的防護級別較低，屢屢遭到網絡黑客的侵害，出現移動醫療系統癱瘓，醫療機構內外部網絡通信中斷，醫療機構及用戶的核心數據信息被泄露，既給醫療機構和用戶帶來聲譽、經濟上的損失，又加劇了社會矛盾。

3 應對移動醫療網絡安全問題的主要策略

移動醫療的網絡安全問題不可忽視，目前已經成了網絡風險高發項，帶來的醫療資源及用戶經濟損失逐年上升，要想有效解決這一安全問題需要從以下三個方面入手：

3.1 技術層面提升移動醫療系統安全等級

醫療衛生機構應組建專業的技術維護小組，對移動醫療系統予以定期升級，使用多種技術措施對存在的風險隱患予以及時處理。首先，采用網閘和高安全級別的防火墻建立物理隔離防護網，利用網閘從電路上切斷風險網絡的鏈接通道；使用高安全性的防火墻，一方面降低外部安全侵入系統平臺的可能性，另一方面避免攻擊者以破解后的數據網關為切口進而危及內網安全，從而有效提升移動醫療的網絡安全環境，可以使用HTTPS協議防護技術和移動設備檢驗技術，提升外網安全層級。[3]其次，加強網絡訪問安全控制。在路由器接口端建立訪問控制列表，通過限制網絡流量的方式來提升移動醫療網絡訪問安全。內網服務器只能夠對訪問外網的指定IP，限制其他訪問自由；外部訪問請求必須獲得內部授權后才能進入，內外網雙層制約可最大限度避免非法侵入。

3.2 醫院方面完善移動醫療無線終端管理制度

移動醫療的網絡安全問題關鍵是自身無線終端安全管理，這就需要有一套完善且科學的管理體系。各類使用移動醫療系統的醫療機構應建立健全《移動醫療系統安全管理規范》《無線終端管理制度》《移動網絡管理制度》等。使用移動醫療系統的人員必須是安全培訓合格者，要嚴格登錄密碼和系統驗證碼管理，操作人員要設置較高安全級別的密碼并經常更換。密碼需包含多種信息內容，如指紋、多重口令、人臉動態圖像等，以此有效降低網絡安全風險[4]。此外，還要定期抽檢、檢查無線終端安全狀態，對于移動醫療應用，要確保域內無線端口專項使用，不能用于網頁瀏覽、在線游戲、視頻播放、網上購物等，防止誤點木馬鏈接，也可以采取非常規許可、自定義鍵盤、防窺探等安全防范措施。

3.3 內外結合加強移動醫療系統風險監管

應對移動醫療安全問題，需要構筑政府監管、行業自律、機構自檢的三道防線。政府方面，相關管理部門要做好安全規劃，建立網絡安全監管機制，加強指導和引導，確保各項監管措施落實到位。醫療行業方面，落實社會信用保證制度，加強行內監督，積極配合監管部門進行自查自檢。還要建立技術模式與管理機制相結合的安全風險監控管理系統；首先，各行業主管部門要明確行業監管的目標和程序，積極協調內部主體，建立行業監管協調機制。其次，地區監管機構應對轄區內的移動應用風險進行實時監測和匯總，建立大數據信息庫，做好移動醫療網絡風險預警。另外，信用管理監督檢查技術實施單位，即各類醫療衛生服務機構，應根據監督檢查規則，運用技術和管理手段收集所屬移動應用程序的數據，并將數據報告給地區或當地的監督檢查機構。

4 結語

飛速發展的無線網絡技術既為醫院的醫療信息化建設提供了載體支持，明顯提高了醫療工作效率和質量，但同時又潛藏著數據丟失、信息泄露、系統癱瘓等一系列的網絡安全問題，在機遇與挑戰并存的現實情況下，移動醫療建設和發展要特別重視網絡安全風險應對。必須積極利用更先進的信息網絡技術提升系統安全等級，建立一套完善的安全管理制度體系，加強系統監管實時進行數據信息更新，以此，更好地保證醫院醫療信息安全，有效降低不法網絡攻擊造成的醫療信息損失，從而保障醫療事業的健康穩定發展。

[1]姜叢吾.移動醫療醫院信息網絡安全和對策探索[J].科技創新導報，2020，17（9）：140，142.

[2]聶靚.移動醫療醫院信息網絡安全和對策探索[J].中國新通信，2019，21（8）：120.

[3]述旭，陶紅兵，都麗婷，等.“互聯網 +”背景下移動醫療質量與安全問題分析及對策研究[J].中國衛生質量管理，2017（3）：82-85.

[4]徐揚凱.醫院信息網絡安全分析與解決措施的探討[J].電子世界，2016（17）：175-175