袁飞　于海燕

[摘要] 在国家推进“互联网+医疗”产业发展日益深入的背景下，“互联网+”正以其独特的发展优势，为医疗机构公共服务方式的转型、发展提供了动力。与此同时，信息安全建设的不足也逐步显现，物理环境薄弱的隐患、敏感信息的泄露、恶意网络入侵等现象越来越不容忽视。面对机遇和挑战，医疗机构如何应对因信息互联互通极速拓展而带来的信息安全问题，这是需要医疗信息化建设者们一同探讨的问题。该文对当前医疗机构存在的信息安全问题提出分析，针对“互联网+医疗”新形势下医疗机构的信息安全建设提出对策。

[关键词] 互联网+;医疗机构;信息安全

[中圖分类号] R197 [文献标识码] A [文章编号] 1672-5654（2019）02（c）-0165-02

2015年3月在十二届全国人大三次会议的政府工作报告上，李克强总理首次提出“互联网+”行动计划，随即“互联网+”成为舆论热点并作为国家重要发展战略在全国推广[1]。“互联网+医疗”作为改善我国现有医疗模式缺陷的一种手段，成为了解决“看病难，看病贵”在医疗行业信息建设中一种全新解决方案。但是，在海量医疗数据和剧增的互联网医疗服务的背后，医疗机构信息安全问题也日益显现[2]。医疗黑色产业链的猖獗，使得医疗数据的价值越来越大。近几年来，国内外医疗机构被互联网黑客入侵、勒索病毒攻击等信息安全事件日益增多。

1  医疗信息安全的现况与案例

1.1  近年来医疗信息安全事件案例

2016年2月，浙一互联网医院发生信息泄漏事件，造成患者个人隐私被泄漏，医疗机构内部数据信息被一览无余。

2017年5月，英国国家医疗服务体系（NHS）的至少16家医疗机构遭到了攻击，黑客索要每家医疗机构300比特币（接近400万人民币）的赎金，否则将删除所有资料。

2018年7月，新加坡健康档案数据库遭黑客攻击，导致150万患者个人诊疗信息数据泄露。

2018年3月，湖南省儿童医院信息系统瘫痪，多台服务器感染GlobeImposter勒索病毒，黑客要求院方必须在6 h内为每台中招机器支付1个比特币赎金，约合人民币66 000余元。

1.2  全球医疗机构网络信息安全概况

在国内（除港澳台以外），根据《医疗行业安全指数报告（2018年8月）》报告显示：各医疗机构不同维度来看，医疗机构安全指数的分布如下：22%的医疗机构安全指数处于优秀水平;38%的医疗机构安全指数处于良好水平;39%的医疗机构安全指数处于一般水平;1%的医疗机构安全指数处于较差水平。在国外，根据美国卫生及公共服务部（United States Department of Health and Human Services）统计，医疗信息泄露带给美国整个医疗行业的损失高达每年60亿美元，平均每次泄露会给医疗机构造成350万美元的损失，会给个人造成近400美元的损失。

纵观全球，黑客攻击造成的的医疗信息泄露事件频发。仅在2018年过去的几个月中，单次泄露数据大于500条的数据泄露事件就发生了数百起，几乎每个月都会发生3～4起重大医疗数据泄露事件。

2  医疗机构信息安全问题的原因与分析

2.1  医疗数据的价值越来越高，不法分子趋之如骛

目前不法份子已经发现一条稳定的“生财之道”，黑客利用医疗信息安全漏洞来获利，主要可以分为以下3大类方式：①是利用泄露的个人医疗信息直接“变现”。在黑市上，个人医疗信息的价值比信用卡信息要高50倍。因为它里面包括了患者的个人基本信息、财务信息和健康信息等多种敏感数据[3]。不法分子可以通过贩卖个人数据而获利。②利用网络技术入侵信息系统，获取非法权限占用医疗资源再换取财产，比如：医疗机构的服务器资源被黑客滥用于挖矿牟利。③利用安全漏洞，勒索医疗机构间接“变现”。主要的手段是通过网络安全漏洞控制医院网络系统，以破坏医院正常运营秩序，进而向医院索要赎金。

2.2  国际信息博弈激烈，网络安全形势严峻

当前国际网络空间竞合博弈高热，各国着力打造网络攻防博弈的“矛”与“盾”，发达国家加紧对新兴网络大国的威胁渲染，网络联盟趋势愈发紧密，网络部队的战略地位获得进一步巩固和提升。近期，美国外交政策全国委员会（NCAFP）发布题为《防御新前沿：网络空间与美国外交政策》研究报告，认为当前的美国网络安全可分解为中国、伊朗和俄罗斯是美国网络空间领域的主要对手。2017年美国宣布升级美军网络司令部，成为美军第十个联合作战司令部，其目标是在2018年9月30日前建成133支具有全面作战能力的网络部队[4]。

2.3  医疗机构信息安全防护能力较弱，信息安全投入较少

医疗机构对保障信息安全工作的资源投入较少，是使得数据安全得不到保障的直接原因之一。医疗机构在信息化上的投入并不是很大，一般要求为企业年收入的2%～4%，但大多数医疗机构未能投入该额度预算[5]。相对软件应用系统来说，投入到信息安全硬件设备上的预算更少，信息管理部门在这方面的防范措施更是力不从心。多数软件在设计之初，并没与完全考虑到未来互联互通时可能存在的安全问题，留下了很多安全隐患漏洞。

2.4  医疗机构普遍缺乏信息安全专业人才

面对严峻的网络信息安全攻防来说，医疗机构的管理水平稍显不足。网络信息安全建设所需的信息技术人员多为信息技术专业毕业，网络技术、加密技术、通信技术任何一科都是专业性很强的学科。在“互联网+医疗”飞速发展的当下，信息安全相关技术人才的数量和技术含量与实际需要存在较大差距。

3  医疗机构信息安全建设的对策

3.1  提升管理人员对信息安全重要性的认识

医疗机构在大力推行“互联网+医疗”的同时，必须对信息安全建设有足够的认识。我国在2016年11月7日通过《中华人民共和国网络安全法》，自2017年6月1日起正式施行。习近平主席指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。将用网络安全法来捍卫我国的第五疆域。”在这新时期到来之际，从业者（医疗机构信息部门乃至医疗机构全体职工、相关公司等）其工作原则和具体方案实施中都必须进行调整和改变思路，方能在《网络安全法》的大框架下，完美、有效、良性、安全地做好医疗机构的信息化工作。

3.2  加大信息系统安全建设的投入

一个运行安全可靠的信息系统，必须依赖于完善的安全硬件设备和专业的技术管理人员相配合，才能为繁重的信息系统安全保障工作提供足够的支持。因此，医疗机构必须加大信息安全建设的投入，除了重要安全基础设施的配置外，还要重视IT管理人员专业素质的培养，才能在日益复杂的信息安全环境中，使医疗机构得以从容应对。

3.3  构建完善的信息安全管理体系

信息安全管理体系（Information Security Management System，簡称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。“信息”作为资产的一种，在不同的生命周期阶段，包括构思、规约、设计、开发、测试、实现、使用、维护，并最终退役和销毁中，其资产的价值和所面临的风险可能会发生变化，在每一阶段上应当考虑信息安全。医疗机构需要通过规范的标准，构建一个可靠的信息安全保障系统，继承各种硬件、软件和密码设备，保障其他业务应用信息系统正常运行的专用信息应用系统，附带系统相关岗位、人员、策略、制度和规程的总和。从而形成一道立体的、多层面的信息安全防御系统。

3.4  加强信息安全技术人员的专业素养培养

专业人员的素质是信息安全环节中极为重要的部分之一。人既是信息安全最大的防护者，也是信息安全问题的制造者。由于种种原因，目前世界上信息攻击技术远远超前于防护技术，因此需要技术人员不断学习前沿技术，了解个技术发展趋势，才能具备足够的专业知识面对各种信息安全问题。

4  医疗机构信息安全建设的总结与展望

身处信息化时代，对信息化的依赖程度越来越高，高度互联互通的信息系统一方面确实提升了不少民生办事效率，但是另一方面也要面对“牵一发而动全身”的系统安全风险。当用户将业务服务系统高连续性和新功能快速增长当成一种习惯时，政府、医疗机构、信息化建设者、用户都会不约而同地追求这种高增长的成就感。越来越多传统医疗机构将其业务从线下扩展到线上，同时我们也看到医疗机构在信息安全建设的投入依旧有限。数字化为世界打开了一扇扇带来巨大效益的大门时，也不可避免地带来了一个个被攻击的安全风险。在互联网+、移动医疗、大数据建设取得稳步上升的新形势下，信息化建设者们都应砥砺前行，为迎接每一个信息风险管理浪潮做好充分准备。

[参考文献]

[1]  刘洪梅，张舒，磨惟伟.2017年国际信息安全总体态势[J].中国安全信息，2018（1）：56-59.

[2]  孙巍，王玉珍，陈韬.基于等级保护要求 加强医疗机构信息安全管理[J].中国卫生信息管理杂志，2017，14（6）：843-845.

[3]  木须.对系统安全防护重视不够 国外多家医疗机构遭到勒索软件攻击[J].信息安全与通信保密，2016（5）：68-69.

[4]  赵大仁，何思长，孙渤星，等.我国“互联网+医疗”的实施现状与思考[J].卫生经济研究，2016（7）：14-17.

[5]  葛斌，张友能，石文兵.新形势下高校信息安全专业教学改革探讨[J].通化师范学院学报，2015（8）：94-96.