鄭憶 張書銘 趙夢瑩

（昆明市智慧城市建設(shè)投資有限公司 云南省昆明市 650500）

1 概述

近年來，國家陸續(xù)出臺多項(xiàng)政策加快建立區(qū)域性醫(yī)療健康信息平臺，推動了健康醫(yī)療大數(shù)據(jù)的匯聚。健康醫(yī)療大數(shù)據(jù)是覆蓋自然人的全生命周期，涉及到醫(yī)療和健康的與個人相關(guān)的數(shù)據(jù)的合集，涵蓋了公民的基本信息，及身體、疾病信息，住所、醫(yī)保、甚至財(cái)產(chǎn)等信息。健康醫(yī)療數(shù)據(jù)的來源多種多樣，涉及的范圍也非常廣泛，涵蓋醫(yī)院診療、健康服務(wù)、保險、科研等，這些數(shù)據(jù)不僅關(guān)系到個人的隱私、經(jīng)濟(jì)發(fā)展，甚至關(guān)系到國家安全。數(shù)據(jù)匯聚越多，信息價值越大，同時安全性也越重要，保障健康醫(yī)療大數(shù)據(jù)的安全是開展各項(xiàng)應(yīng)用的首要條件。

2 健康醫(yī)療大數(shù)據(jù)的風(fēng)險分析

數(shù)據(jù)是信息的載體，信息則是數(shù)據(jù)呈現(xiàn)的有實(shí)際意義的內(nèi)容。數(shù)據(jù)安全問題貫穿著數(shù)據(jù)的采集、傳輸、存儲、管理、分析、發(fā)布、交易、使用、銷毀/歸檔等全生命周期。健康醫(yī)療大數(shù)據(jù)的安全威脅和安全問題主要體現(xiàn)在：

2.1 外部攻擊

目前，醫(yī)療行業(yè)信息泄露的主要驅(qū)動力是來自外部的攻擊。數(shù)據(jù)安全在外部遭受的攻擊主要表現(xiàn)為外部攻擊者通過各種手段滲透到數(shù)據(jù)庫中，將整個數(shù)據(jù)庫的數(shù)據(jù)帶走到黑市上交易，俗稱“脫庫”；還有就是通過勒索病毒滲透到內(nèi)網(wǎng)中，將重要數(shù)據(jù)進(jìn)行加密導(dǎo)致系統(tǒng)不能正常運(yùn)行，從而達(dá)到向用戶勒索錢財(cái)?shù)哪康?。這兩種攻擊手法都造成不良的影響和嚴(yán)重的損失，甚至危害醫(yī)療安全和患者的生命。

2.2 內(nèi)部泄露

經(jīng)過業(yè)界的分析統(tǒng)計(jì)，數(shù)據(jù)安全20%的攻擊來自于外部，而80%的數(shù)據(jù)泄露來自于內(nèi)部，這對數(shù)據(jù)安全的防護(hù)造成了新的挑戰(zhàn)。與外部攻擊利用漏洞等惡意行為方式相比，內(nèi)部的數(shù)據(jù)泄露往往更加隱蔽、更難發(fā)現(xiàn)。比如，運(yùn)維人員在運(yùn)維時將數(shù)據(jù)打包下載，操作人員在正常業(yè)務(wù)查詢中高頻查詢泄露信息，開發(fā)和測試人員在開發(fā)測試中將接觸到的數(shù)據(jù)帶走等等，可以說是防不勝防，因?yàn)樗峭ㄟ^正常的途徑發(fā)生的。

2.3 第三方防護(hù)不當(dāng)造成隱患

醫(yī)療機(jī)構(gòu)實(shí)施大數(shù)據(jù)項(xiàng)目，請第三方應(yīng)用服務(wù)商挖掘分析數(shù)據(jù)，提高醫(yī)院運(yùn)營效果。在這里，醫(yī)療機(jī)構(gòu)是數(shù)據(jù)生產(chǎn)者，它每天會產(chǎn)生成百上千的數(shù)據(jù)，但由于數(shù)據(jù)分析技術(shù)的壁壘，沒有能力進(jìn)行數(shù)據(jù)分析。而第三方應(yīng)用服務(wù)商是數(shù)據(jù)消費(fèi)者，它主要對數(shù)據(jù)生產(chǎn)者的數(shù)據(jù)進(jìn)行分析，挖掘數(shù)據(jù)價值。這種情況下，存在個人信息的泄露、竊取、篡改、毀損、非法使用等風(fēng)險。

2.4 數(shù)據(jù)大集中后的風(fēng)險

IT時代基本上還是一個強(qiáng)調(diào)數(shù)據(jù)生產(chǎn)的時代，建設(shè)了大量的信息系統(tǒng)，每個信息系統(tǒng)都有對應(yīng)的獨(dú)立的數(shù)據(jù)庫，這時的數(shù)據(jù)風(fēng)險是分散的，就算發(fā)生數(shù)據(jù)泄露也是一個庫的。要想等到更多庫的數(shù)據(jù)，則需要花費(fèi)更多的努力，一個一個庫去攻破。健康醫(yī)療大數(shù)據(jù)將多個行業(yè)的數(shù)匯聚在一起，更好的建立模型，進(jìn)行人工智能等高階應(yīng)用。數(shù)據(jù)高度集中，面臨的風(fēng)險就會更大。一是數(shù)據(jù)集中后，對黑客和內(nèi)部人員的犯罪意愿加大了，以為只有攻擊一次就可以拿到所有數(shù)據(jù)，不用像以往一樣攻城拔寨式的付出了；二是數(shù)據(jù)集中后，IT設(shè)施的復(fù)雜度增加了好多，原來只有一個關(guān)系型數(shù)據(jù)庫就搞定的，現(xiàn)在變成要上大數(shù)據(jù)平臺了，有的甚至要上云，這就對運(yùn)營和安全的要求提高很多，稍有不慎出現(xiàn)疏忽就會導(dǎo)致功虧一簣。

2.5 新技術(shù)帶來的安全風(fēng)險

大數(shù)據(jù)時代，不斷涌現(xiàn)出物聯(lián)網(wǎng)、云計(jì)算、區(qū)塊鏈和人工智能等新技術(shù)，醫(yī)療業(yè)務(wù)與互聯(lián)網(wǎng)新技術(shù)的對接已是不可避免的趨勢。利用新技術(shù)實(shí)現(xiàn)了高速的發(fā)展，極大地促進(jìn)了醫(yī)療衛(wèi)生健康的發(fā)展，為人們的生活帶來了諸多便利。但新技術(shù)的發(fā)展總會帶來安全方面的不確定性，使得不法分子利用法律法規(guī)、業(yè)務(wù)管理制度和技術(shù)框架研發(fā)本身存在的漏洞謀取不法利益，給患者、醫(yī)療機(jī)構(gòu)甚至國家安全帶來風(fēng)險。

（1）云安全風(fēng)險。云計(jì)算作為一種新型的計(jì)算模式，其安全建設(shè)必然與傳統(tǒng)的信息安全建設(shè)存在區(qū)別，其安全性也必有其特殊的一面。如，安全邊界不可見，傳統(tǒng)安全訪問控制失效；虛擬化內(nèi)部的流量不可視，會導(dǎo)致內(nèi)部業(yè)務(wù)訪問關(guān)系不可視，內(nèi)部威脅不可視等安全問題。

（2）移動應(yīng)用安全風(fēng)險。由于移動應(yīng)用的開放性，開放應(yīng)用，開放系統(tǒng)，開放網(wǎng)絡(luò)，開放工具及其他的原因，移動應(yīng)用安全問題顯得尤為突出。 如移動應(yīng)用內(nèi)醫(yī)患數(shù)據(jù)泄露，移動APP被篡改并注入惡意代碼等安全風(fēng)險。

（3）物聯(lián)網(wǎng)安全風(fēng)險。物聯(lián)網(wǎng)是繼計(jì)算機(jī)、互聯(lián)網(wǎng)與移動通信網(wǎng)之后的世界信息產(chǎn)業(yè)第3次浪潮。在過去的十年中，互聯(lián)網(wǎng)連接的設(shè)備以各種形式被應(yīng)用到患者身上。無論數(shù)據(jù)來自胎兒監(jiān)護(hù)儀、心電圖、體溫監(jiān)護(hù)儀還是血糖水平，跟蹤健康信息對于一些患者來說都是至關(guān)重要的，盡管其中許多措施需要與醫(yī)療專業(yè)人員進(jìn)行后續(xù)互動。然而，物聯(lián)網(wǎng)設(shè)備的使用有助于為醫(yī)生提供更有價值的實(shí)時數(shù)據(jù)，并減少了醫(yī)患之間直接互動的需求。同時隨著醫(yī)療服務(wù)水平提升的要求，物聯(lián)網(wǎng)應(yīng)用場景也被快速開發(fā)出來，例如智能導(dǎo)診、院內(nèi)導(dǎo)航、嬰兒定位、患者定位、醫(yī)護(hù)關(guān)愛、智能報(bào)警、臨床路徑管理、設(shè)備資產(chǎn)移動管理、醫(yī)療廢棄物實(shí)時定位等。隨著越來越多地將云服務(wù)與AI結(jié)合使用，物聯(lián)網(wǎng)設(shè)備變得越來越智能，不僅限于將數(shù)據(jù)從患者傳輸?shù)结t(yī)療保健專業(yè)人員。例如，使用云服務(wù)進(jìn)行數(shù)據(jù)分析的物聯(lián)網(wǎng)設(shè)備智能葡萄糖監(jiān)測系統(tǒng)和智能胰島素筆。這兩種技術(shù)不僅可以連續(xù)捕獲有關(guān)葡萄糖水平的信息，而且還可以將數(shù)據(jù)上傳到云服務(wù)或要分析的移動應(yīng)用程序。根據(jù)分析結(jié)果，胰島素泵可以為患者注射適當(dāng)劑量的胰島素。同時物聯(lián)網(wǎng)技術(shù)的實(shí)施也引起了許多關(guān)于個人數(shù)據(jù)隱私和安全的擔(dān)憂，雖然今天許多設(shè)備使用安全的方法將信息傳送到云端，但它們?nèi)匀豢赡苋菀资艿胶诳凸簟?/p>

3 數(shù)據(jù)使用場景的分析

不同用戶出于不同目的使用不同數(shù)據(jù)的場景示意圖如圖1所示。各場景下，數(shù)據(jù)使用的安全風(fēng)險不同，需要根據(jù)涉及的用戶、使用環(huán)境和使用目的選擇相應(yīng)的安全措施，保障個人健康醫(yī)療信息的安全。

圖1：數(shù)據(jù)使用場景示意圖

3.1 用戶分析

使用健康醫(yī)療數(shù)據(jù)的常見用戶如表1所示。

表1：健康醫(yī)療數(shù)據(jù)使用常見用戶

3.2 數(shù)據(jù)類別分析

健康醫(yī)療數(shù)據(jù)可以分為個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療資金和支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生信息等，具體內(nèi)容如表2所示。

表2：數(shù)據(jù)類型

3.3 數(shù)據(jù)使用目的分析

健康醫(yī)療數(shù)據(jù)的使用目的一般可分為醫(yī)療服務(wù)、公共管理、健康生活等，詳見表3所示。

表3：使用目的分類

3.4 數(shù)據(jù)使用環(huán)境

數(shù)據(jù)使用的環(huán)境可分為健康醫(yī)療信息控制者內(nèi)部、健康醫(yī)療信息控制者外部。例如醫(yī)院內(nèi)、醫(yī)院外（教育、藥品研發(fā)、健康管理等）。

3.5 場景分類與使用措施要點(diǎn)

健康醫(yī)療數(shù)據(jù)使用場景基本分類及安全措施要點(diǎn)如表4所示。

表4：場景基本分類與安全措施要點(diǎn)

4 典型場景的安全

4.1 互聯(lián)互通場景

通過各級醫(yī)療機(jī)構(gòu)、區(qū)域健康信息平臺的數(shù)據(jù)互聯(lián)互通，實(shí)現(xiàn)跨機(jī)構(gòu)、跨地域信息交互共享和醫(yī)療服務(wù)協(xié)同。在互聯(lián)互通的場景中涉及的相關(guān)方包括區(qū)域健康信息平臺、醫(yī)療機(jī)構(gòu)和第三方服務(wù)機(jī)構(gòu)人員等，涉及的數(shù)據(jù)包括醫(yī)療應(yīng)用數(shù)據(jù)中的電子病歷數(shù)據(jù)、健康狀況數(shù)據(jù)中的電子健康檔案數(shù)據(jù)等，需要從以下環(huán)節(jié)保證健康醫(yī)療大數(shù)據(jù)的安全：

4.1.1 傳輸安全

各級醫(yī)療機(jī)構(gòu)內(nèi)部信息共享交換系統(tǒng)在數(shù)據(jù)傳輸過程中要進(jìn)行加密處理。向醫(yī)療機(jī)構(gòu)以外的機(jī)構(gòu)傳遞的數(shù)據(jù)，如醫(yī)療保險、科研機(jī)構(gòu)等，首先應(yīng)保證不向非授權(quán)用戶透露。傳輸?shù)臄?shù)據(jù)要求對患者去標(biāo)識化處理，確保隱私信息不泄露。

4.1.2 存儲安全

存儲的患者醫(yī)療敏感信息（如身份信息、銀行卡號等）應(yīng)該加密存儲。數(shù)據(jù)庫和應(yīng)用系統(tǒng)可層級的審計(jì)功能；有數(shù)據(jù)備份和恢復(fù)功能。

4.1.3 使用安全

醫(yī)院業(yè)務(wù)應(yīng)用系統(tǒng)有完善的用戶授權(quán)功能，能根據(jù)用戶角色、所在科室等多維度對用戶進(jìn)行授權(quán)。控制對數(shù)據(jù)庫、應(yīng)用系統(tǒng)的文件等資源的訪問，避免非法使用。防止外部人員訪問其私有數(shù)據(jù)，在控制院內(nèi)用戶訪問外部資源的同時檢查每個網(wǎng)絡(luò)數(shù)據(jù)包，以確定是否將其推送到目的地。檢驗(yàn)檢查報(bào)告的書寫和審核、電子病歷相關(guān)記錄等應(yīng)使用國家認(rèn)可的第三方數(shù)字簽名。

4.1.4 審計(jì)安全

醫(yī)療信息系統(tǒng)審計(jì)范圍應(yīng)覆蓋到每個用戶。審計(jì)策略應(yīng)覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件。審計(jì)記錄信息需要包括引發(fā)人，事件的發(fā)生時間、類別、結(jié)果等內(nèi)容。日志記錄包括用戶登錄退出系統(tǒng)，電子病歷新建、保存、修改，醫(yī)囑改變/執(zhí)行記錄等。

4.2 遠(yuǎn)程醫(yī)療場景

遠(yuǎn)程醫(yī)療場景涉及的相關(guān)方主要包括醫(yī)療機(jī)構(gòu)、患方和業(yè)務(wù)伙伴。在遠(yuǎn)程診療過程中，醫(yī)院的醫(yī)生需針對患者病情，如患者的某些癥狀、體征進(jìn)行討論，還需傳輸患者的涉及個人隱私的健康醫(yī)療信息，如檢驗(yàn)報(bào)告、臨床診斷結(jié)果、影像數(shù)據(jù)等。需要從以下方面采取措施保障數(shù)據(jù)安全。

4.2.1 接入安全

只允許遠(yuǎn)程診療過程中使用的主機(jī)接入網(wǎng)絡(luò)。在接入前要對各接入終端、醫(yī)療機(jī)構(gòu)進(jìn)行身份認(rèn)證，確保各方的身份真實(shí)、可靠。對近端醫(yī)院與遠(yuǎn)端醫(yī)院在遠(yuǎn)程診療網(wǎng)絡(luò)中傳輸?shù)男畔⒘髁吭诮邮涨皯?yīng)進(jìn)行病毒掃描和過濾。 將遠(yuǎn)程診療過程中涉及的設(shè)備標(biāo)記為高風(fēng)險設(shè)備，進(jìn)行重點(diǎn)監(jiān)控管理，如定期進(jìn)行病毒掃描，及時清除病毒；定期進(jìn)行系統(tǒng)漏洞掃，更新漏洞等。

4.2.2 傳輸安全

在遠(yuǎn)程醫(yī)療場景中，需要綜合考慮數(shù)據(jù)傳輸?shù)囊?guī)模、時效要求、傳輸方式等，合理采用密碼技術(shù)、校驗(yàn)技術(shù)保證信息在傳輸過程中的保密性、完整性，同時需要保障多種移動終端設(shè)備安全、便捷的遠(yuǎn)程數(shù)據(jù)傳輸。

4.2.3 存儲安全

建立遠(yuǎn)程診療數(shù)據(jù)管理制度，通過數(shù)據(jù)銷毀或者將遠(yuǎn)程診療數(shù)據(jù)導(dǎo)入內(nèi)網(wǎng)數(shù)據(jù)庫，降低服務(wù)中可以下載的遠(yuǎn)程診療數(shù)據(jù)數(shù)量，通過降低數(shù)據(jù)價值進(jìn)而降低數(shù)據(jù)盜取風(fēng)險。需要定期對存儲遠(yuǎn)程診療數(shù)據(jù)的數(shù)據(jù)庫進(jìn)行風(fēng)險掃描，建立狀態(tài)監(jiān)控機(jī)制。

4.2.4 應(yīng)用安全

建立登錄和授權(quán)驗(yàn)證手段，對用戶的訪問操作進(jìn)行審計(jì)，發(fā)現(xiàn)違規(guī)的應(yīng)用訪問，阻止截?cái)嘣L問；采取WAF，網(wǎng)頁防篡改等防護(hù)手段保證應(yīng)用服務(wù)的安全，防止診療過程中的上傳或下載病人影像文件泄露。

4.3 移動應(yīng)用場景

移動應(yīng)用是指通過網(wǎng)絡(luò)平臺為用戶提供的快捷的線上醫(yī)療服務(wù)和健康服務(wù)，如在線問診、醫(yī)藥電商、私人醫(yī)生等。涉及的數(shù)據(jù)包括個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療資金和支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生信息。本場景涉及的相關(guān)方主要是使用方和應(yīng)用發(fā)布者。重點(diǎn)安全措施如下：

4.3.1 隱私保護(hù)

應(yīng)用發(fā)布者應(yīng)制定隱私政策并征得用戶同意。在界面顯示上，為保護(hù)患者隱私，需要將涉及到個人數(shù)據(jù)，如健康狀況、醫(yī)療狀況 、支付數(shù)據(jù)等，去標(biāo)識化處理，以降低在展示環(huán)節(jié)泄露的風(fēng)險。

4.3.2 訪問控制

實(shí)施訪問控制，在會話級別安全地驗(yàn)證用戶，可以關(guān)聯(lián)實(shí)名制手機(jī)，后通過實(shí)名制手機(jī)登錄，發(fā)送手機(jī)號驗(yàn)證碼。對個人的操作權(quán)限有所限制，只能訪問個人用戶角色的內(nèi)容。對于應(yīng)用開發(fā)商需要開發(fā)、維護(hù)或升級系統(tǒng)需要訪問信息，應(yīng)嚴(yán)格授權(quán)，并對訪問的行為進(jìn)行記錄存檔。遠(yuǎn)程訪問或特權(quán)訪問應(yīng)該要求嚴(yán)格的驗(yàn)證方式，如雙因素身份驗(yàn)證等以降低未經(jīng)授權(quán)訪問的風(fēng)險。

4.3.3 傳輸安全

需要綜合考慮移動應(yīng)用場景對數(shù)據(jù)傳輸?shù)囊?guī)模、時效等要求，合理采用密碼技術(shù)、校驗(yàn)技術(shù)等保證信息在傳輸過程中的保密性、完整性。

4.3.4 存儲安全

提供并使用管理、物理和技術(shù)保護(hù)措施來保護(hù)用戶信息免遭未經(jīng)授權(quán)的泄露或訪問。應(yīng)用程序數(shù)據(jù)需要定期進(jìn)行備份；加強(qiáng)安全管理、采用新技術(shù)保護(hù)用戶信息免遭未經(jīng)授權(quán)的泄露或訪問。

如果使用可移動介質(zhì)存儲個人的健康醫(yī)療信息和身份可識別信息，需要對存儲在介質(zhì)上的數(shù)據(jù)進(jìn)行加密，以防止數(shù)據(jù)受到未經(jīng)授權(quán)的訪問。

4.3.5 應(yīng)用安全

移動應(yīng)用系統(tǒng)應(yīng)具有防病毒軟件和機(jī)制；第三方供應(yīng)商服務(wù)必須通過信息安全風(fēng)險評估，才能接入作為應(yīng)用程序的組成部分。涉及移動支付的，應(yīng)遵守相關(guān)數(shù)據(jù)安全要求。

5 結(jié)束語

健康醫(yī)療大數(shù)據(jù)的匯聚、應(yīng)用及發(fā)展推進(jìn)健康產(chǎn)業(yè)鏈的創(chuàng)新和發(fā)展，但一旦這些數(shù)據(jù)被泄露，不僅會侵害患者隱私，對社會造成不良影響，亦可能給國家安全帶來嚴(yán)重后果。本文對健康醫(yī)療大數(shù)據(jù)的安全問題進(jìn)行了分析，從場景化的角度對安全安全保障體系進(jìn)行了研究，為提升健康醫(yī)療行業(yè)的整體安全防范能力，制定相關(guān)的建設(shè)方案提供參考。