专业咨询
致力推进中国医疗卫生信息化

西湖论剑:如何为医疗行业“数据力”提供安全保障?

来源:HIT专家网  作者:孙婧、龚晨

网络安全是没有硝烟的战场,与国计民生息息相关的医疗行业已成网络攻击的重灾区,安全形势日益严峻与复杂。如何才能为医疗行业构筑“润物细无声”的立体网络安全防护体系?

4月25日,2021中华医院信息网络大会(CHINC)期间,由《中国数字医学》杂志社主办,浙江大学医学院附属第二医院、安恒信息协办的“以数据安全视角构建医疗健康信息安全体系”分论坛成功举办。同时,这也是2021西湖论剑•网络安全大会的健康数据安全分论坛现场。

论坛由海口市人民医院信息管理处总工程师刘阳主持。国家卫生健康委医院管理研究所副所长王凯浙江省卫生健康信息中心主任刘小舟浙江大学医学院附属第二医院副院长丁克峰发表致辞。致辞嘉宾一致认为,推动医疗健康数据的跨地区、跨行业流动,以及高价值数据集向社会公众开放,这是对全行业的“数据力”的一场重大考验。医疗机构既要用好数据,更要保护好数据,数据安全、网络安全是必修课,也是基本功。

安恒信息高级副总裁段平霞在致辞中表示,作为网络安全行业的一名“老兵”,安恒信息有信心、有决心在医疗行业深耕细作,为医疗行业的数字化转型筑牢数据安全的坚实底座。

网络安全是涉及资源和管理的复杂系统性问题

“智慧医院建设,安全先行。”北京医院副院长杜元太认为智慧医院建设必须“内置”安全策略:一是领导重视,把网络安全放在建设之前,做好顶层设计;二是全院重视,专人负责与全员动员相结合;三是制度先行,按照《网络安全法》网络安全等级保护有关要求制定本单位网络安全制度;四是实现全面安全,包括内网、外网、维护、改造、操作、监控等;五是持续改进,向实践学习;六是不断演练,检验成果。据介绍,北京医院正在打造满足等保2.0要求的智慧医院安全保障体系,目前已基本实现“一个中心、三重防护”的安全防护体系,也即建成安全管理中心,实现通信网络、区域边界和计算环境的安全防护。

北京医院副院长杜元太

“网络安全无法做到100%的完美,但要将风险尽可能降到最低,这需要医院信息中心拥有以不变应万变的能力。”浙江大学医学院附属第二医院IT中心主任许杰认为,网络安全是涉及资源和管理的复杂系统性问题,行业普遍面临运维人力短缺、经费投入不足、安全意识薄弱等痛点。为将网络安全的工作落在实处,浙大二院采取的主要措施包括:首先是管理架构治理,通过“1+X”多院区一体化管理,实现各院区IT规划、资源、运维管理的一体化,在管理治理过程中解决网络安全隐患;其次是工作机制优化,现阶段正在推动IT服务与管理工作的流程化与数据化,未来将持续建设信息技术服务体系,探索精益IT管理;第三是安全体系建设,层层筑牢数据安全防线,信息中心深度参与安全体系规划与应用,与安全服务厂商深入沟通,并结合医院自身情况进行持续完善;最后是加强核心能力建设,他建议信息中心要掌握IT基础架构、数据与业务需求等“核心命脉”,同时借力外部资源,掌握自身安全与发展的主动权。

浙江大学医学院附属第二医院IT中心主任许杰

促进医疗健康数据在组织间的安全流动

“安全问题是一个系统问题,需要有全局观。”西安交通大学第一附属医院网络信息部副主任蔡宏伟认为,应该从医疗数据生态的角度看待数据安全问题。分级诊疗、健康管理等新业态的产生,必然驱动医疗健康数据在组织与组织之间的流动与交换。比如说,医疗机构日常面临大量的数据上报工作,当数据流出组织边界后容易失去控制,组织间的数据传输通路与授权访问终端是安全的薄弱环节。对此,西安交通大学第一附属医院建设了统一的数据上报管理平台,有效实现了上报内容可配置、上报数据可追溯、上报行为可审计、患者隐私可保护。他建议医院信息中心应将主要精力放在自身可以把握的安全措施上,如分级授权等;对于无法把握的安全问题,则交给专业的第三方安全服务提供商。

西安交通大学第一附属医院网络信息部副主任蔡宏伟

当前,我国医疗健康数据共享尚处于初级阶段,数据泄漏隐患增加、数据共享标准有待进一步完善、数据存在多元异构形态、数据难以确权和授权,成为阻碍医疗机构进行数据共享的四个因素。上海市儿童医院信息中心主任王淑分享了利用区块链技术实现患者诊疗数据安全访问与共享的经验。其中,为实现不同医疗机构之间的电子病历信息安全共享,通过对病历加密授权,能够实现“病历只浏览不落地、摘要和索引上链”的远程查房需求。上海市儿童医院还进行了“基于联盟链的电子病历夹便民应用”探索,为患者提供链上身份,电子病历凭证记录在链上,通过验证或医疗机构授权才能分享病历,保障了患者病历分享中的隐私安全。王淑认为,区块链技术在“三医联动”、院间多中心专病库临床研究等领域拥有广阔的发展前景。

上海市儿童医院信息中心主任王淑

多方联动,构建医疗健康信息安全体系

网络安全是系统性、全局性的问题,那么从行业管理部门、医疗机构、安全厂商的不同角度来看,应如何才能更好地做好医疗行业的网络安全工作?

云南省肿瘤医院信息中心主任路健以此为题,请参与圆桌讨论的各位嘉宾给出“解题思路”。

圆桌论坛环节

浙江省卫生信息学会副会长兼秘书长倪荣建议行业主管部门可从三方面入手,帮助医疗机构提升网络安全能力:在持续推动医院信息化人员编制的基础上,给出专门的信息网络安全人员配比;技术靠比武,安全靠检查,积极开展攻防演练、区域自查等工作;建立区域性的态势感知系统,从区域全局角度提升医疗机构对安全威胁的发现识别、理解分析、响应处置能力。

中南大学湘雅医院网络信息中心主任冯嵩介绍了湘雅医院的具体举措:做好网络安全建设的整体规划,根据等保2.0的相关要求做好合规建设;确保网络安全体系的可管、可控,在接入、数据流通等环节都配备完善的技术方案与管理措施;加强管理,将安全责任落实到人,确保每个环节的行为、责任可追溯。

浙江大学医学院附属第二医院IT中心主任许杰希望医疗机构能得到更多的资源支持。比如,从行业监管的角度加大网络安全的投入力度,进一步明确医院应在网络安全领域投入的人力、资金及配套措施,这样医院信息中心在工作推进中能得到更有力的依据,进而影响决策层。其次,他也希望安全厂商能进一步理解医院的管理内涵,帮助医院更好地在实际业务场景中实现应有的安全效果。

安恒信息副总裁林明峰认为,网络安全产业正在从单纯的产品阶段走向服务与运营阶段。作为安全厂商而言,应当少谈产品,多谈场景与服务。安恒信息致力于为医疗行业客户提供场景化的服务模式,针对医疗行业的特定场景,提供完备的数据安全服务。

安恒信息副总裁林明峰

以物联网应用为例,物联网正日益成为医疗机构获取数据的主要源头,其安全风险隐患也在不断增大。针对这一业务场景,安恒信息推出“云网一体化安全物联网解决方案”,通过建立物联网运营中心,将物联网统一安全接入AP(Access Point,无线接入点)/AC(Access Control,接入控制器),对核心医疗系统和物联网环境进行有效区隔,避免私有协议栈被挟持后成为网络攻击跳板的风险。

林明峰认为,医院物联网安全建设要注意三个问题:一是构建统一的物联网接入网络与服务端平台,物联网应用厂商只需提供采集设备与软件即可;二是构建物联网安全体系,AP集成物联网安全网关接入、识别、审计能力,将安全能力下沉到物联网接入层;三是打破物联网烟囱,支持多种主流物联网协议,物联网采集设备一键接入,在安全的框架下体现数据价值。

行业多方的共同努力,为医疗行业立体、多维的网络安全防护体系建设添砖加瓦。在这个安全体系的保护下,医疗健康数据必将在安全的流动与交换中释放出更大的价值。

关注HIT专家网微信订阅号
精彩不容错过!

【责任编辑:陈曦】

赞(2)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 西湖论剑:如何为医疗行业“数据力”提供安全保障?
分享到: 更多 (0)