互联网+背景下的医疗信息安全问题分析

袁骥 江苏省张家港市卫生和计划生育委员会信息科

引言：互联网+医疗的兴起在方便患者就诊、节省医疗成本、优化医疗模式、保证医疗安全、方便医学研究等方面发挥了重要作用。然而随着互联网+背景下医疗的推广和云技术、大数据分析的应用，患者医疗信息变得更集中更易获得，在医疗数据采集、存储和应用过程中常发生数据泄露的问题。因此，很有必要对在互联网+医疗环境下的咨询服务、远程医疗、移动医疗设备使用中可能存在的隐私泄露等信息安全性问题进行分析，采取针对性的预防和解决措施。

1.互联网+背景下医疗信息面临的安全隐患及问题分析

1.1 相关法律法规不健全

目前我国尚无系统性的法律法规来确保医疗信息安全，尤其是在涉及隐私保护方面主要采用间接方式分散在效力层次不一的各种法律、法规甚至规范性文件中，且规定模糊、震慑力有限，这不仅会使隐私信息泄露者肆无忌惮，而且在出现纠纷时也往往无法可依。因此，需要有专门的互联网医疗信息安全的法律法规，以此规范我国的医疗信息安全防护。

1.2 内外网融合下的非法网络入侵隐患

随着互联网应用的发展和普及，原本仅在医院内部运转的医疗数据已经难以保持完全的封闭状态，需要打破原有内外网物理隔离的模式，建立兼顾经济性和开放性特点的内外网融合的网络结构使内外网络实现有条件的互联互通。大多数医疗机构长期积累的院内网络及系统的管理经验面对层出不穷的互联网应用缺乏技术储备和网络安全的管理经验，不能高效地对网络入侵行为进行追踪与及时反馈，缺乏漏洞管理流程，在不断扩大内外网数据交换范围的需求下，相应的风险也在增大。

1.3 平台运行的可用性隐患

当前绝大多数医疗机构，在软硬件平台的搭建上多是采用自建机房或租用网络服务商的空间并由自己或委托互联网企业进行软件开发及运维的方式。由于各机构间的技术实力差距较大，平台软硬件的稳定性和抵抗DDoS等攻击的能力也良莠不齐，存在提供的应用服务不稳定及易遭攻击等信息安全隐患。

1.4 数据的不完整性和不可控性隐患

医疗机构的数据库多是存储在自建的数据中心或第三方企业研发的云平台，各种应用的数据在存储备份上缺乏相应的规范与统一标准，一旦出现意外情况，容易导致数据存在被篡改、丢失、缺损等不完整性风险。另外诊疗过程中的关键数据并不完全处于监管者或患者的有效掌握与控制之下，在出现医疗纠纷或事故时监管机构面临较大的取证难度。

1.5 软件稳定性和网络攻击的隐患

在移动医疗设备的软件设计过程中，即使逻辑经过严谨的测试，其容错性、稳定性、硬件的兼容性以及物理环境也会引入各种各样的风险，同时大部分的移动医疗设备在使用时医生可以通过无线网络远程获取患者的健康状况数据，黑客通过网络攻击，存在远程控制设备并可任意调整软件设定值等隐患，情况严重时将可危及使用者的生命。

2.互联网+背景下提升医疗信息安全的对策及建议

2.1 加快制定健康信息保护的法律法规

根据我国目前情况，可参考《中华人民共和国网络安全法》《国务院办公

厅关于促进“互联网+医疗健康”发展的意见》和《人口健康信息管理办法(试行)》的相关内容，制定适合我国国情的互联网医疗信息安全政策性法律法规，在规范远程医疗、移动设备健康信息收集与利用等方面适应互联网医疗发展的需求。同时，通过立法设立专门的部门对互联网医疗机构进行统筹管理，主要职能包括日常信息安全与隐私保护的监督、侵权事件的咨询和诉讼等，建立、健全层级管理机制，提供给医生与患者相应的法律保障。

2.2 加强医疗信息存储和传输保护

一些不法分子可能会利用各种技术手段侵入存储有健康信息的网站非法浏览、篡改、盗窃隐私信息，远程医疗也可能遭到黑客的拦截而导致数据泄露或失真。为此可以建立互联网医疗服务的相关技术应用审查机制，并构建分级、分类审查制度，对信息技术的使用进行监管。互联网医疗中健康信息面临的安全威胁大多可以通过信息技术手段来解决，因此可引入国际上的先进技术，包括访问控制技术、匿名技术、加密技术、安全监控和审计技术等，同时鼓励创新与我国国情相适应的信息技术。

2.3 构建完善医疗信息安全保障体系

首先，做好数据分割，控制管理用户个人和医疗机构查看数据内容的权限。把个人和机构的访问权限分离有利于数据管理，当其中一方系统出现问题时不会影响另一方，有效控制损失。当单方出现漏洞时，只对该方的系统进行修复更安全高效。同时，控制查看数据的权限能够在信息泄露的时候及时追踪到泄露者是谁、更快捷地找到泄露的原因。此外，应建立责任追究制度，对泄露信息的机构部门或个人，追求其工作疏忽责任和法律责任。

其次，平衡好信息开放与隐私保护的关系。互联互通和信息开放是大趋势。我们确实需要重点关注医疗信息的安全与隐私保护问题，但对隐私的保护也不能绝对化，不可过分限制信息流通。健康信息在医学研究和公共卫生管理方面都具有重要的应用价值，其合理利用有利于促进和实现互联网医疗服务的健康、可持续发展。

最后，完善相关人员培训制度。应当定期对机构内部处理信息系统的工作人员进行信息系统安全理论和安全应急技能培训，教授他们使用和维护信息系统的新方法，如训练电脑安全技能，借此提高工作人员应有的安全防范意识和责任意识，当出现信息系统出现安全问题时及时通报和处理。

3.总结

互联网+背景下传统的医疗模式发生了改变，利用互联网技术的优势大大提升了医疗事业的信息化水平，但是由于一些新兴技术在医疗事业中的应用还不够成熟，其中医疗信息安全问题是一项非常值得重视的课题。因此，必须要完善顶层设计，在制度上予以支持，需要从国家法律法规、相应管理制度、准入政策、技术手段、从业人员以及运营平台资质的认定等多方面予以把关。对医疗信息的安全防护和个人隐私的保护是互联网医疗发展的基石，必须保障数据信息安全，防止医疗健康数据的泄露，在共享数据的同时寻找安全保护与开放利用之间的平衡，让群众对互联网医疗建立信心，切实保障互联网+医疗的信息安全，促进互联网医疗行业规范有序健康的发展。