2019大数据产业峰会|宁义：健康医疗行业的大数据安全思考

为了深入落实国家大数据战略，推动大数据产业交流与合作，展示我国大数据产业最新发展成果，2019年6月4日至5日，由中国信息通信研究院、中国通信标准化协会主办，大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日，大数据安全论坛隆重举行。

现在我们也看到了，大数据产业正在加速推进业态的融合，驱动数据经济发展进入崭新的阶段，在产业融合的过程中，安全的问题也是不容忽视的，下面有请卫生信息安全与新技术应用专业委员会主任委员宁义先生，他的演讲主题是《健康医疗行业的大数据安全思考》，有请宁主任。

卫生信息安全与新技术应用专业委员会主任委员宁义

各位早上好。前面听了苗处的报告很受启发，无论是从最高领导的决策思维，还是行业领导的体系规划、布局，以及对策措施都有很多的表述。我这里面其中也涉及到一部分，有相同的部分，但是我们从健康医疗行业的角度做了一些具体的思考，跟大家一块儿分享。

我跟大家讨论三个问题：

一、健康医疗行业的安全形势与挑战

总体上来看，可以有一个结论，信息安全、数据安全不容乐观。第一，大数据安全已经成为医疗现代化建设不可或缺的重要因素，随着医疗健康信息化的发展，大数据越来越蓬勃兴起，它的安全也自然成为不可忽视的重要因素。第二，信息安全、大数据安全取得了一定成效，国家和各地区行业主管部门，推出了一系列的政策、要求、规定，各级医疗卫生机构的信息人员做了大量工作，确实取得了一定的成效。第三，现在面临的新的形势、新的技术、新的发展形势下，健康医疗行业的数据安全更为复杂，比传统业态下要复杂很多倍。

（一）健康医疗的发展趋势，这是背景性的。从1.0时代我们常规所说的传统的医疗健康信息化，现在正在向2.0互联网医疗健康时代过渡和转化发展，将来进一步的发展就是3.0时代，就是智慧健康。现在国际和国内已经有一部分专家学者和少数机构在探索、在摸索智慧健康这条路子。这是行业信息化发展的总体背景趋势。

（二）在这个过程中，随着传统的信息化到广域的互联网，大量的新技术在采用，我们讲“云、大、物、移”，包括区块链、虚拟现实、5G等等，现在非常热的5G通信技术，引发了很多的数据安全的风险，更为直接地关系到广大人民群众、患者的生命安全，在这里是非常重要的因素。我们讲其他行业的数据安全可能是资产、财产的安全，但是医疗健康行业涉及到人的生命安全，这个是更为严重的后果、趋势。

（三）我们的现状客观上来讲新的威胁不断增加，无边界的安全挑战在扩大，有敌意的攻击动态化、碎片化，突破传统的安全防护等等，这是外部。在行业内部来讲，我们的管理规范难落实，适应性比较低，网络边界的终端繁多、难控制，业务系统的访问难限制，特别是像现在互联网医疗，向广大群众、老百姓开放，他可以查询各种各样的医疗资源信息，他可以查询自己的健康档案，查询自己的电子病例等等，必须向百万、千万甚至上亿的群众来开放，这个怎么限制？开放就有限制，不能是无限制的开放。开放与限制之间就是一对矛盾，怎么样处理好这个矛盾？还包括版本难升级，还有就是在医疗卫生行业，信息化部门还是偏弱势的，或者说从传统的观念来讲，它是一个辅助性的行业、辅助性的专业，它不是像医生、护士和药品那样的，主要的业务部门，它对数据安全在协调上就会很难。再有就是人力资源不足，难管理，医疗健康行业信息安全的技术手段比较薄弱，难防护，不像专门搞信息通信、信息安全的部门有很强的力量、很强的手段、很强的对策方略，这在我们医疗卫生行业都是有欠缺的。

（四）普遍的风险主要表现在这么几个方面：

1.数据泄露。敏感数据、处方、医疗科研成果，前几天一个500人专业群讨论DNA泄露到底有什么危害，有人说没关系，人类都是一样的，DNA有什么差异？但是有很多专家提出来这不一样。DNA泄露说得低一点是个人的隐私泄露，再说得高一点是一个民族、是一个国家命脉的数据的泄露，它可以产生很多生物学、种族遗传学的攻击手段和一些特异性的、针对性的缺陷的攻击等等，所以这个方面有很严重的问题。

2.勒索病毒与木马等等。我比较关注医疗卫生行业这方面的问题，其他行业的勒索病毒不知道怎么样，医疗行业从去年开始到今年已经有两轮比较广泛的勒索，前期是勒索比特币，今年直接要钱了，已经有几个医院中招了，还有人说这个比抢银行还厉害，抢银行违反风险高，这个风险不高，很难抓住他，他既然能在网络上勒索你，把数据库给锁死了，把你服务器控制了，让你读不进去，他可以读进去，你读不进去，他就有办法逃脱，这也是很重要的一个方面。传统的环境下勒索的情况很少出现，现在云了，大规模互联网了，这个情况出现就比较多了。

3.监听的WiFi设备、诈骗、仿冒。

4.大家熟知的黄牛，抢号/刷号骗取患者个人的信息。

5.内部信息，窃取敏感数据。包括近些年来，医疗卫生行业也多有发生信息科的人员给药商提供用药信息，所以也产生一些问题。

（五）窃取的医疗数据，我们都知道数据是一个产业，数据是一个利益，是一个资源，窃取的医疗信息可能要牟利，没有利益的事情谁也不会去做，它会产生一系列的后果，包括诈骗、身份盗用。2014年深圳的妇幼儿童保健信息泄露了四万多条，很多怀孕的孕妇、产妇刚生孩子，推销纸尿裤、奶粉、各种营养保健的一下就都来了，大家说怎么回事？大批量的，因为很短时间内集中，说明信息被卖掉了，卖掉以后就利用这个发广告，进行骚扰，产生了很多问题。

（六）从整体上来讲，医院信息泄露漏洞还是比较多的，国内有机构做这方面的测试，来做这方面的评估。我们医院在做二级等保、三级等保的时候也做过很多评估，普遍发现现在医院对外开放的网上漏洞还是比较多。

二、行业的网络安全政策分析与研究

（一）从总体上来讲，从政治上，前面苗处也都说过了，最高的领导对这个事情都很重视，行业领导也有很多方略和体系设计，包括国家的《网络安全法》，习总书记都亲自有过指示，对这个事情非常重视。还有国家网络空间安全战略等等这些方面。

（二）除了工信部以外，健康卫生行业的主管部门，卫健委的规划发展与信息化司也对这方面有很多要求。

（三）国家到行业也都有很多关于卫生信息安全、大数据安全的规划要求。

（四）卫健委的规划里面也提出了很多具体的要求。

（五）不细说了。

三、健康医疗行业的大数据安全思考

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!