当今时代随着网络快速发展,各个行业逐渐信息化,科技化,数据化。毋庸置疑信息给我们带来便利同时对各个行业也存在潜在的危险。例如在医学上患者的医疗信息频频泄露,这种情况的发生对人民的生活和财产安全都是非常不利的。所以网络医疗信息的保护不仅是患者的事,更是医院的事,政府的事,国家的事。
自1994年互联网引进中国以来,互联网已经逐渐渗透到了生活的方方面面。对于互联网技术高速发展的今天,信息的传播速度也越来越快。信息在当今社会尤为重要。互联网的普遍运用,使互联网渗透到了许多关乎民生的产业,网络医疗也不例外。各种医疗信息的查找和收集越来越容易,得到的信息也越来越真实。但同时也伴随着一定不安全因素。信息的一点点暴露都有可能引发一系列的问题。”互联网+”和大数据等概念的提出改变了人们对传统医疗的认知,医院的好坏可能直接反映在网络医疗的好坏中,同时许多私人企业也发现了商机,网络医疗变得越来越受人重视。网络医疗的兴起方便了患者的就诊,优化了医疗的产业模式,方便了医疗知识的传播和发展,是传统医疗的衍生和进步。但这些进步时患者的信息更容易获得和聚集。在医院存储,调用患者信息越来越方便的同时,也伴随着信息被窃听,泄露,篡改的风险。而患者的病症信息往往是敏感的。近几年,孕、产妇个人信息泄露的新闻几乎不绝于耳,其带来的一系列推销、诈骗问题严重困扰信息当事人。就此情况医院医疗信息的保存和在信息传送过程中的保护变得尤为重要。对网络安全的维护是刻不容缓的。
01
—
1.1 硬件安全中的漏洞
保护医疗信息存储安全的基础是硬件,硬件设施经常关乎到医疗服务质量的安全性和可靠性,好的硬件设施会使信息保护起到事半功倍的效果。自改革开放以来我国对医疗网络的构建成果是有目共睹的,但还是时常出现设备老化和安全管理不到位等问题,这些问题会对信息的保存和使用造成极大的安全隐患,不利于医院信息网络的安全稳定。问题主要包括:
(1)温度和湿度对硬件长期的侵蚀;
(2)雷雨天气,地震海啸等自然灾害的侵扰;
(3)老化的电脑和主机没有及时升级和更换导致信息的丢失;
1.2 人为因素对医院信息安全的威胁
某省妇幼保健院的大量新生儿视频泄露,其主要原因是黑客入侵了数据库。这是人为因素影响医院信息安全的典型案列。人为因素也是影响医院信息安全的因素之一,其中分为内部成员因素和外部成员因素。
(1)内部成员因素:主要是内部成员未经患者允许有意向外界公布或出售患者的病例和个人信息,不仅使患者的名誉和财产甚至是生命安全受到侵害,而且对医院的声誉有很大的负面影响,也是最难防范的威胁之一;
(2)外部成员因素:是外部成员通过对医院安全网络植入木马,窃听软件,电脑病毒等使医院网络,电脑瘫痪或者盗取患者个人信息以一己私利的人为威胁,对医院信息网络的破坏性极强,会造成社会恐慌和信用危机,加剧医患矛盾,不利于医疗网络建立的良性发展。
1.3 使用网络医疗产品中的泄露风险
02
—
2.1 物理安全的防范
(4)建立内网和外网,内网只与数据库连接,负责院内的信息传递和患者的信息存储。外网与互联网连接,负责挂号,跨院信息传递和院外网络咨询。外网和内网不能在同一台电脑主机中应用,外网要随时监控以防止外部的病毒、木马入侵。
2.3 网络安全的保护
(1)网络医疗产品的保护:网络医疗产品时医院与患者沟通和交流的新途径,在患者注册产品的同时,医院应该将保护患者的信息不被侵害。建议医院与大公司合作来共同推出网络医疗产品。
(2)服务器的升级:黑客经常利用服务器的漏洞,向服务器不间断地输送无用的信息,造成服务器的关闭,建议医院不断升级服务器,让犯罪分子没有可乘之机。
(3)采用最新安全技术:引进国内最新的信息安全技术有利于信息的存储,也有利于中国医疗网络安全的发展,从而创造出符合我国国情的防护措施。
网络安全不仅是医院的责任,个人同样要保护自己的医疗信息不受侵害,应该做到:不使用信用度低的,规模小的医疗网络安全产品。下载安全软件保护自己的上网环境不受侵害。用户在使用计算机的过程中,必须需要安装防火墙以及杀毒软件。
03
—
2016.4.19,习主席在网络安全和信息化工作座谈会上,深刻阐明网络生态事关人民利益。
其中重点:
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2018年9月13日,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
2018年9月14日,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
2018年12月21日,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。
2019年4月,国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等10个方面。
2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
2020年2月28日,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
实施风险评估
网络安全风险评估主要包括资产、威胁、脆弱性和风险四个主要因素。网络安全风险评估能为全面有效落实安全管理工作提供基础,通过预测事件发生的可能性、影响范围和危害程度,有效提高预防保护的准确性。企业信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。网络安全风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设。网络安全风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
