特辑 | 黄昊:医疗信息化网络安全十年路(下)
"医疗信息化十周年”专题
第12篇文章
全文字数:2800余字
十年路,从少年到青年
十年路,从空白到发展
十年路,回头细思量
十年路,共同在成长
这是陆军特色医学中心信息科副主任黄昊谈及“网络安全建设”一题时的感慨。上篇溯源了医院信息化网络安全建设的起步阶段(点击阅读:上篇)。下篇,将从“攘外安内”的角度出发,谈谈网络安全建设理念与实践,也谈谈“十年树人”的人才建设。
黄昊
陆军特色医学中心
信息科副主任
2007年~2018年
接纳:医院网络安全“攘外安内”
1
医保系统接入后
医保中心成立后,医院网络结构再次发生变化。
最初患者在医院看病都是费用自理,回到单位根据各自单位福利情况进行报销。当医保中心要求医院网络必须与其对接时,不管乐意不乐意,医院网络第一次向外界敞开了怀抱。
这时的安全设置增加了前置机与防火墙。网络开放了,相关的网络安全管理就必须跟上,我们清醒地认识到,所有接入医保网络的机构,包括药店、医院、诊所,都已经是在一张大网里了,业务联通了,安全隐患也增加了,所谓的内网概念就不存在了——“张三打喷嚏,李四来吃药”的故事也是经常发生——这就要求有全面的病毒防护体系,尤其是边界防护更要加强。
医保系统对院内系统的影响也需要考虑到,尤其是对于门诊这种实时性非常强的业务。比如当医保网络出现故障时,我们需要告知医保患者先采取自费模式、待医保网络正常后再进行医保结算。此外,医保链路最好也考虑两家不同运营商互为备份,以提升链路的安全性。
2014年
资本的重拳再次敲开了医疗大门
“互联网+医疗”开始兴起
与医保连接不同的是,“互联网+医疗”需要完全对接互联网。但对医院而言,这就如同一个只会在游泳池里扑腾的孩子突然被带到了海边。虽然大海的壮美令人陶醉,但是随便一个海浪都会让你措不及防。病毒防护、入侵检测、网站防护、数据保护……就连电子结算带来的资金安全也与网络安全交织在一起。
资本的重拳也许只能叩开部分医院的大门,但政府的规划和布局则让所有三甲医院都意识到做好互联网医院建设的准备是必要的。单从成本收益看,互联网医疗的投资根本无法收回成本,而且增加了很多安全运维成本。但从社会效益和产业发展看,却又是必须做好的工作,尤其是2018 年后,在国家卫健委的大力推动下,“互联网+医疗”已经成为改善医疗服务的一项重要举措。
拥抱互联网就不单是要做好病毒防护,国家卫健委相关规定要求“互联网医院建设必须符合三级等保要求”,这给网络安全划出了底线。医疗数据已经成为了国家战略资产的一部分,因此还需加强患者隐私保护,加强数据资产保护。
一方面是网络向外的不断延伸, 另一方面是深化再深化, 融合再融合,随着PACS、LIS、心电、手麻等各种系统的上线,信息系统与医疗设备开始了紧密连接。
这种状态带给网络安全最大的挑战
就是对设备运维工程师的管控
医疗设备,无论是检验设备还是放射设备价值都不菲,远远高于信息类设备。一般都会购买维保服务,以确保设备顺畅运行。
设备未联网时,就算是感染了病毒大不了重新安装就是了,很多时候可能医院工作人员都不会意识到“中毒”,以为设备故障还没有修好呢。但当通过网络把这些设备联入信息系统后,如果忽视了对他们的管理,就会造成一定的安全隐患。国内曾有类似案例,一家刚通过了三级等保的医院就是因为检验仪器厂房工程师接入网络进行维护带来了病毒,导致系统全网瘫痪。
因此,针对接入互联网的医疗设备,我们要做的有两件事:第一是把不安全网络做有效隔离,第二是做有效管控。
随着近几年物联网发展变热, “物物连接”需要传感网络及大量传感器,传感器网络安全技术研究和传统网络有着较大区别,但他们的出发点都是相同的,均需解决信息的机密性、完整性、消息认证、组播/广播认证、信息新鲜度、入侵监测以及访问控制等问题。由于无线传感器网络的自身特点——如受限的计算、通信、存储能力,缺乏节点部署的先验知识,部署区域的物理安全无法保证以及网络拓扑结构动态变化等——使非对称密码体制难以直接应用,实现传感器网络安全存在着巨大的挑战。而很多物联网应用根本不考虑安全因素,一旦传感器被控制, 引发诸如DDOS攻击之类的破坏事件,那将是一场灾难。
2
数据安全二三事
随着信息化建设不断深入,大量的医疗数据随之产生,这时候的网络安全就又增加了数据安全的内容。
十年前数据安全第一次被公众所知,也是有娱乐界人士的功劳。2008 年初,一批香港女艺人的不雅照片被泄露到网上,并迅速流传,被称为“艳照门”事件。该事件迅速引发社会公众对净化网络环境及互联网个人隐私保护问题的讨论。与之相应的是2017年兴起至今不衰的“勒索病毒”。如果说十年前的“艳照门”只是满足了始作俑者的虚荣心,那么十年后我们面临的是实实在在的数据资产风险。
2013年12月26日,国家卫生计生委、国家中医药管理局制定了《加强医疗卫生行风建设“九不准”》(以下简称“九不准”),明确提出不准为商业目的进行统方。统方开始走进医院监管的视线。统方是数据的不合规使用,数据如果被用于医院管理,可以提升医院管理水平,而用于统方就会助长医疗腐败。这一政策的出台推动了反统方系统的应运而生。通过第三方设备持续监测数据库中的敏感字段,当出现敏感操作,比如关联读取、非正常写入或者修改,就会触发报警机制,将信息传递给管理者,以便及时进行查看,甚至可以将设备安装在数据库与终端之间,及时阻止非正常数据库的操作。
2018年10月15日,美国最大的健康保险公司之一Anthem由于没有保护好患者的数据,被黑客侵入,导致7900万人的医疗数据泄露。这是美国历史上最大的一次病人数据泄露,导致被罚款1600万美金,并制定一套完善的修正方案来避免再次违反HIPAA。
安全与应用是相辅相成的,既不能为了应用忽视安全,也不能因为强调安全而忽视应用。尤其是随着大数据技术的深入应用,如何合法、合规、安全地利用好数据,将是信息科面临的新挑战。
时间在变,技术在进步,人工智能已经成为未来重点发展的方向了, 但无论如何,安全都是伴随在应用左右的。变化是永恒的真理,我们唯有不断地学习,在实践中学习,在学习中实践,知行合一、格物致知!
网络安全侧影:十年树人
《2006—2020年国家信息化发展战略》中为我国网络安全人才的培养提出了宏伟目标:“建设国家信息安全保障体系,加快信息安全人才培养,增强国民信息安全意识。提高国民信息技术应用能力。提高国民受教育水平和信息能力。培养信息化人才。构建以学校教育为基础,在职培训为重点,基础教育与职业教育相互结合,公益培训与商业培训相互补充的信息化人才培养体系。”
我国高校开始设置信息安全本科专业始于2000年,据2008年不完全统计,我国已有近50所高校开设了信息安全本科专业,部分高校已设立了信息安全方向的硕士点和博士点,初步形成了完整的“本硕博”培养层次。
网络安全人才是指受过计算机网络技术、信息安全教育或培训,懂得计算机技术或是网络安全方面的知识并且能够解决实际问题的专门人才。
根据教育部统计资料表明,2008年我国大学本科以上学历的网络安全人才只有2100人左右,而国内对网络安全专业人才的需要量高达10余万以上,每年全国能够培养的信息安全专业学历人才和各种安全认证人员大约不到5千人,供需缺口特别大。
网络安全专业培养的人才捉襟见肘,很多从事网络安全行业的都是自学成才,尤其是在医院,连网络安全岗位都很难设置。值得欣慰的是,我们通过知网,以“网络安全管理”和“网络安全”分别搜索相关专业文章,均显示近10年来成倍增长。说明大家面对安全形势和安全问题在不断地探索、思考和总结。
-END-
微信改版
星标/置顶 e医疗
深度好文不迷路哦~
“医疗信息化十年——2008到2018”系列专题同时刊登在2018年第6期和2019年第1期上,欢迎订阅(后台回复“订阅”获取订阅方式)。
特辑 | 支撑新医改的人口健康信息化,如何防止 “焦、骄”二气(上篇)
特辑 | 支撑新医改的人口健康信息化,如何防止 “焦、骄”二气(下篇)
特辑 | 朱杰:医疗信息化十年,微观执行层面的问题阻止不了宏观大局的律动
特辑 | 谈谈人工智能与数据治理:我们的系统为谁而建?(上)
特辑 | 谈谈人工智能与数据治理:我们的系统为谁而建?(下)
特辑 | 广安门医院CIO张红谈中医药信息化十年变迁:古典外表下的现代化
近期专题推荐点击阅读
……
更多专家和主题
请在菜单栏“搜往期”输入关键字查看。
杂志订阅
微信后台回复“订阅”获取订阅方式
©以上文章来源
e医疗原创文章,转载请注明来源。
^_^我好看,戳戳我呀