史敬華

[摘要] 信息系統(tǒng)存在的安全問題是影響醫(yī)療信息系統(tǒng)發(fā)揮其效益的隱患，是影響醫(yī)療行業(yè)完成其治病救人使命的嚴重隱患。因此，各國普遍把醫(yī)療信息系統(tǒng)的安全保護列為關(guān)鍵信息基礎(chǔ)設(shè)施保護（CIIP）。原衛(wèi)生部2011年85號文件要求：重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級。本文介紹了我國信息安全等級保護基本概念和等級劃分，以及我國醫(yī)療行業(yè)信息安全等級保護的安全監(jiān)管技術(shù)現(xiàn)狀。在此基礎(chǔ)上，分析了我國醫(yī)療行業(yè)信息安全等級保護在安全監(jiān)管技術(shù)上未來需要進行優(yōu)化調(diào)整的方向，為適應(yīng)未來信息化發(fā)展，提出了進一步做好信息安全等級保護安全監(jiān)管工作的建議。

[關(guān)鍵詞] 醫(yī)療;信息安全;等級保護;監(jiān)管

[中圖分類號] R39? ? ? ? ? [文獻標識碼] A? ? ? ? ? [文章編號] 1673-7210（2019）02（b）-0177-04

[Abstract] Whether the medical information system is safe or not is a hidden trouble which affects the efficiency and benefit of the system， and it is serious hidden danger which affects the medical profession to complete its mission of curing and saving people. Therefore， countries arounds the world generally regard the security protection of medical information system as the critical information infrastructure protection （CIIP）. Document No.85 of the origina Ministry of Health of China in 2011 requires that the level of security protection of important health information systems is not lower than the third in principle. The paper introduces the basic concept and classification of classified protection of information system security in our country， and the present situation of security supervision technology in medical profession in our country. On this basis， the paper analyzes the future direction of optimization and adjustment in terms of security supervision technology in Chinese medical industry. In order to adapt to the information development， this paper also puts forward some suggestions to further do well in security supervision.

[Key words] Medical care; Information security; Classified protection; Supervision

信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷，最終實現(xiàn)業(yè)務(wù)連續(xù)性。信息安全的三要素為：保密性（Confidentiality），信息不能被未授權(quán)的個人，實體利用或知悉;完整性（Integrity），保護信息的準確和完整;可用性（Availability），保障信息的正常訪問和使用。除了這三個基本屬性外，信息的真實性、不可否認性、可問責性、可控性也是信息安全不可缺少的屬性。

1 信息安全等級保護

信息安全等級保護是根據(jù)我國國情，在現(xiàn)有的人、財、資源環(huán)境下，為保障信息系統(tǒng)安全，實行的一項基本制度和方法。不同重要程度的信息系統(tǒng)，開展等級不同的安全保障措施和不同的技術(shù)監(jiān)管，是我國多年信息安全工作的經(jīng)驗總結(jié)[1]。在衛(wèi)生行業(yè)涉及個人隱私、影響患者救治的重要信息系統(tǒng)建設(shè)過程中，落實信息安全等級保護相關(guān)制度，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系患者隱私[2]的重要信息系統(tǒng)安全，有利于社會穩(wěn)定，有利于大衛(wèi)生在健康理念下的衛(wèi)生行業(yè)數(shù)字化轉(zhuǎn)型發(fā)展。

1.1 信息安全等級保護級別劃分

依據(jù)GB17859-1999[2]，“根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素”，將信息系統(tǒng)安全等級由低到高分為自主保護、指導保護、監(jiān)督保護、強制保護、?？乇Ｗo五個級別。同時規(guī)定了計算機信息系統(tǒng)安全保護能力的五個級別。第一級：用戶自主保護級;第二級：系統(tǒng)審計保護級;第三級：安全標記保護級;第四級：結(jié)構(gòu)化保護級第五級：訪問驗證保護級。針對每個級別，詳細列出了等級劃分準則[3]，其本質(zhì)是要明確重點、確保重點、標準管理。

1.2 信息安全等級保護的技術(shù)保障

信息安全進行等級保護是要對信息以及信息系統(tǒng)分等級進行安全保護;對系統(tǒng)中使用的信息安全產(chǎn)品進行分等級管理;對系統(tǒng)中發(fā)生的安全事件分等級響應(yīng)和處置。通過對信息系統(tǒng)定級、備案、安全建設(shè)整改、測評規(guī)范的步驟，來滿足安全等級保護標準中五個層面的技術(shù)要求，即物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全。醫(yī)療行業(yè)中，衛(wèi)生機構(gòu)信息系統(tǒng)遭到破壞后的影響程度，基本只損害到地區(qū)部分公民的就醫(yī)權(quán)利，不造成對社會秩序和公共利益的損害，因此，衛(wèi)生行業(yè)的信息系統(tǒng)一般僅做三級等級保護[4]。信息安全等級保護技術(shù)保障要求如下：

1.2.1 物理安全保障? 物理環(huán)境安全是要保護網(wǎng)絡(luò)中計算機網(wǎng)絡(luò)通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制中心和各種偷窺、破壞活動的發(fā)生。

1.2.2 網(wǎng)絡(luò)安全保障? 網(wǎng)絡(luò)結(jié)構(gòu)安全是網(wǎng)絡(luò)安全的基礎(chǔ)，對于衛(wèi)生行業(yè)網(wǎng)絡(luò)[5]，選擇網(wǎng)絡(luò)設(shè)備的帶寬時要考慮每日業(yè)務(wù)高峰時的數(shù)據(jù)流量;要考慮業(yè)務(wù)系統(tǒng)服務(wù)的重要次序;分配帶寬的優(yōu)先級、劃分網(wǎng)段或VLAN。同時進行網(wǎng)絡(luò)設(shè)備的加固、布置網(wǎng)絡(luò)審計、終端安全管理系統(tǒng)等保障網(wǎng)絡(luò)邊界安全。

1.2.3 主機安全保障? 為保障各種應(yīng)用能在主機上運行，經(jīng)常采用身份鑒別、訪問權(quán)限控制、終端安全管理、主機審計系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、終端安全系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)保障主機安全。

1.2.4 應(yīng)用安全保障? 信息系統(tǒng)應(yīng)用安全是等級保護技術(shù)保障的重點部位。應(yīng)用系統(tǒng)業(yè)務(wù)層面同樣要求部署身份鑒別、訪問控制、應(yīng)用審計、入侵防范來保障應(yīng)用安全，還應(yīng)考慮邊界安全、軟件容錯、資源控制、抗抵賴、客體安全重用等措施。

1.2.5 數(shù)據(jù)安全保障? 保障數(shù)據(jù)安全是信息安全等級保護的核心目標，即要實現(xiàn)數(shù)據(jù)的機密性、完整性和可用性。為防止數(shù)據(jù)泄露、篡改與破壞，通常在數(shù)據(jù)傳輸、處理及存儲環(huán)節(jié)加固安全防護[6]。

2 我國醫(yī)療行業(yè)信息安全現(xiàn)狀

與發(fā)達國家相比，我國衛(wèi)生行業(yè)的信息安全管理領(lǐng)域的工作推進還處于起步階段。如信息系統(tǒng)在部署和應(yīng)用上不規(guī)范、網(wǎng)絡(luò)規(guī)劃不合理、信息安全應(yīng)急體系不健全、信息安全人才“產(chǎn)能”與實際需求相差太大，造成了信息泄漏不斷、移動互聯(lián)網(wǎng)惡意程序增加、網(wǎng)絡(luò)攻擊數(shù)量增加、攻擊方式升級、信息泄露損失更加嚴重[7]。這不僅嚴重影響到衛(wèi)生業(yè)務(wù)系統(tǒng)的正常運行，還直接威脅到患者隱私，甚至患者的生命安全。

2.1 醫(yī)療信息中的隱私內(nèi)容及個人隱私泄露風險

醫(yī)療服務(wù)的對象是人，其維護的不僅是人的生命與健康，還應(yīng)有對患者隱私及隱私權(quán)的尊重。公共衛(wèi)生中血液系統(tǒng)信息、疾病控制信息、精神衛(wèi)生管理系統(tǒng)中的信息;個人在體檢、診斷、治療中形成的電子病歷、電子處方、電子健康檔案等涉及到的機體特征、健康狀況、遺傳基因、病史病歷等個人信息，都是個人的秘密信息，是個人隱私權(quán)的核心部位。另外，疾病疫情信息、衛(wèi)生監(jiān)管數(shù)據(jù)、智能手機與遠程醫(yī)療技術(shù)[8]的普及，使得越來越多的醫(yī)療行為、個人信息和支付方式[9]參與到網(wǎng)絡(luò)之中，這些信息一旦被他人竊取、偽造或篡改，將產(chǎn)生敏感信息泄露、醫(yī)療決策失誤等嚴重后果。

在涉及到個人隱私的重要信息系統(tǒng)建設(shè)時，建立身份認證、授權(quán)管理、責任認定為基礎(chǔ)的安全保障機制[10]就顯得尤為重要，只有患者隱私在為醫(yī)務(wù)人員提供科學、合理就診的基礎(chǔ)信息時，又能保證患者隱私不被非法泄露和侵犯，才能體現(xiàn)我國醫(yī)療為民服務(wù)、尊重患者隱私的宗旨，才能推進我國數(shù)字化醫(yī)療的順利實施。

2.2 醫(yī)療行業(yè)服務(wù)對信息系統(tǒng)的依賴

隨著醫(yī)療服務(wù)對信息化的依賴，信息系統(tǒng)所維系的不僅僅的醫(yī)療服務(wù)業(yè)務(wù)的支撐和輔助，而是整個衛(wèi)生服務(wù)行業(yè)的命脈[11]。WEB2.0和互聯(lián)網(wǎng)+的深入落實，使得整個醫(yī)療行業(yè)的業(yè)務(wù)被緊綁在信息系統(tǒng)之上，個人健康檔案、衛(wèi)生疾病控制、血液管控、衛(wèi)生監(jiān)管、新藥研制、疾病預防、臨床診療繁雜的醫(yī)療數(shù)據(jù)中蘊含著豐富的醫(yī)學知識，醫(yī)療信息化的應(yīng)用場景越發(fā)豐富多彩，勢必會導致沒有信息安全就沒有醫(yī)療服務(wù)的業(yè)務(wù)安全[12]。

2.3 醫(yī)療衛(wèi)生信息安全等級保護級別

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)于信息安全等級保護工作的實施意見》和原衛(wèi)生部2011年85號文件要求，衛(wèi)生行業(yè)作為涉及國計民生的重要組成部分，其信息系統(tǒng)安全事關(guān)社會穩(wěn)定、國民人口健康、國家疾病控制。因此，在醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)中，要求核心醫(yī)療信息系統(tǒng)、公共衛(wèi)生信息系統(tǒng)成為醫(yī)療衛(wèi)生行業(yè)等級保護建設(shè)中核心的系統(tǒng)[13]，重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級;而協(xié)同辦公系統(tǒng)及外圍業(yè)務(wù)系統(tǒng)一般定級為二級保護系統(tǒng)。

3 衛(wèi)生信息安全等級保護安全監(jiān)管技術(shù)與不足

3.1 衛(wèi)生信息安全等級保護安全監(jiān)管技術(shù)

基于醫(yī)療衛(wèi)生行業(yè)核心信息系統(tǒng)必須進行三級安全保護的要求[14]，衛(wèi)生信息安全等級保護中，現(xiàn)今主要采用以下17種安全監(jiān)管技術(shù)：

3.1.1 網(wǎng)絡(luò)設(shè)備防護及邊界訪問控制? 對網(wǎng)絡(luò)管理員進行唯一身份鑒別、限制登錄地址、登錄口令合規(guī)、登錄失敗處理、啟用SSH加密防止竊聽[15]、采用兩種或兩種以上組合的鑒別技術(shù)對網(wǎng)絡(luò)設(shè)備進行一系列的加固防護。

3.1.2 網(wǎng)絡(luò)安全審計? 利用網(wǎng)絡(luò)審計系統(tǒng)，甄別出網(wǎng)絡(luò)中存在的威脅，分析出網(wǎng)絡(luò)中發(fā)生的網(wǎng)絡(luò)異常、網(wǎng)絡(luò)攻擊和病毒等內(nèi)外部安全事件，實現(xiàn)入侵檢測、信息還原，生成詳細審計報表的功能。

3.1.3 通信完整保密? 采用校驗碼、消息鑒別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名[16]等技術(shù)，以保障信息傳輸和存儲的完整性;通過部署VPN[17]系統(tǒng)保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機密性，從而保障通信保密性。

3.1.4 網(wǎng)絡(luò)可信接入? 在網(wǎng)絡(luò)邊界處布置終端安全管理系統(tǒng)對非法外聯(lián)及非法接入進行監(jiān)控與阻斷，實現(xiàn)網(wǎng)絡(luò)可信接入從而保障網(wǎng)絡(luò)邊界完整。