警惕：我國健康醫(yī)療大數(shù)據(jù)安全漏洞與隱患不容忽視

健康醫(yī)療大數(shù)據(jù) 安全漏洞

紀江明 | 2017-07-07 10:42

【數(shù)據(jù)猿導讀】信息時代中大數(shù)據(jù)的邊界越來越模糊、越來越開放，導致各類網(wǎng)絡黑客攻擊的手段越來越先進，呈現(xiàn)出較強的目的性、功利性和隱蔽性。因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難。

當前，健康醫(yī)療大數(shù)據(jù)已成為國家重要的基礎性戰(zhàn)略資源，其應用發(fā)展將帶來健康醫(yī)療模式的深刻變化。同時，我國健康醫(yī)療大數(shù)據(jù)安全也面臨前所未有的挑戰(zhàn)，必須找準關鍵、深入剖析，提出有針對性的對策建議，切實維護好健康醫(yī)療大數(shù)據(jù)的安全。

漏洞與隱患不容忽視

由于病人的健康醫(yī)療數(shù)據(jù)具有高度敏感性，必須對其進行加密存儲、管理和使用，否則一旦發(fā)生數(shù)據(jù)泄露，后果難以挽回。更重要的是，信息時代中大數(shù)據(jù)的邊界越來越模糊、越來越開放，導致各類網(wǎng)絡黑客攻擊的手段越來越先進，呈現(xiàn)出較強的目的性、功利性和隱蔽性。因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難。當前，數(shù)據(jù)安全隱患主要表現(xiàn)在以下幾個方面：

一是數(shù)據(jù)安全意識較弱。不少醫(yī)療機構或有關企業(yè)的數(shù)據(jù)安全意識和保護措施還很薄弱，信息系統(tǒng)多采用“用戶名+口令”等較弱的訪問控制方式，對于數(shù)據(jù)更是無任何保護措施，可以說，很多數(shù)據(jù)正在“裸奔”。這容易導致傳統(tǒng)紙質(zhì)記錄、臺式電腦、筆記本電腦、平板電腦、服務器、電子醫(yī)療檔案、電子郵件、電子備份等設備的失竊或者數(shù)據(jù)丟失，泄露個人健康信息。

二是數(shù)據(jù)系統(tǒng)漏洞易招致黑客入侵。目前，個人醫(yī)療信息主要從以下三大類機構中泄露：醫(yī)療保險商、醫(yī)療機構和商業(yè)合作公司。其中，大部分機構并沒有把敏感數(shù)據(jù)和非敏感數(shù)據(jù)分開，也沒有定期檢查基礎設施是否含有漏洞。由于業(yè)務不能中斷，需要讓數(shù)據(jù)庫保持長時間穩(wěn)定運行，更無法實時更新補丁，出現(xiàn)的漏洞也越來越多，極易被黑客利用。

三是醫(yī)療機構內(nèi)部人員出現(xiàn)技術性失誤。由于醫(yī)療機構內(nèi)部缺少有效的管理控制手段，工作人員未將信息保護工作做到位或技術性失誤，導致信息接受者錯誤、電子信息未加密等情況發(fā)生，會泄露個人健康信息。同時，工作人員未對紙質(zhì)記錄文檔進行正確處理，或沒有將過期的電子信息徹底刪除，也可能會導致信息泄露。還有極少數(shù)懷有不良用意的員工訪問并竊取用戶的敏感信息，這一情況也需要得到關注。

四是缺乏具備健康醫(yī)療行業(yè)特色的信息安全技術標準。健康醫(yī)療行業(yè)的復雜性、特殊性較高，雖然目前已按照國家信息安全等級保護的要求，加強健康醫(yī)療信息的安全防護與規(guī)范管理，但尚未建設具備其業(yè)務特點的信息安全保障體系，以及專門的信息安全技術標準，不利于有針對性地開展安全保護工作。

五是數(shù)據(jù)安全人才與經(jīng)費保障缺口較大。在數(shù)據(jù)安全人才隊伍方面，具備較強實戰(zhàn)對抗能力的專業(yè)數(shù)據(jù)安全人員嚴重缺失，許多醫(yī)療機構甚至出現(xiàn)“大夫在看病之余兼管數(shù)據(jù)安全”的狀況。在資金投入方面，對于有較高安全保障要求的行業(yè)，一般要求安全經(jīng)費占總投入比不低于10%。2015年健康醫(yī)療行業(yè)整體信息化建設資金投入超過300億元，但信息安全投入不足6億元，占比不足2%，差距還較大。

五方面加強安全保障

在發(fā)展健康醫(yī)療大數(shù)據(jù)的同時，應確保安全保障工作同步推進。

一是加強健康醫(yī)療大數(shù)據(jù)安全風險評估和防范。比如，建立大數(shù)據(jù)安全治理組織結構，包括治理委員會、管理委員會、業(yè)務組、技術組、評估組，以及相應的組成人員;實施健康醫(yī)療大數(shù)據(jù)及網(wǎng)絡安全人才隊伍建設工程，研究設立網(wǎng)絡空間安全一級學科，完善相關政策，培養(yǎng)和引進網(wǎng)絡安全專業(yè)人才;定期組織人員參與信息安全培訓，提高安全防控意識及權責意識，做好信息安全風險評估，有效預防可能出現(xiàn)的安全風險。

二是對個人健康醫(yī)療信息保護進行立法。隨著公民個人信息權利意識的提高，立法機關應加快制定和出臺個人信息保護單行法的進程，明確法律要保護的公民個人信息的范圍、類型、責任與義務，尤其要加強對未成年人的個人信息保護。

三是從源頭上加強對健康醫(yī)療大數(shù)據(jù)的保護。大力推動構建可信的信息安全體系，建立起統(tǒng)一權威、互聯(lián)互通的人口健康信息平臺，將數(shù)據(jù)源牢牢把控并回歸到國家層面，保證健康醫(yī)療行業(yè)的信息安全可控;運用DES、3DES、RSA、AES等常用的加密算法的源代碼，對敏感的數(shù)據(jù)信息進行加密保護，使經(jīng)過加密處理的隱私信息只有獲得權限后才能進行安全瀏覽;醫(yī)療設備供應商要不斷檢測物聯(lián)網(wǎng)設備和應用程序的安全，如發(fā)現(xiàn)系統(tǒng)漏洞應及時通知相關醫(yī)療機構，快速響應修復漏洞。

四是制定統(tǒng)一的健康醫(yī)療大數(shù)據(jù)安全標準。國際標準化組織(ISO)在保護健康信息方面已經(jīng)制定了一些實踐指南，例如，ISO27799:2008就是直接適用于健康信息各個方面的國際標準，包括信息采集的方式、信息存儲和傳遞的手段等。建議參照此標準制定有可操作性的健康醫(yī)療大數(shù)據(jù)安全標準，具體分為基礎性和應用性標準，有效保證各業(yè)務部門、系統(tǒng)間數(shù)據(jù)的規(guī)范性、融合性、流通性、共享性、安全性。

五是加強健康醫(yī)療大數(shù)據(jù)的全生命周期管理。建議從關鍵系統(tǒng)入手，比如，建設全國統(tǒng)一標識的醫(yī)療衛(wèi)生人員和醫(yī)療衛(wèi)生機構可信醫(yī)學數(shù)字身份、電子實名認證、數(shù)據(jù)訪問控制信息系統(tǒng)、電子簽名技術、加密技術等，加強“事前防護”“事中加密”“事后保障”，為健康醫(yī)療大數(shù)據(jù)的全生命周期安全保駕護航。

原標題：堵住健康醫(yī)療大數(shù)據(jù)的安全“漏洞”

本文為國家社科基金項目“大數(shù)據(jù)背景下城市社區(qū)醫(yī)養(yǎng)結合養(yǎng)老模式創(chuàng)新研究(16BRK012)”的階段性研究成果

來源：經(jīng)濟日報

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。