新业态下互联网医疗安全风险分析与防控建议研究

孟玉颜， 袁得嵛,2， 杨 明， 丁 锰

(1.中国人民公安大学信息网络安全学院， 北京 100038； 2.安全防范与风险评估公安部重点实验室， 北京 102623； 3.中国人民公安大学公共安全行为科学实验室， 北京 100038)

0 引言

近年来，以网络信息技术为载体的医疗健康业务模式正在从单纯的简单信息展示向更为复杂成熟的多样化业务模式转变[1]。《深化医药卫生体制改革2019年重点工作任务》中明确，要把有序发展医联体推进分级诊疗功能作为下步管理工作的重心，统筹共同推动“互联网+医疗健康”发展[2]。2020年7月，《关于支持新业态新模式健康发展 激发消费市场带动扩大就业的意见》提出要鼓励互联网医疗，同时促进平台就医、养老健康等多领域协联合蓬勃发展。

互联网医疗是指以网络信息技术为基础，充分使用云计算技术、大数据分析、物联网等新兴信息技术，与传统医疗进行交叉渗透、融合创新后所形成的一个开放式、互动和跨界的全新医疗模式。以网络信息技术发展为助力，积极推动医疗服务供给侧改革，使医疗业务从医院向病人端的拓展，向新技术架构与医院数据开放逐步转变。但随之而来，也伴随着新的网络安全风险与挑战，由于黑客入侵、木马病毒等严重违法行为导致的医疗数据泄露事故时有发生。据《2020年上半年网络安全态势情况综述》表明：在2020上半年所出现的网络安全事件中，医疗行业所出现的高危漏洞数量与严重攻击事件位居榜首，多个医疗机构的官方网站都遭遇到了不同类别攻击，仅暴力破解竟达到单日80万次高峰，攻击者轻而易举地搜集到医护人员与病患的敏感个人信息。故针对新业态下互联网医疗安全风险进行分析，同时提出行之有效的防控建议，值得进一步探索研究。

1 互联网医疗的新业态特征

新业态是指传统行业在5G、区块链等互联网新兴技术的加持下，催生出来的复杂成熟多样化业务模式的新型产业模式[3]。

当下，我国医疗机构正在逐步推进互联网医疗的发展，互联网医疗主要有3个模式：借助现有的医疗资源进行互联网医疗业务(如北京协和医院APP等)、医疗机构与互联网公司合作提供互联网医疗服务(如丁香医生等)、由卫生行政部门单独设立的医疗机构提供互联网医疗服务[4]。新技术与新服务模式相融合形成的新型医疗模式，在实践生活中突显出了极具优势的新业态特征。

1.1 在线咨询优化医疗资源配置

在线咨询与远程诊疗的合理搭配，对有限的医疗资源重新开展跨时空配置，使只提供现场服务的单一传统模式发生巨变，并有效解决医疗资源分布不均的问题[5]。在线咨询给患者看病无序问题带来一种新的处理思路，通过利用建立的疾病库，再根据具体的医生资源加以整合，使得病人能够被快速导诊至相应的科室，这一做法极大减少了就诊排队用时。同时，远程医疗还可以对医院内部、医院之间的联网信息开展即时数据共享业务，这也突破了传统医院资源分配不合理的困局，使稀缺医疗资源得到了更加合理的充分利用[6]。

1.2 线上操作重塑医院服务流程

普通患者利用移动应用，即可与医生开展实时互动，使得医疗服务效率大大提升，整个医疗服务环节也得以完善[7]。预约就诊、排队候诊、线上缴费以及自助报告查询等一系列传统服务在无线终端即可快速完成；此外，医疗公众号、医疗小程序等也成为患者开展自助挂号、在线缴费、化验报告查询及满意度评价等操作的新阵地。互联网医疗，不但解决了传统医疗服务流程中挂号难、排队耗时长、就医时间短等问题，而且极大增强了病患获取服务的满意度。

1.3 大数据设备强化自我健康管理

近年来，可穿戴设备作为互联网医疗的一个分支发展迅猛[8]，它为用户提供了一种自我健康监测的新途径。对于在传统医疗流程中难以直接获取的数据信息，借助可穿戴设备即可实现实时数据检测与采集，从而为分析数据进行筛选、防治疾病提供了铺垫[9]。另外，利用可穿戴设备还能够实现在线专业健康咨询、疾病筛查等活动，将推动人们的保健需求向慢性病预防型、保健型健康过渡[10]。

2 互联网医疗存在网络安全问题

然而科技从来都是一把双刃剑，互联网医疗因其新业态特征带来诸多便利的同时，也产生了不容小觑的网络安全风险问题。

2.1 数据安全不容小觑

健康医疗数据具备了私密性较强、与个人联系密切等特征[11]，且属于个人的敏感信息安全领域，医疗数据安全保护成为医院网络安全管控的重中之重。在大数据时代，患者医疗数据已涵盖了门诊、住院、检验、检查等各个环节，内容更加立体化，尤其是随着网络信息技术在医院业务的逐渐渗透，以及移动医疗、可穿戴设备等在医院的大规模使用，医院的医疗数据传输已经远远地超越了医院内部范围，传输方式、途径也更为多样化，这无疑对医院患者医疗数据的保护产生了全新的挑战，也加大了保障的难度[12]。但由于患者医疗数据的私密性，如果出现了数据泄露，往往会对医院和病患自身都产生难以预料的结果，其严重性也无法忽略。

2.2 云环境安全问题凸显

从建立隔离医疗机构到各地疫情防控平台建设，在抗击新冠疫情中，无处没有IT技术的身影。在云环境中，利用虚拟化技术，对现有资源进行整合与再利用，使其更好地服务于各种医疗业务系统[13]。然而在提供便利的同时，虚拟环境也暴露出了新问题。基于虚拟机间攻击流量的特殊性，传统的安全防火墙无法有效监控虚拟机流量。虚拟化的网络流量分析无法实现对所有通过虚拟机的数据分组进行更深层次的检查，即无法组织所有未经批准的连接与允许进行检测确保虚拟机之间通信安全的目的。

2.3 边界安全存在风险

互联网技术为医疗行业提供便利，利用移动应用程序、门户网站等多种方式为患者提供服务，将医院原有的独立网络环境打开，自此，医院信息安全问题由传统的单一局域网安全转为多网接入安全[14]。特别是网上结算功能，使得医院的信息系统与银行专网、远程会诊专网、医保网站以及政务网等出现大量关联，这也使得医疗互联网遭受网络攻击或者被黑客入侵的风险大大提升[15]。此外，医院为了提高效率，引入众多的智能医疗终端，如自助缴费机、自助报告打印机，在我国，医疗终端的发展仍处于起步阶段，终端安全难以保障，不法分子以终端上的漏洞为跳板，接入医疗系统内部，以到达攻击的目的。医院因其自身的特殊性，要求内部电子系统全天候待机，一旦某一环节出现故障，整个医疗系统都会受到影响，出现网络瘫痪甚至数据丢失现象，医院业务都将受到极大的影响，医院的服务质量与效率也会大大打折扣，同时会给医院带来极大损失。

3 新业态下互联网医疗风险防控建议

3.1 增强系统防御，强化数据分类管理

医院应该严格遵守内外网一体化防护原则，从双重保护信息的角度出发，尽可能降低信息出现故障的风险。通过严格划分区域、全面检测信息管理以及整体审计监控系统，以确保整个系统信息的完整性与私密性[16]。

《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发[2016]47号)指出：“强化标准和安全体系建设，强化安全管理责任，妥善处理应用发展与保障安全的关系，增强安全技术支撑能力，有效保护个人隐私和信息安全。”[17]根据在病人就医流程中形成的各种数据开展了分级分类管理工作,从高至低分别将安全性信息管理级别分类为3级、2级、1级,将数据安全根据受到损害后的危害对象及其受到危害的严重程度,对其所包含的各种数据进行了定级工作,即将医患信息、与病人就医过程相关记录、平台等整合的医疗数据分析定为3级，将医疗机构的安全管理级数据(安全性审计日记以及相应系统配置信息等)定为2级，将公开数据分析定为1级。针对不同级别的数据采取不同强度的防护策略。针对2级数据，通过人工加固，将操作系统与数据库账号开展分开管理，根据最小授权原则，对口令策略加以限定，并不定期开展数据库审计工作，针对远程数据库访问进行地址限制与备份，同时定期开展数据备份工作，编制灾难恢复计划，不定期开展灾难演练。针对3级数据，在2级数据保护的基础上，增设数据动态脱敏系统确保实现数据保护。

3.2 筑牢防线，提升边界安全

按照区域重要程度与对应用途，医疗网络可以被划分为若干区域[18]，总体遵循如下准则：首先按照应用系统进行区域划分，再规定严格的边界访问控制权限；最后加强监控等辅助建设。大致上可分为安全管理域、专线接入域、数据交换域、二级域、三级域以及互联网服务接入域等6个主要区域，如图1所示。

图1 医疗系统内外网网络拓扑图

安全管理域包括了防病毒软件、堡垒主机、态势感知平台、监测系统、日记审计和认证系统等管理网络的服务器，较业务系统隔离开，同时在边界部分严控进出流量。

数据交换域主要实现数据中转功能与应用代理控制功能，在边界处合理部署下一代防火墙系统，打开入侵防御以及防病毒模块，并严格控制出入流量。中转服务器既可实现互联网服务或线上医疗服务向HIS等核心系统发出数据申请所需的数据中转，也可完成低安全级别系统向HIS系统发出请求时所需的应用代理功能，以处理不同信息系统之间的信任问题。

三级域实行最严厉的技术保护，主要有医院核心的HIS系统、集成平台以及数据仓库；其余业务应用则被划为二级域范围，门户网站、VPN、以及线上服务等也都被归为互联网服务接入域。边界部分安置防火墙与Web防火墙。同时，应用系统防火墙需要开启入侵防御以及防病毒等功能，只允许应用系统对外提供服务的接口访问流量，并限制每个源IP的新建连接数、半开放连接数以及并发连接数等。Web防火墙则根据实际情况，设定了有关数据库以及开发语言等的防御规则。

由于三级域的服务量很大，因此采用多台应用服务器并行，利用旁挂负载均衡器以达到负载分担、应用引流等功能，以保证应用系统的处理能力。此外，用数据库防火墙能够把将应用服务器跟数据库服务器隔离、控制，以角色权限以及SQL语句等出发保护数据。

在网络出口方面，配置防DDOS设备、防毒墙、IPS、负载均衡器等，对网络信息流量实行了全面过滤。医保中心、银行等的相关业务使用物理专线接入至专线接入区域，并使用前置机和网络防火墙对此业务实施访问控制。

总之，综合利用多设备全面管理，最大限度确保在开展互联网线上服务的同时，进行网络防护工作。

3.3 健全管理制度，确保等保落地

根据《GB/T 22239—2019信息安全技术网络安全等级保护基本要求》，紧密围绕 “信息技术同管理工作并重，七分管理工作三分科学技术”原则，通过设置以等级保护标准为基础的网络系统安全管理制度，统一指导安全建设管理工作[20]。建议从安全的保障体系、科学的管理制度以及考核机制3个维度构建网络安全体系框架。首先，从安全技术保障角度，以及信息安全计算环境、信息安全区域边界、安全通信网络系统、物理环境以及信息安全管理出发，综合利用网络安全、入侵防御等信息化技术，定期开展风险评估与反馈工作，开展应对网络安全突发事件的应急预案，严防发生信息泄漏事件，全方位构建安全保障体系；其次，在制度建设角度，设立相应安全机构定期对医护人员开展信息安全培训，逐步细化行为规范；最后，组织专门人员定期进行管理、安全复盘、动态预警、态势感知、监督检查等工作，设置完整的考核机制以确保将等级保护落到实处。网络安全体系框架具体如图2所示。

图2 网络安全体系框架图

医院成立专人专班负责医院网络安全等保建设，并以等级保护标准作为其他工作的基础，因地制宜，结合自身情况，搭建完整的安全技术体系与安全管理体系，最终使得整个医院系统配备满足等级安全保护需要的网络安全综合防御体系。

3.4 完善法律法规，严守违法必究

互联网医疗发展迅速且规模不断壮大，国家相关部门应给予重视与关注。习总书记曾强调，“新业态虽是后来者，但依法规范不要姗姗来迟”。尽早出台科学合理的医疗信息安全政策，同时进一步完善相对应的法律法规制度，尽早将医疗信息数据上升至立法层面进行保护，为医疗信息安全提供坚实的法律支撑，进而使互联网医疗更快更好地发展。针对当下我国互联网医疗信息安全存在的问题进行层层分析，不难发现，相关部门应加快法律法规建设的进展，对于恶意破坏医疗信息系统、非法窃取医疗数据和肆意泄露病患个人隐私等给社会造成严重不良影响的行为必须给予严格制止，同时追究其相应的责任，防止此类行为再次出现。只有这样，才能确保医疗信息安全有法可依，进而保证互联网医疗的健康发展，营造良好社会风气。

4 结论

传统医疗行业正以互联网技术为载体，全方位多层次综合使用大数据、云计算等新兴技术手段，与传统医疗服务交叉融合，最终整合成全新的业务形态。利用在技术发展的同时，也应时刻警惕新业态下互联网医疗所面临的种种挑战。医院要结合自身实际，对院内数据实施分级管理，严格设置使用规则，确保权限管理落到实处，同时及时备份数据库。在搭建内外网络架构时，注意按需划分区域，在边界处配备下一代防火墙、WEB防火墙，在三级域内设置负载均衡器，谨防DDOS攻击，设置中转服务器，解决不同系统间的信任问题。在“技防”同时加强“人防”构建符合要求的网络安全管理体系，不断提升网络安全防范意识。