查看原文
其他

倪荣:从传统中医视角看卫生健康数据安全 | 回顾2020 展望2021

倪荣 HIT专家网官微 2022-11-03

编者按

2020年是个不平凡的年份。无数卫生信息人为抗击疫情提供了强有力的支撑,疫情加速互联网诊疗、互联网医院落地,国家相关政策标准频繁推出,从管理到业务部门的各种需求呼啸而至,医院信息化建设任务空前繁重,新一代医院信息系统产品纷纷亮相。

2021年是“十四五”时期的开局之年。全球疫情短期依然难以平静,太多的不确定性摆在面前。走过跌宕起伏的2020年,展望波澜壮阔的2021年。HIT专家网诚邀医疗信息化同仁分享真知灼见,透过现象看本质,总结问题、经验与规律,对未来医疗信息化的可能走向做出评估、判断和预测。

【回顾2020 展望2021】主题征文投稿邮箱:gong_chen@HIT180.com。

原浙江省卫生信息中心主任、浙江省卫生信息学会副会长兼秘书长倪荣
2020年12月12日22点45分,HIT专家网的朱小兵老师给我发来微信:《【征稿】 卫生信息人:让我们“回顾2020,展望2021”》,让我也应邀写一篇稿子。
回忆当时,现意识(理智)是阻抗的,因为一是年底确实很忙,二是全年盯着防疫抗疫、忙着中医中药、忙着心理公益,客观上已经落后于卫生信息化的发展动态。但人的绝大多数决定是潜意识作出的,我当即回复:“我努力试试”,一是被小兵老师虽不是卫生人出身,但多年以来近乎公益地全身心推动我国卫生信息化进程而感动,二是对“卫生信息人”这个提法有特别的感情。
2011年11月底,我从杭州市拱墅区卫生局转岗到浙江省卫生信息中心工作,经过一个多月的调研和酝酿,主导创办了《卫生信息人》电子专刊,设计了一个专门LOGO(图1),我们省卫生信息中心的官方网站也叫“浙江省卫生信息人”(图2),并得到全省同行的积极呼应。出乎意料的是,“卫生信息人”这一称谓,也逐渐从浙江走向全国,成为医疗信息化同行彼此交流的一个“暗号”。

图1
图2
虽君子一言,驷马难追,但具体落笔确实很难。转眼2021年已经到来,努力结合自己的一点心得体会,粗浅谈谈。
本:天人合一整体观——第四空间
2019年2月28日,《人民日报》刊发国医大师王琦的文章《用中医整体观治理长江》。乍一看,有点莞尔:国医大师该好好看病,怎么去关心长江?还去谈“长江治理”?再一看,是习近平总书记强调:“治好‘长江病’,要科学运用中医整体观,追根溯源、诊断病因、找准病根、分类施策、系统治疗”,“做到‘治未病’,让母亲河永葆生机活力”。细一想,这里面难道也有“治大国如治小病”的本、道、术?
中医整体观强调“天人合一”,也就是人与自然的和谐共处。西方学者认为中国人讲“天人合一”,是东方思维对生态治理的回归,是我们这个星球的希望所在。老子《道德经》里讲“人法地,地法天,天法道,道法自然”,“自然”始终被置于重要位置。
我清楚地记得:1999年4月26日,我早上上班到办公室打开电脑,所有保存资料毁于一旦(陈盈豪,CIH病毒事件)。那一刻的痛心、暴怒、无奈,至今记忆犹新!
其实,早在1998年6月2日,首例CIH病毒在中国台湾被发现;同年6月6日,发现CIH病毒V1.2版本;6月12日,发现CIH病毒V1.3版本;6月30日,发现CIH病毒V1.4版本;7月26日,CIH病毒在美国大面积传播;8月26日,CIH病毒实现了全球蔓延,国家公安部发出紧急通知,新华社和新闻联播跟进报道;1999年4月26日,CIH病毒V1.2版本首次大规模爆发,全球超过六千万台电脑受到了不同程度的破坏。
在那一天,流行病学专业出身的我深刻认识到:在我们专业原来一直强调的“疾病三间分布”(时间、人群和地理位置)上,要增加“第四间”——网络空间!在中医“天人合一”理论中的“天”,也就是自然里面,我们要特别关注一个“网络空间”!现在,地球上几十亿人,谁还能与网络空间截然分开?
2020年6月,习近平总书记主持召开专家学者座谈会并发表重要讲话时强调:“要推动将健康融入所有政策,把全生命周期健康管理理念贯穿城市规划、建设、管理全过程各环节”。
在CIH病毒事件后整整20年,起源于2019—2020年冬春之交的新冠肺炎疫情暴发。从发现到传播、蔓延,再到逐渐控制,特别是从人传人发展到目前的环境传人,这两者之间是否有相同之处,特别是有许多相同的教训?是否都在指向“人与第四空间的和谐共处”是人类生存的基础,也是持续发展的基础?
卫生健康体系的改革发展,数据和应用安全是基础。我国卫生健康行业的信息化建设起步较早,现在又面临着迫在眉睫的数字化转型机遇。卫生健康行业的信息化应用,从单机到局域网、互联网、移动互联网、物联网,再到“城市大脑”,健康数据要流动,要尽可能实现共享,形成行业的安全大脑和安全中台,要实现数字化转型和形成核心数字资产,面临着很多挑战和机遇。
当前,随着医联体、医共体等组织体系的不断丰富,智慧医院、互联网医院等新业态的不断升级,卫生健康行业的数据安全既大有可为,又迫切需要构筑“润物细无声”的立体防护体系,不管是在网络架构、系统架构中,还是在数据流动中,这个安全体系要能无缝贯穿医疗数据产生和使用的全流程。
道:形神兼备辨证观——两个层面
民以食为天,食以安为先。这句俗语讲的是,老百姓首先要有得吃,然后要吃得安全。著名心理学家马斯洛提出的需要层次理论认为,人最底层的需求是生理需要,然后发展出第二层安全的需要,再往上分别是相互关心和爱的需要、尊重的需要、自我实现的需要。
中医的形神皆备,形是身体,神是心理,形神兼备才健康。何谓健康?体壮曰健,心怡曰康。
由此我们可以得出:人类健康,安全为先;服务人类健康的第四空间,网络安全为先;网络安全,数据安全应该为先。
在大数据受到高度重视的今天,大数据安全体系变得更为重要、更为迫切,安全形势也更为复杂。
1.卫生健康行业是一个极其传统的老行业,“形”很特别!
特别之处包括:机构分级(国家、省、市、县、乡镇)、人员分家(同一城市里的三级医院,有省市行政部门直属的、大学直属的、部队直属的等)、财政分灶(行政体系像公安,行业系统像电力等,就统筹力度强)等。
在信息系统方面,卫生健康行业的复杂异构问题特别突出。比如一个大医院内,一般就存在“八大异构”,由此带来的问题是安全防护更加复杂,管理起来更加麻烦。
一是公司异构:我在2014年做过统计,浙江省最顶尖的几家三甲医院,一般需要由45家左右信息化公司的不同系统,来支撑其运行。
二是机房异构:每家大医院都有几个院区,每个院区一般都各有机房;同一区域内,同行业、同性质的机构很多,但隶属不同,各有机房。
三是人财异构:即使一家单位内,管理上没有CIO(首席信息官)制度,信息中心主任当不了家。
四是数据异构:我清楚地记得,2001年主持区域医疗机构实现医保接口时,主要用SQL,还有Oracle、MySQL、DB2等数据库;处理的数据格式有影像、视频、文本等。
五是应用异构:以开发工具为例,包括Java、PB、.NET开发等;以架构方式为例,包括B/S、C/S等。
六是系统异构:云系统、Linux、Windows、Unix、Aix普遍共存,加上国家卫生健康委不同司局都有系统直接“插”到最基层的医疗机构(比如国家传染病网络直报系统),造成“烟囱林立”;一个县域内甚至一个医院内,很多系统都是独立的,造成“孤岛遍地”,比如我每年体检都在一家特别优秀的省级三甲医院,其体检系统在很长一段时间内与HIS系统是分开的。
七是网络异构:包括物理网、无线网、移动网、物联网等。
八是云异构:卫生健康行业当前特别面临私有云、专业云、公有云等多云混合环境。
2.八个“异构”只是“形”,比“形”复杂的是“神”!
在30多年的工作经历中,我一直认为:一个行业、一项事业、一个产业,其发生发展的第一生产力是“政策和制度”。因此在我心目中,卫生健康行业数据安全的“神”,是政策、制度及其创新和落实。
2012年10月,原浙江省卫生厅召开全省卫生信息化工作会议,卫生厅党组和行政所有领导出席,各市地县卫生行政部门和省级医疗卫生单位全部一把手参加。大会主报告中提出要着力解决的“四强四弱”问题(纵强横弱、点强面弱、建强用弱、内强外弱),我看至今在全国卫生健康系统还是不同程度地存在着。
2016年,习近平总书记在江苏调研时曾指出:“没有全民健康,就没有全面小康”。那么,没有卫生健康信息化,就没有卫生健康现代化;如果卫生健康数据无法真正实现互联互通、交换共享,何谈卫生健康现代化?
同时,没有网络安全,就没有国家安全;那么,没有卫生健康数据安全,也没有卫生健康安全。
所以,要有顶层规划设计。中医讲究“不治已病治未病,不治已乱治未乱”,就是要统筹形神、辨证施治;要盯着、梳理国家已发布的卫生健康信息网络安全政策、法规和标准,制定专门、系统、整体的规划,避免“头痛医头、脚痛医脚”的问题。20年前的CIH病毒只破坏、不要钱,现在的勒索病毒既破坏、还要钱,且卫生健康行业已经成为勒索病毒的“重灾区”。国家互联网信息办公室等12个部门联合发布的《网络安全审查办法》已于2020年6月1日起实施,可见网络安全问题不容小觑。
所以,要有制度性的检查落实。卫生健康数据安全水平,高度符合木桶效应,最终取决于那块短板。技术靠比武,安全靠检查,要像中医体质辨识、西医体检一样,经常检查、全面梳理、一丝不苟、知根知底,才会心里有底,做出正确的决策。比如,经常检查技术参数设置是否合适,对自己单位的安全现状做到时刻掌握:有多少安全软件、设备,软件之间、设备之间、软件与设备之间是否有安全漏洞,各项制度措施在管理上是否到位并落实,特别要关注数据化资产是否都受到保护,等等。
2015年初,人民卫生出版社出版《浙江省医疗卫生信息安全管理案例集》(图3),汇集了来自我们全省卫生信息人的实战心得,内容紧贴医疗卫生信息安全、系统运行维护的常见问题。全国同行们普遍反映:紧接地气、极其解渴、特别实用。
图3
3.“形”和“神”都重视了还不够,要高度重视“数”!
2015年3月22日,中国(深圳)IT领袖峰会在深圳召开。阿里巴巴董事局主席马云表示:我们正从IT(信息技术)时代走入DT(数据技术)时代,这不仅仅是技术的提升,同时也是思想观念的提升。马云说,二者的区别在于,IT时代以“我“为中心,DT时代则以“别人”为中心,让别人更强大,需要开放和承担更多的责任。
作为1984年开始学医的卫生信息人,我认识到,卫生健康人、卫生信息人一直都是以服务“别人(健康)”为中心的,所以我们应该更早进入DT时代。
2001-2011年期间,我在区域卫生行政部门担任领导,那时所思所行主要是围绕居民健康而引人才、造房子、增设备、建系统;2011-2016年,我在省卫生信息中心工作期间,已经深刻认识到,对于卫生健康行业而言,无论是服务还是资产,最值钱的是健康数据。既然最值钱的是健康数据,那就要安全为先。
健康数据是现代行业和个人的核心资产。在数字化转型进程中,行业和个人时刻面临着数据泄露的巨大风险,人人、家家都需要积极应对。尤其是伴随云化、大数据、物联网、工业互联网与实体经济融合等数字化发展,安全的范围被扩大了,包括云安全、大数据安全、物联网安全、工业互联网安全等,任何一个方面出现问题,都会带来极大的、无可挽回的破坏力。
术:分段精准疗效观——三级预防
2020年10月22日,HIT专家网发表了一篇题为《医疗数据和应用安全大有可为》的文章,提出:
勒索病毒给医疗行业造成的冲击,为全行业带来了更多的反思,如何做到主动预防,实现“治未病”?而安全领域的很多理念,与医疗健康领域“治未病”的思路不谋而合。这是因为安全领域的最终价值,就是依靠不断的研发创新,沉淀专家经验。为什么医疗专家很吃香?因为医疗设备再牛,还是需要专家多年积累的经验,开展人机结合。安全领域也是完全相同的道理,背后还有顶层设计思维的问题。
我一方面高度赞成上面的观点,另外想做个补充。
2008年4月9日,我在杭州市拱墅区卫生系统工作,时任原卫生部党组书记高强前来视察时(图4)说:这是目前为止我看到的全国中医药特色最明显、中医药氛围最浓厚的区。同时,他也当面问我:“什么是治未病?”听完我的回答后,他指出:治未病,就是预防为主。当时的我,深受教育!
图4
联系此时此文、联系近年实践,我理解“治未病”的“预防为主”,要扩展到“三级预防”,即“未病先防、既病防变(及时治疗)、瘥(愈)后防复(复发)”,通过分段施策、重点突破,通过祛风驱寒、舒筋活血,通过调理脏腑、通络经脉,力求药到病除。
这就要求,作为网络安全用户,卫生健康行业不仅要做到合规,而且要分段通过实战,提升安全能力;对于安全产业而言,要从产品走向资源和服务,通过立体的服务能力为行业用户创造价值。
这就类似于,新时代背景下,卫生健康行业网络安全的事前检测、事中防护、事后审计的数据和应用安全策略。长时间以来,人们印象中卫生健康行业应对网络安全问题,就是传统的“网络防火墙、入侵检测、杀病毒”老三件套。而现在,很多信息安全企业开发了Web应用防火墙(Web应用漏洞扫描)、数据库审计、事前事中事后检测等新三件套,逐渐构成了事前、事中、事后的安全防护体系。在此基础上,又推出堡垒机、立体式云防护安全产品及服务。国内开始推行网络安全等级保护后,许多企业按照标准体系推出了等保工具箱,以及大数据人工智能分析平台、态势感知平台等,并且可以持续化开展安全检测,实际上就是帮助用户构建主动防御体系、智能防御体系。
如果把卫生健康行业当作一个个人机体、一个行业生态,其数据和应用安全还应从原来的以盯着“治疗疾病”为重点,转为以关注“健康管理”为重点;从原来的病前病中病后,演进到目前机体、生态的全生命周期安全管理;从原来的单点、单台应用,演进到目前的平台式应用、全流程,再发展到一切产品皆资源、一切资源皆服务,无论是检测类、防护类,还是审计类安全产品,都是未来行业所需要的一类服务。如果放在云端,对用户来讲就是资源池的一部分,可以按需弹性提供;而卫生健康信息网络数据安全的情报能力、检测能力、监测能力、防护能力、数据分析能力等,本质上都将成为用户所需要的安心、放心服务能力。
搁笔之际,想起上世纪八十年代中期,我在学医时听李燕杰老师演讲时记下的一句话:
“一千支暗箭埋伏在您周围,等待着您九百九十九次小心以后的第一次不检点。”
仔细想想,新冠病毒与勒索病毒很像,都在暗处虎视眈眈、都有变种、都在广泛传播。但魔高一尺、道高一丈,对付新冠病毒,我们已经有疫苗;对付勒索病毒,我们有EDR(从终端安全监测与响应系统发展为主机安全与终端管理的一体化解决方案)。
个人、行业、全人类总是在与病毒(疾病)作斗争的过程中,不断成长、发展、进化。
天人合一、形神皆备,正气存内、邪不可干!
近期热文
HIT专家网∣致力推进中国卫生信息化长按二维码可申请加入HIT专家网专业交流群投稿:gong_chen@HIT180.com

商务合作:(010)82373062

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存