——張 蕾 韓作為 舒 婷*

醫(yī)療行業(yè)利用信息化技術(shù)為患者提供便捷醫(yī)療服務(wù)的同時，也伴隨產(chǎn)生了大量的醫(yī)療數(shù)據(jù)，這些數(shù)據(jù)與患者隱私、醫(yī)療行為、醫(yī)學(xué)研究緊密相關(guān)[1]。對于醫(yī)療事業(yè)單位而言，提高應(yīng)對網(wǎng)絡(luò)安全事件的能力和建立網(wǎng)絡(luò)安全應(yīng)急機制十分必要。分析《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》等法律法規(guī)可以發(fā)現(xiàn)，國家對醫(yī)療行業(yè)的網(wǎng)絡(luò)安全工作高度重視。但在信息化蓬勃發(fā)展之際，醫(yī)療事業(yè)單位所面臨的網(wǎng)絡(luò)安全風(fēng)險也越來越多，無論是管理還是人才培養(yǎng)等方面都相對滯后，網(wǎng)絡(luò)安全整體狀況不理想。因此，制定健全的網(wǎng)絡(luò)安全管理制度，建立高效可行的技術(shù)架構(gòu)體系，才能保障醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全[2]。

1 網(wǎng)絡(luò)安全管理存在的問題

隨著社會的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)的應(yīng)用范圍不斷擴大，與此同時，黑客入侵、惡意軟件、病毒泛濫、數(shù)據(jù)信息泄露等網(wǎng)絡(luò)安全攻擊事件也越來越多[3]。作為國家醫(yī)療行業(yè)行政管理和科學(xué)研究以及為政府機關(guān)提供決策支持的醫(yī)療事業(yè)單位，其網(wǎng)絡(luò)安全建設(shè)和管理尤為重要。分析醫(yī)療行業(yè)網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢，目前醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全管理工作主要存在以下幾方面的問題。

1.1 制度不健全

2018年，國務(wù)院辦公廳印發(fā)了《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，提出了促進互聯(lián)網(wǎng)與醫(yī)療健康深入融合發(fā)展的一系列政策措施，其中加強行業(yè)監(jiān)管和安全保障，對強化醫(yī)療質(zhì)量監(jiān)管，保障數(shù)據(jù)安全等方面提出了具體要求。由國務(wù)院直屬多部門共同負責(zé)，要求各地區(qū)、各有關(guān)部門及時出臺配套政策措施，明確責(zé)任，嚴(yán)格執(zhí)行信息安全和健康醫(yī)療數(shù)據(jù)保密規(guī)定，完善各項信息保護制度，定期開展信息安全隱患排查以及監(jiān)測預(yù)警等工作[4]。2019年，國家衛(wèi)生健康委員會和國家中醫(yī)藥管理局聯(lián)合印發(fā)了《關(guān)于落實衛(wèi)生健康行業(yè)網(wǎng)絡(luò)信息與數(shù)據(jù)安全責(zé)任的通知》，要求行業(yè)內(nèi)各部門要制定相關(guān)規(guī)章制度和標(biāo)準(zhǔn)規(guī)范，建立行業(yè)監(jiān)測預(yù)警、巡查抽查制度和網(wǎng)絡(luò)安全事件處置機制等[5]。

從中國信息安全測評中心對我國醫(yī)療行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全測評結(jié)果來看，絕大多數(shù)醫(yī)療信息系統(tǒng)都存在監(jiān)管不力、制度不完善、安全管理機構(gòu)職責(zé)不明、人員安全意識淡薄等問題[6]。這些都表明了醫(yī)療行業(yè)事業(yè)單位在網(wǎng)絡(luò)安全管理制度方面存在漏洞，嚴(yán)重影響了網(wǎng)絡(luò)安全工作的有效實施，同時在應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件時，缺乏有效的應(yīng)急處理機制，甚至?xí)斐蓢?yán)重的網(wǎng)絡(luò)安全事件[7]。

1.2 技術(shù)及管理人才短缺

在網(wǎng)絡(luò)安全管理工作中，人員的儲備和管理十分重要。近年來，國家對網(wǎng)絡(luò)安全高度重視，醫(yī)療行業(yè)的網(wǎng)絡(luò)安全是我國網(wǎng)絡(luò)安全的重要組成部分。例如，某醫(yī)療行業(yè)事業(yè)單位因自身人才短缺等原因，在信息系統(tǒng)日常維護中，不能做到全面排查，及時發(fā)現(xiàn)并改正問題，導(dǎo)致未能及時發(fā)現(xiàn)信息系統(tǒng)的漏洞，未進行及時修復(fù)，被惡意利用，引發(fā)安全事件[8]。

醫(yī)療事業(yè)單位大多缺乏專職的網(wǎng)絡(luò)安全管理人員和技術(shù)人員，工作人員一般不具備專業(yè)知識，在日常工作中無法對網(wǎng)絡(luò)系統(tǒng)進行定期檢查和維護，面對突發(fā)網(wǎng)絡(luò)安全事件時，無法進行有效處理，而且在業(yè)務(wù)系統(tǒng)的建立及管理工作中參與度有限，影響了醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全管理的規(guī)劃和日常技術(shù)管理工作[9-10]。

1.3 培訓(xùn)教育不及時

網(wǎng)絡(luò)安全意識以及安全技能等方面的培訓(xùn)可以提高網(wǎng)絡(luò)安全管理人員的能力，有些單位卻忽略了對職工網(wǎng)絡(luò)安全意識的培養(yǎng)，職工能夠參與并接觸到的網(wǎng)絡(luò)安全培訓(xùn)機會非常少，從而導(dǎo)致許多職工的網(wǎng)絡(luò)安全知識匱乏或網(wǎng)絡(luò)安全意識淡薄。因此，在完善網(wǎng)絡(luò)安全制度建設(shè)的同時，也應(yīng)通過培訓(xùn)，不斷提高工作人員安全意識，降低因人員誤操作或無意識中泄露隱私數(shù)據(jù)而帶來的安全風(fēng)險。

1.4 管理及應(yīng)對措施不到位

騰訊智慧安全發(fā)布的《醫(yī)療行業(yè)勒索病毒專題報告》顯示，2018年全國有247家三甲醫(yī)院檢測出了勒索病毒。2019年初，某省幾十家互聯(lián)互通醫(yī)院同時感染GlobeImposter 3.0變種勒索病毒而被加密，在眾多感染該病毒的機構(gòu)中，醫(yī)療事業(yè)單位占一半，這使之遭遇了巨大的經(jīng)濟損失[6]?？梢?，醫(yī)療行業(yè)的網(wǎng)絡(luò)安全管理缺乏經(jīng)驗和整體思路，在職人員的網(wǎng)絡(luò)安全維護技術(shù)水平也相對薄弱。監(jiān)測預(yù)警和應(yīng)急處置是加強網(wǎng)絡(luò)安全工作的重要內(nèi)容，尤其是當(dāng)涉及到關(guān)鍵信息、基礎(chǔ)設(shè)施、重要系統(tǒng)時，必須進行專業(yè)的實時監(jiān)測，建立立體化的監(jiān)測預(yù)警體系，并能第一時間發(fā)現(xiàn)并處置問題。而在實際工作中，會因從業(yè)人員網(wǎng)絡(luò)安全管理知識和經(jīng)驗不足、防護措施不到位、缺乏必要的網(wǎng)絡(luò)安全防御設(shè)備等問題導(dǎo)致被動應(yīng)對，未能提前做好動態(tài)管理及相應(yīng)的主動防御。

2 網(wǎng)絡(luò)安全管理建議

2.1 完善組織管理，建立健全管理制度

于2020年6月1日起實施的《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》提出，因醫(yī)療衛(wèi)生機構(gòu)的醫(yī)療信息安全制度、保障措施不健全，導(dǎo)致醫(yī)療信息泄露，或者醫(yī)療質(zhì)量管理和醫(yī)療技術(shù)管理制度、安全措施不健全的，對直接負責(zé)的主管人員和其他直接責(zé)任人依法追究法律責(zé)任[11]。2016年印發(fā)的《國務(wù)院辦公廳關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》強調(diào)，強化安全管理責(zé)任，有效保護個人隱私和信息安全、建立安全防護、系統(tǒng)互聯(lián)共享、公民隱私保護等軟件的評價和安全審查制度[12]。2018年印發(fā)的《關(guān)于印發(fā)國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》中也提到，責(zé)任單位應(yīng)當(dāng)建立健全相關(guān)安全管理制度、操作規(guī)程和技術(shù)規(guī)范，落實“一把手”責(zé)任制，加強安全保障體系建設(shè)，強化統(tǒng)籌管理和協(xié)調(diào)監(jiān)督，保障健康醫(yī)療大數(shù)據(jù)安全[13]。以上法律文件均從不同角度強調(diào)了醫(yī)療行業(yè)網(wǎng)絡(luò)安全的重要性，因此任何醫(yī)療事業(yè)單位都應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全規(guī)章制度，通過制度的約束和嚴(yán)格的管理輔助日常工作。(1)組織制定信息安全管理制度和規(guī)范；(2)成立信息化和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，組建專門的信息化和網(wǎng)絡(luò)安全隊伍，研究網(wǎng)絡(luò)安全管理及發(fā)展機制；(3)對網(wǎng)站、信息系統(tǒng)的開發(fā)、運維、升級改造等進行安全把控，保障本單位的信息化工作安全有序開展。

2.2 加強人員儲備及管理

保障網(wǎng)絡(luò)安全的所有環(huán)節(jié)都需要人來參與，從管理到實操，人是最關(guān)鍵的因素之一。人員儲備應(yīng)該包括負責(zé)頂層設(shè)計的管理人員、實際操作的技術(shù)人員以及維護人員等。

醫(yī)療事業(yè)單位大多沒有足夠的專業(yè)人員來建立自己的網(wǎng)絡(luò)安全管理團隊，這種情況必須考慮擴充人才隊伍，主要由兩部分人員組成：(1)內(nèi)部人員。為本單位長期聘用人員，服從單位的各項制度管理；(2)外部人員。為向本單位提供服務(wù)的外單位人員，如軟硬件維護和技術(shù)支持人員、網(wǎng)絡(luò)安全顧問等。

2.3 提高思想認識

對于醫(yī)療事業(yè)單位尤其是網(wǎng)絡(luò)專業(yè)技術(shù)人員數(shù)量有限的科研機構(gòu)來說，加強網(wǎng)絡(luò)安全培訓(xùn)、知識普及和業(yè)務(wù)交流是提升工作人員思想認識和基礎(chǔ)知識水平的有效途徑，可以通過以下幾種方式進行：(1)加強網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施保護的政策宣貫；(2)強化培訓(xùn)教育、業(yè)務(wù)交流等方式，推動網(wǎng)絡(luò)安全人才教育培訓(xùn)體系建設(shè)，達到強化全體職工網(wǎng)絡(luò)安全理念、提高網(wǎng)絡(luò)安全意識等目的；(3)通過組織網(wǎng)絡(luò)安全應(yīng)急演練，開展網(wǎng)絡(luò)攻防演習(xí)等活動，提高技術(shù)工作人員的實戰(zhàn)能力。

3 構(gòu)建監(jiān)測預(yù)警與應(yīng)急處置體系

2005年頒布的《國家突發(fā)公共事件總體應(yīng)急預(yù)案》提出，應(yīng)建立我國應(yīng)急預(yù)案體系的基本框架。并明確指出，各單位要做好網(wǎng)絡(luò)安全事件的日常預(yù)防工作，制定完善應(yīng)急預(yù)案，做好網(wǎng)絡(luò)安全檢查、隱患排查、風(fēng)險評估和容災(zāi)備份，健全網(wǎng)絡(luò)安全信息通報機制，及時采取有效措施，提高網(wǎng)絡(luò)安全事件的應(yīng)對能力[14]。

3.1 監(jiān)測預(yù)警

《中華人民共和國網(wǎng)絡(luò)安全法》要求，國家層面建立統(tǒng)一的監(jiān)測預(yù)警、信息通報和應(yīng)急處置機制，各單位也應(yīng)當(dāng)建立自己的網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，以便盡早發(fā)現(xiàn)事件的隱患，及時上報并采取有效措施，避免信息數(shù)據(jù)泄露等事件發(fā)生[15]。

建立監(jiān)測預(yù)警體系一般分為預(yù)警分級、預(yù)警監(jiān)測、預(yù)警研判和發(fā)布、預(yù)警響應(yīng)、預(yù)警解除5個部分。(1)預(yù)警分級可由高到低用不同顏色表示事件的級別和嚴(yán)重程度。(2)預(yù)警監(jiān)測主要是對遠期預(yù)警信息的監(jiān)測，建立相關(guān)網(wǎng)絡(luò)信息與數(shù)據(jù)安全事件預(yù)警和監(jiān)控系統(tǒng)，并結(jié)合第三方監(jiān)測信息，及時發(fā)現(xiàn)并上報網(wǎng)絡(luò)安全威脅或事件發(fā)生的跡象和趨勢。(3)建立預(yù)警信息專家研判隊伍，完善預(yù)警上報及發(fā)布的流程和規(guī)范。由專家對監(jiān)測信息進行研判，如需要立即采取防范措施的，應(yīng)及時向有關(guān)部門和單位發(fā)布預(yù)警信息；如涉及重大網(wǎng)絡(luò)安全事件的，應(yīng)立即向上級主管單位報告。發(fā)布預(yù)警信息應(yīng)當(dāng)包含類別、級別、起始時間、影響范圍、警示事項、應(yīng)采取的措施和時限等要求。(4)在收到預(yù)警信息后，應(yīng)立即進入預(yù)警狀態(tài)，并按照相關(guān)應(yīng)急預(yù)案開展相關(guān)工作。(5)當(dāng)獲得上級部門或者本單位相關(guān)管理部門授權(quán)后，發(fā)布預(yù)警解除信息。

3.2 應(yīng)急處置

應(yīng)急處置要求在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過程中建立跨部門聯(lián)動的應(yīng)急處置體系，需要行政管理部門、業(yè)務(wù)管理部門以及技術(shù)支持部門的通力配合。應(yīng)急處置體系一般分為發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、先期處置、基本響應(yīng)、分級響應(yīng)、擴大應(yīng)急、應(yīng)急結(jié)束等環(huán)節(jié)。(1)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時，應(yīng)第一時間上報至本單位的信息安全領(lǐng)導(dǎo)小組辦公室，信息安全領(lǐng)導(dǎo)小組辦公室統(tǒng)籌協(xié)調(diào)，組織技術(shù)團隊核實事件的真實性，并做好相關(guān)信息的保密工作。(2)當(dāng)核實為真實事件后，上報至上級行政主管部門，同時組織相關(guān)專家和技術(shù)團隊對事件進行研判并確定事件等級，做好信息通報工作。(3)根據(jù)專家研判結(jié)果，啟動相應(yīng)級別的應(yīng)急方案。一般可將事件基本分成高級、中級、低級等級別，可結(jié)合本單位實際情況增加分級級別。級別不同，應(yīng)急響應(yīng)的時間也有所區(qū)別。同時成立現(xiàn)場應(yīng)急指揮部，相關(guān)部門進入應(yīng)急狀態(tài)，并及時將有關(guān)信息上報至上級行政主管單位。(4)根據(jù)事件級別，應(yīng)急響應(yīng)也可分級別響應(yīng)，通常跟事件分級相對應(yīng)。應(yīng)急響應(yīng)過程和具體執(zhí)行步驟需要根據(jù)級別的不同分別設(shè)定。(5)擴大應(yīng)急狀態(tài)通常指在應(yīng)急處置過程中，如果事態(tài)有所發(fā)展，事件級別應(yīng)由原先專家研判的級別提升至更高級，并及時啟動高級響應(yīng)的相關(guān)預(yù)案。(6)當(dāng)網(wǎng)絡(luò)安全事件應(yīng)急處置完成，次生、衍生危害基本消除，風(fēng)險得到控制，即宣告應(yīng)急處置工作結(jié)束。如為高級別事件，應(yīng)由領(lǐng)導(dǎo)小組辦公室向上級行政主管部門提出申請，經(jīng)批準(zhǔn)后通報應(yīng)急結(jié)束。

4 小結(jié)

醫(yī)療事業(yè)單位在日常網(wǎng)絡(luò)安全管理中存在不足，應(yīng)根據(jù)國家出臺的相關(guān)政策及法律法規(guī)，建立檢測預(yù)警與應(yīng)急處置體系。當(dāng)前，我國醫(yī)療行業(yè)信息化非?？焖?，傳統(tǒng)醫(yī)療與新興技術(shù)的深度融合促進了醫(yī)療衛(wèi)生行業(yè)的服務(wù)水平，但所面臨的網(wǎng)絡(luò)安全風(fēng)險也逐漸加大。醫(yī)療行業(yè)掌握了大量的、可利用的信息，但整體應(yīng)對網(wǎng)絡(luò)安全的防護水平不高以及應(yīng)對網(wǎng)絡(luò)安全防護的能力較弱。因此，醫(yī)療事業(yè)單位網(wǎng)絡(luò)安全工作需要管理部門的組織協(xié)調(diào)、溝通，并以強大的技術(shù)團隊作為支撐，不斷加強頂層設(shè)計，提升管理和技術(shù)能力，以有效推進網(wǎng)絡(luò)安全管理工作的持續(xù)發(fā)展。