一�、我國醫(yī)療衛(wèi)生數(shù)據(jù)安全現(xiàn)狀
1.整體現(xiàn)狀概述
隨著信息技術(shù)的不斷完善,數(shù)據(jù)安全成為信息化建設(shè)的重點(diǎn)�����,國家近幾年也陸續(xù)頒布了數(shù)據(jù)安全建設(shè)相關(guān)政策�����。如2016年��,國務(wù)院辦公廳印發(fā)《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》提出����,加強(qiáng)健康醫(yī)療數(shù)據(jù)安全保障。2019年��,國家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見稿)》提出����,保障個(gè)人信息和重要數(shù)據(jù)安全。
隨著互聯(lián)網(wǎng)����、大數(shù)據(jù)、云計(jì)算技術(shù)的快速發(fā)展�����,我國醫(yī)療機(jī)構(gòu)的信息化程度越來越高����,逐步向數(shù)字化醫(yī)療、智慧醫(yī)療發(fā)展�����。新型技術(shù)的使用必然帶來新的安全風(fēng)險(xiǎn)。
(1)存在外部攻擊的風(fēng)險(xiǎn)�,醫(yī)療數(shù)據(jù)有著得天獨(dú)厚的價(jià)值,很容易引發(fā)來自互聯(lián)網(wǎng)的攻擊行為�����,漏洞的存在���,為外部攻擊提供了途徑�����,黑客能夠非常精準(zhǔn)地獲取數(shù)據(jù)����,繼而進(jìn)行精確詐騙���。
(2)存在不安全網(wǎng)絡(luò)風(fēng)險(xiǎn)�,開放或半開放的網(wǎng)絡(luò)環(huán)境是醫(yī)療行業(yè)的典型特征���,開放的網(wǎng)絡(luò)環(huán)境使入侵者可以輕易地進(jìn)入醫(yī)院網(wǎng)絡(luò)�����,輕易地進(jìn)行物理攻擊�。當(dāng)前醫(yī)院存在相對混亂的互聯(lián)網(wǎng)接入服務(wù)現(xiàn)象�,在接入互聯(lián)網(wǎng)服務(wù)時(shí),大部分醫(yī)院就已經(jīng)把主動(dòng)權(quán)交付至互聯(lián)網(wǎng)服務(wù)提供商�����,缺乏統(tǒng)一的業(yè)務(wù)和安全規(guī)劃�����。
(3)存在數(shù)據(jù)管控風(fēng)險(xiǎn)�,雖然醫(yī)療組織正在逐漸增強(qiáng)數(shù)據(jù)安全意識,但關(guān)于數(shù)據(jù)管控尚未建立統(tǒng)一管理機(jī)制��,制度的完善相對滯后�,同時(shí)“互聯(lián)網(wǎng)+”等新興業(yè)態(tài)的不斷涌現(xiàn),并滲透至醫(yī)療領(lǐng)域的各個(gè)環(huán)節(jié)�,客觀上導(dǎo)致原本相對封閉的使用環(huán)境被逐漸打破。
(4)存在數(shù)據(jù)交換風(fēng)險(xiǎn)�,目前大量的醫(yī)療數(shù)據(jù)需要拿給第三方或者測試使用,存在真實(shí)數(shù)據(jù)泄露風(fēng)險(xiǎn),沒有建立科學(xué)的對外數(shù)據(jù)交換標(biāo)準(zhǔn)���,特別是病患敏感數(shù)據(jù)脫敏�。
(5)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)����,內(nèi)部及第三方運(yùn)維人員造成的數(shù)據(jù)泄露風(fēng)險(xiǎn),內(nèi)部工作人員的權(quán)限管控制度不完善����,很多非權(quán)限人員可以隨意接觸病患信息,造成很大泄露風(fēng)險(xiǎn)��,加之內(nèi)部人員監(jiān)控手段不足�,也會(huì)引發(fā)取證難問題。
2.典型案例分享
雖然醫(yī)療數(shù)據(jù)安全存在眾多的隱患��,但國內(nèi)還是有相當(dāng)一部分醫(yī)院在數(shù)據(jù)安全方面做得比較完善的�,如中國人民解放軍總醫(yī)院(301醫(yī)院)。該院通過醫(yī)療大數(shù)據(jù)安全防控的探索與實(shí)踐����,在守衛(wèi)醫(yī)療大數(shù)據(jù)安全上,取得了不錯(cuò)的成績�。
(1)建立集中化的平臺與服務(wù)機(jī)制。將數(shù)據(jù)資源集中管理,避免分散流失����。
(2)去隱私����,降低數(shù)據(jù)敏感度。
(3)按資源需求授權(quán)分解安全風(fēng)險(xiǎn)�����。將數(shù)據(jù)資源“化整為零”�,原始醫(yī)療數(shù)據(jù)擁有內(nèi)容全、范圍大��,以及每個(gè)研究所需數(shù)據(jù)范圍有限的特點(diǎn)����。
(4)虛擬桌面建立安全圍墻。將數(shù)據(jù)處理部署于服務(wù)器上����,杜絕數(shù)據(jù)從本地復(fù)制。
(5)數(shù)據(jù)庫審計(jì)追蹤使用行為�。建設(shè)前置規(guī)定+事后審計(jì),擁有靈活簡便的特點(diǎn)。
(6)堡壘機(jī)實(shí)現(xiàn)運(yùn)維監(jiān)控�。應(yīng)用堡壘機(jī)技術(shù),實(shí)現(xiàn)對運(yùn)維操作的記錄與回放����,以及對運(yùn)維權(quán)限的統(tǒng)一管理。
(7)網(wǎng)絡(luò)隔離劃分安全區(qū)域��。按照不同的安全等級劃分網(wǎng)絡(luò)和通過防火墻限制訪問權(quán)限等網(wǎng)絡(luò)層面進(jìn)行管理權(quán)限�����。
(8)物理安全防止底層漏洞����。其防護(hù)的內(nèi)容主要包括機(jī)房安全、機(jī)柜安全���、服務(wù)器和網(wǎng)絡(luò)連接等�。
二����、醫(yī)療衛(wèi)生數(shù)據(jù)安全建設(shè)建議
在醫(yī)療信息化建設(shè)的過程中,需要著重建設(shè)完善醫(yī)療衛(wèi)生數(shù)據(jù)安全�,主要是對醫(yī)療數(shù)據(jù)進(jìn)行監(jiān)管保護(hù)��,提供數(shù)據(jù)脫敏�、權(quán)限�、用戶等數(shù)據(jù)的安全治理,確保數(shù)據(jù)安全和可追溯�����,做到事前實(shí)施技術(shù)和管理措施��,預(yù)防數(shù)據(jù)泄露�����;事中保障管理和技術(shù)措施持續(xù)有效����,監(jiān)控?cái)?shù)據(jù)泄露����;事后分析事件泄露原因,改進(jìn)管控措施�����。
1.加強(qiáng)醫(yī)療數(shù)據(jù)管理
各個(gè)醫(yī)療行政管理部門及醫(yī)療衛(wèi)生機(jī)構(gòu)需要對本單位內(nèi)現(xiàn)有醫(yī)療衛(wèi)生核心系統(tǒng)的數(shù)據(jù)庫資產(chǎn)和數(shù)據(jù)資產(chǎn)進(jìn)行全方位梳理,及時(shí)發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫用戶分布及權(quán)限詳情��,深度挖掘僵尸庫以及病患敏感數(shù)據(jù)的分布對包含患者敏感數(shù)據(jù)的表�、模式、庫進(jìn)行敏感度評分���,并進(jìn)一步對醫(yī)療數(shù)據(jù)進(jìn)行分類分級���。對醫(yī)療核心數(shù)據(jù)資產(chǎn)進(jìn)行周期性動(dòng)態(tài)分析,實(shí)時(shí)動(dòng)態(tài)掌握數(shù)據(jù)資產(chǎn)變化及使用趨勢����,做到對醫(yī)療數(shù)據(jù)的風(fēng)險(xiǎn)預(yù)估和異常評測。
2.加強(qiáng)數(shù)據(jù)庫安全防護(hù)
(1)綜合評估數(shù)據(jù)庫“弱點(diǎn)”
通過專業(yè)度及成熟度較高的數(shù)據(jù)庫“弱點(diǎn)”評估技術(shù)���,對現(xiàn)有醫(yī)療核心數(shù)據(jù)庫的運(yùn)行狀態(tài)進(jìn)行周期性監(jiān)控和綜合風(fēng)險(xiǎn)評估��,評估范圍覆蓋醫(yī)療DBMS漏洞����、管理員維護(hù)漏洞�、程序代碼漏洞和高危敏感醫(yī)療數(shù)據(jù)檢測四個(gè)方面;充分暴露并證明數(shù)據(jù)庫自身的安全漏洞��、弱配置項(xiàng)、缺省配置項(xiàng)����、弱口令、缺省口令����、易受攻擊代碼、程序后門�����、權(quán)限寬泛等安全風(fēng)險(xiǎn)��,繼而根據(jù)修復(fù)建議���,有針對性的對數(shù)據(jù)庫進(jìn)行安全加固。
(2)讓攻擊“進(jìn)不來”
醫(yī)療行業(yè)的業(yè)務(wù)系統(tǒng)環(huán)境復(fù)雜��,三級醫(yī)院便可具備一百套以上的醫(yī)療系統(tǒng)�,數(shù)據(jù)庫為這些醫(yī)療系統(tǒng)開放了繁雜的接口,而醫(yī)院因考慮到業(yè)務(wù)穩(wěn)定性��,無法及時(shí)更新或不能更新數(shù)據(jù)庫補(bǔ)丁�����,因此需要在各類醫(yī)療系統(tǒng)的數(shù)據(jù)庫外圍創(chuàng)建一個(gè)安全防護(hù)層,即虛擬補(bǔ)丁����,并通過虛擬補(bǔ)丁對CVE上已公開的數(shù)據(jù)庫漏洞進(jìn)行全方位攻擊特征攔截。漏洞分類涵蓋緩沖區(qū)溢出�����、權(quán)限提升����、拒絕服務(wù)攻擊等,從而實(shí)現(xiàn)在數(shù)據(jù)庫不打補(bǔ)丁的情況下也能完成數(shù)據(jù)庫漏洞防護(hù)的目的��。
(3)讓數(shù)據(jù)“拿不走”
為了防止黑客或內(nèi)部高權(quán)限用戶整體拖庫���,造成大批量明文數(shù)據(jù)泄露�����,需對數(shù)據(jù)庫中存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密�。通過多級權(quán)限控制體系��,按角色、IP地址�、時(shí)間范圍對密文進(jìn)行訪問控制,并通過對應(yīng)用程序或系統(tǒng)進(jìn)行摘要值和連接隨機(jī)種子的判定��,保證應(yīng)用身份標(biāo)識不可偽造��,合法連接不可重放�����,實(shí)現(xiàn)醫(yī)療數(shù)據(jù)被盜后無法查看明文的目的�����。
(4)事后追溯
對醫(yī)生����、護(hù)士����、系統(tǒng)運(yùn)維人員、DBA����、外包人員等的數(shù)據(jù)庫操作行為進(jìn)行全量記錄����,記錄信息需包含應(yīng)用信息�、客戶端信息、訪問工具�����、操作行為����、執(zhí)行對象、響應(yīng)時(shí)長��、應(yīng)答結(jié)果���、影響范疇等20多類元素��。對于外部發(fā)起的數(shù)據(jù)庫漏洞攻擊����、惡意SQL注入行為����、非法業(yè)務(wù)登錄��、高危SQL操作和批量醫(yī)療數(shù)據(jù)下載�,及時(shí)發(fā)現(xiàn)并告警��。
3.加強(qiáng)第三方數(shù)據(jù)交換管理
對于各類醫(yī)療系統(tǒng)的開發(fā)測試以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況����,建議通過專業(yè)技術(shù)對敏感數(shù)據(jù)進(jìn)行自動(dòng)識別和統(tǒng)一管理,針對共享數(shù)據(jù)中包含的患者個(gè)人隱私數(shù)據(jù)�,采用脫敏算法將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù),隱藏真正的患者敏感信息����,防止各機(jī)構(gòu)內(nèi)部對隱私數(shù)據(jù)的濫用。
對于醫(yī)院上報(bào)給第三方醫(yī)療機(jī)構(gòu)���,如衛(wèi)健委�、疾控中心等的醫(yī)療數(shù)據(jù)��,其中若包含患者隱私信息或其他敏感處方信息��,建議對數(shù)據(jù)行為進(jìn)行流程化管理���,對醫(yī)療數(shù)據(jù)外發(fā)行為進(jìn)行事前數(shù)據(jù)發(fā)現(xiàn)梳理����、申請審批�、事中添加數(shù)據(jù)標(biāo)記、自動(dòng)生成水印����、外發(fā)行為審計(jì)、數(shù)據(jù)源追溯等���,避免內(nèi)部人員外發(fā)數(shù)據(jù)泄露無法進(jìn)行追溯�����。
4.加強(qiáng)數(shù)據(jù)訪問管理
對于醫(yī)生����、護(hù)士����、醫(yī)院外包服務(wù)人員、院方內(nèi)部運(yùn)維人員��、醫(yī)療數(shù)據(jù)分析人員、醫(yī)院各類系統(tǒng)的研發(fā)和測試團(tuán)隊(duì)需要訪問數(shù)據(jù)的情況�����,建議在不影響其正常工作的前提下�,通過相關(guān)技術(shù)準(zhǔn)確識別敏感數(shù)據(jù)訪問行為,采用多級權(quán)限管控手段�����,針對其訪問過程中接觸的用戶隱私信息及其他敏感信息�,在數(shù)據(jù)庫通訊協(xié)議層面,通過SQL代理技術(shù)實(shí)現(xiàn)完全透明的�����、實(shí)時(shí)的動(dòng)態(tài)遮蔽����;根據(jù)不同業(yè)務(wù)用戶身份、不同業(yè)務(wù)功能模塊進(jìn)行遮蔽配置�����,以適應(yīng)復(fù)雜環(huán)境下的敏感數(shù)據(jù)使用需求��。
通過“用戶+操作+對象+時(shí)間”的控制策略���,防止大規(guī)模醫(yī)療數(shù)據(jù)泄露或篡改�����,防止批量數(shù)據(jù)查詢和下載����,以及敏感表非法訪問�����。對于內(nèi)部高權(quán)限用戶的高危操作�����,針對應(yīng)用系統(tǒng)初始建模和高危SQL語句定義�,捕獲所有應(yīng)用訪問SQL語句,形成語法抽象���,用戶根據(jù)風(fēng)險(xiǎn)確定黑名單或白名單��,一旦觸發(fā)黑名單則對其進(jìn)行攔截�,如果特殊場景下必須執(zhí)行高危命令,則需要進(jìn)行申請����,審批通過后方可執(zhí)行。
