鐘冰

摘要：醫(yī)院信息化管理日益滲透到醫(yī)療工作的方方面面，僅依靠傳統(tǒng)的規(guī)章制度要求院內(nèi)職工謹(jǐn)守職業(yè)底線和數(shù)據(jù)庫自身有限的審計功能管制第三方開發(fā)運(yùn)維人員的不當(dāng)運(yùn)作，對防范患者醫(yī)療數(shù)據(jù)被非法獲取，日漸顯得捉襟見肘。為夯實醫(yī)院的行風(fēng)建設(shè)，同時執(zhí)行好國家衛(wèi)計委聯(lián)合國家中醫(yī)藥管理局在2014年頒布的《關(guān)于加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)統(tǒng)方管理的規(guī)定》，本文把統(tǒng)方的防御手段從依賴道德和法規(guī)約束跨越到數(shù)據(jù)安全層面進(jìn)行解構(gòu)，在技術(shù)角度關(guān)注如何杜絕相關(guān)風(fēng)險方進(jìn)入統(tǒng)方禁區(qū)。

關(guān)鍵詞：防統(tǒng)方，數(shù)據(jù)安全，風(fēng)險防范

【中圖分類號】 R197.3 【文獻(xiàn)標(biāo)識碼】 A? ? ? 【文章編號】2107-2306（2022）07--01

為了緊跟“互聯(lián)網(wǎng)+醫(yī)療健康”的潮流態(tài)勢，計算機(jī)技術(shù)應(yīng)用與醫(yī)院發(fā)展、醫(yī)學(xué)科技不斷深化融合。隨著醫(yī)院信息化的迅猛發(fā)展，醫(yī)療水平得以進(jìn)一步提高，但患者信息的高度集中，也使醫(yī)療行業(yè)面臨核心數(shù)據(jù)泄露的風(fēng)險逐漸增加，尤其是醫(yī)藥購銷領(lǐng)域商業(yè)賄賂的問題尤為突出。在Verizon發(fā)布的《2020年數(shù)據(jù)泄露調(diào)查報告》中，醫(yī)療保障領(lǐng)域的數(shù)據(jù)泄露事件與2019年相比，大幅增加了304起，并且是內(nèi)部惡意行為者數(shù)量最多的行業(yè)之一。因此只有在數(shù)據(jù)泄露事件中確立人在事前預(yù)防的主體地位，提高相關(guān)人員對數(shù)據(jù)相關(guān)業(yè)務(wù)的理解程度、信息安全意識和信息安全專業(yè)能力，除了健全相應(yīng)的流程制度，還要對大型設(shè)備、醫(yī)用耗材、臨床藥品的采購和使用在技術(shù)上進(jìn)行有目的性的監(jiān)控，才能最大程度的限制院內(nèi)統(tǒng)方行為的發(fā)生。

1.觸發(fā)統(tǒng)方的風(fēng)險點分析

1.1權(quán)限未實現(xiàn)顆粒度管理

對數(shù)據(jù)庫設(shè)置一個最高權(quán)限管理員賬號屬于基本的安全防護(hù)手段，但是對于運(yùn)維開發(fā)人員來講，會存在多人共用該賬號的情況，而且在不同的人使用管理員賬號操作時通常只能追蹤到賬號很難審查到個人，如果一旦出現(xiàn)數(shù)據(jù)安全事件，便無法追蹤到具體使用人員。

1.2大權(quán)限賬號濫用

醫(yī)院內(nèi)部業(yè)務(wù)操作人員、數(shù)據(jù)庫管理人員、第三方運(yùn)維開發(fā)人員等由于早期建設(shè)不重視權(quán)限最小化原則，會被賦予信息系統(tǒng)里的大權(quán)限賬戶。更甚者第三方的工程師流動性大、制約力弱，此類人員能夠輕易接觸到敏感數(shù)據(jù)，存在更高的數(shù)據(jù)泄露風(fēng)險。

1.3真實數(shù)據(jù)使用失控

數(shù)據(jù)庫管理員在進(jìn)行數(shù)據(jù)庫運(yùn)維過程中無需查看表格里的真實數(shù)據(jù)，但數(shù)據(jù)庫管理員都享有相應(yīng)的訪問權(quán)限。同時開發(fā)運(yùn)維人員對表的增刪改查等操作不能進(jìn)行有效防范，比如運(yùn)行select * from table語句就能看到所有的數(shù)據(jù)，無從精確控制。甚至于在數(shù)據(jù)共享和數(shù)據(jù)開發(fā)測試等場景下，采用真實數(shù)據(jù)進(jìn)行操作，就會造成較嚴(yán)重數(shù)據(jù)失密。

1.4操作行為難追溯

若出現(xiàn)內(nèi)部人員利用大權(quán)限賬號，越權(quán)訪問，高頻訪問等高危操作，就必須對數(shù)據(jù)庫操作日志進(jìn)行回溯，但數(shù)據(jù)庫自帶日志較占用自身資源易被刪除，而且解讀門檻高，導(dǎo)致真正利用日志進(jìn)行行為溯源變得極其困難。

2. 針對統(tǒng)方操作的建設(shè)原則

2.1數(shù)據(jù)甄別原則

對海量的醫(yī)療數(shù)據(jù)進(jìn)行篩查，明確保護(hù)目標(biāo)，把敏感數(shù)據(jù)從普通業(yè)務(wù)數(shù)據(jù)中脫離出來進(jìn)行獨(dú)立管理。敏感數(shù)據(jù)發(fā)現(xiàn)完成后需要進(jìn)行數(shù)據(jù)分級分類，確定數(shù)據(jù)重要性和敏感度，并有傾向性地采取安全防護(hù)措施，在保證數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)數(shù)據(jù)開發(fā)共享。按照數(shù)據(jù)的重要程度進(jìn)行劃分，有助于對各人員權(quán)限進(jìn)一步的細(xì)分，做到不同的數(shù)據(jù)訪問有相應(yīng)等級的安全操作。

2.2根據(jù)數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享開放過程中的不同功能和用途將數(shù)據(jù)使用和數(shù)據(jù)管理分離。采取“用管分離、分權(quán)而治”的原則。

2.3權(quán)限最小化原則

根據(jù)共享交換過程中的不同角色不同業(yè)務(wù)場景的賬戶權(quán)限分配需要滿足最小化原則，確保數(shù)據(jù)主體僅被授予任務(wù)執(zhí)行和完成工作所必需的權(quán)限。

2.4可溯性原則

進(jìn)行全流程監(jiān)管，實現(xiàn)數(shù)據(jù)的來源或泄露點可追溯，對泄露點進(jìn)行溯源，明確責(zé)任。

2.5可控性原則

通過技術(shù)或管理手段，保證數(shù)據(jù)在共享交換活動的各個階段是可控的。

3. 統(tǒng)方管控的的安全對策

3.1系統(tǒng)配置

防統(tǒng)方服務(wù)器通常是基于旁路流量鏡像展開監(jiān)控，需把防統(tǒng)方系統(tǒng)接連在醫(yī)院網(wǎng)絡(luò)的核心層交換機(jī)上，流向各個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)經(jīng)過交換機(jī)開放的一個數(shù)據(jù)鏡像端口被防統(tǒng)方系統(tǒng)進(jìn)行記錄、解析和篩查。

3.2程序控制

通過對醫(yī)院職工的數(shù)據(jù)調(diào)用行為、數(shù)據(jù)管理員的數(shù)據(jù)管理行為、軟件運(yùn)維商的調(diào)試行為的分析，對不同的人員角色進(jìn)行合法性授權(quán)并采取多因子認(rèn)證，確認(rèn)行為對應(yīng)到人（或定位到物理位置）后，需對用戶的全部行為在統(tǒng)方規(guī)則里進(jìn)行監(jiān)測高危操作。如對于數(shù)據(jù)庫、敏感數(shù)據(jù)表、列等對象不定期高頻次檢索，基于訪問者的身份、使用工具、用戶權(quán)限等要素發(fā)現(xiàn)未經(jīng)授權(quán)的違規(guī)操作，需及時阻止非正常數(shù)據(jù)會話協(xié)同引發(fā)告警機(jī)制。但充分考慮實際應(yīng)用的靈活性，當(dāng)某些危險性操作或者需要訪問敏感數(shù)據(jù)必須進(jìn)行時，可提交臨時授權(quán)工單，由監(jiān)管員審批允許進(jìn)行細(xì)粒度更改或設(shè)置白名單排除危害警告方可進(jìn)行操作。最后依照用戶的日常行為生成審計報告，分析醫(yī)院的統(tǒng)方情況再施行管理或配置上的調(diào)整。

3.3存在問題

對醫(yī)療數(shù)據(jù)查探的偽裝手段日新月異，而防統(tǒng)方系統(tǒng)規(guī)則的設(shè)定是根據(jù)過去的事件進(jìn)行的規(guī)律總結(jié)，系統(tǒng)的方式識別更新是否能跟上竊取數(shù)據(jù)的技術(shù)發(fā)展，仍需業(yè)內(nèi)進(jìn)一步的驗證。

4.研究目的

完善醫(yī)院防統(tǒng)方系統(tǒng)事前預(yù)防的部署，實現(xiàn)對統(tǒng)方利益相關(guān)各方人員高危操作行為的分析，依據(jù)真實的感知數(shù)據(jù)，可驅(qū)動醫(yī)院今后制定對應(yīng)的有效決策，有目的性地部署管理，從而提升整體數(shù)據(jù)安全水平使。

參考文獻(xiàn)：

[1]李海濤，楊洋，高世龍.防非法統(tǒng)方_從事后審計到事前預(yù)防[J].醫(yī)學(xué)信息學(xué)雜志，2014，35 （11）：41-43.

[2]王俊新，李偉，尚明偉等.基于醫(yī)院數(shù)據(jù)庫審計的防統(tǒng)方系統(tǒng)思考與應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2019，14（7）：109-110.

[3]王蓓.醫(yī)院信息系統(tǒng)防統(tǒng)方技術(shù)策略[J].信息與電腦，2015，（4）：61-62.

[4]許銳釵.從信息鏈上切斷醫(yī)藥利益聯(lián)系[N].健康報.2007-10-18（5）

[5]段曉偉.數(shù)字化轉(zhuǎn)型下的人民銀行金融數(shù)據(jù)安全體系建設(shè)[J].電子技術(shù)與軟件工程.2021， （20）：239-240.

[6]唐彬，吳曉光.金融業(yè)大數(shù)據(jù)安全問題[J].中國金融.2017（23）：78.

[7]江傳.醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅與防范機(jī)制的構(gòu)建[J]. 中國新通信，2019（19）：132.

[8]費(fèi)曉璐，李嘉，黃躍等.醫(yī)療大數(shù)據(jù)應(yīng)用中的數(shù)據(jù)治理實踐[J].中國衛(wèi)生信息管理雜志，2018，15（5）：555-556.