一、我國(guó)醫(yī)療衛(wèi)生數(shù)據(jù)安全現(xiàn)狀
1.整體現(xiàn)狀概述
隨著信息技術(shù)的不斷完善��,數(shù)據(jù)安全成為信息化建設(shè)的重點(diǎn)�,國(guó)家近幾年也陸續(xù)頒布了數(shù)據(jù)安全建設(shè)相關(guān)政策。如2016年�����,國(guó)務(wù)院辦公廳印發(fā)《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》提出��,加強(qiáng)健康醫(yī)療數(shù)據(jù)安全保障����。2019年�����,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》提出��,保障個(gè)人信息和重要數(shù)據(jù)安全�����。
隨著互聯(lián)網(wǎng)��、大數(shù)據(jù)��、云計(jì)算技術(shù)的快速發(fā)展���,我國(guó)醫(yī)療機(jī)構(gòu)的信息化程度越來(lái)越高,逐步向數(shù)字化醫(yī)療�、智慧醫(yī)療發(fā)展。新型技術(shù)的使用必然帶來(lái)新的安全風(fēng)險(xiǎn)�。
(1)存在外部攻擊的風(fēng)險(xiǎn),醫(yī)療數(shù)據(jù)有著得天獨(dú)厚的價(jià)值����,很容易引發(fā)來(lái)自互聯(lián)網(wǎng)的攻擊行為���,漏洞的存在,為外部攻擊提供了途徑���,黑客能夠非常精準(zhǔn)地獲取數(shù)據(jù)����,繼而進(jìn)行精確詐騙�����。
(2)存在不安全網(wǎng)絡(luò)風(fēng)險(xiǎn)��,開放或半開放的網(wǎng)絡(luò)環(huán)境是醫(yī)療行業(yè)的典型特征�����,開放的網(wǎng)絡(luò)環(huán)境使入侵者可以輕易地進(jìn)入醫(yī)院網(wǎng)絡(luò)�,輕易地進(jìn)行物理攻擊�。當(dāng)前醫(yī)院存在相對(duì)混亂的互聯(lián)網(wǎng)接入服務(wù)現(xiàn)象,在接入互聯(lián)網(wǎng)服務(wù)時(shí)����,大部分醫(yī)院就已經(jīng)把主動(dòng)權(quán)交付至互聯(lián)網(wǎng)服務(wù)提供商��,缺乏統(tǒng)一的業(yè)務(wù)和安全規(guī)劃���。
(3)存在數(shù)據(jù)管控風(fēng)險(xiǎn),雖然醫(yī)療組織正在逐漸增強(qiáng)數(shù)據(jù)安全意識(shí)���,但關(guān)于數(shù)據(jù)管控尚未建立統(tǒng)一管理機(jī)制��,制度的完善相對(duì)滯后�����,同時(shí)“互聯(lián)網(wǎng)+”等新興業(yè)態(tài)的不斷涌現(xiàn)���,并滲透至醫(yī)療領(lǐng)域的各個(gè)環(huán)節(jié),客觀上導(dǎo)致原本相對(duì)封閉的使用環(huán)境被逐漸打破�����。
(4)存在數(shù)據(jù)交換風(fēng)險(xiǎn)�����,目前大量的醫(yī)療數(shù)據(jù)需要拿給第三方或者測(cè)試使用�����,存在真實(shí)數(shù)據(jù)泄露風(fēng)險(xiǎn),沒(méi)有建立科學(xué)的對(duì)外數(shù)據(jù)交換標(biāo)準(zhǔn)�����,特別是病患敏感數(shù)據(jù)脫敏�。
(5)存在數(shù)據(jù)泄露風(fēng)險(xiǎn),內(nèi)部及第三方運(yùn)維人員造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)�,內(nèi)部工作人員的權(quán)限管控制度不完善,很多非權(quán)限人員可以隨意接觸病患信息��,造成很大泄露風(fēng)險(xiǎn)�,加之內(nèi)部人員監(jiān)控手段不足�,也會(huì)引發(fā)取證難問(wèn)題。
2.典型案例分享
雖然醫(yī)療數(shù)據(jù)安全存在眾多的隱患�,但國(guó)內(nèi)還是有相當(dāng)一部分醫(yī)院在數(shù)據(jù)安全方面做得比較完善的,如中國(guó)人民解放軍總醫(yī)院(301醫(yī)院)��。該院通過(guò)醫(yī)療大數(shù)據(jù)安全防控的探索與實(shí)踐�,在守衛(wèi)醫(yī)療大數(shù)據(jù)安全上,取得了不錯(cuò)的成績(jī)���。
(1)建立集中化的平臺(tái)與服務(wù)機(jī)制�����。將數(shù)據(jù)資源集中管理�����,避免分散流失���。
(2)去隱私����,降低數(shù)據(jù)敏感度�����。
(3)按資源需求授權(quán)分解安全風(fēng)險(xiǎn)����。將數(shù)據(jù)資源“化整為零”,原始醫(yī)療數(shù)據(jù)擁有內(nèi)容全����、范圍大,以及每個(gè)研究所需數(shù)據(jù)范圍有限的特點(diǎn)。
(4)虛擬桌面建立安全圍墻�。將數(shù)據(jù)處理部署于服務(wù)器上,杜絕數(shù)據(jù)從本地復(fù)制�。
(5)數(shù)據(jù)庫(kù)審計(jì)追蹤使用行為。建設(shè)前置規(guī)定+事后審計(jì)���,擁有靈活簡(jiǎn)便的特點(diǎn)��。
(6)堡壘機(jī)實(shí)現(xiàn)運(yùn)維監(jiān)控�����。應(yīng)用堡壘機(jī)技術(shù)�����,實(shí)現(xiàn)對(duì)運(yùn)維操作的記錄與回放��,以及對(duì)運(yùn)維權(quán)限的統(tǒng)一管理。
(7)網(wǎng)絡(luò)隔離劃分安全區(qū)域����。按照不同的安全等級(jí)劃分網(wǎng)絡(luò)和通過(guò)防火墻限制訪問(wèn)權(quán)限等網(wǎng)絡(luò)層面進(jìn)行管理權(quán)限。
(8)物理安全防止底層漏洞�����。其防護(hù)的內(nèi)容主要包括機(jī)房安全、機(jī)柜安全���、服務(wù)器和網(wǎng)絡(luò)連接等���。
二、醫(yī)療衛(wèi)生數(shù)據(jù)安全建設(shè)建議
在醫(yī)療信息化建設(shè)的過(guò)程中��,需要著重建設(shè)完善醫(yī)療衛(wèi)生數(shù)據(jù)安全��,主要是對(duì)醫(yī)療數(shù)據(jù)進(jìn)行監(jiān)管保護(hù)���,提供數(shù)據(jù)脫敏���、權(quán)限、用戶等數(shù)據(jù)的安全治理�,確保數(shù)據(jù)安全和可追溯,做到事前實(shí)施技術(shù)和管理措施��,預(yù)防數(shù)據(jù)泄露���;事中保障管理和技術(shù)措施持續(xù)有效���,監(jiān)控?cái)?shù)據(jù)泄露�����;事后分析事件泄露原因�,改進(jìn)管控措施�。
1.加強(qiáng)醫(yī)療數(shù)據(jù)管理
各個(gè)醫(yī)療行政管理部門及醫(yī)療衛(wèi)生機(jī)構(gòu)需要對(duì)本單位內(nèi)現(xiàn)有醫(yī)療衛(wèi)生核心系統(tǒng)的數(shù)據(jù)庫(kù)資產(chǎn)和數(shù)據(jù)資產(chǎn)進(jìn)行全方位梳理,及時(shí)發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫(kù)用戶分布及權(quán)限詳情����,深度挖掘僵尸庫(kù)以及病患敏感數(shù)據(jù)的分布對(duì)包含患者敏感數(shù)據(jù)的表、模式��、庫(kù)進(jìn)行敏感度評(píng)分�,并進(jìn)一步對(duì)醫(yī)療數(shù)據(jù)進(jìn)行分類分級(jí)。對(duì)醫(yī)療核心數(shù)據(jù)資產(chǎn)進(jìn)行周期性動(dòng)態(tài)分析����,實(shí)時(shí)動(dòng)態(tài)掌握數(shù)據(jù)資產(chǎn)變化及使用趨勢(shì),做到對(duì)醫(yī)療數(shù)據(jù)的風(fēng)險(xiǎn)預(yù)估和異常評(píng)測(cè)��。
2.加強(qiáng)數(shù)據(jù)庫(kù)安全防護(hù)
(1)綜合評(píng)估數(shù)據(jù)庫(kù)“弱點(diǎn)”
通過(guò)專業(yè)度及成熟度較高的數(shù)據(jù)庫(kù)“弱點(diǎn)”評(píng)估技術(shù)���,對(duì)現(xiàn)有醫(yī)療核心數(shù)據(jù)庫(kù)的運(yùn)行狀態(tài)進(jìn)行周期性監(jiān)控和綜合風(fēng)險(xiǎn)評(píng)估,評(píng)估范圍覆蓋醫(yī)療DBMS漏洞、管理員維護(hù)漏洞���、程序代碼漏洞和高危敏感醫(yī)療數(shù)據(jù)檢測(cè)四個(gè)方面�;充分暴露并證明數(shù)據(jù)庫(kù)自身的安全漏洞�、弱配置項(xiàng)、缺省配置項(xiàng)��、弱口令��、缺省口令���、易受攻擊代碼���、程序后門、權(quán)限寬泛等安全風(fēng)險(xiǎn)�����,繼而根據(jù)修復(fù)建議����,有針對(duì)性的對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全加固。
(2)讓攻擊“進(jìn)不來(lái)”
醫(yī)療行業(yè)的業(yè)務(wù)系統(tǒng)環(huán)境復(fù)雜����,三級(jí)醫(yī)院便可具備一百套以上的醫(yī)療系統(tǒng)���,數(shù)據(jù)庫(kù)為這些醫(yī)療系統(tǒng)開放了繁雜的接口,而醫(yī)院因考慮到業(yè)務(wù)穩(wěn)定性����,無(wú)法及時(shí)更新或不能更新數(shù)據(jù)庫(kù)補(bǔ)丁,因此需要在各類醫(yī)療系統(tǒng)的數(shù)據(jù)庫(kù)外圍創(chuàng)建一個(gè)安全防護(hù)層����,即虛擬補(bǔ)丁,并通過(guò)虛擬補(bǔ)丁對(duì)CVE上已公開的數(shù)據(jù)庫(kù)漏洞進(jìn)行全方位攻擊特征攔截��。漏洞分類涵蓋緩沖區(qū)溢出��、權(quán)限提升�����、拒絕服務(wù)攻擊等�����,從而實(shí)現(xiàn)在數(shù)據(jù)庫(kù)不打補(bǔ)丁的情況下也能完成數(shù)據(jù)庫(kù)漏洞防護(hù)的目的�。
(3)讓數(shù)據(jù)“拿不走”
為了防止黑客或內(nèi)部高權(quán)限用戶整體拖庫(kù)����,造成大批量明文數(shù)據(jù)泄露���,需對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密。通過(guò)多級(jí)權(quán)限控制體系����,按角色、IP地址���、時(shí)間范圍對(duì)密文進(jìn)行訪問(wèn)控制����,并通過(guò)對(duì)應(yīng)用程序或系統(tǒng)進(jìn)行摘要值和連接隨機(jī)種子的判定���,保證應(yīng)用身份標(biāo)識(shí)不可偽造����,合法連接不可重放�����,實(shí)現(xiàn)醫(yī)療數(shù)據(jù)被盜后無(wú)法查看明文的目的。
(4)事后追溯
對(duì)醫(yī)生���、護(hù)士�、系統(tǒng)運(yùn)維人員��、DBA�、外包人員等的數(shù)據(jù)庫(kù)操作行為進(jìn)行全量記錄,記錄信息需包含應(yīng)用信息�����、客戶端信息��、訪問(wèn)工具��、操作行為�����、執(zhí)行對(duì)象�����、響應(yīng)時(shí)長(zhǎng)、應(yīng)答結(jié)果���、影響范疇等20多類元素����。對(duì)于外部發(fā)起的數(shù)據(jù)庫(kù)漏洞攻擊���、惡意SQL注入行為、非法業(yè)務(wù)登錄���、高危SQL操作和批量醫(yī)療數(shù)據(jù)下載����,及時(shí)發(fā)現(xiàn)并告警��。
3.加強(qiáng)第三方數(shù)據(jù)交換管理
對(duì)于各類醫(yī)療系統(tǒng)的開發(fā)測(cè)試以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況���,建議通過(guò)專業(yè)技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別和統(tǒng)一管理����,針對(duì)共享數(shù)據(jù)中包含的患者個(gè)人隱私數(shù)據(jù)�,采用脫敏算法將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù),隱藏真正的患者敏感信息���,防止各機(jī)構(gòu)內(nèi)部對(duì)隱私數(shù)據(jù)的濫用��。
對(duì)于醫(yī)院上報(bào)給第三方醫(yī)療機(jī)構(gòu)��,如衛(wèi)健委���、疾控中心等的醫(yī)療數(shù)據(jù)���,其中若包含患者隱私信息或其他敏感處方信息,建議對(duì)數(shù)據(jù)行為進(jìn)行流程化管理�,對(duì)醫(yī)療數(shù)據(jù)外發(fā)行為進(jìn)行事前數(shù)據(jù)發(fā)現(xiàn)梳理、申請(qǐng)審批���、事中添加數(shù)據(jù)標(biāo)記��、自動(dòng)生成水印�、外發(fā)行為審計(jì)�、數(shù)據(jù)源追溯等,避免內(nèi)部人員外發(fā)數(shù)據(jù)泄露無(wú)法進(jìn)行追溯�����。
4.加強(qiáng)數(shù)據(jù)訪問(wèn)管理
對(duì)于醫(yī)生、護(hù)士���、醫(yī)院外包服務(wù)人員�����、院方內(nèi)部運(yùn)維人員���、醫(yī)療數(shù)據(jù)分析人員、醫(yī)院各類系統(tǒng)的研發(fā)和測(cè)試團(tuán)隊(duì)需要訪問(wèn)數(shù)據(jù)的情況����,建議在不影響其正常工作的前提下�����,通過(guò)相關(guān)技術(shù)準(zhǔn)確識(shí)別敏感數(shù)據(jù)訪問(wèn)行為��,采用多級(jí)權(quán)限管控手段����,針對(duì)其訪問(wèn)過(guò)程中接觸的用戶隱私信息及其他敏感信息,在數(shù)據(jù)庫(kù)通訊協(xié)議層面�����,通過(guò)SQL代理技術(shù)實(shí)現(xiàn)完全透明的、實(shí)時(shí)的動(dòng)態(tài)遮蔽��;根據(jù)不同業(yè)務(wù)用戶身份�����、不同業(yè)務(wù)功能模塊進(jìn)行遮蔽配置����,以適應(yīng)復(fù)雜環(huán)境下的敏感數(shù)據(jù)使用需求。
通過(guò)“用戶+操作+對(duì)象+時(shí)間”的控制策略�,防止大規(guī)模醫(yī)療數(shù)據(jù)泄露或篡改,防止批量數(shù)據(jù)查詢和下載��,以及敏感表非法訪問(wèn)��。對(duì)于內(nèi)部高權(quán)限用戶的高危操作�,針對(duì)應(yīng)用系統(tǒng)初始建模和高危SQL語(yǔ)句定義,捕獲所有應(yīng)用訪問(wèn)SQL語(yǔ)句�����,形成語(yǔ)法抽象����,用戶根據(jù)風(fēng)險(xiǎn)確定黑名單或白名單�,一旦觸發(fā)黑名單則對(duì)其進(jìn)行攔截�����,如果特殊場(chǎng)景下必須執(zhí)行高危命令�����,則需要進(jìn)行申請(qǐng)����,審批通過(guò)后方可執(zhí)行。
