“談起信息安全風(fēng)險(xiǎn)，有些人總覺(jué)得在說(shuō)‘狼來(lái)了’。但就在最近，‘勒索病毒’實(shí)實(shí)在在地來(lái)了，‘狼’就在眼前。”在日前舉行的2017中國(guó)衛(wèi)生信息技術(shù)交流大會(huì)上，國(guó)家衛(wèi)生計(jì)生委統(tǒng)計(jì)信息中心主任孟群如是說(shuō)。與會(huì)專(zhuān)家紛紛表示，安全防范意識(shí)不強(qiáng)、防護(hù)技術(shù)手段滯后、關(guān)心應(yīng)用甚于安全，是我國(guó)醫(yī)療信息化領(lǐng)域目前存在的問(wèn)題，亟須補(bǔ)課。

我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的根本大法《網(wǎng)絡(luò)安全法》將于今年6月1日實(shí)施，信息安全被置于前所未有的重要位置。加固網(wǎng)絡(luò)安全，同樣成為衛(wèi)生計(jì)生系統(tǒng)繞不開(kāi)的必答題。

“勒索病毒”折射防護(hù)之失

自5月12日起，“勒索病毒”波及了全球100多個(gè)國(guó)家，感染了包括醫(yī)療、教育、能源、通信等行業(yè)及政府部門(mén)在內(nèi)的多個(gè)領(lǐng)域，導(dǎo)致大量數(shù)據(jù)被凍結(jié)。盡管我國(guó)醫(yī)療衛(wèi)生系統(tǒng)并未受到嚴(yán)重影響，但這場(chǎng)來(lái)勢(shì)兇猛的進(jìn)攻卻如一面鏡子，折射出信息安全體系的防護(hù)之失。

北京協(xié)和醫(yī)院信息管理處副處長(zhǎng)孫國(guó)強(qiáng)介紹，此次“勒索病毒”的傳播是利用了微軟公司W(wǎng)indows操作系統(tǒng)的漏洞，可以將所有磁盤(pán)文件加密、鎖死。一起“勒索事件”，也反映出人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)局限。中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副處長(zhǎng)唐鑫表示，有些人認(rèn)為，與互聯(lián)網(wǎng)隔離的內(nèi)網(wǎng)、專(zhuān)網(wǎng)就是安全的。實(shí)際上，針對(duì)物理隔離的攻擊手段已經(jīng)很常見(jiàn)了，恰恰是有些內(nèi)網(wǎng)因?yàn)槿鄙侔踩雷o(hù)措施，沒(méi)有更新系統(tǒng)最新安全補(bǔ)丁，反而更不安全。

對(duì)于安全維護(hù)的投入不足，也是導(dǎo)致防護(hù)缺失的重要原因。普遍的看法是，在網(wǎng)絡(luò)安全方面的投入類(lèi)似買(mǎi)保險(xiǎn)，不如投入硬件可以看得見(jiàn)摸得著。對(duì)此，公安部信息安全等級(jí)保護(hù)評(píng)估中心測(cè)評(píng)部主任馬力提出，用于維護(hù)網(wǎng)絡(luò)安全的投入應(yīng)占信息化建設(shè)總投入比例的10%~15%，但我國(guó)目前還遠(yuǎn)達(dá)不到這個(gè)水平，一般停留在5%~10%之間，甚至更低。

解放軍總醫(yī)院計(jì)算機(jī)室主任劉敏超提出，當(dāng)前，信息安全風(fēng)險(xiǎn)已經(jīng)呈現(xiàn)出新特征：攻擊手段越來(lái)越專(zhuān)業(yè)化、低門(mén)檻化、低風(fēng)險(xiǎn)高收益；攻擊對(duì)象越來(lái)越隨機(jī)，不分國(guó)界、機(jī)構(gòu)或個(gè)人。怎樣保障業(yè)務(wù)不中斷、數(shù)據(jù)不泄露，怎樣保護(hù)患者隱私，成為業(yè)內(nèi)必須重新思考的問(wèn)題。

網(wǎng)絡(luò)安保跨入2.0時(shí)代

長(zhǎng)期以來(lái)，我國(guó)信息系統(tǒng)一直分等級(jí)實(shí)行安全保護(hù)，即根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益的危害程度，將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并實(shí)施差別化的保護(hù)和監(jiān)管。

具體到醫(yī)療衛(wèi)生行業(yè)，信息安全等級(jí)保護(hù)也已成為醫(yī)院的必選項(xiàng)。我國(guó)衛(wèi)生行政部門(mén)曾明確規(guī)定，三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于三級(jí)等級(jí)保護(hù)，并要求相關(guān)單位在2015年年底前完成信息安全等級(jí)保護(hù)建設(shè)工作。馬力表示，《網(wǎng)絡(luò)安全法》確立了等級(jí)保護(hù)制度的法律地位，這也意味著網(wǎng)絡(luò)安全保護(hù)制度將進(jìn)入2.0時(shí)代。

根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營(yíng)者有義務(wù)保障網(wǎng)絡(luò)免受干擾、破壞或未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或被竊取、篡改，采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，對(duì)重要數(shù)據(jù)進(jìn)行備份和加密。如果網(wǎng)絡(luò)運(yùn)營(yíng)者沒(méi)有履行相關(guān)義務(wù)而導(dǎo)致危害網(wǎng)絡(luò)安全后果將受到處罰。馬力解釋說(shuō)，“網(wǎng)絡(luò)運(yùn)營(yíng)者”是指網(wǎng)絡(luò)所有者、服務(wù)者和服務(wù)提供者。按照這個(gè)概念理解，醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)在此之列。

把關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上升為國(guó)家制度，是《網(wǎng)絡(luò)安全法》的又一大突破，即明確提出在等級(jí)保護(hù)的基礎(chǔ)上，還要對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。據(jù)了解，目前《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》正在起草當(dāng)中，關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定辦法還沒(méi)有最終出臺(tái)。但馬力認(rèn)為，醫(yī)療衛(wèi)生行業(yè)肯定有部分信息系統(tǒng)會(huì)被納入關(guān)鍵信息基礎(chǔ)設(shè)施的目錄當(dāng)中，為網(wǎng)絡(luò)安全再上一道保險(xiǎn)。

別讓信息“裸奔”

值得注意的是，《網(wǎng)絡(luò)安全法》強(qiáng)化了一項(xiàng)重要制度——個(gè)人信息保護(hù)制度。第三軍醫(yī)大學(xué)大坪醫(yī)院信息科副主任黃昊表示，在大數(shù)據(jù)時(shí)代，醫(yī)療領(lǐng)域成為個(gè)人信息泄露的重災(zāi)區(qū)。大量的病人隱私泄露都發(fā)生在近兩年，這說(shuō)明國(guó)內(nèi)大多數(shù)醫(yī)院在隱私保護(hù)方面做得十分不夠。

網(wǎng)絡(luò)不能斷，系統(tǒng)不能慢，數(shù)據(jù)不能泄露，信息不能丟失，這是解放軍總醫(yī)院的信息安全管理目標(biāo)。劉敏超表示，這意味著醫(yī)院要具備足夠的安全保護(hù)能力，能夠防護(hù)系統(tǒng)免受惡意攻擊，能夠及時(shí)發(fā)現(xiàn)安全漏洞，能夠在系統(tǒng)遭受損害后，較快恢復(fù)絕大部分功能。

劉敏超舉例說(shuō)，為應(yīng)對(duì)網(wǎng)絡(luò)中斷、病毒攻擊等，需要采取定期升級(jí)硬件、定期升級(jí)病毒庫(kù)，實(shí)時(shí)監(jiān)控等手段。對(duì)于人工誤操作造成的故障，則需要加強(qiáng)技術(shù)培訓(xùn)和權(quán)限管理，并嚴(yán)格操作規(guī)程。同時(shí)，此次“勒索病毒”還敲響了警鐘：對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份非常重要，一定要定期備份，并把數(shù)據(jù)放在安全的地方。此外，發(fā)生網(wǎng)絡(luò)安全事件后應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取措施消除安全隱患，防止危害擴(kuò)大，力求亡羊補(bǔ)牢。