2021年是“十四五”开局之年,在数字中国、健康中国,积极应对老龄化、高质量发展等国家战略的指引下,数字化正在成为医疗健康领域发展变革的加速动力,并释放出惠民利民的巨大能量。作为这些任务的承担者,医疗卫生信息化也已站在了全新征程的起跑线上。
于2021中华医院信息网络大会(CHINC)期间召开的“以数据安全视角构建医疗健康信息安全体系”论坛,4月25日上午在杭州国际博览中心举行。论坛旨在为与会者对医疗数据安全的建设和应对威胁有全新的了解以及最新的知识掌握。这也是2021西湖论剑•网络安全大会的健康数据安全分论坛。
“十四五”规划为医疗卫生信息化的未来指明了方向,为新技术、新基建提供了用武之地。国家卫生健康委医院管理研究所王凯副所长在致词中表示,最近数据跨部门、跨层级、跨地区汇聚融合和深度利用,优先推动卫生的高价值数据集向数据开放,这些考验全行业的数据力;加强重要领域数据资源、重要网络和信息系统安全保障,对医疗卫生领域的网络安全威胁发现监控预警、应急指挥、攻击溯源能力提出了明确的要求。医疗信息化的持续发展离不开网络安全防护体系建设,当前网络安全形势日益严峻,医疗行业已成为勒索病毒重灾区,医院信息中心面临的安全重任越来越重。
浙江省卫生健康信息中心刘小舟主任表示,医疗行业信息安全面临国内外形势、数据价值、数据开放、人力资源与财政资源保障等七大挑战,数据保护的紧迫性与必要性与日俱增。
浙江大学医学院附属第二人民医院丁克峰副院长认为,互联网医疗的需求及各方面业务的发展,对信息系统提出了更高的要求。近几年勒索病毒、钓鱼病毒、系统漏洞等各种攻击对医院的正常运行带来了极大的威胁与风险,一些医院因为网络安全问题导致了严重的医疗业务的故障或停顿,数据安全成为非常重要的话题。没有数据保护就没有数据安全,没有数据安全就没有数据应用。在目前对大数据以及人工智能大量的发展需求的情况下,既要用好数据,又要用户好数据,这就对医疗行业数据保护提出了严格的要求。
“医疗信息化正在从数据化、在线化走向智能化。” 安恒信息高级副总裁段平霞认为, 经过三个阶段的发展,安恒信息也成立了大健康医疗事业部,希望全身投入于医疗健康事业的发展中。9年前,安恒信息推出了数据库审计产品,赢得了医院领导和专家的关注,后来为互联网医院建设提出了很多解决方案,在市场潜力巨大的在线化阶段得到了快速发展。在智能化阶段,国家立法《个人信息保护法》、《数据安全法》加强健康医疗数据的保护,安恒信息也期待与整个医疗界的专家一起推出智能安全的数据交换与共享的解决方案,携手为医疗行业的信息化发展和安全与保障做出自己的贡献。
医院在安全方面正面临各种各样的挑战。如果控制不好,就会导致整个医院的信息瘫痪,造成的损失与影响都是不可想象的。“一个医院的信息系统如果瘫痪半天或者一天,这种情景将会是怎样的?” 北京医院副院长杜元太在谈到智慧医院建设的安全策略时指出,安全问题再怎么强调也不过分。他认为,智慧医院建设需要领导重视、全员重视、制度先行、全面安全、持续改进、不断演练。他还介绍了北京医院按照对智慧医院的理解展开的一些尝试,如建成了混合云平台以及三级等保的建设体系,在云端互联网业务的安全防护之外,花很大的力气建设和改造的内网系统,提升了整体的防护能力和管理水平。
据介绍,北京医院已经基本建成“一个中心、三重防护”的安全体系,通信网络、区域边界以及计算机环境在技术、管理等方面的风险管理体系已初具规模,安全能力建设、等级保护建设流程也依据国家等级保护的建设标准,符合国家的系列要求,满足当前网络基础与云平台的安全防护。未来,北京医院将在大数据、物联网、移动医疗互联网继续进行全方位的保障,最终实现安全战略规划目标。
西安交通大学第一附属医院网络信息部副主任蔡宏伟介绍了从数据的采集、存储、共享上报等方面的处理对策。
在存储方面,由于数据量越来越大,云存储成为很多企业的选择。但是,存储在云平台上的医疗数据是不完全被医院控制的。要选择一个可靠可信的云存储厂商,要关注存储加密技术和审计技术,让特定的人才能看到,同时确保数据的完整性,不被篡改。
在数据共享方面,根据各种场景属性采取更细粒度的RBAC策略,进行更严格的权限限制。在数据上报的管理平台建设中,要明确与安全相关的数据,上报数据要可追溯,上报全程要求可视化,上报流程标准化,同时对上报数据进行脱敏、隐私保护。整个过程可以通过拖拽拖拉的方式进行配置,细节则通过程序代码的方式进一步地优化。
蔡宏伟表示,数据应用与数据安全是一对矛盾,没有数据应用的问题,数据安全也不是问题。新技术的应用与快速变化的业务对静态安全策略提出挑战,要求安全策略也是动态的,人工智能的技术也要根据用户的行为做一些更细粒度的策略调整。安全问题绝不是一个简单的局部问题,需要有全局观。对于没有办法掌握的安全问题,可交给第三方专业的安全服务商去处理。
安恒信息副总裁林明峰拥有20余年的网络安全服务经验,曾研发过第一款入侵检测产品,在全球的顶级安全公司任职多年,参与过国家及多个地方的安全标准的制定,是2016 G20杭州峰会安全保障工作和“一带一路”安全保障工作的参与者。他指出,一个统一的医疗物联网系统,要建立统一的数据采集与整合的环境,对已有的物联网设备有统一的接入与认证方法,保证接入的物联网设备的安全性与数据的完整性。采用统一的安全设备,在医疗数据转发过程中准确地追溯到数据的源头与采集的准确性,再将各种数据整合到安全平台中,确保大数据平台与应用系统之间的数据交换和整合的安全可靠,实现医疗物联网数据采集的安全性与交换性的有效融合。
首次亮相中华医院信息网络大会(CHINC)的安恒信息通过智慧医疗、卫生健康行政管理与医疗保障监管三大场景展示核心解决方案。安恒信息在本次展会上推出安恒勒索防护U盘,内置专利级勒索病毒检测及查杀工具,安装后即可企业终端系统构建强大的纵深勒索防护体系,为企业系统提供24小时的全方位勒索风险监控及防护,保护企业核心数据安全。
浙江大学医学院附属第二医院IT中心主任许杰讲述了医院信息安全问题思考与实践。
当前“数字化转型”一词很热,数字化转型的前提是业务数字化。浙江大学医学院附属第二医院从2018年开始就尝试初步的工作,将IT所有的服务、管理工作流程化与数据化,与IT相关的、 面向用户维修,面向需求、权限、运维、质量的近30个类似的流程进行标准化、规范化,在流程上实现沟通与审批,保证工作机制的一致性问题。
实践精益IT管理方面,浙江大学医学院附属第二医院在有限资源的情况下,将所有的核心二线资源集中(相当于虚拟总院的管理),保证信息安全在统一的框架下统一管理,确保每个院区都可以得到相同的资源支撑,用最高的效率、最低的成本支撑医院的发展。
“每一家医院都非常重视安全体系,但安全体系一是要有数据安全的管理体系,还有数据安全运维体系,覆盖基础安全、网络安全、访问安全、应用安全、终端安全、风险感知。”许杰表示,作为医院的信息部门要深度参与规划与应用,要结合自身实际去完善,要与厂家的技术专家开展很好的沟通与共同的探讨。但在IT基础架构、数据与需求等核心能力方面,医院要掌握自身安全与发展主动权,掌控顶层设计以及理论体系,与厂商进行资源互补。
区块链技术的价值日益凸现。2018年智慧医院建设提及进一步发挥区块链有关技术在电子病历等核心医疗信息化工作的作用,国家卫健委也提到医疗健康领域区块链技术应用标准化的建设。
区块链技术本身去中心化的分布式账本,交易可以通过共识被记录在账本当中,可信不可篡改,并且数字加密可供数据共享,保证患者的隐私,实现患者的数据安全、可信、共享,包括数据的确权、监管以及安全、激励机制等。上海儿童医院 信息中心主任王淑总结了应用区块链技术在建立个人诊疗信息的安全保护方面的可行性研究。
以To B的应用为例,不同医疗机构之间电子病例如何基于区块链智能合约进行共享,包括不同医院临床数据中心的各级各类数据。作为上海西部儿童的一个医疗联合体, 上海儿童医院包括西部4家3级医院,15家2级医院、48家社区卫生服务中心。采取病例索引上链、数据不落地的共享架构,可满足病历只浏览不落地的应用需求,电子病历文书,医学影像数据仍存储在各个医院内部,解决了专家在不同医院之间诊疗甚至查房的难题,未来将发挥和拓展区块链的应用,如基于区块链的分布式电子病历的数据访问与授权,基于区块链的电子处方与外配和处方流转的服务以及商保结算的直赔,区块链的电子病历共享以及处方流转商保核算的统一服务等。
联想企业科技集团智能云服务方案事业部总经理刘淼从2008年参加了中国智慧城市的建设,与多个政府签署了智慧城市的总包合作协议,以城市运营为核心的智慧化城市覆盖众多的新的领域。立足于打造城市合伙人的定位,联想正利用联想品牌发掘城市的场景,建设基础设施,同时产生长远的收益。2014年,联想智慧医疗开始业务孵化,现在已经成立医疗子公司,实施了数十家医院的项目。 刘淼在“健康城市合伙人—联想智慧医疗实践”中介绍说,透过细类目的分化,这家公司进行了增资扩股混改,智慧城市、智慧健康业务发展非常快速与健康,联想正在与合作伙伴把好的技术、好的实践分享更多的城市,终极目标是定位于“健康城市合伙人”。
在对话环节,中南大学湘雅医院网络信息中心主任冯嵩指出,信息安全是现在一个非常重要、也是非常热门的话题,没有安全,信息化就等于零。医院信息化建设过程当中也面临着很多的挑战,特别是互联网数据库以及分级诊疗的应用,对信息安全和数据交互以及数据的防泄密方面给予更多的需求。中南大学湘雅医院的探索,可归结为以下个方面:一是整体建设规划,严格按照国家的等保2.0做好合规建设,信息化安全体系的合规建设;二是在整个信息安全的各个环节实现安全体系的可管控,尤其是数据的流通环节都有相应的接续方案和管理措施;三是安全责任落实到位,信息安全永远只是一个方案,实现安全可控,管理才是最核心的。
安恒信息副总裁林明峰认为,信息安全发展到今天,从纯粹购买产品走向了安全服务与运营的阶段,未来一定是转向服务化、场景化的模式,针对特定的医疗的应用场景去提供更好的服务。在医疗的预算与防护的方式上,他建议引入信息安全的保险服务,将信息安全问题从不确定性问题变成风险可规避的确定性问题,结合厂商不同的技术和服务,以及对事后风险的控制与修复过程,通过保险的方式规避风险,为医院医疗行业提供更好的信息安全服务。
浙江省卫生信息学会副会长兼秘书长倪荣博士曾经担任过浙江省卫生信息中心的主任。如果现在重新回到在这个岗位上,对医疗信息化和信息安全充满感情的他说要做这几件事:一是在从事卫生信息化的人员编制中专门提出从事信息安全的人员比例,二是推动技术大比武、安全大检查,每年进行攻防演练;三是建一个强大的态势感知系统,动员和提升自己的队伍、主管领导加强对信息安全的重视程度,出台相应的制度,结成紧密的整体;四是与安全厂商形成良好的互动,免费地提供信息安全培训,持证上岗,共同推进行业的信息安全建设。
2020年走过了不平凡的新冠肺炎疫情防控,医疗行业正面向“十四五”进行布局谋篇,国家对于战略层面对于公共卫生体系做出重大决策,从加强不断完善到逐渐强大,意味着我国公共卫生体系建设将迈上新的台阶,也必然对公共卫生信息化带来历史性的新机遇。
“西湖论剑”是我国网络安全领域的年度盛会,旨在凝聚各方共识、汇集各方资源,探讨网络空间战略、产业发展、行业趋势、技术未来等方向,以数据安全与网络安全为数字经济社会保驾护航。本次“以数据安全视角构建医疗健康信息安全体系”论坛由《中国数字医学》杂志社主办,浙江大学医学院附属第二医院、安恒信息协办。