在2024年第23届中国互联网大会召开期间,中国工程院院士沈昌祥接受了人民网的深度专访。他强调,在数字经济时代,构筑主动免疫安全可信的网络安全保障体系是确保网络空间安全与信任的基石。沈院士指出,这一系列措施不仅能够提升网络空间的韧性,还能够促进数字经济的健康发展,为我国在全球竞争中赢得先机。他的观点为医疗行业数字化转型的安全护航指明了方向。
随着医疗信息化进程的加速,电子病历、远程诊疗、智能医疗设备等技术的广泛应用,医疗数据的安全性和隐私保护成为了不可忽视的重大课题。主动免疫安全体系,通过内置安全机制,实现事前预防、事中控制、事后审计的全链条防护,为医疗行业的数字化转型提供了坚实的安全基石。
一、医疗网络安全保障体系和能力持续构建
近年来,我国在医疗网络安全领域的努力有目共睹。政策法规体系逐步完善,为医疗网络安全提供了制度保障;应急体系不断健全,有效提升了应对网络攻击和突发事件的能力;关键信息基础设施保护体系和能力显著增加,确保了医疗系统的稳定运行。这一系列举措,共同构筑了医疗网络安全的坚固防线。 通过严格执行法律规定,医疗机构建立健全了一系列网络安全管理制度,包括《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《互联网医院管理办法》、《远程医疗服务管理规范》、《国家健康医疗大数据标准、安全和服务管理办法》、《人类遗传资源管理条例》、《数据安全法》等法律法规,强化了技术防范措施,确保了国家关键信息基础设施——包括医疗信息系统在内的安全稳定运行。这一系列举措,犹如坚固的盾牌,抵御着网络空间的种种威胁,为患者信息与医疗服务的平稳开展保驾护航。 标准层面,医疗机构遵循《网络安全等级保护基本要求》《互联互通标准化成熟度测评方案》《电子病历系统应用水平分级评价标准》《医院智慧服务分级评估标准体系》等各项行业标准规范,在互联互通、电子病历、智慧医院等各领域开展合规测评,满足安全测评要求。
二、医疗网络安全依然存在诸多挑战
然而,面对日新月异的技术变革和日益复杂的网络威胁,医疗网络安全依然面临着诸多挑战。新技术新应用的不断涌现,对数据安全管理、个人信息保护以及新技术新应用风险防范提出了更高的要求。 复杂严峻的网络攻击形势 当前,医疗系统正遭受前所未有的勒索软件及其他形式的网络攻击,这些攻击展现出极高的复杂度、组织化水平以及频繁发生的特点。传统的依赖定期风险评估和基本技术防御体系已难以有效抵御这些不断演变且极具隐蔽性的攻击手段。 资产边界模糊 在医疗环境中,由于IT资产边界界定不清,识别和追踪安全威胁变得尤为困难,这直接影响到准确识别防护重点和系统脆弱性,阻碍了风险控制和安全强化措施的有效实施。 数据安全保障不足 医疗数据作为敏感信息的宝库,其在安全监控、分析及利用方面存在明显不足,未能充分利用其在风险感知、威胁预测和应急响应中的潜在价值,从而限制了医疗信息安全运营的成效。 防护措施利用率不高 医疗现有的安全设备、策略及配置可能存在配置不当、更新滞后等问题,导致安全防护措施的实际效果未能充分发挥。
三、构筑主动安全防护体系保障医疗网络安全
面对复杂多变的网络威胁,医疗行业不能仅依赖被动防御。道普信息风险管控专家提出,必须构建一套全方位、多层次的主动安全防护体系,如定期的安全审计、漏洞扫描、员工培训以及应急演练,保障医疗行业网络安全。 1.优化安全运营模式 转向常态化的监测检测、以管理促技术的安全运营模式,通过持续监测、分析和响应,提升对高级威胁的感知与应对能力。 2.明晰资产边界与强化风险追踪 开展全面的资产梳理与风险评估,明确资产边界,建立详尽的资产台账,加强对风险的识别、跟踪与闭环管理,确保风险得到有效治理。 3.提升安全数据利用水平 加强安全数据分析平台建设,整合多源安全数据,运用AI、大数据等技术提升数据挖掘与关联分析能力,赋能风险预警、威胁检测与事件响应。 4.优化安全防护资源配置与策略 对现有安全设备、策略及配置进行全面审查与优化,确保其与业务风险相匹配,提升安全资源的利用率与防护效果。 5.统一安全防御标准 推行统一的安全防护标准与最佳实践,强化跨系统、跨区域的安全策略协调与联动,提升整体防护体系的一致性与协同作战能力。 在数字经济蓬勃发展的背景下,沈昌祥院士的呼吁提醒我们,构建安全可信的网络新生态,是促进医疗行业健康发展的基石。唯有如此,我们才能确保数字化技术真正成为驱动医疗进步、增进人民福祉的强大力量。未来,医疗行业将携手网络安全专家,共同探索更加智能、高效、安全的医疗服务新模式,为全球公共卫生事业贡献中国智慧和中国方案。让我们一起期待,一个既充满创新活力又具备高度安全性的数字医疗新时代的到来。
