2018年，醫(yī)療信息化、互聯(lián)網(wǎng)醫(yī)療重量級政策和標(biāo)準(zhǔn)頻發(fā)，這為醫(yī)院進入下一個發(fā)展階段奠定了基礎(chǔ)。但無論是醫(yī)院信息化建設(shè)、互聯(lián)網(wǎng)醫(yī)院還是遠程醫(yī)療，都離不開數(shù)據(jù)安全的問題。云時代的來臨，更是讓醫(yī)院保障信息系統(tǒng)和數(shù)據(jù)的安全性，顯得尤為重要。

醫(yī)療行業(yè)的信息安全市場情況如何？醫(yī)院目前的信息安全的薄弱點有哪些？醫(yī)院該如何應(yīng)對信息化創(chuàng)新產(chǎn)品下的信息安全，以及日益泛濫的網(wǎng)絡(luò)勒索？這些問題，將在本篇文章中得到深度探討。

下面這張表，是動脈網(wǎng)結(jié)合2018年《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》安全要求 ，以及中國醫(yī)院協(xié)會信息管理專業(yè)委員會CHIMA發(fā)布的《2017－2018中國醫(yī)院信息化狀況調(diào)查報告》中的相關(guān)數(shù)據(jù)得出。將兩者相互印證之后，動脈網(wǎng)得出了目前三級醫(yī)院信息安全建設(shè)情況：

從表中可以看出，目前三級醫(yī)院的信息安全建設(shè)，主要集中在防火墻、反病毒、VPN／網(wǎng)閘和容災(zāi)備份這四個方面；建設(shè)較差的主要包括安全審計、身份認證、隱私保護、終端安全和網(wǎng)絡(luò)安全。

針對醫(yī)療行業(yè)信息安全市場的現(xiàn)狀，廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均給出了自己的觀點。他認為，市場的大小根本原因在于醫(yī)療行業(yè)的安全建設(shè)相對落后。行業(yè)中，并沒有整體的安全規(guī)劃或建設(shè)思路。并且，大部分醫(yī)院的安全建設(shè)都是滿足合規(guī)性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度，就可以通過等保要求，真正用心做安全整體設(shè)計的并不多。這種現(xiàn)狀，導(dǎo)致整個醫(yī)療信息安全市場缺乏活力。

此外，目前國內(nèi)醫(yī)療行業(yè)更關(guān)注業(yè)務(wù)發(fā)展需求，缺乏專業(yè)的網(wǎng)絡(luò)安全人才儲備，這也是目前比較大的挑戰(zhàn)。

一位業(yè)內(nèi)人士則透露，一方面醫(yī)院信息部門的地位相對弱勢，信息化建設(shè)大多取決于院方領(lǐng)導(dǎo)的意識。對醫(yī)院來說，單位網(wǎng)絡(luò)設(shè)備體量不大，一般是純內(nèi)網(wǎng)的環(huán)境，當(dāng)前重點建設(shè)基本集中在網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善，安全建設(shè)相對滯后。再加上醫(yī)療行業(yè)屬于財政差額撥款單位，有相當(dāng)一部分醫(yī)院資金不富裕，因此安全建設(shè)的優(yōu)先級相對較低。

對于國內(nèi)醫(yī)療信息安全市場現(xiàn)階段的產(chǎn)值規(guī)模，作為國內(nèi)信息安全企業(yè)的代表，綠盟科技相關(guān)負責(zé)人分析了以下兩點原因：

其一，信息安全相關(guān)配套政策和標(biāo)準(zhǔn)較少。在網(wǎng)絡(luò)安全法正式實施之前，國內(nèi)對于個人隱私信息的安全要求幾乎空白。而醫(yī)療行業(yè)是涉及個人隱私信息最為深入的領(lǐng)域，沒有法律法規(guī)上的明確要求，沒有行業(yè)標(biāo)準(zhǔn)的具體指向，各級醫(yī)療機構(gòu)很難認識到信息安全對自身業(yè)務(wù)的深刻影響，也就很少會主動考慮在安全方面有所投入。

其二，信息或網(wǎng)絡(luò)安全對醫(yī)療行業(yè)的實際業(yè)務(wù)推進上缺乏直觀的價值感受。舉例而言，一所三甲醫(yī)院每年的IT類投資可能達到千萬級。但醫(yī)院決策者基于業(yè)務(wù)發(fā)展的考慮更多的會對臨床、研究、醫(yī)技等業(yè)務(wù)領(lǐng)域方面進行投入，原因就在于這些IT投資對業(yè)務(wù)的推進和支撐幾乎是肉眼可見，而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露，這些都不會被直接展示到?jīng)Q策者的案桌上。

正因如此，最近兩年，各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。

如何保障互聯(lián)網(wǎng)醫(yī)院的信息安全？在回答這一問題前，首先要明確而其定義和具體要求。

互聯(lián)網(wǎng)醫(yī)院的概念提出，是為了解決原有傳統(tǒng)醫(yī)療體系中所欠缺的專業(yè)醫(yī)療資源不均衡和醫(yī)療服務(wù)體驗差的問題。因此互聯(lián)網(wǎng)醫(yī)院為了解決這兩大核心問題，采用的機制是借助互聯(lián)網(wǎng)這個強大的資源共享方式，借助云計算和大數(shù)據(jù)等技術(shù)，從模式和能力上對作為傳統(tǒng)醫(yī)療業(yè)務(wù)的補充。

互聯(lián)網(wǎng)醫(yī)院的管理辦法中提到，互聯(lián)網(wǎng)醫(yī)院由互聯(lián)網(wǎng)進行遠程訪問，會涉及到實體醫(yī)療機構(gòu)的重要系統(tǒng)數(shù)據(jù)交換，同時根據(jù)互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關(guān)法律法規(guī)和規(guī)定，實施第三級信息安全等級保護。所以，在滿足醫(yī)院的互聯(lián)網(wǎng)接入和虛擬專用用上，醫(yī)院還要滿足數(shù)據(jù)安全的要求。

從本質(zhì)上講，互聯(lián)網(wǎng)醫(yī)院的信息安全所要保障的根本并沒有變，依然是對于數(shù)據(jù)，特別是醫(yī)療臨床等相關(guān)的健康數(shù)據(jù)的保護，從傳輸、處理、共享、存儲各方面考慮其安全性。因此，要滿足這類安全需求，絕不是單一的安全產(chǎn)品能實現(xiàn)。醫(yī)院需要充分結(jié)合實際的技術(shù)場景，選擇在各個維度能夠達到風(fēng)險控制需要的安全產(chǎn)品。

例如，在傳輸層面，互聯(lián)網(wǎng)邊界需要考慮訪問控制、入侵防護、病毒檢測和防護、WEB安全防護等措施。而在數(shù)據(jù)交換場景下，醫(yī)院需要考慮數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)防泄漏、數(shù)據(jù)庫審計或防護等。所以，沒有最好的安全產(chǎn)品，只有最適合業(yè)務(wù)的安全解決方案。

對于目前備受關(guān)注的互聯(lián)網(wǎng)醫(yī)院的信息安全建設(shè)，國內(nèi)知名數(shù)據(jù)安全廠商安華金和醫(yī)療行業(yè)負責(zé)人認為，互聯(lián)網(wǎng)專線和VPN能夠解決一部分的外網(wǎng)接入的安全問題，但從業(yè)務(wù)訪問的角度來講，業(yè)務(wù)數(shù)據(jù)系統(tǒng)對外提供，包括遠程醫(yī)療、醫(yī)保查詢、預(yù)約掛號等都需要直接訪問業(yè)務(wù)數(shù)據(jù)，對于數(shù)據(jù)本身的訪問安全以及對于內(nèi)網(wǎng)訪問安全也需要加強。

例如，在數(shù)據(jù)庫安全方面可以采用數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏等手段進行安全加固。整體而言，可以從主動防御體系的思路做安全建設(shè)，這涉及四道防線：

第一道防線：檢查預(yù)警。通過數(shù)據(jù)庫漏掃產(chǎn)品對數(shù)據(jù)庫威脅進行檢查分析，給出安全建議。

第二道防線：主動防御。通過數(shù)據(jù)庫安全運維產(chǎn)品的身份識別、運維審批、流程管理，防止非法人員操作；防止外部攻擊破壞；與此同時做好內(nèi)部防護，防止內(nèi)部超級權(quán)限。

第三道防線：底線防守。

閾值管控：規(guī)避批量惡意訪問，針對大批量醫(yī)療泄密進行告警控管，防止醫(yī)療數(shù)據(jù)批量查詢；

數(shù)據(jù)庫加密產(chǎn)品：防止防止醫(yī)患數(shù)據(jù)泄露 “脫庫”；

數(shù)據(jù)庫脫敏產(chǎn)品：醫(yī)療數(shù)據(jù)去隱私化，防止泄漏真實數(shù)據(jù)給第三方。

第四道防線：事后追查。利用數(shù)據(jù)庫審計產(chǎn)品來區(qū)分是外部威脅還是內(nèi)鬼作案，可以對安全事件進行責(zé)任追溯。

對于互聯(lián)網(wǎng)醫(yī)院APP的安全問題，綠盟科技則認為應(yīng)該從應(yīng)用服務(wù)端、網(wǎng)絡(luò)通信和用戶三個層面來整體看待。

對于服務(wù)端而言，基于移動應(yīng)用端的APP安全與傳統(tǒng)的WEB安全并無本質(zhì)區(qū)別，現(xiàn)有的WAF類防護產(chǎn)品依然適用，能夠防護來自APP端的攻擊，網(wǎng)絡(luò)通信端的安全則主要考慮數(shù)據(jù)的保密與完整性。因此，醫(yī)院可以通過SSL或HTTPS來解決。

而移動端的安全，對醫(yī)院這樣的企業(yè)級用戶而言，幾乎不可能通過傳統(tǒng)意義上的安全產(chǎn)品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件，那會帶來極大的用戶體驗下降。因此，目前更多的醫(yī)療機構(gòu)在上線APP應(yīng)用前，會進行系統(tǒng)性的安全評估和安全的黑白盒測試�；�于測試和評估結(jié)果，安全廠商能夠指導(dǎo)開發(fā)者對不安全的漏洞進行及時修復(fù)，以此來徹底解決APP的安全問題。

曹主任的觀點與綠盟科技類似，他認為，在遠程移動的訪問上，采用SSL VPN（國密）實現(xiàn)遠程訪問的卻是較好的方案。在互聯(lián)網(wǎng)醫(yī)院與偏遠地區(qū)醫(yī)療機構(gòu)、基層醫(yī)療衛(wèi)生機構(gòu)、全科醫(yī)生與�？漆t(yī)生的數(shù)據(jù)資源共享和業(yè)務(wù)協(xié)同上，可以考慮采用安全一體機部署在基礎(chǔ)醫(yī)療機構(gòu)本地，實現(xiàn)VPN安全組網(wǎng)和數(shù)據(jù)加密傳輸。

在騰訊最近發(fā)布的醫(yī)療行業(yè)安全指數(shù)報告中提到，目前醫(yī)療行業(yè)的網(wǎng)絡(luò)安全設(shè)備首選防火墻和VPN設(shè)備。

造成這個結(jié)果的原因，綠盟科技負責(zé)人認為主要有兩個：一是這兩類產(chǎn)品的使用范圍更多，凡是有網(wǎng)絡(luò)邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩(wěn)定的專用網(wǎng)絡(luò)解決方案，凡是涉及到有需要遠程接入訪問內(nèi)網(wǎng)的場景，都需要借助VPN實現(xiàn)，這造成了巨大的需求基數(shù)。

另外一方面，醫(yī)療用戶普遍對網(wǎng)絡(luò)安全的認識還不夠深刻。特別在廣大的基層醫(yī)療機構(gòu)，因為網(wǎng)絡(luò)規(guī)模較小、信息數(shù)據(jù)量也不大，認為邊界防護有防火墻，通信數(shù)據(jù)保障有VPN即可確保整體網(wǎng)絡(luò)安全。

但其實無論醫(yī)療機構(gòu)的大小，涉及到病患隱私信息數(shù)據(jù)、臨床信息數(shù)據(jù)等敏感數(shù)據(jù)的重要程度都是不言而喻。對這類數(shù)據(jù)的保護除了防火墻和VPN之外，還需要考慮邊界的縱深防護，諸如入侵防護、病毒過濾、針對WEB應(yīng)用的WAF產(chǎn)品，針對數(shù)據(jù)庫保護的數(shù)據(jù)庫防火墻和安全審計等環(huán)節(jié)，等需要考慮建設(shè)。

對于目前醫(yī)院VPN的使用現(xiàn)狀，安華金和負責(zé)人在與某三級醫(yī)院信息科主任溝通之后，也給出了自己的觀點：VPN一方面用于遠程維護，另外一個主要的用途是區(qū)域聯(lián)網(wǎng)。但目前區(qū)域聯(lián)網(wǎng)更傾向于專線，只有條件不夠，醫(yī)院才選擇走VPN。比如不少醫(yī)院與市衛(wèi)健委、省衛(wèi)健委的連接方式就采用專線，而條件達不到的醫(yī)院，則只能使用VPN實現(xiàn)連接。

此外，在實際使用中，醫(yī)院不僅要考慮互聯(lián)網(wǎng)訪問的接入安全，還需考慮數(shù)據(jù)平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵，那么核心的數(shù)據(jù)將直接暴露在攻擊者面前。因此在對訪問進行準(zhǔn)入控制的同時，也需要通過數(shù)據(jù)安全手段對核心數(shù)據(jù)進行專業(yè)的防護。

對此曹主任也給予了認同，他表示，在目前醫(yī)院的安全建設(shè)中，醫(yī)院內(nèi)網(wǎng)及遠程醫(yī)療的發(fā)展尤為重要。因此，防火墻和VPN自然就作為剛需或首先。但隨著如大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，安全技術(shù)同樣需要發(fā)展和更新。

曹主任建議，醫(yī)院可以進行體系化的安全建設(shè)，包括安全技術(shù)體系、管理體系、運營體系（服務(wù)體系），三者相輔相成。在方案上，可以采用融合安全、立體保護的架構(gòu)，比如采用一體化的安全設(shè)備，減少設(shè)備運維管理壓力。另外，在端點安全、網(wǎng)絡(luò)邊界安全、云端安全、安全服務(wù)、安全管理制度等，醫(yī)院都應(yīng)該及時加強。

根據(jù)2018年《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》安全的要求，三級醫(yī)院的數(shù)據(jù)安全保護主要包括以下8大措施：

1、防火墻

2、安全審計設(shè)備

3、系統(tǒng)加固設(shè)備

4、數(shù)據(jù)加固設(shè)備

5、入侵防范設(shè)備

6、身份認證系統(tǒng)

7、訪問控制系統(tǒng)

8、安全管理系統(tǒng)

對于現(xiàn)階段三級醫(yī)院建設(shè)較弱的身份認證環(huán)節(jié)，綠盟科技負責(zé)人表示，目前這部分醫(yī)院普遍使用4A產(chǎn)品如堡壘機，來解決院內(nèi)的統(tǒng)一認證的問題。通過將賬號、認證、授權(quán)、審計四個過程，來解決對數(shù)據(jù)的訪問權(quán)限的問題。

而認證的方式則可以根據(jù)所訪問的數(shù)據(jù)和系統(tǒng)，醫(yī)院可以自行選擇強度適合的方式。例如針對核心的HIS數(shù)據(jù)，訪問可以采用多人、多因素的認證方式，兩個或兩個以上的人員保存一副密鑰的部分，通過靜態(tài)密碼結(jié)合短信令牌、CA證書、指紋或其他生物特征識別技術(shù)來實現(xiàn)強認證方式。針對醫(yī)院的醫(yī)護工作人員，則僅進行靜態(tài)密碼的認證來實現(xiàn)，以保障業(yè)務(wù)的順暢性。

在2018版的《電子病歷應(yīng)用管理規(guī)范（試行）》解讀中，首都醫(yī)科大學(xué)附屬北京天壇醫(yī)院信息中心主任王韜曾闡述了現(xiàn)有數(shù)字簽名在電子病歷數(shù)據(jù)保護上存在的兩大隱患：

1、簽名內(nèi)容的專屬性，目前尚未出臺電子病歷簽名內(nèi)容的標(biāo)準(zhǔn)，這導(dǎo)致CA（證書授權(quán)中心）在簽名時不考慮提交簽名的內(nèi)容是否存在問題，這到這患者存在“被掉包”的可能性。

2、簽名內(nèi)容完整性。由于醫(yī)院簽名次數(shù)較多，CA在驗簽時無法發(fā)現(xiàn)醫(yī)院是否每次提交內(nèi)容中有包含不利信息。

以上兩種隱患，王主任認為可以通過簽名＋時間戳的方式進行解決。如此一來，就能保證每次的操作人員和操作時間可查詢、可追溯。

但據(jù)曹主任所言，目前普遍的認證方式都沒真正在醫(yī)院用起來。比如內(nèi)網(wǎng)中采用最多的CA認證，雖然它可以實現(xiàn)雙因素認證，提高認證的安全性，但因為使用起來比較麻煩，并且還存在兼容性問題，因此醫(yī)院采用的其實并不多。

而在數(shù)據(jù)的查詢、追溯、管理上，醫(yī)院可以采用日志審計、堡壘機、數(shù)據(jù)庫審計等方式進行管理，實現(xiàn)一定程度上的數(shù)據(jù)保護。但是在大數(shù)據(jù)上，非結(jié)構(gòu)化的數(shù)據(jù)會存在一定的問題。并且多設(shè)備的部署，醫(yī)院在管理運維方面也會比較麻煩。因此曹主任認為，在新的安全技術(shù)方向上，醫(yī)院可以采用軟件定義安全的模式進行部署。

2018年1月15日，位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊，這促使技術(shù)人員關(guān)閉了整個網(wǎng)絡(luò)  。在醫(yī)院電腦屏幕上出現(xiàn)勒索軟件通知后不久。黑客竟然猖狂地表示，在技術(shù)人員支付比特幣贖金前，他會長期“保管”一定數(shù)量的系統(tǒng)“人質(zhì)”。

對此，衛(wèi)生系統(tǒng)的IT團隊立即關(guān)閉了包括醫(yī)生辦公室和健康中心在內(nèi)的所有網(wǎng)絡(luò)，以隔離病毒。相關(guān)技術(shù)人員表示，黑客正試圖讓醫(yī)院無法運營，使用“數(shù)字掛鎖”來限制人員對系統(tǒng)部分功能的訪問。

McAfee首席科學(xué)家Raj Samani表示：“就勒索軟件而言，醫(yī)療行業(yè)遭受的損失可能是最多的。勒索軟件的爆炸式增長，其發(fā)源也是醫(yī)療領(lǐng)域。黑客們或?qū)�從傳統(tǒng)形式的勒索軟件，轉(zhuǎn)向更多的網(wǎng)絡(luò)破壞和服務(wù)中斷型攻擊。”

據(jù)動脈網(wǎng)了解，勒索病毒和挖礦病毒之所以威力巨大，一般是由于利用了永恒之藍等遠程攻擊方式，能夠自我傳播。因此，一個有趣的現(xiàn)象是，即所謂的內(nèi)外網(wǎng)隔離的內(nèi)網(wǎng)環(huán)境反倒更多地遭到侵襲，病毒也更泛濫。原因在于，相比于跟互聯(lián)網(wǎng)直接接觸的場景，純內(nèi)網(wǎng)的生產(chǎn)環(huán)境對安全少了對危機的敏感度。因此，被攻擊或遭到病毒的侵襲也就成為必然結(jié)果。

在應(yīng)對勒索病毒一事上，曹主任認為安全事件并非遙遠不及。安全建設(shè)也不是單單的滿足合規(guī)性建設(shè)，因為，哪怕很多醫(yī)院通過等級保護三級的驗收，也一樣會中勒索病毒。原因是安全技術(shù)的發(fā)展，傳統(tǒng)的防御技術(shù)對新型的威脅或者病毒是逐步失效的，所以需要加強監(jiān)測與響應(yīng)的能力。

在針對勒索病毒或者挖礦軟件的風(fēng)險上，曹主任認為可以采用四個階段的防護措施：

第一階段：加強端點安全的建設(shè)，包括主機（PC＼服務(wù)器）的系統(tǒng)補丁管理、安全基線管理、病毒查殺軟件等�？梢圆渴鹣乱淮�端點安全系統(tǒng)，如EDR軟件，可以通過人工智能、大數(shù)據(jù)技術(shù)實現(xiàn)勒索病毒變種及未知威脅的防護。

第二階段：加強全網(wǎng)流量風(fēng)險監(jiān)控及安全可視化的能力，通過整體安全感知平臺，通過流量分析實現(xiàn)網(wǎng)絡(luò)中的風(fēng)險可視化，例如出現(xiàn)病毒感染時，可以通過全網(wǎng)的主機風(fēng)險展示進行管理。

第三階段，在網(wǎng)絡(luò)邊界處部署下一代防火墻設(shè)備，需要支持IPS、僵尸網(wǎng)絡(luò)識別、AV防護等一體化的設(shè)備，并且可以和感知平臺實現(xiàn)聯(lián)動，當(dāng)平臺發(fā)現(xiàn)問題后下方策略到防火墻上進行阻斷。

第四階段，加強全網(wǎng)應(yīng)急響應(yīng)及應(yīng)急演練的能力，可以通過采購第三方專業(yè)的安全服務(wù)，實現(xiàn)快速的事件響應(yīng)。對勒索病毒進行預(yù)防和應(yīng)急處置。

醫(yī)療行業(yè)性政策標(biāo)準(zhǔn)和近兩年隨著網(wǎng)絡(luò)安全法正式實施，以及一些跟個人信息保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護等相關(guān)的法規(guī)、條例和標(biāo)準(zhǔn)，都對于醫(yī)療行業(yè)整體的網(wǎng)絡(luò)安全環(huán)境形成有著非常正向的作用。細化行業(yè)政策和標(biāo)準(zhǔn)的出臺，從頂層設(shè)計到具體實現(xiàn)各個層面進行了一定的歸一化和標(biāo)準(zhǔn)化，統(tǒng)一共性問題的認識，統(tǒng)一解決思路，這不管是對于醫(yī)院還是安全廠商都是非常利好的事情。

醫(yī)院用戶具有了在細分業(yè)務(wù)上權(quán)威的信息網(wǎng)絡(luò)安全參考，安全廠商也可以在解決行業(yè)需求的問題上，更多的朝同一個大方向上的不同維度和領(lǐng)域來擴充和輸出優(yōu)勢能力，對產(chǎn)業(yè)和行業(yè)用戶來說，是一個多贏的結(jié)果。

雖然行業(yè)形勢一片大好，但曹主任也給出了自己的一點建議：

雖然目前幾乎所有的安全企業(yè)都在積極的學(xué)習(xí)和解讀這些安全標(biāo)準(zhǔn)和政策，并根據(jù)自己的安全實踐提煉出切實可行的醫(yī)療安全方案。但也應(yīng)該清醒地看到，政策標(biāo)準(zhǔn)到具體執(zhí)行落地還需要一定的時間，短期內(nèi)對應(yīng)醫(yī)院的信息化建設(shè)上效應(yīng)不明顯，這是一個長期的過程。