当前位置:主页 > 数据

堵住健康医疗大数据的安全“漏洞”

文章来源:网络整理  发布时间:2017-07-07 11:30

  当前,健康医疗大数据已成为国家重要的基础性战略资源,其应用发展将带来健康医疗模式的深刻变化。同时,我国健康医疗大数据安全也面临前所未有的挑战,必须找准关键、深入剖析,提出有针对性的对策建议,切实维护好健康医疗大数据的安全。

  漏洞与隐患不容忽视

  由于病人的健康医疗数据具有高度敏感性,必须对其进行加密存储、管理和使用,否则一旦发生数据泄露,后果难以挽回。更重要的是,信息时代中大数据的边界越来越模糊、越来越开放,导致各类网络黑客攻击的手段越来越先进,呈现出较强的目的性、功利性和隐蔽性。因此,健康医疗数据的安全工作可谓难上加难。当前,数据安全隐患主要表现在以下几个方面:

  一是数据安全意识较弱。不少医疗机构或有关企业的数据安全意识和保护措施还很薄弱,信息系统多采用“用户名+口令”等较弱的访问控制方式,对于数据更是无任何保护措施,可以说,很多数据正在“裸奔”。这容易导致传统纸质记录、台式电脑、笔记本电脑、平板电脑、服务器、电子医疗档案、电子邮件、电子备份等设备的失窃或者数据丢失,泄露个人健康信息。

  二是数据系统漏洞易招致黑客入侵。目前,个人医疗信息主要从以下三大类机构中泄露:医疗保险商、医疗机构和商业合作公司。其中,大部分机构并没有把敏感数据和非敏感数据分开,也没有定期检查基础设施是否含有漏洞。由于业务不能中断,需要让数据库保持长时间稳定运行,更无法实时更新补丁,出现的漏洞也越来越多,极易被黑客利用。

  三是医疗机构内部人员出现技术性失误。由于医疗机构内部缺少有效的管理控制手段,工作人员未将信息保护工作做到位或技术性失误,导致信息接受者错误、电子信息未加密等情况发生,会泄露个人健康信息。同时,工作人员未对纸质记录文档进行正确处理,或没有将过期的电子信息彻底删除,也可能会导致信息泄露。还有极少数怀有不良用意的员工访问并窃取用户的敏感信息,这一情况也需要得到关注。

  四是缺乏具备健康医疗行业特色的信息安全技术标准。健康医疗行业的复杂性、特殊性较高,虽然目前已按照国家信息安全等级保护的要求,加强健康医疗信息的安全防护与规范管理,但尚未建设具备其业务特点的信息安全保障体系,以及专门的信息安全技术标准,不利于有针对性地开展安全保护工作。

  五是数据安全人才与经费保障缺口较大。在数据安全人才队伍方面,具备较强实战对抗能力的专业数据安全人员严重缺失,许多医疗机构甚至出现“大夫在看病之余兼管数据安全”的状况。在资金投入方面,对于有较高安全保障要求的行业,一般要求安全经费占总投入比不低于10%。2015年健康医疗行业整体信息化建设资金投入超过300亿元,但信息安全投入不足6亿元,占比不足2%,差距还较大。

  五方面加强安全保障

  在发展健康医疗大数据的同时,应确保安全保障工作同步推进。

  一是加强健康医疗大数据安全风险评估和防范。比如,建立大数据安全治理组织结构,包括治理委员会、管理委员会、业务组、技术组、评估组,以及相应的组成人员;实施健康医疗大数据及网络安全人才队伍建设工程,研究设立网络空间安全一级学科,完善相关政策,培养和引进网络安全专业人才;定期组织人员参与信息安全培训,提高安全防控意识及权责意识,做好信息安全风险评估,有效预防可能出现的安全风险。

  二是对个人健康医疗信息保护进行立法。随着公民个人信息权利意识的提高,立法机关应加快制定和出台个人信息保护单行法的进程,明确法律要保护的公民个人信息的范围、类型、责任与义务,尤其要加强对未成年人的个人信息保护。

  三是从源头上加强对健康医疗大数据的保护。大力推动构建可信的信息安全体系,建立起统一权威、互联互通的人口健康信息平台,将数据源牢牢把控并回归到国家层面,保证健康医疗行业的信息安全可控;运用DES、3DES、RSA、AES等常用的加密算法的源代码,对敏感的数据信息进行加密保护,使经过加密处理的隐私信息只有获得权限后才能进行安全浏览;医疗设备供应商要不断检测物联网设备和应用程序的安全,如发现系统漏洞应及时通知相关医疗机构,快速响应修复漏洞。

  四是制定统一的健康医疗大数据安全标准。国际标准化组织(ISO)在保护健康信息方面已经制定了一些实践指南,例如,ISO27799:2008就是直接适用于健康信息各个方面的国际标准,包括信息采集的方式、信息存储和传递的手段等。建议参照此标准制定有可操作性的健康医疗大数据安全标准,具体分为基础性和应用性标准,有效保证各业务部门、系统间数据的规范性、融合性、流通性、共享性、安全性。

友情链接/网站合作咨询: