等保2.0时代的健康医疗信息安全防护
2020年10月9日-11日,“天府健谈·CHS 2020第五届中国大健康产业升级峰会”正式召开,本次峰会由中国卫生信息与健康医疗大数据学会和四川省卫生健康委指导,成都市卫生健康委支持,中国卫生信息与健康医疗大数据学会全科医学与健康管理工作委员会与亿欧大健康联合主办。
中国大健康产业升级峰会已成功举办了4届,本届峰会以“分布式创新·重构健康生态”为主题,采取1场主会场+4场分论坛+若干配套活动的形式,聚焦创新药、智慧医疗、非公医疗、健康管理、健康大数据应用等五个主题,聚集政、产、学、研、投各界上百位医疗行业大咖,共话大健康产业创新之道。
在10月10日的高峰论坛上,北信源(300352,股吧)董事长林皓发表了题为“等保2.0时代的健康医疗信息安全防护”的演讲,他的主要观点如下:
1.现在的医疗健康生态是一个全产业链的信息体系,除了医疗技术,也融合了很多的IT技术、云技术、人工智能技术,物联网技术等等,而应用的IT技术越多、越复杂,产生的安全问题一定越多。
2.面对这样多方面安全问题,仅用某一个厂家的技术或某一个产品很难解决,要依靠行业学会来共筑产业生态安全,此外,还有三点建议:高度重视工作秘密及个人隐私保护;提高突发事件追踪溯源能力;加强日常事件处置与应急系统平台建设。
以下为其演讲全文(根据现场演讲有所删减,未经本人审定):
很荣幸受大会邀请,给大家介绍一下等保2.0(网络安全等级保护2.0制度)时代的健康医疗信息安全防护,这个主题跟之前各位专家讲的主题有点不一样,但是在各个行业,信息安全都尤为重要。
等保2.0标准下的信息安全防护
首先跟大家介绍一下等保2.0标准下的安全趋势和要求。信息安全经过将近20年的发展,已经深入到工作和生活当中,国家也在这个方向上颁布了很多条例,例如2019年发布的《信息安全技术网络安全等级保护的基本要求》、《信息系统安全等级保护实施指南》等,当然更重要的一点是,在《卫生行业信息安全等级保护工作的指导意见》中明确指出,我们现在国家的重要卫生信息系统安全保护等级不低于三级。什么是三级?在等保2.0发布后,跟之前的标准有一个更重要的区别,定级程度上升级了,提高了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,侵害特别严重的程度由原来的二级升为三级,从这一点能够看出国家对公民、法人和其他组织的合法权益的保护意识提升到了很高的层次。
网络安全等级保护之前是普及阶段,这两年已经深入到更深层次的阶段,这个阶段可能在医疗行业还比较慢,但是在国家的其他重点行业里面已经完全开展了,国家称为护网行动,当下国际形势比较复杂,且科技的发展、技术的竞争导致黑客对数据的攻击和数据的窃取尤为激烈,因此国家采取了护网行动,2016年时主要是针对如银行、电网等重要机构,到2017年、2018年、2019年,每年递增一些重要环节和重要机构,到今年疫情,全国的很多重点云,特别是云上的应用都进行了护网行动的演练。
为什么要做这件事情,因为整个网络主要运行是在云上,私有云也是重要的组成部分,但也正是因为在云上最容易受到攻击的,所以我国2019年又对关键基础设施进行了保护性的标准定级——不低于三级,且明确指出了关键基础设施在网络安全等级保护制度上进行重点防护。也就是说,通过2016年开始的护网行动到现在,国家已经发现了网络上有很多的漏洞,而且有很多的不足,特别是在重点设施上有很多漏洞,所以就此提出了对关键设施进行重点保护,在落实网络安全等级保护制度基础上,突出保护重点,强化保护措施,切实维护关键信息基础设施安全。
实际上在前面各位专家的演讲当中,都介绍到了现在的网络、云应用、人工智能、大数据等应用广泛,这愈发显示出了对这些数据和一些设施的保护尤为重要。这一次由公安部牵头,对我国众多重点设施进行了定义,其中国家卫健委、国家药品监督局也被列入了第一批的关键信息基础设施安全保护试点,该由谁来保护呢?公安部指定了16家中国著名的网络安全企业作为运营支撑单位。
共建健康医疗生态信息安全体系
第二部分,我们怎么与IT企业融合共建健康医疗生态信息安全体系,毕竟现在的医疗健康生态是一个全产业链的信息体系,除了医疗技术,也融合了很多的IT技术、云技术、人工智能技术,物联网技术等等,是各种医疗健康大数据的汇聚、融合。在这当中,涉及各个方面,数据互联互通,深化产业对接合作,建设健康医疗互联网平台,实现互联网医疗和远程智慧医疗,以及对健康数据全生命周期管理,实现健康问题早发现和有效防控等等。
然而,实际上你应用的IT技术越多、越复杂,产生的安全问题一定越多,也就是说,在信息处理、数据共享、智能终端、互联网平台、数据中心等各个处理环节当中,涉及的环节越多,出现的漏洞越大,风险必然越大。这个问题我们该怎么解决?实际上这不是用某一个厂家的技术或者某一个产品能够解决的,建议大家依靠行业学会,共筑产业生态安全。我们有幸在中国卫生健康医疗大数据学会下创建了信息和应用安全防护分会,分会主要的作用就是组织所有的安全厂家和所有的应用厂家,或者是关心应用的一些机构,协同来做好信息化、大数据、智慧健康、人工智能方向的整个安全生态。
第三部分,对于健康医疗产业信息安全的几点建议。
第一个建议,要高度重视工作秘密及个人隐私保护。隐私是一个很重要的环节,实际上国家对隐私的重视程度提高到了更高的层面,除了国家秘密,有一个广泛的定义叫做工作隐私,工作隐私的保护最主要是处理传输、存储方向的问题,我们的建议是要做好安全访问控制,建议大家不使用普通的个人社交软件来传输工作秘密,应该用可以保护工作秘密的安全通讯工具或者是社交工具来传递,也可以说,下一个时代,很可能工作社交软件会发生变化,必须要进行信息分级保护。
第二个建议,提高突发事件追踪溯源能力。实际上在信息安全这个行业里面有一个国家战略叫做区块链战略,这是很好的解决方案,我们推荐本行业如果有可能,尽量尽快的熟悉区块链的应用,采用区块链的相应技术来解决溯源问题。
第三个建议,加强日常事件处置与应急系统平台建设。之前国家已有相应布局,在这次疫情中尤为突出,任何一个健康医疗行业事件都极可能引发成为一个大规模、群体性事件,因此,应急系统非常重要,不管是医疗部门、医院、药厂或者是互联网医疗、社区医疗等等,最佳方式是建立一个适合自己日常工作特殊性的日常事件处置和应急系统。
