王國送

提要：“智慧醫(yī)院”核心命脈在于“醫(yī)院數(shù)據(jù)中心”，其中記錄大量居民個(gè)人及診療信息、醫(yī)院科研及運(yùn)營管理數(shù)據(jù)。隨著大數(shù)據(jù)技術(shù)在醫(yī)療行業(yè)的應(yīng)用，大數(shù)據(jù)分析結(jié)果往往用于臨床診斷以及公共衛(wèi)生決策，醫(yī)療數(shù)據(jù)因其蘊(yùn)藏的巨大價(jià)值和集中化的存儲(chǔ)管理而成為攻擊的重點(diǎn)目標(biāo)，與此同時(shí)也帶來了很多數(shù)據(jù)泄露的安全隱患。

關(guān)鍵詞：醫(yī)院數(shù)據(jù);身份認(rèn)證;行為場景;數(shù)據(jù)安全;網(wǎng)絡(luò)安全

中圖分類號(hào)：TP391? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）20-0043-02

隨著各信息化技術(shù)的快速發(fā)展，以及云計(jì)算、移動(dòng)化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)和發(fā)展，醫(yī)療業(yè)務(wù)與互聯(lián)網(wǎng)對(duì)接已是不可避免的趨勢。特別在2015年3月5日十二屆全國人大三次會(huì)議上，李克強(qiáng)總理在政府工作報(bào)告中首次提出“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃。進(jìn)一步要求了各個(gè)業(yè)務(wù)與互聯(lián)網(wǎng)的深度融合，醫(yī)療行業(yè)在利用互聯(lián)網(wǎng)、移動(dòng)化技術(shù)實(shí)現(xiàn)醫(yī)生隨訪、移動(dòng)護(hù)理、自助交費(fèi)、院外康復(fù)和家庭病床等業(yè)務(wù)也利用新技術(shù)實(shí)現(xiàn)了高速的發(fā)展。

隨著信息化技術(shù)發(fā)展、融合創(chuàng)新能力提升，數(shù)據(jù)安全建設(shè)在醫(yī)療行業(yè)越來越重視，數(shù)據(jù)泄露的問題成為政治問題和行業(yè)考核通報(bào)的重點(diǎn)內(nèi)容。

1 數(shù)據(jù)安全存在的問題

醫(yī)院信息系統(tǒng)記錄大量居民個(gè)人及診療信息、醫(yī)院科研及運(yùn)營管理數(shù)據(jù)。隨著大數(shù)據(jù)技術(shù)在醫(yī)療行業(yè)的應(yīng)用，這些基礎(chǔ)數(shù)據(jù)不斷被進(jìn)行二次匯總及大數(shù)據(jù)分析，分析結(jié)果往往用于臨床診斷以及公共衛(wèi)生決策，其價(jià)值較原始數(shù)據(jù)又有了更高的提升。醫(yī)院間、監(jiān)管機(jī)構(gòu)、第三方應(yīng)用對(duì)數(shù)據(jù)的交換及使用的普及也促進(jìn)了醫(yī)療數(shù)據(jù)的共享，但是在數(shù)據(jù)共享的同時(shí)也帶來了很多數(shù)據(jù)泄露的安全隱患，醫(yī)療數(shù)據(jù)因其蘊(yùn)藏的巨大價(jià)值和集中化的存儲(chǔ)管理模式而成為攻擊的重點(diǎn)目標(biāo)。

從國內(nèi)外安全事件來看，80%的數(shù)據(jù)泄露事件是由“內(nèi)鬼”造成。業(yè)務(wù)系統(tǒng)涉及大量公民個(gè)人隱私信息，而大部分業(yè)務(wù)系統(tǒng)是由第三方開發(fā)和負(fù)責(zé)運(yùn)維，因?yàn)槿狈τ行ПO(jiān)管、問責(zé)機(jī)制和技術(shù)管理措施，第三方運(yùn)維人員或內(nèi)部人員，通過訪問數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)或通過應(yīng)用前臺(tái)導(dǎo)出數(shù)據(jù)進(jìn)行販賣，造成數(shù)據(jù)泄露事件。如：

1）內(nèi)部業(yè)務(wù)人員利用合法的身份進(jìn)行非工作需要地查看相關(guān)數(shù)據(jù)，進(jìn)行截圖、錄像或下載，非法牟利。

2）第三方人員或廠家人員利用維護(hù)的機(jī)會(huì)對(duì)數(shù)據(jù)進(jìn)行查看、下載、拍照、錄像等非法操作，竊取數(shù)據(jù)。

3）開發(fā)人員由于開發(fā)測試需求導(dǎo)出正式業(yè)務(wù)數(shù)據(jù)到測試環(huán)境中，在導(dǎo)出的過程中對(duì)數(shù)據(jù)進(jìn)行泄露。

所以，需要對(duì)敏感數(shù)據(jù)加強(qiáng)技術(shù)防護(hù)，防止數(shù)據(jù)外泄，避免發(fā)生客戶信息泄露事件和造成嚴(yán)重的政治影響或社會(huì)影響。

2 醫(yī)院數(shù)據(jù)安全防護(hù)措施

建設(shè)以身份為中心，從源頭抓起，基于行為場景的數(shù)據(jù)安全防護(hù)體系。

2.1 以身份為中心

以身份為中心即以人為中心，IT系統(tǒng)中身份就是賬號(hào)。

IT系統(tǒng)人員分為：業(yè)務(wù)人員、運(yùn)維管理人員、開發(fā)人員、測試人員。按照人員的所屬關(guān)系分為：內(nèi)部人員和外部人員。

加強(qiáng)人員身份的管控對(duì)人的身份進(jìn)行唯一性和合規(guī)性管理，建立賬號(hào)與自然人直接關(guān)聯(lián)關(guān)系，通過數(shù)字證書、動(dòng)態(tài)口令、生物識(shí)別等技術(shù)手段，建立雙因素認(rèn)證機(jī)制，實(shí)現(xiàn)人員身份的唯一性管理。對(duì)賬號(hào)進(jìn)行全生命周期管理，防止僵尸賬號(hào)、冗余賬號(hào)、弱口令賬號(hào)的發(fā)生，對(duì)賬號(hào)權(quán)限進(jìn)行管理和梳理，實(shí)現(xiàn)身份合規(guī)性管理。

規(guī)范人員操作行為，對(duì)重要的人員、重要的業(yè)務(wù)操作和運(yùn)維操作進(jìn)行管控，加強(qiáng)授權(quán)管理能力，以人為中心分析用戶行為，建立行為場景，通過對(duì)行為場景防護(hù)建立數(shù)據(jù)安全防護(hù)措施。

2.2? 基于行為場景的數(shù)據(jù)安全防護(hù)

涉及醫(yī)院數(shù)據(jù)安全的行為場景主要包括日常業(yè)務(wù)系統(tǒng)操作、數(shù)據(jù)庫運(yùn)維和IT運(yùn)維。

2.2.1日常業(yè)務(wù)系統(tǒng)操作場景下的數(shù)據(jù)安全防護(hù)措施

醫(yī)護(hù)人員訪問醫(yī)院各業(yè)務(wù)系統(tǒng)時(shí)可進(jìn)行患者信息查詢，對(duì)查詢出的數(shù)據(jù)可進(jìn)行截圖、拍照錄像或下載等操作。

針對(duì)此類場景，可對(duì)頁面內(nèi)容加水印處理或關(guān)鍵信息做頁面的動(dòng)態(tài)脫敏，防止醫(yī)護(hù)人員或第三方人員截屏、拍照錄像，如發(fā)生信息泄露事件可有效溯源，以達(dá)到防止數(shù)據(jù)泄露的目的。針對(duì)患者信息下載的場景，可采用“零下載”功能對(duì)下載文件進(jìn)行管控，使其無法下載到本地，以防止數(shù)據(jù)泄露。

2.2.2 數(shù)據(jù)庫運(yùn)維場景數(shù)據(jù)安全防護(hù)措施

數(shù)據(jù)運(yùn)維主要包含數(shù)據(jù)導(dǎo)出，數(shù)據(jù)分析及數(shù)據(jù)外發(fā)，一是測試人員由于醫(yī)院業(yè)務(wù)系統(tǒng)測試需要，會(huì)把生產(chǎn)環(huán)境的數(shù)據(jù)導(dǎo)出到本地測試環(huán)境中;二是數(shù)據(jù)分析人員也需要導(dǎo)出業(yè)務(wù)數(shù)據(jù)用于滿足醫(yī)院各方數(shù)據(jù)分析需求;另外醫(yī)院也會(huì)把相關(guān)醫(yī)院的運(yùn)營、診療等數(shù)據(jù)外發(fā)給衛(wèi)健委等政府部門。部分人員可能利用數(shù)據(jù)導(dǎo)出的機(jī)會(huì)據(jù)為己有，導(dǎo)致數(shù)據(jù)泄露的情況發(fā)生。

針對(duì)此類場景，可采用靜態(tài)脫敏技術(shù)對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)，在數(shù)據(jù)導(dǎo)出前對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理。

2.2.3 IT運(yùn)維場景的數(shù)據(jù)安全防護(hù)措施

醫(yī)院或第三方運(yùn)維人員通過運(yùn)維工具訪問數(shù)據(jù)庫時(shí)，可查詢或批量導(dǎo)出數(shù)據(jù)，并下載到本地。

針對(duì)此類場景，可采用“金庫”模式對(duì)重要操作進(jìn)行二次授權(quán)管理，加強(qiáng)運(yùn)維操作的審批管理，對(duì)查詢結(jié)果動(dòng)態(tài)實(shí)時(shí)脫敏，以防止真實(shí)數(shù)據(jù)泄露。針對(duì)運(yùn)維人員下載數(shù)據(jù)文件，可采用“零下載”功能對(duì)下載文件進(jìn)行管控，使其無法下載到本地，以防止數(shù)據(jù)泄露。

2.3 采用動(dòng)態(tài)脫敏技術(shù)

動(dòng)態(tài)脫敏包括運(yùn)維實(shí)時(shí)動(dòng)態(tài)脫敏和頁面實(shí)時(shí)動(dòng)態(tài)脫敏。

2.3.1運(yùn)維實(shí)時(shí)脫敏

數(shù)據(jù)庫運(yùn)維實(shí)時(shí)脫敏是針對(duì)運(yùn)維人員在通過工具訪問后臺(tái)數(shù)據(jù)庫時(shí)，對(duì)查詢數(shù)據(jù)庫返回的結(jié)果數(shù)據(jù)根據(jù)預(yù)設(shè)的脫敏策略進(jìn)行實(shí)時(shí)模糊化處理，對(duì)敏感內(nèi)容采用*遮罩的方式進(jìn)行脫敏展示。