□泽雯

　　不久前，“勒索病毒”给信息安全防护敲响的警钟，仍在耳边回响。而就在今天，《中华人民共和国网络安全法》开始正式施行，该法将网络安全提高到了国家层面，其也是医疗器械网络安全的基本法则。

　　“大量调研发现，医疗、教育成为网络病毒攻击的‘重灾区’。这可能导致医疗设备数据丢失，以及患者信息、器械调配、手术管理等出现错误。可以说，医疗信息安全‘人命关天’。当前，我国亟须加强医疗信息安全防护等级。”近日，在青岛召开的“2017中国卫生信息技术交流大会暨软件产品与设备展览会”上，国内医疗IT专家强调指出。

　　“在很多大型医疗设备的售后服务中，厂商需要对在用设备的使用情况进行实时监测。这就要求厂商与用户签订一份信息保密协议。然而，目前并不是所有厂商都能做到这一点。另外，一些医院管理者对个体、群体隐私信息保护，医疗软件正版化等问题仍未引起足够的重视。有些医院由于资金有限而采用非正版医疗软件，这样很容易造成信息安全问题。而最近‘勒索病毒’的攻击敲响了警钟。”东软集团高级副总裁卢朝霞对记者说。

　　国内外都曾发生严重医疗信息泄漏事件，近年来，各国对此高度重视，相继颁布了相关规范和标准。记者了解到，国际标准化组织(ISO)发布了ISO17090:2008《卫生信息-公共要素信息结构》；美国颁布了《健康保险携带及责任法案》《医疗器械上市后网络安全管理》等法规文件。其中，美国的《医疗器械上市后网络安全管理》要求制造商、供应商具备监测医疗设备网络安全的手段和预案；了解、评估和监测网络安全风险级别；建立网络安全协作规则，分享网络隐患信息和潜在事件；及时升级、完善系统和技术修补措施，避免并解决因网络安全问题造成的损失、不良影响等。

　　在我国，从6月1日起，《中华人民共和国网络安全法》正式施行。1月20日，国家食品药品监管总局发布了《医疗器械网络安全注册技术指导原则》。这是对医疗器械网络安全的一般性要求，要求制造商根据医疗器械产品特性提交网络安全注册申报资料。

　　目前，医疗设备使用环节主要存在哪些信息安全风险，面临什么困难，对信息安全建设又有什么诉求？此次青岛大会上发布的《数据至上，业务安全——2017年医疗行业信息安全调查报告》(以下简称《报告》)，基于对100家医疗卫生机构、907家三甲医院网站、4663个医疗互联网资产样本进行的调研，为这些疑问提供了专业分析和建议。

　　调研显示，我国三级甲等综合医院的信息安全水平存在较大差异。在基础物理和网络环境方面，38%的机构有自动电力调度。对4663个医疗互联网资产样本的风险检测发现，排名前5位的风险依次是：域名信息泄露、恶意代码、异常流量、僵尸网络、IP被封。

　　从外部威胁来看，65%的医疗机构认为网络被攻击、对外通信中断是最重大的网络安全风险；其次是窃取患者身份、病例或治疗信息。从内部威胁来看，68%的机构认为员工安全意识淡薄是目前最大的挑战；其次是系统以及数据管理存在漏洞；第三是系统访问权限混乱。

　　在移动医疗风险控制领域，近50%的受访机构选择依赖外包商的安全开发能力来保证应用安全，42%的受访单位已经采购第三方安全测评来保证应用安全。

　　调研结果还显示，在信息安全建设需求方面，近半数的医疗机构认为安全管理制度、业务流程安全、数据库安全、安全审计、应用审计、网络安全架构、主机安全和密码安全等方面亟待建设和完善。

　　“网络安全、数据安全、应用系统安全、管理安全都需要加强。医疗信息安全解决方案并非独立的模块，其应当结合医疗业务需求，与医疗流程整合，涉及加密、解密等众多环节，并需要保证系统运行速度。这就要求网络安全、医疗行业、主管部门等各方面的专家组成联合攻关组，一同制定信息安全解决方案。”卢朝霞说。

　　《报告》就此提出：医疗机构在应对医疗数字化风险时，首先要优先满足业务需求，其次要最大限度地预防和控制安全风险。鉴于医疗行业的特殊性，医疗机构需要依据标准化、系统化的安全控制指南，联合国内拥有医疗信息安全服务经验的厂商，共同进行系统架构的整体设计和运营维护管理，从源头防范医院信息安全风险。