当前位置: 中工网理论频道社会关注-正文
堵住健康医疗大数据的安全“漏洞”
纪江明
//m.auribault.com 2017-07-07 来源:经济日报
分享到: 更多

  当前,健康医疗大数据已成为国家重要的基础性战略资源,其应用发展将带来健康医疗模式的深刻变化。同时,我国健康医疗大数据安全也面临前所未有的挑战,必须找准关键、深入剖析,提出有针对性的对策建议,切实维护好健康医疗大数据的安全。

 漏洞与隐患不容忽视

  由于病人的健康医疗数据具有高度敏感性,必须对其进行加密存储、管理和使用,否则一旦发生数据泄露,后果难以挽回。更重要的是,信息时代中大数据的边界越来越模糊、越来越开放,导致各类网络黑客攻击的手段越来越先进,呈现出较强的目的性、功利性和隐蔽性。因此,健康医疗数据的安全工作可谓难上加难。当前,数据安全隐患主要表现在以下几个方面:

  一是数据安全意识较弱。不少医疗机构或有关企业的数据安全意识和保护措施还很薄弱,信息系统多采用“用户名+口令”等较弱的访问控制方式,对于数据更是无任何保护措施,可以说,很多数据正在“裸奔”。这容易导致传统纸质记录、台式电脑、笔记本电脑、平板电脑、服务器、电子医疗档案、电子邮件、电子备份等设备的失窃或者数据丢失,泄露个人健康信息。

  二是数据系统漏洞易招致黑客入侵。目前,个人医疗信息主要从以下三大类机构中泄露:医疗保险商、医疗机构和商业合作公司。其中,大部分机构并没有把敏感数据和非敏感数据分开,也没有定期检查基础设施是否含有漏洞。由于业务不能中断,需要让数据库保持长时间稳定运行,更无法实时更新补丁,出现的漏洞也越来越多,极易被黑客利用。

  三是医疗机构内部人员出现技术性失误。由于医疗机构内部缺少有效的管理控制手段,工作人员未将信息保护工作做到位或技术性失误,导致信息接受者错误、电子信息未加密等情况发生,会泄露个人健康信息。同时,工作人员未对纸质记录文档进行正确处理,或没有将过期的电子信息彻底删除,也可能会导致信息泄露。还有极少数怀有不良用意的员工访问并窃取用户的敏感信息,这一情况也需要得到关注。

  四是缺乏具备健康医疗行业特色的信息安全技术标准。健康医疗行业的复杂性、特殊性较高,虽然目前已按照国家信息安全等级保护的要求,加强健康医疗信息的安全防护与规范管理,但尚未建设具备其业务特点的信息安全保障体系,以及专门的信息安全技术标准,不利于有针对性地开展安全保护工作。

  五是数据安全人才与经费保障缺口较大。在数据安全人才队伍方面,具备较强实战对抗能力的专业数据安全人员严重缺失,许多医疗机构甚至出现“大夫在看病之余兼管数据安全”的状况。在资金投入方面,对于有较高安全保障要求的行业,一般要求安全经费占总投入比不低于10%。2015年健康医疗行业整体信息化建设资金投入超过300亿元,但信息安全投入不足6亿元,占比不足2%,差距还较大。

五方面加强安全保障

  在发展健康医疗大数据的同时,应确保安全保障工作同步推进。

  一是加强健康医疗大数据安全风险评估和防范。比如,建立大数据安全治理组织结构,包括治理委员会、管理委员会、业务组、技术组、评估组,以及相应的组成人员;实施健康医疗大数据及网络安全人才队伍建设工程,研究设立网络空间安全一级学科,完善相关政策,培养和引进网络安全专业人才;定期组织人员参与信息安全培训,提高安全防控意识及权责意识,做好信息安全风险评估,有效预防可能出现的安全风险。

  二是对个人健康医疗信息保护进行立法。随着公民个人信息权利意识的提高,立法机关应加快制定和出台个人信息保护单行法的进程,明确法律要保护的公民个人信息的范围、类型、责任与义务,尤其要加强对未成年人的个人信息保护。

  三是从源头上加强对健康医疗大数据的保护。大力推动构建可信的信息安全体系,建立起统一权威、互联互通的人口健康信息平台,将数据源牢牢把控并回归到国家层面,保证健康医疗行业的信息安全可控;运用DES、3DES、RSA、AES等常用的加密算法的源代码,对敏感的数据信息进行加密保护,使经过加密处理的隐私信息只有获得权限后才能进行安全浏览;医疗设备供应商要不断检测物联网设备和应用程序的安全,如发现系统漏洞应及时通知相关医疗机构,快速响应修复漏洞。

  四是制定统一的健康医疗大数据安全标准。国际标准化组织(ISO)在保护健康信息方面已经制定了一些实践指南,例如,ISO27799:2008就是直接适用于健康信息各个方面的国际标准,包括信息采集的方式、信息存储和传递的手段等。建议参照此标准制定有可操作性的健康医疗大数据安全标准,具体分为基础性和应用性标准,有效保证各业务部门、系统间数据的规范性、融合性、流通性、共享性、安全性。

  五是加强健康医疗大数据的全生命周期管理。建议从关键系统入手,比如,建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统、电子签名技术、加密技术等,加强“事前防护”“事中加密”“事后保障”,为健康医疗大数据的全生命周期安全保驾护航。

  本文为国家社科基金项目“大数据背景下城市社区医养结合养老模式创新研究(16BRK012)”的阶段性研究成果

  (作者单位:中共上海市委党校发展研究院)

零容忍党员干部追求低级趣味

  趣味属于人的心理和精神上的选择,党员干部远离低级趣味,关键是要管住自己,不但筑好“防火墙”,还要备好……

扫码关注

中工网微信


中工网微博


中工网抖音


工人日报
客户端
×