智慧醫療:發展的風口與安全的浪尖
現今,借助智慧醫療就醫的人越來越多。上周,小編因為感冒去了趟醫院,這邊剛給醫生診完,出門拐角就可繳費拿藥,藥包上清楚標明服藥的劑量以及時間。一趟病看下來,包括排隊在內,只花了一小時左右。
隨著智慧醫療的不斷深入,移動查房、自動派藥這些現代化的管理工具進一步減輕了醫務人員的工作負擔。這對于醫療行業來說無疑是一次改革,這些工具極大地提高了醫院整體的工作效率,加強了醫院內部管理,更好得促進了醫患間溝通,給醫院帶來了益處。但身處于發展風口的智慧醫療同樣面臨著一系列的難題,其中之一就是網絡與信息安全問題。
醫療行業網絡安全重視不夠,形勢嚴峻
前段時間,在美國肯塔基州舉行的DerbyCon大會上,3名對黑客活動感興趣的醫生講述了他們對醫療設備安全漏洞的分析。他們表示,平均來看一臺聯網設備有大約1000個可利用CVE漏洞,某些甚至達到了1400個之多。這些漏洞并非全都能遠程利用,但很多確實可以被遠程操控,而且,“只需1個,1個漏洞就能讓設備淪陷“。其中一名醫生指出,85%的美國醫院沒有任何IT安全員工。
到底這些漏洞會給目前的醫療形勢帶來多大的危害,這些醫生做了個實驗,對醫院的系統進行了大規模的網絡攻擊演練,結果令人震驚。模擬演練算出的死亡人數,大多出現在第一天,也就是說,一旦醫院的系統遭到嚴重攻擊,患者可能活不過當天!
這些模擬演練中所有死亡的案例都是被簡單的黑客活動導致的,甚至都不用物理接觸到醫療設備就能利用那些漏洞。原因在于,醫院很多老舊設備壓根不能打上補丁,一旦進入其網絡或在公共互聯網上發現它們,利用起來易如反掌。而新系統的制造商響應安全漏洞的速度,也是慢得令人心酸。
國內情況同樣不容樂觀。據一份最新的報告顯示,安全漏洞已經成為目前三甲醫院所面臨的主要風險。
從數據分析結果來看,垃圾郵件、域名及IP黑名單是三甲醫院普遍存在的安全問題,安全漏洞仍是對業務影響最嚴重的安全問題,能否及時識別以及修補漏洞已成為評價一個三甲醫院安全級別高低的重要指標。
法律出臺,更多條例規范醫療行業
從信息化醫療到數字化醫療再到智慧醫療,新型技術的使用也將帶來新的安全風險,為了應對這些風險,國家也出臺了一系列的措施。2017年1月20日,國家食藥監總局在其官網上發布了《醫療器械網絡安全注冊技術審查指導原則》(《指導原則》),從相關技術標準和注冊申報資料兩個角度對特定醫療器械產品的“網絡安全”做了要求。
這是自去年11月7日《網絡安全法》頒布以來,首次有相關主管部門針對具體行業及產品專門出臺涉及網絡安全的規范性文件,因此其內容和影響值得關注。從指導原則看,醫療機械產品既要從產品的安全性進行監管,同時還需要考慮其網絡連接特性或數據傳輸功能,但想要達到這些要求并不容易。
醫療數據的來源和范圍具有多樣化的特征,包括病歷信息、醫療保險信息、健康日志、基因遺傳、醫學實驗、科研數據等。不同于一般行業的數據,醫療數據具有其特殊的敏感性和重要性。其中,個人的醫療數據關系到個人的隱私保護,醫療實驗數據、科研數據不僅關系到數據主體的隱私、行業發展,甚至關系到國家安全。
這些數據在流轉的過程中,包括收集、使用、存儲、傳輸的過程均存在網絡安全風險需要進行防范。而隨著科技的發展,諸如健康APP運營者、專業從事醫療大數據分析的第三方行業研究機構等主體均會涉及到相關醫療數據的收集。《網絡安全法》適度擴大了承擔醫療數據保護義務的主體范圍。但數據收集渠道的增加也給醫院的網絡與信息安全增加一定的安全風險。
目前來看,醫療行業網絡安全體系建設有以下一些網絡安全的需求:
網絡傳輸安全:對數據傳輸進行加密,保證傳輸過程中的安全。
備份與恢復:醫療系統的重要網絡設備、應用、網站等應有備份,并具有在很短時間內恢復系統運行的能力。
防病毒能力:計算機病毒會對醫院日常業務造成很大的破壞,做好防病毒工作也就非常重要,需要建立全網病毒防殺體系。
網絡安全性檢測:采用漏洞掃描系統對信息系統進行漏洞掃描,保證內網在最佳的狀態下運行。
運維安全審計系統: 建立分層管理和各級安全管理中心,利用安全審計技術實現對整個網絡有效的審計,記錄與重現網絡中發生的安全事故,確保網絡信息與網絡運行的安全。
負載均衡系統:線上掛號已經成為一種發展趨勢,如果同一時間訪問量過大或者在有疫情時關注醫院網站和應用的人數劇增會影響整體的響應速度和體驗效果;另外伴隨著大量的醫療信息傳輸工作隨之而來的是傳輸緩慢,負載均衡系統可以提高醫院網絡利用率。
聯軟憑借十幾年的網絡安全行業從業經驗,基于對用戶實際需求的長期調研,開發出了一套安全數據擺渡系統(UniNXG),該產品主要應用于保障企業多網絡之間的安全、高效交換。
在醫院的日常工作中,醫生、護士經常需要將病例總結、病理研究材料、科室培訓資料等帶回家辦公,將學習成果、個人總結等上傳至外網;信息科也有將醫院通知原件、運維工具等共享給各科室,定期更新醫院內網補丁服務器、殺毒軟件服務器等庫文件或離線包等諸多的應用場景。
針對這些應用場景,聯軟的安全數據擺渡系統提供了一套完整的解決方案。數據傳輸方面,系統運用虛擬化的技術,在網絡間建立了一條“安全高速通道”,確保任何文件經過通道都需經過網絡安全性檢測,保證內網在最佳的狀態下運行。內容方面,安全數據擺渡系統可以進行敏感信息檢查,實現涉及患者信息的敏感內容無法通過檢查,同時相關的信息安全管理員可知曉,從而采取相應的措施進行防范。
該套安全數據擺渡系統還集成了防病毒的功能。網絡威脅風險的種類多樣,病毒便是其中危害巨大的安全風險之一,聯軟的系統可支持多病毒軟件的集成,實現異構殺毒,殺毒效果更顯著,功能更強大。
同時,為了幫助醫院建立事后追溯的完善機制,安全數據擺渡系統添加了審計的功能,通過對網絡交換的過程信息進行記錄實現對整個網絡有效的審計,記錄與重現網絡中發生的安全事故,確保網絡信息與網絡運行的安全。
對于醫院存在的負載均衡的要求,聯軟集團隊之力,耗時多年,自主開發了一套大數據平臺。目前聯軟所有的產品都集成在平臺,可以很好地實現數據的實時快速處理,滿足醫院高訪問量的需求。此外,安全數據擺渡系統部署簡單,兼容性強,可與現有的醫院系統進行集成,也為企業節約了大筆的開發成本。
醫療健康行業正面臨來自多方面的一系列網絡安全保護的壓力,聯軟愿與各醫療企業一道,為維護醫療行業安全,醫患關系和諧,構建可控的互聯世界而努力!
更多行業資訊請關注聯軟科技官方微信
