<var id="vnxft"></var>
<menuitem id="vnxft"></menuitem>
<var id="vnxft"><strike id="vnxft"><listing id="vnxft"></listing></strike></var> <var id="vnxft"></var>
<cite id="vnxft"></cite>
<var id="vnxft"></var>
<menuitem id="vnxft"></menuitem>
<var id="vnxft"></var>
<var id="vnxft"><strike id="vnxft"><listing id="vnxft"></listing></strike></var>
<var id="vnxft"><strike id="vnxft"></strike></var><cite id="vnxft"><video id="vnxft"></video></cite>
<var id="vnxft"></var>
中國醫院信息安全發展的十年
來源: 作者: 發布時間: 2016-04-20

醫院信息的安全與隱私保護問題雖是老生常談,但它卻是醫院信息化建設中的永恒話題。目前信息安全已經成為制約國內醫療信息應用發展的瓶頸之一,尤其是“互聯網+醫療”時代到來,使信息安全面臨新的挑戰。

一、醫院信息安全的發展及現狀分析

從事醫院信息化管理工作10多年,出于職業因素,我對醫院信息安全一直比較關注。在歷屆的華南醫院信息網絡大會上,我有五次發言是與信息安全有關的。在廣東醫院信息專委會組織年編寫《醫院信息化技術與應用》系列專著中,我負責編寫的也是信息安全的相關章節。

(一)十多年前的醫院信息安全

回想十年前大家交流信息化安全問題與解決方法時,談的最多是病毒、系統宕機等之類的話題,很少聽到醫院因為網絡或數據安全對醫院運營帶來什么嚴重的影響。那時候醫院的網絡環境相對簡單,醫院的電腦也較少,因此大家采用的方法也較為簡單,例如內外網嚴格物理隔離,將計算機的光驅和軟驅都拆掉等等。那些年醫院服務器很少采用雙機方式,因此發生系統宕機的情況還是比較普遍的。許多醫院都發生過宕機事件,一般都得幾個小時才能恢復,造成醫院的門診大廳的擁堵,醫院運營秩序的紊亂,對醫院的聲譽造成不同程度的傷害。2004年、2006年我在華南信息網絡大會上分別發言的題目是《完善網絡安全體系,保障醫院信息安全》、《實現醫院數據快速恢復與可用》。

(二)數字化時代的醫院信息安全

隨著數字化時代的到來,醫院的網絡架構逐漸復雜,信息系統已經非常普及,信息安全涉及的面更廣,面臨的威脅更多。這時大家討論的是雙機熱備、網絡版殺毒軟件、容災、等級保護、隔離網閘、防火墻、數據加密等。同時,安全技術也得到發展,做信息安全的廠家和服務公司日益增多。信息主管的安全意識逐漸增強,醫院在安全方面的投入也逐年增加,但是許多醫院投下的錢并沒有帶來足夠的安全。2012年我在華南信息網絡大會上發言的題目是《醫療行業信息安全規劃》。

隨著醫療信息網絡化的日益深入,隨之而來的各種犯罪活動也開始變得異常猖獗。我們可以通過一些典型的案例來回顧一下信息安全面臨的威脅:①2008年,南方的某婦幼保健院,內部人員把系統上保存的母嬰信息,一共4萬多條記錄,制成光盤公開出售,造成了非常惡劣的影響。②2012年,浙江省中醫院計算機中心一位前科員因為收受了近10萬元的好處費,向醫藥代表提供了“統方”數據。③2015年5月4日和5月8日兩天,福建某醫院和四川大學華西醫院都因為電力系統故障引發信息系統故障,導致系統恢復過程用了一天多的時間。在數字化時代,患者的健康信息價值逐漸提高,對醫療信息安全的強化已逐漸向保護個人信息上轉移。在醫護工作對醫院信息系統日益依賴的時代,一旦信息安全出現問題,造成的影響更大、范圍更廣,修復難度也更高。

(三)進入“互聯網+”時代的醫院信息安全

2010年,我在華南信息網絡大會(東莞)上發言,談到5年內醫院信息系統一定會擁抱互聯網,醫院封閉的信息高墻一定會被互聯網撕開一個口子。實際上沒到5年,華僑醫院、市婦兒中心等醫院率先與互聯網擁抱了。信息共享與互聯互通勢不可擋,我認為對于趨勢性、規律性的東西,是任何人或物無法阻止其發展的,關鍵是用什么樣的方式和策略來實現。2015年,在國家提出“互聯網+”行動計劃的大背景下,作為公認的最后一塊未被互聯網“開墾”的領域,互聯網醫療一躍成為眾多互聯網企業的焦點。互聯網將重構醫療行業的健康管理、就醫方式、就醫體驗、購藥方式及醫患生態等五大方面。

在醫療圍城逐漸向互聯網開放的過程中,安全信息問題也面臨更大的挑戰。讓我們看一下進入“互聯網+”時代的醫療信息安全案例:①2011年,福州某三甲醫院發現,每隔一個月左右就有人在醫院內部獲取患者信息,醫院通過軟件定位找到了異常端口,派保安直接把竊取信息的人員當場抓獲了。②2012年,深圳某醫院向網警報案,說有人攻擊他們的服務器。攻擊者向醫院索要2000塊錢,接到報案以后福田警方很快偵破案件,是兩個20多歲的年輕人作案。以前我們認為黑客這個職業都是技術含量很高的職業,實際上這兩個人的計算機技術水平并不高,就是從網上下載了黑客工具,門檻很低,所以黑客其實離我們并不遠。一場“互聯網+”的革命,將未來信息化建設的信息安全問題擺到了首位。醫院信息系統故障及應急處置突發事件,也成為帶給整個行業極大震撼的熱點、難點。醫院信息系統的應急演練應該常態化、實戰化,同時,應急預案絕不僅是信息部門的事情,應該是醫院“一把手”必須常抓不懈的系統工程、責任工程。

二、醫院信息安全發展趨勢

2015年,我國新的《國家安全法》開始實施,其中要求建設網絡與信息安全保障體系,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。2015年8月通過的《中華人民共和國刑法修正案(九)》,進一步加強了對公民個人信息的保護。信息安全已成為國家安全的重要領域,產業發展也已提升至國家戰略層面。

(一)“互聯網+”時代醫院內外網數據交換的信息安全

“互聯網+醫療”的出現導致診療活動不再局限于醫院內部,遠程會診、網絡醫院等新型診療模式將逐漸常態化。醫護人員對于信息系統的使用從院內走向院外,醫療數據在院內與院外的交換已成為趨勢,內外網的物理隔離已無法實現。這就對我們信息部門提出更高的要求,重新評估內外網數據交換潛在的風險,制定內外網信息交換的方案,提高內外網邊界防護能力,使數據交換在有效的監督下進行,保證數據交換不對院內信息系統造成壓力和沖擊。

(二)患者隱私數據的安全

近年來,患者在看病過程中個人隱私被泄露等現象已屢見不鮮。醫療系統的隱私保護更具有特殊性,也更有難度。主要體現在:患者就診涉及到從掛號到治療、從一家醫院到另一家醫院、從線下到線上等多條長鏈條,經手的人和可泄露的環節很多,任何一張處方或檢查單,都能找到患者的疾病及身份信息。另一方面,患者的個人資料務求真實可靠,也更全面完整,涉及到個人及家庭的大量信息。此外,健康隱私是個人關鍵的隱私。云計算技術、大數據的應用,會使患者的個人信息更集中、更易得。利用電子認證技術保護個人健康檔案,加強應用身份認證、角色授權、電子簽名和時間戳等技術手段來實現對患者隱私數據的保護。

(三)支付方式移動化和自助設備普及化面臨的資金安全

為了方便患者就診,醫院的自助設備逐漸增多,大有替代人工窗口的趨勢,這些設備都有與醫院HIS系統進行信息交互的通道。移動支付的使用量(支付寶、微信支付)也呈爆發式增長,這些新型支付方式大多通過互聯網在移動終端進行,而且也要與院內系統進行信息交換。自助設備和新型支付方式給醫院和患者的資金帶來新的安全挑戰。信息系統既要保證患者與醫院發生交易時的準確性、便捷性,更要保證資金在多個支付系統中交易時的安全。支付環境多元化所帶來的資金安全隱患需要我們信息部門及時關注并做好應對。

在當今這個信息化的時代,醫療行業的信息保護手段遠遠落后于其他行業,整體上缺乏信息安全管理流程。如今,醫療網絡攻擊的本質、深度和后果都發生了變化,例如有些醫療機構還沒有意識到黑客行為的復雜性,以及他們滲透患者機密數據的網絡手段的隱蔽性。醫院相對金融服務行業來說,還沒有成為黑客攻擊的重點目標,因此醫院尚不能有效應地對網絡安全威脅進行追蹤、報告和管理,缺乏成熟的意外和漏洞管理流程,日常的網絡攻擊往往得不到任何處理。如果醫療機構不與時俱進,提高自身的信息安全水平,必將遭受嚴重損失:不只在經濟上,而且還可能會威脅到患者的生命。

醫院信息安全,是持續改進的過程。醫院信息系統出現安全事故,往往是疏于維護和監管。因此不能單純地依靠購買信息安全產品來解決,而是需要建立和運行一套好的安全管理制度并嚴格執行來實現。

談了這么多,有人可能會問,那武警醫院的信息安全又做得如何呢?我想說的是我們非常重視信息安全建設,但由于經費的原因,我們一直逐步完善安全制度與設施。我們早期的也是和大多數醫院一樣,將計算機的光驅和軟驅都拆掉,封閉USB端口。2002年開始使用網絡版殺毒軟件,2003我們采用了服務器雙機容錯與數據備份系統,并將數據庫維保服務外保,2004在與醫保網連接時安裝了防火墻,2007使用桌面管理系統,2012年按等級保護要求完成醫院網絡安全與數據監察系統(包括入侵檢測、準入控制、堡壘機、數據庫審計等)。2015年我們加入廣州市健康通平臺,同時為實現網上掛號和移動支付,我們購置了防火墻與安全網閘。

做好醫院信息安全工作任重而道遠。醫院信息安全,永遠在路上。

地方動態

第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開

2023(第五屆)中國電子政務安全大會在京成功召開

中國信息協會首次職業技能等級認定考試在黑龍江省舉行

第十九屆海峽兩岸信息化論壇暨海峽兩岸數字經濟項目對接洽談會在廈門舉辦

  • 協會要聞
  • 通知公告
国产精品视频人人做人人