由中央宣傳部、中央網信辦、教育部、工業和信息化部等聯合主辦的2020年國家網絡安全宣傳周，剛剛落下帷幕。

本屆宣傳周的主題為“網絡安全為人民，網絡安全靠人民”。以線上宣傳為重點，線上線下相結合，通過“云展覽”、線上論壇等多種方式深入開展宣傳教育活動。同時，從14日到20日期間，在全國范圍內舉辦了校園日、法治日等系列主題日活動，進一步提高群眾的網絡安全意識。

進入大數據時代，越來越多的個人健康信息連入網絡。人們在看病掛號、買藥登記等場合，輕松實現一碼就醫，一鍵急救等醫療服務。特別是今年新冠病毒疫情發生以來，健康碼的推出，極大加強了政府對重大突發公共衛生事件的治理能力，提高了疫情防控的快速反應能力。

雖然信息化的連接特性帶來了極大的便捷，但同時也增加了醫療信息數據泄露的風險，這對醫療機構的數據管理、信息安全提出了巨大挑戰。

醫療行業成為網絡攻擊的重災區

美國最大電信運營商威瑞森電信Verizon在2018年發布的一篇網絡安全報告顯示，在全世界范圍內，醫療行業是內部威脅高于外部威脅的唯一一個行業。因為醫療作為關乎民生的重要行業，一旦數據泄露，不僅影響醫院公眾形象，甚至損害患者的個人利益，對醫患關系產生嚴重不良影響。

2019年，國家互聯網應急中心發布的《2019 年上半年我國互聯網網絡安全態勢》顯示，醫療行業成為網絡攻擊的重點行業對象，其中醫療健康行業暴露相關數據管理系統709個，涉及醫學信息和基因檢測2大類。

（圖片來自網絡）

2017年7月份，江蘇昆山警方發布了全國首例侵犯公民個人健康生理信息案件。犯罪嫌疑人大量竊取、買賣男科、婦科、整形美容等方面的個人隱私信息，涉案公民信息超過1000萬條。

2018年2月，湖南省某三甲專科醫院也被爆疑似遭遇勒索病毒，要求院方在6小時內為每臺中招機器支付1個比特幣(約合人民幣6.6萬元)；6月，由于上海市醫療保險信息系統發生故障，病人無法使用醫保卡掛號或結算，這一故障持續了4個小時，導致各個醫院的窗口排起了長長的隊伍；7月，武漢警方披露，打掉了一個盜竊、販賣美容整形醫院客戶信息的特大犯罪團伙，涉案12人，全國多省市120多家美容醫院的客戶信息遭到竊取。

2019年2月28日，岳陽市區某醫療美容醫院門戶網站遭到入侵，網站頁面被篡改，發布招嫖信息。

在國外，個人醫療信息被泄露同樣嚴重。

2017年，洛杉磯比佛利山著名的整形外科醫生Zain Kadri報警，他的診所遭到一名解雇的員工涉嫌盜竊診所病人資料，除了財務信息外，有15000多名病人的私人信息面臨被泄露的威脅，其中包括偷拍的病人在接受手術時的照片。而這家診所的客戶都是洛杉磯最有名氣和最有錢的人。

同年，據美國新聞網站Daily Beast（《每日野獸》）報道，全球知名整形美容醫院London Bridge Plastic Surgery (LBPS) 的數據庫被不法組織Dark Overlord攻擊，獲取了大量的隱秘信息。被盜取信息包含了眾多英國皇室成員和明星藝人等病人的的名字、住址、手術私照。

由此可見，醫療信息的泄露，不僅僅給醫療機構造成經濟損失，更會引起嚴重的公眾恐慌等重大社會輿情事件。

民營醫療機構信息化安全建設的重要性

為什么不法分子更愿意盯上醫療信息？

從上面的案例可以總結，造成醫療信息泄露的動機主要有以下三種：第一，經濟利益驅動；第二，出于獵奇或娛樂心理而窺探名人的隱私；第三，獲取信息成本低等。

另外，醫療信息泄露從安全隱患的表現形式來看，分為內部和外部兩種。外部是不法入侵，另一種則是內部從業人員不規范操作導致醫療數據的泄漏。

由此看出，整形機構特別是民營整形機構，更容易成為醫療信息泄露的重災區。

這不僅因為整形機構的客戶信息有許多隱私的經濟價值，而且大多數民營整形醫療機構的信息化建設和管理相對比較薄弱，盜取信息的成本較低。

由于我國醫療衛生網絡信息化建設起步較晚，不同醫院的醫療信息化與資源不匹配，醫療信息安全化建設對民營醫療機構特別是中小醫療企業而言，將面臨更多實際問題。

據國家衛生健康委統計信息中心統計，近十年來，我國社會辦醫療機構總數增長了242.13%，并以年13.08%的速度遞增。截止2019年6月底，隨著資本加大投入，社會辦醫院數量(21349家)是公立醫院數量（11941家)的1.787倍，占比64%。

民營醫療機構的快速發展，其信息化成熟度建設不容忽視。民營醫療機構如何建立高度完善的數字化醫療管理體系？如何培養懂醫療、懂管理、懂信息的復合型醫療管理人才？

參與《中國整形美容協會互聯網醫美分會互聯網醫美行業規范指南》（草案）編寫的宏脈信息技術（廣州）股份有限公司CEO黃暉表示，加強安全技術防范是醫院信息化建設的客觀要求，是醫院信息化建設過程中必須堅守的一道防線。民營醫療企業信息化建設中要做到“5化”，即診療流程規范化、院內管理標準化、連鎖經營移動化、商業決策數據化、營銷軌跡網絡化。每一步流程均開啟智能可視化服務，實現診療信息記錄完整化，這樣就可做到安全追溯、責任到人。

至于現在市面上盛行SaaS部署，但是為什么一直走在醫美軟件行業前端的宏脈不選擇SaaS架構？

黃暉認為，數據是民營醫療機構的核心資產。醫療美容機構跟公立醫院不一樣，公立醫院不需要拓客，不用營銷，而醫美機構的客戶數據是其持續運營的核心資產。正因為宏脈掌握其管理規律，發現私有化部署更適合醫美機構的信息安全管理。所以，從技術到應用，宏脈都確保醫院數據的安全。

宏脈醫美經營管理系統最新版本采用的是第三代核心數據加密的信息化立體經營管理體系——CS/BS混合架構+云計算模式。使用成熟機制，所有數據掌控在醫院自己手中。軟件和數據庫安裝在醫院的局域網獨立服務器內，雙重結構加密保障數據安全（即存儲加密、傳輸加密），即使是軟件供應商也無法接觸到醫院的任何信息，同時還能根據醫院的需要提供獨立的私有云備份、異地備份工具。

2019年12月28日，經十三屆全國人大常委會第十五次會議表決通過，我國衛生領域出臺第一部基礎性、綜合性的法律《中華人民共和國基本醫療衛生與健康促進法》。其中，第九十二條明確規定，國家保護公民個人健康信息，確保公民個人健康信息安全。任何組織或者個人不得非法收集、使用、加工、傳輸公民個人健康信息，不得非法買賣、提供或者公開公民個人健康信息。

《中華人民共和國基本醫療衛生與健康促進法》的出臺，意味著公民個人健康信息得到法律保障。

結語

在網絡安全建設中，有那么一句話：“安全不看您做了什么，關鍵看沒做什么”。這需要醫療機構包括民營醫療機構，必須全員樹立動態、綜合的防護理念，加強醫院信息化成熟度的建設，除了選擇適合的信息化產品之外，還需要建設科學規范的企業管理機制。