【e医疗原创】公安部毕马宁:互联网开放模式下的安全挑战,是真的狼来了
文
公安部
信息安全等级保护评估中心副主任
毕马宁
在过去的一年中,信息化发展对卫生计生事业的影响显得尤为重要。这点可以从信息化自身发展呈现出泛在化、可视化、智能化三个显著特点看到。具备这三大特点的信息技术的运用,在未来不仅能够解决医疗资源配置不均匀、医疗服务可及性差、医疗服务效率不高、医疗服务质量参差不齐、医疗费用增长过快等问题,并且必将对引领公共卫生、医疗服务、医疗保障、药品供应保障、综合卫生管理的创新发展起到重要作用。
无论信息化技术如何发展,要关注的安全问题是不会变的。
首先要关注的是业务信息安全,也就是我们所谓的信息数据的安全。业务信息安全并不是狭义地指业务数据安全存储,而是指业务数据的使用安全。数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。对于海量数据的挖掘和运用,预示着新一波生产率增长和消费盈余浪潮的到来。在医疗卫生领域,数据已成为开展医疗诊治、公共健康、疾病防治、人口健康发展的重要资源。而数据资源不同于其他的物质资源,它通过传递和共享会创造出更大的价值。也正因为如此,数据安全的战略意义就显得更加重要了。
需要强调的是,在基于资源共享、平台共享、互通互联的信息化条件下,业务数据安全应该是一个动态安全的过程,除了要保证数据的保密性、完整性、可用性,更应该关注数据资源的有序共享,保证让该看到的人看到,让该用的人用到,但一定不能让不法分子得到。
其次要关注的是系统服务安全,它的重点是保证业务系统的连续性。现如今无论是国家事务管理、社会秩序运行和人民生活保障都离不开计算机信息系统,网络世界已经成为现实世界不可或缺的组成部分,计算机信息系统对业务的影响已从原来的辅助作用,上升为支撑作用,以信息与通信技术为支撑的银行与金融、运输与能源、关键人类服务等基础设施一旦出现故障或停运,将会给整个国家带来严重后果,我们必须从国家安全的角度来高度重视系统服务安全。
上述两点安全问题,在我国设计信息安全等级保护制度这一国家信息安全管控手段时就予以充分考虑,信息安全等级保护制度中“等级”的由来就是依据信息系统的业务信息安全重要性等级和系统服务安全重要性等级这两个纬度,采用取高原则予以确定的。
在本年度公布的我国 40 36771 40 14940 0 0 3890 0 0:00:09 0:00:03 0:00:06 3890《网络安全法(草案)》征求意见稿中进一步提出了“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力”。虽然目前此法还在讨论修改中,但可以充分说明从国家层面上已经越来越重视网络安全问题了。
在过去的一年中,医药卫生领域对信息安全的重视程度也在国家大政方针的领导下,国家卫生计生委的强力督促下不断提高。更重要的是,随着医疗卫生行业认识到信息化发展所带来的好处之后,对信息化建设的需求也在不断增加,并且在信息化建设过程中能够充分考虑到安全因素。医疗卫生领域的单位团体在解决自身信息安全问题的同时也开始把国家对网络安全要求的外驱力和自身业务发展需要安全保障的原动力有机地结合起来。这些都是我们可以看到的可喜的局面。
我们在面对医疗卫生行业信息化迅速发展的可喜局面时,也不得不面对发展过程中间存在一些的问题。
第一,对信息化发展,特别是基于互联网开放模式下发展带来的挑战认识不足。打个比喻,不知道狼已经来了, 而且是真正的狼。互联网条件下的医疗卫生信息化所面对的安全威胁已经发生了本质性变化,来自国家层面和敌对组织的安全威胁是真正的狼。
第二,对医药卫生领域已有的大量重要数据资源的战略价值认识不足。这些年来随着信息化的发展,我国的各级医疗卫生机构已经汇聚了大量关系到公众健康、疾病防治、医学科研的重要数据而目前对这些数据的重要性认识不足,对这些重要数据资源的运用和安全保护手段不到位。
第三,对于信息安全等级保护制度的认识不足。许多单位和部门还是会有“过等保”的思想,没有把信息安全等级保护当成是自身业务健康发展的需要,错误地认为通过了一次等级保护测评就可以一劳永逸,高枕无忧了。信息安全等级保护制度体现国家管理意志,是国家信息安全风险管控行为,其目的就是为了构建国家信息安全保障体系, 保护重要信息系统和关键基础设施,维护国家安全、公众利益和保障信息化发展。它的主要工作除了定级备案,建设整改、等级测评、监督检查以外,重点还有安全防护能力建设的可持续。这也是为什么要经常以等级保护所确定的重要性等级、分析业务系统将面临得威胁,依据等级保护基本要求不断地增强信息系统运行使用单位和信息系统的安全防护能力,并动态检验能力的有效性。
在医疗卫生行业中下一步要做的有几个关键点。
要有创新理念。现阶段医疗卫生行业信息化的发展只是解决了沟通问题,并没有真正解决诊疗问题,随着信息化的发展,注重动态安全是重点。
构建一个与时俱进的安全保障体系。未雨绸缪,安全先行。安全先行的第一步是识别风险,然后通过信息安全等级保护制度的落实来控制信息化发展过程中新业态、新模式带来的新风险。
强调对技术的自主可控。一是信息技术产品要自主可控,二是在医药卫生领域的高端医疗检查设备也要走安全可控的道路。
以上来源:e医疗2015年12月刊
点击“阅读原文”,报名“独一无二的温州模式”研讨会~
微信后台留言姓名、单位、联系方式也可直接报名~
文末评论任你填,年终特刊点击读
-我有良言,与君共享-
【e医疗原创】互操作平台、ESB和CDR,此平台与彼平台的辨析
【e医疗原创】冯杰: 互联网医疗会成为建立医疗服务新生态的重要环节
【e医疗原创】白如健:从2015到2016,中医医院信息化建设回顾与展望
【e医疗原创】王映辉:由屠呦呦获2015年诺贝尔奖而及中医药信息学
【e医疗原创】程序员的成长:互联网时代需要“互联网复合型人才”
【观点】一个四人的信息科团队如何支撑起“五脏俱全”的二甲医院信息化建设
-煮清茶饮,看行业云龙变幻-
【e医疗原创】复旦肿瘤王奕:看得懂市场的企业,才有机会生存下去
【e医疗原创】刘云:三重三轻,医院信息化建设创新与变革的融合
【e医疗原创】汪鹏:从一个工程师的角度,看未来数字医学这五件事
【观点】王小琼:被互联网吵醒,这是信息化走向融合协同的最好时机
【e医疗原创】李先锋说移动医疗:多赢的拐点一定存在,但不是现在
【e医疗原创】王景明:医改不成功,主要是缺乏健康服务体系的联动改革
【e医疗原创】中日友好医院:探索“互联网+”医疗服务的“全生态”技术整合
-分内之事,何之谓佳?-
【e医疗原创】贺嘉嘉:曾几何时,医院信息部门对互联网有稍稍的抵触情绪
【e医疗原创】王雄彬:”互联网+“来了,除了压力,我们还有什么?
【e医疗原创】傅昊阳:提升“互联网+”医疗服务能力,2016如何着手?
【e医疗原创】庄思良:在医院对接互联网的2015,忙碌并快乐着
【观点】杨鹏宏:构建快速稳定的医疗数据集成平台是目前业内最大挑战
【e医疗原创】高峰谈口腔医院的现实需求:十五年了,更感任重道远
推荐关注
e医疗2015年12月刊
《科技新时代》e医疗订阅可选用以下两种方式:
1. 邮局订阅,邮发代号:2-643;
2. 致电读者俱乐部,热线:(010)-65157887-666
3.批量订购后台直接联系小编,留下订购意向及联系方式^_^
本文中部分图片摘自互联网,图片有版权但尚未找到版权人,请版权方与我们联系。
“e医疗”原创文章,转载请注明来源。
▶e医疗
医疗卫生信息化资讯平台
微博 | @ e医疗
微信 | e-healthcare
杂志 | e医疗