一���、我國醫(yī)療衛(wèi)生數(shù)據(jù)安全現(xiàn)狀
1.整體現(xiàn)狀概述
隨著信息技術(shù)的不斷完善�,數(shù)據(jù)安全成為信息化建設(shè)的重點��,國家近幾年也陸續(xù)頒布了數(shù)據(jù)安全建設(shè)相關(guān)政策。如2016年�����,國務(wù)院辦公廳印發(fā)《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》提出����,加強健康醫(yī)療數(shù)據(jù)安全保障����。2019年,國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見稿)》提出��,保障個人信息和重要數(shù)據(jù)安全����。
隨著互聯(lián)網(wǎng)、大數(shù)據(jù)���、云計算技術(shù)的快速發(fā)展����,我國醫(yī)療機構(gòu)的信息化程度越來越高�����,逐步向數(shù)字化醫(yī)療、智慧醫(yī)療發(fā)展��。新型技術(shù)的使用必然帶來新的安全風(fēng)險�。
(1)存在外部攻擊的風(fēng)險,醫(yī)療數(shù)據(jù)有著得天獨厚的價值��,很容易引發(fā)來自互聯(lián)網(wǎng)的攻擊行為�,漏洞的存在,為外部攻擊提供了途徑����,黑客能夠非常精準(zhǔn)地獲取數(shù)據(jù),繼而進行精確詐騙�。
(2)存在不安全網(wǎng)絡(luò)風(fēng)險,開放或半開放的網(wǎng)絡(luò)環(huán)境是醫(yī)療行業(yè)的典型特征���,開放的網(wǎng)絡(luò)環(huán)境使入侵者可以輕易地進入醫(yī)院網(wǎng)絡(luò)�,輕易地進行物理攻擊�����。當(dāng)前醫(yī)院存在相對混亂的互聯(lián)網(wǎng)接入服務(wù)現(xiàn)象,在接入互聯(lián)網(wǎng)服務(wù)時�,大部分醫(yī)院就已經(jīng)把主動權(quán)交付至互聯(lián)網(wǎng)服務(wù)提供商,缺乏統(tǒng)一的業(yè)務(wù)和安全規(guī)劃��。
(3)存在數(shù)據(jù)管控風(fēng)險���,雖然醫(yī)療組織正在逐漸增強數(shù)據(jù)安全意識��,但關(guān)于數(shù)據(jù)管控尚未建立統(tǒng)一管理機制����,制度的完善相對滯后���,同時“互聯(lián)網(wǎng)+”等新興業(yè)態(tài)的不斷涌現(xiàn),并滲透至醫(yī)療領(lǐng)域的各個環(huán)節(jié)��,客觀上導(dǎo)致原本相對封閉的使用環(huán)境被逐漸打破��。
(4)存在數(shù)據(jù)交換風(fēng)險�,目前大量的醫(yī)療數(shù)據(jù)需要拿給第三方或者測試使用,存在真實數(shù)據(jù)泄露風(fēng)險��,沒有建立科學(xué)的對外數(shù)據(jù)交換標(biāo)準(zhǔn),特別是病患敏感數(shù)據(jù)脫敏。
(5)存在數(shù)據(jù)泄露風(fēng)險����,內(nèi)部及第三方運維人員造成的數(shù)據(jù)泄露風(fēng)險����,內(nèi)部工作人員的權(quán)限管控制度不完善�����,很多非權(quán)限人員可以隨意接觸病患信息����,造成很大泄露風(fēng)險���,加之內(nèi)部人員監(jiān)控手段不足��,也會引發(fā)取證難問題����。
2.典型案例分享
雖然醫(yī)療數(shù)據(jù)安全存在眾多的隱患�����,但國內(nèi)還是有相當(dāng)一部分醫(yī)院在數(shù)據(jù)安全方面做得比較完善的���,如中國人民解放軍總醫(yī)院(301醫(yī)院)����。該院通過醫(yī)療大數(shù)據(jù)安全防控的探索與實踐,在守衛(wèi)醫(yī)療大數(shù)據(jù)安全上��,取得了不錯的成績��。
(1)建立集中化的平臺與服務(wù)機制���。將數(shù)據(jù)資源集中管理�����,避免分散流失���。
(2)去隱私��,降低數(shù)據(jù)敏感度����。
(3)按資源需求授權(quán)分解安全風(fēng)險。將數(shù)據(jù)資源“化整為零”����,原始醫(yī)療數(shù)據(jù)擁有內(nèi)容全����、范圍大�����,以及每個研究所需數(shù)據(jù)范圍有限的特點���。
(4)虛擬桌面建立安全圍墻�����。將數(shù)據(jù)處理部署于服務(wù)器上�,杜絕數(shù)據(jù)從本地復(fù)制����。
(5)數(shù)據(jù)庫審計追蹤使用行為。建設(shè)前置規(guī)定+事后審計�����,擁有靈活簡便的特點�。
(6)堡壘機實現(xiàn)運維監(jiān)控����。應(yīng)用堡壘機技術(shù)��,實現(xiàn)對運維操作的記錄與回放�����,以及對運維權(quán)限的統(tǒng)一管理���。
(7)網(wǎng)絡(luò)隔離劃分安全區(qū)域����。按照不同的安全等級劃分網(wǎng)絡(luò)和通過防火墻限制訪問權(quán)限等網(wǎng)絡(luò)層面進行管理權(quán)限�。
(8)物理安全防止底層漏洞。其防護的內(nèi)容主要包括機房安全�����、機柜安全�、服務(wù)器和網(wǎng)絡(luò)連接等。
二�、醫(yī)療衛(wèi)生數(shù)據(jù)安全建設(shè)建議
在醫(yī)療信息化建設(shè)的過程中�����,需要著重建設(shè)完善醫(yī)療衛(wèi)生數(shù)據(jù)安全,主要是對醫(yī)療數(shù)據(jù)進行監(jiān)管保護����,提供數(shù)據(jù)脫敏、權(quán)限���、用戶等數(shù)據(jù)的安全治理��,確保數(shù)據(jù)安全和可追溯���,做到事前實施技術(shù)和管理措施,預(yù)防數(shù)據(jù)泄露����;事中保障管理和技術(shù)措施持續(xù)有效,監(jiān)控數(shù)據(jù)泄露����;事后分析事件泄露原因,改進管控措施���。
1.加強醫(yī)療數(shù)據(jù)管理
各個醫(yī)療行政管理部門及醫(yī)療衛(wèi)生機構(gòu)需要對本單位內(nèi)現(xiàn)有醫(yī)療衛(wèi)生核心系統(tǒng)的數(shù)據(jù)庫資產(chǎn)和數(shù)據(jù)資產(chǎn)進行全方位梳理����,及時發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫用戶分布及權(quán)限詳情,深度挖掘僵尸庫以及病患敏感數(shù)據(jù)的分布對包含患者敏感數(shù)據(jù)的表��、模式�、庫進行敏感度評分,并進一步對醫(yī)療數(shù)據(jù)進行分類分級��。對醫(yī)療核心數(shù)據(jù)資產(chǎn)進行周期性動態(tài)分析�,實時動態(tài)掌握數(shù)據(jù)資產(chǎn)變化及使用趨勢,做到對醫(yī)療數(shù)據(jù)的風(fēng)險預(yù)估和異常評測�����。
2.加強數(shù)據(jù)庫安全防護
(1)綜合評估數(shù)據(jù)庫“弱點”
通過專業(yè)度及成熟度較高的數(shù)據(jù)庫“弱點”評估技術(shù)��,對現(xiàn)有醫(yī)療核心數(shù)據(jù)庫的運行狀態(tài)進行周期性監(jiān)控和綜合風(fēng)險評估����,評估范圍覆蓋醫(yī)療DBMS漏洞、管理員維護漏洞����、程序代碼漏洞和高危敏感醫(yī)療數(shù)據(jù)檢測四個方面;充分暴露并證明數(shù)據(jù)庫自身的安全漏洞��、弱配置項���、缺省配置項�、弱口令����、缺省口令、易受攻擊代碼��、程序后門���、權(quán)限寬泛等安全風(fēng)險�,繼而根據(jù)修復(fù)建議��,有針對性的對數(shù)據(jù)庫進行安全加固��。
(2)讓攻擊“進不來”
醫(yī)療行業(yè)的業(yè)務(wù)系統(tǒng)環(huán)境復(fù)雜���,三級醫(yī)院便可具備一百套以上的醫(yī)療系統(tǒng)�����,數(shù)據(jù)庫為這些醫(yī)療系統(tǒng)開放了繁雜的接口�,而醫(yī)院因考慮到業(yè)務(wù)穩(wěn)定性,無法及時更新或不能更新數(shù)據(jù)庫補丁�,因此需要在各類醫(yī)療系統(tǒng)的數(shù)據(jù)庫外圍創(chuàng)建一個安全防護層,即虛擬補丁�����,并通過虛擬補丁對CVE上已公開的數(shù)據(jù)庫漏洞進行全方位攻擊特征攔截���。漏洞分類涵蓋緩沖區(qū)溢出����、權(quán)限提升����、拒絕服務(wù)攻擊等,從而實現(xiàn)在數(shù)據(jù)庫不打補丁的情況下也能完成數(shù)據(jù)庫漏洞防護的目的�。
(3)讓數(shù)據(jù)“拿不走”
為了防止黑客或內(nèi)部高權(quán)限用戶整體拖庫,造成大批量明文數(shù)據(jù)泄露��,需對數(shù)據(jù)庫中存儲的敏感數(shù)據(jù)進行加密����。通過多級權(quán)限控制體系,按角色、IP地址��、時間范圍對密文進行訪問控制�,并通過對應(yīng)用程序或系統(tǒng)進行摘要值和連接隨機種子的判定,保證應(yīng)用身份標(biāo)識不可偽造���,合法連接不可重放,實現(xiàn)醫(yī)療數(shù)據(jù)被盜后無法查看明文的目的����。
(4)事后追溯
對醫(yī)生、護士�����、系統(tǒng)運維人員�、DBA、外包人員等的數(shù)據(jù)庫操作行為進行全量記錄���,記錄信息需包含應(yīng)用信息����、客戶端信息�、訪問工具、操作行為、執(zhí)行對象�、響應(yīng)時長、應(yīng)答結(jié)果���、影響范疇等20多類元素�����。對于外部發(fā)起的數(shù)據(jù)庫漏洞攻擊�����、惡意SQL注入行為����、非法業(yè)務(wù)登錄����、高危SQL操作和批量醫(yī)療數(shù)據(jù)下載,及時發(fā)現(xiàn)并告警�����。
3.加強第三方數(shù)據(jù)交換管理
對于各類醫(yī)療系統(tǒng)的開發(fā)測試以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況����,建議通過專業(yè)技術(shù)對敏感數(shù)據(jù)進行自動識別和統(tǒng)一管理�,針對共享數(shù)據(jù)中包含的患者個人隱私數(shù)據(jù)���,采用脫敏算法將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)���,隱藏真正的患者敏感信息,防止各機構(gòu)內(nèi)部對隱私數(shù)據(jù)的濫用�。
對于醫(yī)院上報給第三方醫(yī)療機構(gòu),如衛(wèi)健委����、疾控中心等的醫(yī)療數(shù)據(jù)����,其中若包含患者隱私信息或其他敏感處方信息,建議對數(shù)據(jù)行為進行流程化管理��,對醫(yī)療數(shù)據(jù)外發(fā)行為進行事前數(shù)據(jù)發(fā)現(xiàn)梳理�、申請審批、事中添加數(shù)據(jù)標(biāo)記���、自動生成水印�、外發(fā)行為審計、數(shù)據(jù)源追溯等����,避免內(nèi)部人員外發(fā)數(shù)據(jù)泄露無法進行追溯。
4.加強數(shù)據(jù)訪問管理
對于醫(yī)生��、護士���、醫(yī)院外包服務(wù)人員����、院方內(nèi)部運維人員�����、醫(yī)療數(shù)據(jù)分析人員��、醫(yī)院各類系統(tǒng)的研發(fā)和測試團隊需要訪問數(shù)據(jù)的情況���,建議在不影響其正常工作的前提下�����,通過相關(guān)技術(shù)準(zhǔn)確識別敏感數(shù)據(jù)訪問行為�����,采用多級權(quán)限管控手段��,針對其訪問過程中接觸的用戶隱私信息及其他敏感信息����,在數(shù)據(jù)庫通訊協(xié)議層面,通過SQL代理技術(shù)實現(xiàn)完全透明的���、實時的動態(tài)遮蔽����;根據(jù)不同業(yè)務(wù)用戶身份���、不同業(yè)務(wù)功能模塊進行遮蔽配置,以適應(yīng)復(fù)雜環(huán)境下的敏感數(shù)據(jù)使用需求����。
通過“用戶+操作+對象+時間”的控制策略,防止大規(guī)模醫(yī)療數(shù)據(jù)泄露或篡改����,防止批量數(shù)據(jù)查詢和下載��,以及敏感表非法訪問�����。對于內(nèi)部高權(quán)限用戶的高危操作��,針對應(yīng)用系統(tǒng)初始建模和高危SQL語句定義����,捕獲所有應(yīng)用訪問SQL語句��,形成語法抽象�,用戶根據(jù)風(fēng)險確定黑名單或白名單,一旦觸發(fā)黑名單則對其進行攔截�����,如果特殊場景下必須執(zhí)行高危命令�,則需要進行申請,審批通過后方可執(zhí)行����。
