■ 譚 健 程 銘 賈志剛 李郁鴻 付 航②

近年來(lái)，信息技術(shù)與醫(yī)療健康行業(yè)深度融合，醫(yī)療數(shù)據(jù)體量越來(lái)越大。醫(yī)療數(shù)據(jù)是產(chǎn)生于醫(yī)療機(jī)構(gòu)診療活動(dòng)關(guān)于患者的生理和健康狀況的數(shù)據(jù)[1]。作為電子化信息本身，這些來(lái)自廣大地理范圍內(nèi)的各類(lèi)感知數(shù)據(jù)不可避免地蘊(yùn)含著患者的大量時(shí)間和空間信息，其敏感性較高，一旦泄露可能影響患者個(gè)人隱私保護(hù)、醫(yī)療行業(yè)發(fā)展乃至國(guó)家衛(wèi)生安全[2]。因此，醫(yī)療數(shù)據(jù)安全至關(guān)重要。其中，醫(yī)療設(shè)備數(shù)據(jù)安全作為數(shù)據(jù)安全的范疇之一，值得重視和關(guān)注。2022年3月，國(guó)家衛(wèi)生健康委發(fā)布《國(guó)家三級(jí)公立醫(yī)院績(jī)效考核操作手冊(cè)（2022版）》，對(duì)大型醫(yī)療設(shè)備指標(biāo)進(jìn)行了修訂，進(jìn)一步強(qiáng)調(diào)醫(yī)療設(shè)備網(wǎng)絡(luò)安全。

醫(yī)療設(shè)備是醫(yī)院資產(chǎn)構(gòu)成的重要組成部分，也是臨床科室完成正常醫(yī)療診治的重要保障[3]。在醫(yī)改處于攻堅(jiān)階段的形勢(shì)下，大型公立醫(yī)院虹吸現(xiàn)象仍然客觀存在，院內(nèi)醫(yī)療設(shè)備均高負(fù)荷運(yùn)轉(zhuǎn)。以鄭州大學(xué)第一附屬醫(yī)院（以下稱(chēng)案例醫(yī)院）為例，每臺(tái)PECT設(shè)備的年均治療人次達(dá)6 000以上，彩超機(jī)多達(dá)1.5萬(wàn)人次，產(chǎn)生大量醫(yī)療數(shù)據(jù)。然而，在醫(yī)療設(shè)備管理領(lǐng)域，針對(duì)數(shù)據(jù)安全的重視程度亟待加強(qiáng)。部分醫(yī)療設(shè)備仍存在不同程度連接互聯(lián)網(wǎng)和開(kāi)啟遠(yuǎn)程控制的現(xiàn)象，尤其很多醫(yī)療設(shè)備為進(jìn)口，通過(guò)跨境服務(wù)器可能導(dǎo)致醫(yī)療數(shù)據(jù)出境，具有較高安全隱患。針對(duì)上述情況，案例醫(yī)院開(kāi)展專(zhuān)項(xiàng)調(diào)研，并針對(duì)結(jié)果進(jìn)行管理實(shí)踐，取得了一定成效。

1 醫(yī)療設(shè)備數(shù)據(jù)安全調(diào)查結(jié)果

通常醫(yī)療設(shè)備連網(wǎng)的主要目的是實(shí)時(shí)監(jiān)測(cè)設(shè)備運(yùn)行情況和異常告警，預(yù)判是否有部件需要更換，或通過(guò)互聯(lián)網(wǎng)訪問(wèn)控制醫(yī)療設(shè)備，從而快速處理故障。然而，將醫(yī)療設(shè)備暴露在互聯(lián)網(wǎng)可能會(huì)被惡意人員攻擊復(fù)用，造成設(shè)備被遠(yuǎn)程控制，可能導(dǎo)致醫(yī)療設(shè)備被攻擊、設(shè)備失控及數(shù)據(jù)泄露等情況。

為解決這一問(wèn)題，2021年8月，案例醫(yī)院信息、裝備、醫(yī)技部門(mén)對(duì)4個(gè)院區(qū)共計(jì)387臺(tái)主要醫(yī)療設(shè)備實(shí)施數(shù)據(jù)安全調(diào)查，查明連接互聯(lián)網(wǎng)及開(kāi)啟遠(yuǎn)程控制的醫(yī)療設(shè)備，并根據(jù)連網(wǎng)設(shè)備的IP地址解析是否存在境外數(shù)據(jù)傳輸通道。調(diào)查結(jié)果見(jiàn)表1。

表1 案例醫(yī)院中大型醫(yī)療設(shè)備聯(lián)網(wǎng)情況

由表1可知，彩超、檢驗(yàn)及放療設(shè)備均未連接互聯(lián)網(wǎng)，亦不存在遠(yuǎn)程控制和境外數(shù)據(jù)通道。剩余設(shè)備有28臺(tái)開(kāi)啟互聯(lián)網(wǎng)及遠(yuǎn)程控制，其中24臺(tái)設(shè)備存在境外數(shù)據(jù)傳輸通道，占比達(dá)到6.2%。就單類(lèi)設(shè)備分析，手術(shù)機(jī)器人、磁共振設(shè)備、核醫(yī)學(xué)設(shè)備、血管造影設(shè)備、放射設(shè)備的聯(lián)網(wǎng)比率及境外傳輸通道比率分別為100%、57.1%、50%、27.3%、15.2%和100%、57.1%、25%、27.3%、10.8%。此外，醫(yī)療設(shè)備USB接口均未采取控制。

調(diào)查上述28臺(tái)連網(wǎng)設(shè)備的產(chǎn)地，結(jié)果顯示只有1臺(tái)為國(guó)產(chǎn)，其余為進(jìn)口，產(chǎn)地以美國(guó)、德國(guó)為主，其中德國(guó)13臺(tái)、美國(guó)12臺(tái)。而存在境外通道的24臺(tái)設(shè)備均通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)連接到境外服務(wù)器，缺乏安全防護(hù)和審計(jì)等措施。

2 醫(yī)療設(shè)備數(shù)據(jù)安全管理措施

通常大型公立醫(yī)院中醫(yī)療設(shè)備的種類(lèi)和數(shù)量均不在少數(shù)，涉及的科室、部門(mén)和人員更為繁雜。相關(guān)資料和案例顯示，很多安全事件的發(fā)生是由于人為因素，欠缺的是對(duì)行為的管理[4]。管理是信息安全工作的重中之重，是信息安全技術(shù)有效實(shí)施的關(guān)鍵[5]?；谡{(diào)查結(jié)果，案例醫(yī)院以精細(xì)化的管理手段和高效的技術(shù)方式，調(diào)動(dòng)相關(guān)部門(mén)自上而下協(xié)同參與，實(shí)現(xiàn)層級(jí)化管理。

2.1 以管理為核心，壓實(shí)責(zé)任、全員參與，健全數(shù)據(jù)安全制度

對(duì)內(nèi)，首先制定醫(yī)院層面的數(shù)據(jù)安全管理制度，明確醫(yī)療設(shè)備遠(yuǎn)程規(guī)定和數(shù)據(jù)出境審批流程，并建立醫(yī)院級(jí)、處室級(jí)（學(xué)部級(jí)）、科室級(jí)（病區(qū)級(jí)）和個(gè)人級(jí)4級(jí)責(zé)任分解制度，責(zé)任到具體部門(mén)和人員，提升整體安全意識(shí)，強(qiáng)化責(zé)任分工，使相關(guān)人員有規(guī)可守。其次，加強(qiáng)和健全數(shù)據(jù)安全的宣教力度、監(jiān)管力度，以多種形式對(duì)設(shè)備管理人員、使用人員以及監(jiān)管人員進(jìn)行培訓(xùn)。將監(jiān)管方式分為醫(yī)技科室自檢、管理部門(mén)抽檢和第三方機(jī)構(gòu)巡檢，提高監(jiān)管頻率，嚴(yán)查一切違反安全規(guī)定的行為。最后，增加數(shù)據(jù)安全建設(shè)預(yù)算和投入，建立信息安全保障平臺(tái)，構(gòu)筑計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境，確保醫(yī)療設(shè)備的安全正常運(yùn)行，防止惡意軟件或病毒漏洞感染[6]。

對(duì)外，嚴(yán)格管控第三方公司及人員，及時(shí)斷開(kāi)目前醫(yī)療設(shè)備上搭建的境外數(shù)據(jù)傳輸通道和遠(yuǎn)程連接。對(duì)于需要開(kāi)啟遠(yuǎn)程的醫(yī)療設(shè)備，按照申請(qǐng)人發(fā)起遠(yuǎn)程請(qǐng)求、技術(shù)人員評(píng)估風(fēng)險(xiǎn)、管理部門(mén)負(fù)責(zé)人審批、申請(qǐng)人根據(jù)審批結(jié)果開(kāi)啟遠(yuǎn)程控制的流程嚴(yán)格審批和備案。系統(tǒng)權(quán)限管理方面，采用基于角色的訪問(wèn)控制（role-based access control，RBAC）策略，設(shè)定角色、用戶(hù)和具體權(quán)限3個(gè)相互依賴(lài)的層級(jí)，將相應(yīng)權(quán)限賦予給角色（管理員、院內(nèi)監(jiān)管人員、醫(yī)技使用人員、院外維護(hù)人員等），把角色又賦予具體用戶(hù)，杜絕用戶(hù)濫權(quán)、越權(quán)和非法用戶(hù)等現(xiàn)象。根據(jù)醫(yī)療設(shè)備排查結(jié)果及資產(chǎn)清單，同所有廠商、第三方維護(hù)人員就負(fù)責(zé)的醫(yī)療設(shè)備簽署單方醫(yī)療數(shù)據(jù)保密協(xié)議，承擔(dān)相應(yīng)保密義務(wù)和法律責(zé)任。

2.2 以技術(shù)為抓手，補(bǔ)齊短板、加強(qiáng)審計(jì)，建立醫(yī)院安全基線(xiàn)

訪問(wèn)控制列表(access control lists，ACL)是一種基于包過(guò)濾的訪問(wèn)控制技術(shù)[7]，可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾，允許其通過(guò)或丟棄。在實(shí)際調(diào)研中發(fā)現(xiàn)，連接互聯(lián)網(wǎng)的大型醫(yī)療設(shè)備主要通過(guò)“4G”工業(yè)路由器、無(wú)線(xiàn)路由器、專(zhuān)線(xiàn)等方式訪問(wèn)，因此在網(wǎng)絡(luò)層（路由器接口）部署ACL指令，僅允許醫(yī)療設(shè)備訪問(wèn)經(jīng)過(guò)備案的服務(wù)器地址，縮減網(wǎng)絡(luò)訪問(wèn)范圍，可有效控制用戶(hù)訪問(wèn)網(wǎng)絡(luò)行為，進(jìn)而保障網(wǎng)絡(luò)安全。

針對(duì)特定的醫(yī)療設(shè)備，安裝相應(yīng)的防火墻、殺毒軟件以及終端管理軟件，在加固安全基礎(chǔ)上便于遠(yuǎn)程監(jiān)控。當(dāng)醫(yī)療設(shè)備出現(xiàn)異常行為，及時(shí)預(yù)警并發(fā)送信息至管理客戶(hù)端，由管理人員處理。同時(shí)，修改部分設(shè)備的注冊(cè)表鍵值，通過(guò)驅(qū)動(dòng)管理對(duì)U盤(pán)等敏感外部設(shè)備進(jìn)行禁用控制。最后，加強(qiáng)安全審計(jì)，定期邀請(qǐng)專(zhuān)業(yè)的審計(jì)公司對(duì)院內(nèi)醫(yī)療設(shè)備進(jìn)行審計(jì)和評(píng)估，根據(jù)出具的審計(jì)報(bào)告以PDCA的流程按期整改。

通過(guò)建制度、建標(biāo)準(zhǔn)、建平臺(tái)，全面提升醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力，健全數(shù)據(jù)安全策略，逐步形成內(nèi)網(wǎng)安全基線(xiàn)。按照由小至大的顆粒度分為數(shù)據(jù)安全基線(xiàn)、系統(tǒng)安全基線(xiàn)和邊界安全基線(xiàn)（圖1）。

圖1 醫(yī)院內(nèi)網(wǎng)安全基線(xiàn)

3 醫(yī)療設(shè)備數(shù)據(jù)安全優(yōu)化策略思考

3.1 提升戰(zhàn)略高度，樹(shù)立大局眼光

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)-健康醫(yī)療數(shù)據(jù)安全指南》中明確提出了數(shù)據(jù)跨境傳輸場(chǎng)景之一就是醫(yī)療器械廠商對(duì)器械進(jìn)行遠(yuǎn)程維護(hù)、讀取數(shù)據(jù)、維護(hù)日志和報(bào)告的情形。公立醫(yī)院管理者要具備大局意識(shí)，堅(jiān)持“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的底線(xiàn)，涉及數(shù)據(jù)出境時(shí)要具備政治敏感和戰(zhàn)略高度，防止我國(guó)寶貴醫(yī)療數(shù)據(jù)被惡意竊取。

3.2 發(fā)揮政府主導(dǎo)，拓寬信息渠道

在數(shù)字化轉(zhuǎn)型方面，醫(yī)療行業(yè)一直走在前列。隨著醫(yī)療和數(shù)據(jù)兩者相結(jié)合的服務(wù)需求加大，相應(yīng)的政策法規(guī)和標(biāo)準(zhǔn)層出不窮?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律和國(guó)家安全法律制度體系的重要組成部分[8]，填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白，使數(shù)據(jù)的有效監(jiān)管實(shí)現(xiàn)了有法可依，同時(shí)完善了網(wǎng)絡(luò)空間安全治理的法律體系。在接連政策利好的形勢(shì)下，政府要充分發(fā)揮主導(dǎo)作用，建立良好的監(jiān)管體系，推動(dòng)相應(yīng)法規(guī)盡快落地。相關(guān)政府公共安全管理部門(mén)可實(shí)施定期評(píng)估手段，檢測(cè)醫(yī)院以及醫(yī)療器械設(shè)備的信息安全性能，加強(qiáng)信息安全等級(jí)保護(hù)[9]，進(jìn)一步完善國(guó)內(nèi)醫(yī)療設(shè)備數(shù)據(jù)安全治理能力評(píng)估體系。在信息上報(bào)途徑方面，深入利用微信小程序、公眾號(hào)等新媒介，結(jié)合電話(huà)專(zhuān)線(xiàn)、信訪、郵件等傳統(tǒng)方式，提高上報(bào)數(shù)據(jù)質(zhì)量，拓寬數(shù)據(jù)安全事件上報(bào)渠道[10]。此外，加大數(shù)據(jù)安全宣教，將異常情況暴露在一線(xiàn)并及時(shí)處理，避免問(wèn)題由小拖大，造成嚴(yán)重后果。

3.3 依托精細(xì)化管理，助力智慧醫(yī)院建設(shè)

近年來(lái)，醫(yī)療領(lǐng)域的數(shù)字化進(jìn)程不斷向縱深推進(jìn)，并逐漸邁進(jìn)智慧醫(yī)療階段[11]。相比傳統(tǒng)醫(yī)院，智慧醫(yī)院主要涵蓋范圍為面向醫(yī)務(wù)人員的“智慧醫(yī)療”、面向患者的“智慧服務(wù)”和面向醫(yī)院的“智慧管理”[12]。智慧管理作為智慧醫(yī)院建設(shè)的三大領(lǐng)域之一，是實(shí)現(xiàn)智慧醫(yī)院的重要基礎(chǔ)，也是智慧醫(yī)院建設(shè)中容易忽略的短板，對(duì)醫(yī)院的運(yùn)行效率和安全性影響較大[13]?！夺t(yī)院智慧管理分級(jí)評(píng)估標(biāo)準(zhǔn)體系（試行）》對(duì)醫(yī)療設(shè)備以及信息安全提出了明確要求。相關(guān)部門(mén)在醫(yī)療設(shè)備的應(yīng)用和管理中，要始終堅(jiān)持以政策為導(dǎo)向，以患者為中心，密切關(guān)注醫(yī)療設(shè)備治療全過(guò)程。同時(shí)，要將管理工作細(xì)化。一方面，建立醫(yī)院整體數(shù)據(jù)安全應(yīng)急預(yù)案，并安排定期應(yīng)急演練，提升突發(fā)安全狀況處置能力。另一方面，將大型醫(yī)療設(shè)備的運(yùn)維、質(zhì)量、安全、效益分析納入智慧醫(yī)院管理體系，構(gòu)建智慧化管理流程，形成可視化的數(shù)據(jù)和視圖，進(jìn)而助力管理決策和智慧醫(yī)院建設(shè)。

3.4 加強(qiáng)部門(mén)監(jiān)管，筑牢安全防線(xiàn)

根據(jù)2011年發(fā)布的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》，三級(jí)甲等醫(yī)院的核心業(yè)務(wù)系統(tǒng)必須通過(guò)等保3級(jí)安全測(cè)評(píng)[14]，并且對(duì)第2級(jí)以上信息系統(tǒng)報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門(mén)備案。2019年5月，等保2.0正式發(fā)布，對(duì)醫(yī)療信息安全提出了更高要求。然而需要明確，測(cè)評(píng)的過(guò)程尤為重要。醫(yī)院可以通過(guò)一系列評(píng)級(jí)和測(cè)評(píng)促改、促建，實(shí)現(xiàn)數(shù)據(jù)安全提升和信息化發(fā)展。但切忌盲目自信，通過(guò)等保測(cè)評(píng)不代表數(shù)據(jù)絕對(duì)安全，現(xiàn)下大型公立醫(yī)院中的醫(yī)療設(shè)備采購(gòu)渠道仍以進(jìn)口為主，在“為我所用”的同時(shí)要關(guān)注到醫(yī)療設(shè)備數(shù)據(jù)安全的盲點(diǎn)，在將設(shè)備引入醫(yī)療機(jī)構(gòu)時(shí)與醫(yī)院特有的IT環(huán)境、業(yè)務(wù)流程相契合，梳理潛在風(fēng)險(xiǎn)點(diǎn)[15]，進(jìn)而從不同層面保障醫(yī)療數(shù)據(jù)安全。一是，完善網(wǎng)絡(luò)安全組織機(jī)構(gòu)和管理體系，成立醫(yī)院信息安全管理委員會(huì)和醫(yī)學(xué)裝備管理委員會(huì)，充分發(fā)揮職能，將醫(yī)療設(shè)備和信息安全結(jié)合起來(lái)，積累管理經(jīng)驗(yàn)、拔高人才梯隊(duì)，儲(chǔ)備領(lǐng)域內(nèi)管理及技術(shù)人才。二是，強(qiáng)化醫(yī)技科室和第三方人員監(jiān)督、醫(yī)療設(shè)備隨訪，以及信息安全系統(tǒng)建設(shè)，運(yùn)用技術(shù)手段對(duì)醫(yī)療信息進(jìn)行加密處理，防止信息被惡意竊取，筑牢醫(yī)院數(shù)據(jù)安全堤壩，嚴(yán)把每一道防線(xiàn)。