互聯(lián)網(wǎng)+背景下的醫(yī)療信息安全問(wèn)題分析

袁驥 江蘇省張家港市衛(wèi)生和計(jì)劃生育委員會(huì)信息科

引言：互聯(lián)網(wǎng)+醫(yī)療的興起在方便患者就診、節(jié)省醫(yī)療成本、優(yōu)化醫(yī)療模式、保證醫(yī)療安全、方便醫(yī)學(xué)研究等方面發(fā)揮了重要作用。然而隨著互聯(lián)網(wǎng)+背景下醫(yī)療的推廣和云技術(shù)、大數(shù)據(jù)分析的應(yīng)用，患者醫(yī)療信息變得更集中更易獲得，在醫(yī)療數(shù)據(jù)采集、存儲(chǔ)和應(yīng)用過(guò)程中常發(fā)生數(shù)據(jù)泄露的問(wèn)題。因此，很有必要對(duì)在互聯(lián)網(wǎng)+醫(yī)療環(huán)境下的咨詢服務(wù)、遠(yuǎn)程醫(yī)療、移動(dòng)醫(yī)療設(shè)備使用中可能存在的隱私泄露等信息安全性問(wèn)題進(jìn)行分析，采取針對(duì)性的預(yù)防和解決措施。

1.互聯(lián)網(wǎng)+背景下醫(yī)療信息面臨的安全隱患及問(wèn)題分析

1.1 相關(guān)法律法規(guī)不健全

目前我國(guó)尚無(wú)系統(tǒng)性的法律法規(guī)來(lái)確保醫(yī)療信息安全，尤其是在涉及隱私保護(hù)方面主要采用間接方式分散在效力層次不一的各種法律、法規(guī)甚至規(guī)范性文件中，且規(guī)定模糊、震懾力有限，這不僅會(huì)使隱私信息泄露者肆無(wú)忌憚，而且在出現(xiàn)糾紛時(shí)也往往無(wú)法可依。因此，需要有專門的互聯(lián)網(wǎng)醫(yī)療信息安全的法律法規(guī)，以此規(guī)范我國(guó)的醫(yī)療信息安全防護(hù)。

1.2 內(nèi)外網(wǎng)融合下的非法網(wǎng)絡(luò)入侵隱患

隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展和普及，原本僅在醫(yī)院內(nèi)部運(yùn)轉(zhuǎn)的醫(yī)療數(shù)據(jù)已經(jīng)難以保持完全的封閉狀態(tài)，需要打破原有內(nèi)外網(wǎng)物理隔離的模式，建立兼顧經(jīng)濟(jì)性和開(kāi)放性特點(diǎn)的內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)結(jié)構(gòu)使內(nèi)外網(wǎng)絡(luò)實(shí)現(xiàn)有條件的互聯(lián)互通。大多數(shù)醫(yī)療機(jī)構(gòu)長(zhǎng)期積累的院內(nèi)網(wǎng)絡(luò)及系統(tǒng)的管理經(jīng)驗(yàn)面對(duì)層出不窮的互聯(lián)網(wǎng)應(yīng)用缺乏技術(shù)儲(chǔ)備和網(wǎng)絡(luò)安全的管理經(jīng)驗(yàn)，不能高效地對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行追蹤與及時(shí)反饋，缺乏漏洞管理流程，在不斷擴(kuò)大內(nèi)外網(wǎng)數(shù)據(jù)交換范圍的需求下，相應(yīng)的風(fēng)險(xiǎn)也在增大。

1.3 平臺(tái)運(yùn)行的可用性隱患

當(dāng)前絕大多數(shù)醫(yī)療機(jī)構(gòu)，在軟硬件平臺(tái)的搭建上多是采用自建機(jī)房或租用網(wǎng)絡(luò)服務(wù)商的空間并由自己或委托互聯(lián)網(wǎng)企業(yè)進(jìn)行軟件開(kāi)發(fā)及運(yùn)維的方式。由于各機(jī)構(gòu)間的技術(shù)實(shí)力差距較大，平臺(tái)軟硬件的穩(wěn)定性和抵抗DDoS等攻擊的能力也良莠不齊，存在提供的應(yīng)用服務(wù)不穩(wěn)定及易遭攻擊等信息安全隱患。

1.4 數(shù)據(jù)的不完整性和不可控性隱患

醫(yī)療機(jī)構(gòu)的數(shù)據(jù)庫(kù)多是存儲(chǔ)在自建的數(shù)據(jù)中心或第三方企業(yè)研發(fā)的云平臺(tái)，各種應(yīng)用的數(shù)據(jù)在存儲(chǔ)備份上缺乏相應(yīng)的規(guī)范與統(tǒng)一標(biāo)準(zhǔn)，一旦出現(xiàn)意外情況，容易導(dǎo)致數(shù)據(jù)存在被篡改、丟失、缺損等不完整性風(fēng)險(xiǎn)。另外診療過(guò)程中的關(guān)鍵數(shù)據(jù)并不完全處于監(jiān)管者或患者的有效掌握與控制之下，在出現(xiàn)醫(yī)療糾紛或事故時(shí)監(jiān)管機(jī)構(gòu)面臨較大的取證難度。

1.5 軟件穩(wěn)定性和網(wǎng)絡(luò)攻擊的隱患

在移動(dòng)醫(yī)療設(shè)備的軟件設(shè)計(jì)過(guò)程中，即使邏輯經(jīng)過(guò)嚴(yán)謹(jǐn)?shù)臏y(cè)試，其容錯(cuò)性、穩(wěn)定性、硬件的兼容性以及物理環(huán)境也會(huì)引入各種各樣的風(fēng)險(xiǎn)，同時(shí)大部分的移動(dòng)醫(yī)療設(shè)備在使用時(shí)醫(yī)生可以通過(guò)無(wú)線網(wǎng)絡(luò)遠(yuǎn)程獲取患者的健康狀況數(shù)據(jù)，黑客通過(guò)網(wǎng)絡(luò)攻擊，存在遠(yuǎn)程控制設(shè)備并可任意調(diào)整軟件設(shè)定值等隱患，情況嚴(yán)重時(shí)將可危及使用者的生命。

2.互聯(lián)網(wǎng)+背景下提升醫(yī)療信息安全的對(duì)策及建議

2.1 加快制定健康信息保護(hù)的法律法規(guī)

根據(jù)我國(guó)目前情況，可參考《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《國(guó)務(wù)院辦公

廳關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見(jiàn)》和《人口健康信息管理辦法(試行)》的相關(guān)內(nèi)容，制定適合我國(guó)國(guó)情的互聯(lián)網(wǎng)醫(yī)療信息安全政策性法律法規(guī)，在規(guī)范遠(yuǎn)程醫(yī)療、移動(dòng)設(shè)備健康信息收集與利用等方面適應(yīng)互聯(lián)網(wǎng)醫(yī)療發(fā)展的需求。同時(shí)，通過(guò)立法設(shè)立專門的部門對(duì)互聯(lián)網(wǎng)醫(yī)療機(jī)構(gòu)進(jìn)行統(tǒng)籌管理，主要職能包括日常信息安全與隱私保護(hù)的監(jiān)督、侵權(quán)事件的咨詢和訴訟等，建立、健全層級(jí)管理機(jī)制，提供給醫(yī)生與患者相應(yīng)的法律保障。

2.2 加強(qiáng)醫(yī)療信息存儲(chǔ)和傳輸保護(hù)

一些不法分子可能會(huì)利用各種技術(shù)手段侵入存儲(chǔ)有健康信息的網(wǎng)站非法瀏覽、篡改、盜竊隱私信息，遠(yuǎn)程醫(yī)療也可能遭到黑客的攔截而導(dǎo)致數(shù)據(jù)泄露或失真。為此可以建立互聯(lián)網(wǎng)醫(yī)療服務(wù)的相關(guān)技術(shù)應(yīng)用審查機(jī)制，并構(gòu)建分級(jí)、分類審查制度，對(duì)信息技術(shù)的使用進(jìn)行監(jiān)管?；ヂ?lián)網(wǎng)醫(yī)療中健康信息面臨的安全威脅大多可以通過(guò)信息技術(shù)手段來(lái)解決，因此可引入國(guó)際上的先進(jìn)技術(shù)，包括訪問(wèn)控制技術(shù)、匿名技術(shù)、加密技術(shù)、安全監(jiān)控和審計(jì)技術(shù)等，同時(shí)鼓勵(lì)創(chuàng)新與我國(guó)國(guó)情相適應(yīng)的信息技術(shù)。

2.3 構(gòu)建完善醫(yī)療信息安全保障體系

首先，做好數(shù)據(jù)分割，控制管理用戶個(gè)人和醫(yī)療機(jī)構(gòu)查看數(shù)據(jù)內(nèi)容的權(quán)限。把個(gè)人和機(jī)構(gòu)的訪問(wèn)權(quán)限分離有利于數(shù)據(jù)管理，當(dāng)其中一方系統(tǒng)出現(xiàn)問(wèn)題時(shí)不會(huì)影響另一方，有效控制損失。當(dāng)單方出現(xiàn)漏洞時(shí)，只對(duì)該方的系統(tǒng)進(jìn)行修復(fù)更安全高效。同時(shí)，控制查看數(shù)據(jù)的權(quán)限能夠在信息泄露的時(shí)候及時(shí)追蹤到泄露者是誰(shuí)、更快捷地找到泄露的原因。此外，應(yīng)建立責(zé)任追究制度，對(duì)泄露信息的機(jī)構(gòu)部門或個(gè)人，追求其工作疏忽責(zé)任和法律責(zé)任。

其次，平衡好信息開(kāi)放與隱私保護(hù)的關(guān)系。互聯(lián)互通和信息開(kāi)放是大趨勢(shì)。我們確實(shí)需要重點(diǎn)關(guān)注醫(yī)療信息的安全與隱私保護(hù)問(wèn)題，但對(duì)隱私的保護(hù)也不能絕對(duì)化，不可過(guò)分限制信息流通。健康信息在醫(yī)學(xué)研究和公共衛(wèi)生管理方面都具有重要的應(yīng)用價(jià)值，其合理利用有利于促進(jìn)和實(shí)現(xiàn)互聯(lián)網(wǎng)醫(yī)療服務(wù)的健康、可持續(xù)發(fā)展。

最后，完善相關(guān)人員培訓(xùn)制度。應(yīng)當(dāng)定期對(duì)機(jī)構(gòu)內(nèi)部處理信息系統(tǒng)的工作人員進(jìn)行信息系統(tǒng)安全理論和安全應(yīng)急技能培訓(xùn)，教授他們使用和維護(hù)信息系統(tǒng)的新方法，如訓(xùn)練電腦安全技能，借此提高工作人員應(yīng)有的安全防范意識(shí)和責(zé)任意識(shí)，當(dāng)出現(xiàn)信息系統(tǒng)出現(xiàn)安全問(wèn)題時(shí)及時(shí)通報(bào)和處理。

3.總結(jié)

互聯(lián)網(wǎng)+背景下傳統(tǒng)的醫(yī)療模式發(fā)生了改變，利用互聯(lián)網(wǎng)技術(shù)的優(yōu)勢(shì)大大提升了醫(yī)療事業(yè)的信息化水平，但是由于一些新興技術(shù)在醫(yī)療事業(yè)中的應(yīng)用還不夠成熟，其中醫(yī)療信息安全問(wèn)題是一項(xiàng)非常值得重視的課題。因此，必須要完善頂層設(shè)計(jì)，在制度上予以支持，需要從國(guó)家法律法規(guī)、相應(yīng)管理制度、準(zhǔn)入政策、技術(shù)手段、從業(yè)人員以及運(yùn)營(yíng)平臺(tái)資質(zhì)的認(rèn)定等多方面予以把關(guān)。對(duì)醫(yī)療信息的安全防護(hù)和個(gè)人隱私的保護(hù)是互聯(lián)網(wǎng)醫(yī)療發(fā)展的基石，必須保障數(shù)據(jù)信息安全，防止醫(yī)療健康數(shù)據(jù)的泄露，在共享數(shù)據(jù)的同時(shí)尋找安全保護(hù)與開(kāi)放利用之間的平衡，讓群眾對(duì)互聯(lián)網(wǎng)醫(yī)療建立信心，切實(shí)保障互聯(lián)網(wǎng)+醫(yī)療的信息安全，促進(jìn)互聯(lián)網(wǎng)醫(yī)療行業(yè)規(guī)范有序健康的發(fā)展。