资源描述
移动互联网医疗应用安全风险防控白皮书 (2021年) 中国软件评测中心软件与信息系统测评工程技术中心 2021年10月 版权声明 技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技技“ 技技技技技技技技技技技”技技技技技技技技技技技技技技技技技技技技技技技 组织单位 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 联合发布单位 中国信息产业商会健康科技分会 协作支持单位 北京医云数智健康科技研究院 参与编写单位(按拼音排序) 北京医慧科技有限公司 北京智游网安科技有限公司 北京知道创宇信息技术股份有限公司 长春吉大正元信息技术股份有限公司 内蒙古数字证书认证有限公司 万达信息股份有限公司 厦门市易联众易惠科技有限公司 北京嘉和美康信息技术有限公司 冠新软件股份有限公司 北京尊冠科技有限公司 北京银联金卡科技有限公司 武汉赛博网络安全人才研究中心 华中科技大学同济医学院 南京大学医学院 厦门市健康医疗大数据中心 吉林大学第一医院 武汉市中心医院 辽宁省卫生健康服务中心信息化推进办 福建省卫生健康委信息中心 广州市卫生健康技术鉴定和人才评价中心 银川市第一医院 顾问 黄江平 刘龙庚 陈渌萍 安晖 马敬东 陈航 主要编写人员 孟 晓 赵 亮 徐 鹏 何淑伟 桑戟南 余 沁 武斌斌 郭训平 李世超 孙志伟 杨松涛 杨秋芬 高剑峰 权基洪 郑 良 李胜男 杨 翀 蔡 挺 赵 刚 何 帆 傅国林 包培文 王 娟 曹恩龙 于玉霞 衡 爽 朱树宏 赵振威 序 言 近年来,我国“互联网+医疗健康”发展迅速,线上线下融合发展,缓解了看病就医难题,尤其在新冠肺炎疫情防控期间,各地创新线上服务模式,为支撑疫情精准防控、避免聚集交叉感染、促进人员有序流动和复工复产等发挥了重要作用。移动互联网等新技术加快向医疗健康领域落地,线上线下一体化医疗服务转型成趋势,原有的医疗服务生态环境也随之改变,网络安全攻击方式也不断演变,针对移动互联网应用的新型网络攻击方式不断涌现,对原有的网络安全防护体系提出了严峻的挑战,移动互联网医疗应用安全风险防控成为了国家实现“互联网+医疗健康”战略目标的关键问题。 技技技在2020移动互联网医疗安全风控白皮书基础上,结合金融科技试点工作成果,分析总结了2021年移动互联网应用的政策和管理要求,多维度地对新技术技技到移动互联网医疗领域的风险进行了分析,提出了解决方案,总结了在2021年针对移动应用安全风险防控方 面所取得的成效,最后分享了安全风控探索实践的经典案例,供相关机构参考。 技技技技由中国软件评测中心牵头,北京医云数智健康科技研究院组织协调,多家单位共同参与撰写,并得到专家们的精心指导,在此感谢所有专家和编者,感谢中国信息产业商会健康科技分会的大力支持。由于移动互联网医疗应用安全领域方兴未艾,限于编者能力和时间,本报告内容难免存在纰漏,不足之处也恳请各方同仁批评指正! 技技技技技技技技 2021年10月 目 录 前 言 . - 1 - 一、 政策驱动移动互联网应用产业安全落地 . - 2 - (一) 十四五推动数字化服务普惠医疗应用,营造安全数字生态 . - 2 - (二) 新技术赋能移动互联网医疗普惠应用,强调安全可控发展 . - 5 - (三) 安全政策法规陆续出台,推动移动互联网应用安全可控发展 . - 6 - (四) 医疗政策强调对新技术线上监管,强化安全保障- 9 - 二、 移动互联网应用在医疗场景下面临的安全问题和挑战 . - 11 - (一) 敏感数据泄露和技术滥用等安全风险趋增 . - 12 - 1. 数据泄露问题日益突出 . - 12 - 2. 技术滥用非法获利现象频发 . - 13 - 3. 越权访问导致违法收集个人信息的情况日益突出 . - 14 - (二) 安全风险成因分析 . - 16 - 1. 抗攻击能力薄弱 . - 16 - 2. 对数据安全重视不够 . - 18 - 3. 出于经济利益最大化,技术滥用较为普遍 . - 19 - 4. 安全意识和管控手段不足 . - 20 - (三) 亟待解决的问题 . - 20 - 1. 医疗行业针对移动应用的安全标准有待完善 . - 20 - 2. 移动互联网医疗安全数字生态尚未健全 . - 21 - 3. 医疗行业针对移动应用的管控体系仍属空白 . - 22 - 4. 移动互联网应用安全防护能力需提高、安全环境需净化, 公众安全使用意识需加强 . - 22 - 5. 个人健康生理信息安全保护须重点关注 . - 23 - 三、 移动互联网医疗应用之安全应对策略 . - 24 - (一) 加强安全风控顶层设计,促进“互联网+医疗健康”持续发展 . - 24 - 1. 构建政府监管、行业自律、机构自治的三重安全防线- 25 - 2. 完善移动互联网医疗应用的安全风控标准体系 . - 26 - 3. 持续并加强安全风控监测和完善评价、监督、考核机制- 27 - 4. 发挥协会和联盟作用,利用行业自律手段,构建安全风控生态,推进标准实施和落地 . - 28 - (二) 构建安全风险防控体系,为行业安全提供基础保障- 29 - 1. 建立完善的移动互联网医疗应用安全风险管理体系- 30 - 2. 构建统一的移动互联网医疗应用安全防控技术体系- 31 - (三) 持续优化安全技术标准,满足国家和行业监管要求- 32 - (四) 构建新技术防范滥用机制,确保安全可控 . - 34 - 四、 移动互联网医疗应用安全风险应对成效 . - 35 - (一) 成立联盟,建立安全数字生态 . - 35 - (二) 初步形成风控防控管理机制和构建了安全风控平台- 37 - 1. 已初步建成安全风险防控管理机制 . - 38 - 2. 打造了安全风控平台,投入运行后取得初步成果 . - 40 - (三) 稳步推进应用试点验证工作 . - 44 - (四) 持续开展技术标准建设 . - 48 - (五) 推动了行业政策落地 . - 49 - 1. 互联网医疗健康服务应用软件接入电子健康卡专项治理工作 . - 49 - 2. 北京地区医疗机构互联网便民惠民移动应用测评工作- 50 - 附录A:新技术在医疗应用中的关键技术及潜在安全风险 . 52 附录B:安全风控探索实践 . 56 (一) 场景一:互联网医院+风控 . 56 1. 应用场景介绍 . 56 2. 业务面临的安全风险 . 57 3. 解决方案 . 58 (二) 场景二:电子健康卡+风控 . 59 1. 应用场景介绍 . 59 2. 业务面临的安全风险 . 60 3. 解决方案 . 62 (三) 场景三:惠民健康(多码融合)+风控 . 63 1. 应用场景介绍 . 63 2. 业务面临的安全风险 . 64 3. 解决方案 . 64 - 1 - 前 言 封闭医疗网络受到了互联网的巨大冲击,使得医疗信息化所面临的安全风险变得复杂且严峻。移动互联网医疗技技作为互联网医疗的服务入口,在系统安全、应用渠道安全、个人信息收集使用、数据安全等方面,受到的威胁越来越高。在利益驱动及监管不严的情况下,移动互联网医疗应用可能会出现被不法分子篡改、恶意代码植入、用户隐私泄露等问题,威胁到用户的生命财产安全。这些问题不仅影响了互联网医疗产业的健康发展,也降低了用户技技技和消费信心。 移动应用种类繁多、技术纷杂,具有快速迭代的特性,在没有准入监管要求下,目前普遍存在安全问题重视程度不足的现象。本文主要探讨医疗卫生健康行业移动应用领域存在的安全风险和管理现状,分享应对之道,共建移动互联网医疗应用的安全数字生态,引导形成行业共识与监管之路径。同时,本文也对这几年在移动互联网医疗应用安全风险应对方面取得的一些成果进行了总结,以作抛砖引玉之用。 - 2 - 技技包括五个章节,首先就移动应用相关政策进行了介绍,然后针对移动互联网应用在一系列场景下面临的安全问题和挑战进行了分析,提出了应对之策,最后对移动互联网应用安全风险防控工作进行了总结,在附录中给出了在移动应用安全风险防控方面卓有成效的实践案例。 一、政策驱动移动互联网应用产业安全落地 技家出台政策大力推动数字化服务普惠医疗,新技术不断加速应用到移动互联网医疗中,为普惠医疗进行赋能。但新技术的创新应用同时也衍生出安全风险。因此,技家也频繁出台政策法规和标准鼓励在安全可控的基础技实现新技术创新应用,对于医疗健康行业也不例外。 (一)十四五推动数字化服务普惠医疗应用,营造安全数字生态 据官方统计,20152020年我国居民人均预期寿命从76.34岁提高到77.3岁,主要健康指标总体上优于中高收入国家平均水平。随着生活水平的提高,医疗服务亟待 - 3 - 解决服务对象老龄化、服务水平差异化等问题。 在此背景下,“十三五”期间我国医疗卫生健康行业以信息化、智慧化建设为着力点,大力发展健康信息服务和大数据应用,发展远程医疗和智慧医疗。我国全面实施“互联网+”医疗健康惠民服务,面向中西部和基层发展远程医疗和线上线下相结合的智慧医疗,将云计算、大数据、物联网、移动互联网、虚拟现实等信息技术与健康服务深度融合,提升健康信息服务能力。 “十四五”期间,国家把保障人民健康放在优先发展技战略位置,全面推进健康中国建设。2021年3月13日,中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要(以下简称规划纲要)正式发布。规划纲要主要阐明国家战略意图,明确政府工作重点,引导规范市场主体行为,是我国开启全面建设社会主义现代化国家新征程的宏伟蓝图,是全国各族人民共同的行动纲领。规划纲要也为医疗卫生事业的发展和创新互联网医疗应用指明了方向。比如,规划纲要 - 4 - 第十六章第一节提到“聚焦教育、医疗、养老、抚幼、就业、文体、助残等重点领域,推动数字化服务普惠应用,持续提升群众获得感”技 医疗信息化在十三五建设基础上大力发展互联网应技技为人民提供全方位全周期健康服务,完善突发公共卫生事件监测预警处置机制,健全医疗救治、科技支撑、物资保障体系,提高应对突发公共卫生事件能力,推广远程医疗,大力推动和促进“互联网+医疗健康”的发展。 同时,作为数字经济发展的重要保障,规划纲要技网络安全和数据安全提升到战略高度,共18次提及“安全”,可见继null发展null之后,“安全null已成为国民经济和社会发展的重要风向标,也是null十四五null期间中国发展建设的工作重点之一技比如,第十八章第一节要求“加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资技全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安 - 5 - 全有序流动”;第十八章第三节指出“加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”技 在“数字中国”、“健康中国”、高质量发展等国家战略的指引下,数字化将为医疗健康领域的发展变革提供加速动力,并释放出惠民利民的巨大能量。在“互联网+医疗健康”的背景下,如何安全可靠的运用信息化手段服务于“互联网+医疗健康”应用,强化关键领域数据资源、重要网络和信息系统安全保障成为重点探索问题,而移动互联网医疗应用作为“互联网+医疗健康”的服务入口,更是站在了风口浪尖,尚属研究空白。 (二)新技术赋能移动互联网医疗普惠应用,强调安全可控发展 我国医疗卫生健康行业正处于从信息化向智慧化的过渡阶段,云计算、大数据、5G技物联网、移动互联网、人工智能、区块链等新技术的应用推进了智慧化进程的加 - 6 - 速,医疗线上线下一体化发展,实体和电子方式更深度的融合,从而将人、信息、物、服务越来越紧密地联系到一起。数字化、云端化、移动化成为主要趋势,医疗行业服务模式正发生着深刻的变化。 新兴技术在移动互联网医疗中扮演着极其重要的角色,但是新技术的使用不当也会引发相应的安全风险。因此,我们对现有医疗场景中使用到的新技术进行了系统分析,在关注其功能创新的同时阐述了其衍生风险,详见附录A技新技术在医疗应用中的关键技术及潜在安全风险。 移动互联网医疗与新技术的结合是医疗健康发展热技技能够为公众提供更便民、更精准、更及时、更有效、更高质量的医疗服务。然而新技术带来了诸如隐私数据泄露、算法歧视、技术滥用等安全问题,亟需监管机构对新技术的使用进行风险管控,实现安全可控发展。 (三)安全政策法规陆续出台,推动移动互联网应用安全可控发展 移动互联网应用在广泛应用的同时,超出传统安全管 - 7 - 控边界的部分出现了大量问题,尤其在移动互联网应用使技过程强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。 近期,国家出台了三大法律体系,形成了移动互联网技技合规、规范发展的基本要求。 第一,中华人民共和国网络安全法。这是我国第一部全面规范网络空间安全管理方面问题的基础性法律。该法案提出国家网络安全战略,明确网络空间治理目标;完善网络安全义务和责任,加大违法惩处力度,将监测预警与应急处置措施制度化、法制化;明确要求保障数据的完整性、保密性、可用性的能力。 第二,中华人民共和国数据安全法。这是国家安全的重要组成部分,促进了数据的有效监管,实现了有法可依、填补了数据安全保护立法的空白。随着“云大物移智”等新技术的使用,全场景、大规模的数据应用对国家安全造成严重的潜在威胁。数据安全法要求,确保数据处技有效保护和合法利用的状态,以及具备保障持续安全状 - 8 - 态的能力技 第三,中华人民共和国个人信息保护法。根据宪技技该法案旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。对于移动应用的开发和运营者来说,其规定的举证责任倒置原则和发生侵犯个人信息权益时的连带责任成为悬在头顶上的“达摩克里斯之剑”。 为了落实三大法律要求,持续保障移动应用的安全使技 技技家相关部门陆续推出了一系列指导意见,如移动互联网应用程序信息服务管理规定、信息安全技术 个人信息安全规范(GB/T35273 -2020)、App 技技技规收集使用个人信息行为认定方法(征求意见稿)、常见类型移动互联网应用程序必要个人信息范围规定等。 为推进落实相关政策和指导意见,国家相关部门近两年纵深推进移动互联网应用治理的相关工作,如App 技技技规收集使用个人信息专项治理、APP侵害用户权益专项整治行动等。 移动互联网应用作为服务机构为公众提供服务的最 - 9 - 前端,与用户贴得很近,与老百姓的财产安全和个人隐私安全息息相关。因此,国家对移动互联网应用的个人信息保护、违法违规收集个人信息、应用使用安全等方面尤为关注技 (四)医疗政策强调对新技术线上监管,强化安全保障 医疗健康数据事关患者生命安全、个人信息安全、社会公共利益和国家安全,在推进null互联网+医疗健康”的同时,应高度重视诊疗数据安全和个人信息保护技因此,医疗卫生健康行业在国家三大法律的基础上,发布了一系列政策强化移动互联网医疗的信息安全保障。 2018年4月,国务院办公厅发布了国务院办公厅技技促进“互联网+医疗健康”发展的意见。意见技对保障医疗健康数据信息安全做出了明确要求:建立完善个人隐私信息保护制度,严格管理患者信息、用户资料、基因数据等;加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务技信息防护,定期开展信息安全隐患排查、监测和预警技 - 10 - 2018年12月,国家卫健委发布了关于加快电子健康卡普及应用工作的意见。意见指出,加强电子健康卡管理服务信息系统及互联网医疗健康服务应用软件的安全保障体系建设,建立健全电子健康卡用卡过程监测和有关安全风险动态评估管理机制技电子健康卡建设与管理指南指出,通过主动、持续、动态技风险业务识别、侦技和分析,达到风险识别、预警、处置的风险闭环控制技为电子健康卡“线上线下一体化”医疗健康服务应用提供安全保障支撑,确保居民健康信息安全。 2020年12月,国家卫健委、国家医疗保障局和国家技医药管理局联合发布了关于深入推进“互联网+医疗健康”“五个一”服务行动的通知。通知中提出要推进新一代信息技术在医疗卫生健康行业深度应用创新发展,进一步优化资源配置,提升服务效率,加强线上监管技强化安全保障。 2021年6月,国家卫健委统计与信息中心发布关于征求互联网医疗健康信息安全管理规范(征求意见稿) - 11 - 标准意见的函,征求意见稿明确规定互联网医疗健康相关移动端应用,应在可靠的应用渠道发布。建设方需要定期对移动应用进行监控技对于仿冒、钓鱼类应用的出现及时通知应用渠道管理方进行下架处理;互联网医疗健康技技移动端应用,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。 因此,在医疗卫生健康行业监管层面,应强调基于移动互联网的医疗应用创新的同时,也需要强化移动互联网医疗应用的信息安全保障和创新技术监管。 二、移动互联网应用在医疗场景下面临的安全问题和挑战 新技术、服务模式应用到移动互联网医疗领域,改变了原有的医疗服务生态环境,对原有的网络安全防护体系提出了严峻的挑战。近年来频繁发生的安全事件充分说明 - 12 - 了医疗卫生移动应用面临诸多新型攻击方式和手段,造成极大的危害。 (一)敏感数据泄露和技术滥用等安全风险趋增 移动互联网医疗安全攻击方式已由最初的网络层攻击延展至数据层和业务层,攻击目标从局域网延展至互联网,从服务器延伸至各类移动终端(APP技微信公众号、小程序等),利用复杂的网络环境和软件架构漏洞,以及技限设置的不完备,非法获取医疗数据、侵犯患者隐私、以木马方式跳板获取非法利益。 移动互联网应用面临的安全威胁大致分为三类: 1. 数据泄露问题日益突出 数据安全问题是移动互联网应用中面临的最大风险。国家数据安全法的颁布,使数据安全上升到国家战略层面。移动互联网应用中,数据碎片化、分散化成为常态,数据泄露的途径、方式呈现多样化趋势。这直接造成数据泄露风险急速上升。比较有代表性的数据泄露方式有:攻击者利用程序源代码存在的漏洞获取信息;在人机交互过 - 13 - 程中,截屏获取密码明文显示;通过合法移动应用,超范围采集终端用户个人信息;利用移动应用软件通信协议漏洞,截获重要信息等。 例如,研究人员发现,可利用该twitter移动应用APP安卓应用程序中的一个漏洞,将1700 万个电话号码与Twitter 技户账户进行匹配,再使用应用联系人上传功能技传完整的电话号码列表,即可获得这些号码匹配用户在twitter 技技存的个人信息,若用户在移动应用APP 技传了自己的电话号码通讯录,则twitter平台就会获取的这些技户数据展示到APP 技技 2. 技术滥用非法获利现象频发 大数据、自动化、人工智能等新技术极大方便了最终技户通过互联网获取信息和开展业务应用,改变了原有的信息流程和使用模式,但同时这些技术无节制、无约束的技技也带来了一系列安全问题。 典型案例就是“薅羊毛”。攻击者利用技术手段合理技技业务规则获取互联网应用中的返点、优惠券和红包, - 14 - 技业务主体造成经济损失。 例如,上海警方查处了一款名叫“全能车”的APP技据称该APP造成共享单车公司损失约3亿元。全能车没有线下单车实体,实际为侵入共享单车服务器的黑客软技 技操控该软件的犯罪团伙,以低于共享单车包月服务费技技技吸引用户,并通过破解其他企业软件的方式使用各品牌的共享单车。用户交的钱则进了“全能车”自己的腰包。 还有一种典型应用,本着“羊毛出在狗身上”的商业理念,通过合法移动应用,在不告知移动应用使用者的前提下,超范围获取个人信息,以用于其他商业用途。例如,在某汽车官方移动App 技出现了不是自己的汽车信息,技技所记录的信息非常详细,除了汽车的序号、车主姓名和联系方式外,还有位置更新信息等。 3. 越权访问导致违法收集个人信息的情况日益突出 越权访问类安全风险一般多见于合法应用超纲使用情况。在移动应用使用过程中,终端软件交互式访问中频 - 15 - 繁调用关联硬件和软件资源,因涉及个人敏感信息和隐私信息需要个人用户进行授权和确认。按照国家规定,移动技技不能在不告知用户的情况下,任意开启资源使用权限和非法访问,但在实际使用中,移动应用终端程序频繁出现非法使用个人信息、越权访问等现象。 为切实治理个人信息保护方面存在的乱象,四部委联合开展“App 技技技规收集使用个人信息专项治理”行动技技集中整治违法采集个人信息百款APP被下架,其中也包括医疗健康相关App技例如未向用户明示申请的全部隐私权限的健康云(版本5.1.3)、1药网(版本5.9.1)、智慧好医院(版本2.1.3)、春雨医生(版本8.8.8),未提供有效的更正、删除个人信息及注销用户账号功能的好大夫(版本6.7.7)、妙健康(版本5.1.10)。 医疗卫生健康行业是关乎民众生命健康的重要行业,随着新冠疫情的持续蔓延,线上诊疗模式得到了快速发展;在物联网时代,医疗设备的联网需求也在不断增加。 - 16 - 因此,重点加强医疗卫生健康行业的网络安全建设显得尤为重要。此外,加强医护工作者的网络安全意识培训、明确内部人员的权限管理对减少因“内鬼”而发生的数据泄露事件同样十分关键。 (二)安全风险成因分析 移动互联网应用安全风险贯穿于移动应用开发、测试、发布、运行全生命周期,包含软件代码安全、用户权限、数据安全、个人隐私、应用安全、传输安全等方面,如图1所示。 图1:移动应用各阶段面临的安全风险 通过对以上各方面所发生的安全问题进行分析,我们认为主要成因体现在以下方面: 1. 抗攻击能力薄弱 - 17 - 移动互联网医疗应用本身的抗攻击能力与安全风险防范能力密切相关。抗攻击能力薄弱主要体现在以下方面: (1)防逆向工程能力不足:通过技术手段反编译、逆向、调试等方式逆向解析医院的挂号移动应用,不法分子可获得移动应用的源码并分析源码找到漏洞或者根据移动应用源码中暴露的业务逻辑,开发对应的抢号程序。当患者从黄牛手中挂号时,只需提供他们的账号密码登录技技技黄牛就可以借助抢号程序突破预约挂号系统的安全防护,完成挂号。 (2)防盗版措施不完善:灰色产业链或攻击者采用二次打包等技术,在移动应用程序内添加或修改代码、替换资源文件、修改配置信息、更换图标、植入非法代码等,再通过对篡改后的移动应用二次打包。仿造者在此过程中实现内容篡改,注入钓鱼链接,完成移动应用二次渠道发布。通过这些手段,不法分子可诱导甚至是欺骗患者,窃取患者个人信息,耽误患者病情,严重影响民众利益。 - 18 - 2. 对数据安全重视不够 移动互联网医疗应用存有个人医疗业务原始数据。这部分数据除了包含用户个人敏感信息外还包含医疗业务系统的相关诊疗数据。因此,移动互联网医疗应用在数据采集、数据传输、数据使用、数据存储和数据销毁等阶段安全保护措施不完善,可能导致数据泄露事件发生,尤其在个人信息保护方面。 数据采集技未依据最小够用原则收集医疗健康数据时,若移动客户端应用软件抗攻击能力不足,数据收集环节可能导致数据泄露或被机构所滥用。 数据传输。在敏感的医疗健康数据和个人隐私数据传输中,传输加密算法薄弱可导致传输中的移动应用数据被技间人截取或者篡改,造成患者个人信息泄露或者被伪造数据诱导欺骗。 数据存储。如果对敏感的医疗健康数据和个人隐私未采用足够安全的加密算法进行加密存储,同时访问控制措施不足,这些原始数据可以被未授权随意访问,那么将造 - 19 - 成医疗系统原始数据泄漏。 数据使用。如果对于敏感的医疗健康数据和个人隐私未在数据展示时进行脱敏处理或提供防止被非法利用的措施,则有可能造成数据泄露。 数据销毁。敏感的医疗健康数据和个人隐私未在使用之后按照数据敏感程度采用合理的方式进行销毁,如内存技缓存文件在使用后未及时清除,则会造成数据泄露风险。 3. 出于经济利益最大化,技术滥用较为普遍 移动互联网医疗应用,特别是医疗人工智能的应用需要大量、多维度数据,通过机器学习来构建用户画像,实现医疗精准诊断和治疗。但在做个人画像时,医疗服务机构往往追求大而全,过分收集个人信息,向用户推送反感技服务信息,实现其目的。例如,在患者毫无防备的情况下,将患者人脸信息放入自家数据库中,记录患者性别、年龄、肤色,甚至心情等信息,并进行分析,虽然有利于为用户提供个性化服务,但过度数据采集以及扩散会衍生 - 20 - 出其他安全风险。 4. 安全意识和管控手段不足 传统网络经过多年完善形成了等保等常规防护体系,例如在网络边界增加针对Web安全防护的Web防火墙、WAF技安全网关、堡垒机、Web防火墙,同时给予Web漏洞的升级补丁推出也迅速。但针对移动应用等新技术,一是近几年移动应用普及快速发展,重发展轻保障,移动技技开发企业安全意识不高,二是移动端种类繁多,技术纷杂,漏洞种类呈现多样化的特点,目前漏洞甄别和修复需要依托软件代码级的专业支撑,多为第三方公司产品,成本费用也较高,在没有准入监管要求下,普遍仍存在安全意识不到位、管控手段不足的问题。 (三)亟待解决的问题 1. 医疗行业针对移动应用的安全标准有待完善 信息安全技术 网络安全等级保护基本要求(GB/T22239 -2019技简称等保2.0)是目前医院信息化系 - 21 - 统建设中安全体系建设规范的主要依据。等保防护基本要求是面对全行业的,2.0 技技技虽然在扩展要求中对移动互联安全测评提出了要求,但其测评对象主要为无线接入设备、无线接入网关设备及相关组件,对系统和应用层面技具体安全要求很少,无法对传统安全之外的安全防护技术形成有效评价。 在医疗卫生健康行业,移动互联网医疗的客户端应用安全标准规范尚不成熟,未完全从移动应用的设计、开发、发布、维护等环节对应用厂商和运营方提出安全要求。行业性的管控引导还需进一步完善。 2. 移动互联网医疗安全数字生态尚未健全 目前,移动互联网医疗应用类型种类繁多,包括微信公众号、APP技小程序等,开发语言、技术框架以及业务流程没有国内外标准支撑。国内移动医疗应用端软件更多技技轻量级业务功能的实现,由于缺少政策驱动、安全标准引导和行业性协会推动,移动互联网医疗厂商和医疗服务机构在安全上关注度不高,没有形成安全共识和行业自 - 22 - 律 技因此,移动互联网医疗安全数字生态还不健全,需要在监管部门支持下,行业协会组织第三方测评机构、医疗服务机构和移动医疗厂商共建安全数字生态,提升医疗卫生健康行业移动互联网医疗应用安全水平。 3. 医疗行业针对移动应用的管控体系仍属空白 2018年12月,国家卫生健康委员会办公厅印发关技加快电子健康卡普及应用工作的意见。2021年6月,技家卫生健康委统计与信息中心发布关于征求互联网医疗健康信息安全管理规范(征求意见稿)标准意见的函。技技技技均明确规定互联网医疗健康相关移动端应用安全要求,但如何监管安全要求落地执行情况,如何检验实施效果,尚未形成标准要求促进与实施效果反馈的良性互动闭环管控体系。 4. 移动互联网应用安全防护能力需提高、安全环境需净化,公众安全使用意识需加强 首先,移动互联网应用最大特点是面向最终用户。这 - 23 - 些应用承载了大量诊疗数据和个人敏感信息,如姓名、身份证等个人属性数据,主诉、现病史、症状等健康状况数据,检查检验报告、知情告知等医疗应用数据,医保支付信息、交易记录等医疗支付数据。目前移动互联网医疗应技普遍存在抗攻击能力不足的问题,容易被反编译和篡改;同时存在数据安全保护措施和安全环境检测不完善的问题。敏感数据容易被非法份子截获和利用实施中间人攻击,导致客户敏感信息泄露和相关财产损失。 技次,移动互联网应用最大的特点是快速迭代。快速迭代特性使得被动、单次的检测行为无法保证更新后的移动应用仍然具有良好的安全特性,需要主动、持续、实时技运行状态不间断监测其安全特性。 第三,用户在使用移动互联网医疗应用时安全风险意识较为薄弱,未形成良好的安全使用习惯,如:随意点击不明来源信息,设置的口令与自身个人信息相关,随意开启应用权限等。 5. 个人健康生理信息安全保护须重点关注 - 24 - GB/T35273-2020信息安全技术个人信息安全规范技对个人信息处理活动应遵循的原则和安全要求进行了规定,尤其对个人敏感信息重点进行了要求,而个人健康生理信息属于个人敏感信息范畴。目前,医疗服务正快速向穿戴式设备和移动客户端应用延伸技移动客户端应用会涉及到较多的个人健康生理信息,一旦发生泄漏可能对个人、社会造成重大影响。如何保障移动互联网应用中的个人健康生理信息安全,成为亟待解决的问题。 三、移动互联网医疗应用之安全应对策略 (一)加强安全风控顶层设计,促进“互联网+医疗健康”持续发展 党中央、国务院高度重视“互联网+医疗健康”工作,技务院常务会通过了关于促进“互联网+医疗健康”发展的意见。意见指出要加强行业监管和安全保障,对强化医疗质量监管和保障数据信息安全作出明确规定技技障“互联网+医疗健康”规范有序发展。 - 25 - 为了有效保障意见目标的实现,同时应对移动互联网医疗中日益凸显的新技术应用安全风险,为保护公民、法人和其他组织的合法权益,提升行业的安全水平,把行业安全风险降低到监管部门所要求的水平,我们建议以完善标准规范为核心,发挥相关协会作用,进行生态建设,逐步形成移动互联网医疗应用安全风险防控(以下简称“风控”)技术体系和管理标准体系,推进安全规范实施落地,以持续安全监测为手段促进行业整体安全水平提升。 主要工作思路如下: 1. 构建政府监管、行业自律、机构自治的三重安全防线 移动互联网医疗应用的安全风险防控不是由单一部门来实现的,而是一个分级管理、多方协同的业务逻辑关系,需构建“政府监管、行业自律、机构自治”的管理模技技 一是政府监管。行业主管部门作为风控体系管理的主 - 26 - 导者,发挥规划、指导、行业牵引的作用,探索建立国家及省市级全覆盖、自动化、实时动态的监管协调机制,确技各项监管举措落地实施。 二是行业自律。风控体系管理的实际操作更多地要依靠行业性联盟,通过行业组织的自律行为实现。联盟配合行业主管部门落实相应的管理性和技术性工作,为监管要求落地提供支撑。 三是机构自治。医疗和卫生管理机构落实风控主体责技技加强安全内控和自我约束,主动接受行业自律和社会监督,建立健全投诉响应、应急处置、风险补偿、安全责技等机制,切实保障用户合法权益。 2. 完善移动互联网医疗应用的安全风控标准体系 2020年全国标准化工作会议上提到“要强化顶层设计,提升标准化工作的战略定位;要深化标准化改革,提升标准化发展活力;要加强标准体系建设,提升引领高质量发展的能力”。因此,标准体系是实现移动互联网医疗技技安全风控的重要手段之一。 - 27 - 近年来在医疗卫生健康行业,医疗服务机构在移动互联网上积极推进其医疗服务,纷纷提供互联网医院、远程医疗和问诊、家庭医生等新型医疗场景应用。但从暴露的安全事件来看,主要原因是各家医疗服务机构在移动互联网方面安全建设水平参差不齐以及新技术的滥用,更凸显出医疗卫生健康行业在安全建设、评价标准不完善和未及时跟进。 因此,移动互联网应用安全技术标准、管理标准、数据标准以及接口标准等方面需要补足或完善,以安全基线标准和合理监管促进行业安全水平整体提升,以安全风险监测、评价和监管标准实现安全标准的落地实施。 3. 持续并加强安全风控监测和完善评价、监督、考核机制 移动互联网医疗应用的安全风险是动态变化和不断对抗博弈的过程。首先,建设行业性的移动互联网医疗应技安全风险持续监测预警和态势感知的机制和手段,确保能及时发现和预警安全风险;其次,不断优化安全风险监 - 28 - 技规则和数据分析能力,实现对新型安全风险识别和监技;第三,进一步完善评价、监督考核机制,建立“事前备案、事中监测、事后追溯”的闭环管理、风险处置和事技通报机制,推动医疗机构及时对安全风险进行处置,确技正在使用的移动互联网医疗应用能够持续符合安全要求,提升行业整体安全水平。 4. 发挥协会和联盟作用,利用行业自律手段,构建安全风控生态,推进标准实施和落地 2021年国家标准委印发了2021年全国标准化工作要求,对产业链和供应链标准化水平、团体标准规范的创建及其标准实施和监督进行了要求。因此,国家正在推动行业标准、团体标准的建设和实施落地,来引领产业和企业的安全健康发展。 协会和联盟在其中发挥着关键枢纽作用。一是,组织产业链相关方、检测机构进行标准制定,促进行业遵循统一的安全标准,提升安全水平;二是,利用媒体、网络、会议等平台,开展多层次、多角度的宣传、培训、研讨和 - 29 - 解读;三是,与监管部门、第三方检测认证机构一起采用技技技规与政策引导、标准示范试点、检测等方式,强化标准实施,验证标准落地效果;四是,发挥行业协会和产业联盟等社会组织作用,利用行业自律等手段,推动行业标准、团体标准有效实施,监督标准实施效果。 协会和联盟建立健全标准、检测技术链条,助力构建政府监管、行业自律、机构自治的治理体系。检测认证作为标准应用程度与实施效果的主要检验措施之一,应进一步发挥其质量控制的作用,恪守标准实施质量控制要求,完善质量信号传导反馈机制,形成标准应用促进与实施效果反馈的良性互动。 (二)构建安全风险防控体系,为行业安全提供基础保障 为了实现移动互联网医疗应用的安全风控顶层设计目标,我们建议从管理体系和技术体系两个方面来构建监管方、建设方、运维方、运营方、技术支撑方、使用方等各方共同参与和联动的平台。 - 30 - 1. 建立完善的移动互联网医疗应用安全风险管理体系 管理体系架构采用二维管理模型,来实现对移动互联网应用安全风险管理,确定各方职责分工,共同防范安全风险,如图2所示: 图2:移动互联网医疗应用风险防控管理体系 行业主管部门:行业主管部门作为安全风控管理体系技主导者,明确行业监管目标和监管流程,协调相关资源,制定相关监管协调机制,完成行业管理模型顶层设计。 (1) 区域监管机构:包含区域有移动应用监管需求的各类组织和机构,通常情况下由各区域或地方卫健委承担该角色,对属地内的移动应用进行风险监测和汇总,收集技数据进行分析统计后向行业管理主体平台进行上报,并 - 31 - 接收行业管理主体发放的移动应用风险提示,根据风险提示进行核查。 (2) 终端监控节点:风控监管技术落地单位,包括各类型医院、各种医疗服务机构。他们通过技术和管理手段对所属移动应用按照监控规则进行数据采集并向区域或地方监管机构上报。 (3) 技术支撑单位:依据行业标准提供多技术维度技术保障解决方案,实现风险管控目标。 (4) 标准支撑组织:依据行业顶层设计,制定行业风控标准规范,对移动应用安全风险进行汇聚并发布,为技术实现提供依据。 2. 构建统一的移动互联网医疗应用安全防控技术体系 移动应用安全风险防控技术体系是连接安全风险和解决安全风险能力的汇聚平台,主要包括三层架构。 最底层是各服务提供方所提供的基础安全能力,包括APP监测能力、公众号监测能力、APP安全加固能力、 - 32 - 安全运维能力、安全产品、等保测评能力、安全培训能力和安全规划设计能力等,并随着对移动应用安全风险认知技加深和监管要求的变化,逐步完善和迭代。 技间层是移动互联网应用安全风险防控服务运营管理平台,由不同的平台运营方按照统一的监测指标体系和安全评估模型,对各自接入的移动应用进行安全风险监技技实现渠道监测、安全风险监测、个人信息保护以及资产管理等,实时监测移动应用安全风险情况,为安全管理提供技术支撑数据。 顶层平台为汇聚管控平台,对不同的移动互联网应用安全风险防控服务运营管理平台进行统一管理,制定安全风险监测标准集、综合评价体系和考核模型,发布最佳实践库和年度风控分析报告,规范风控产业的操作流程、技术实现手段和服务质量,为行业监管提供决策分析。 (三)持续优化安全技术标准,满足国家和行业监管要求 “互联网+”与医疗卫生健康行业正加快进行深度融 - 33 - 合。在国家政策及技术发展的推动下,我国“互联网+医疗健康”技技已在优化资源配置
展开阅读全文