大數據背景下醫院信息安全體系的升級

文/葛思立

在醫療領域中，醫院信息化建設不斷得到強化，醫院工作整體效率大大提升，對應的患者就診體驗也因此得到優化，醫院整體工作，從醫生到患者各個環節，都比以往更多依賴信息系統。這種技術環境決定了一旦醫療信息系統崩潰或者遭受攻擊，醫院整體工作都可能會陷入癱瘓，甚至于給患者帶來生命威脅。因此如何在當前加強信息安全體系的建設，成為廣大醫院相關工作人員面對的共同難題。

1 大數據相關概念與信息安全

大數據的概念最早由維克托?邁爾-舍恩伯格及肯尼斯?庫克耶提出，在二者編寫的《大數據時代》中，他們強調大數據是面向數據集群整體的一種解讀工作，而非從海量數據中抽取樣本代替。除此以外，IBM也曾經從側面對大數據進行了定義，用5V特征來進行描述，即Volume（大量）、Velocity（高速）、Variety（多樣）、Value（低價值密度）、Veracity（真實性）。而針對大數據進行概念界定的，還有麥肯錫，其將大數據定義為“一種規模大到在獲取、存儲、管理、分析方面大大超出了傳統數據庫軟件工具能力范圍的數據集合，具有海量的數據規模、快速的數據流轉、多樣的數據類型和價值密度低四大特征。”

隨著科技的發展，對于大數據的定義方向，從曾經關注數據群體本身，轉向了關注相關數據處理技術。而海量數據所帶來的安全問題，也在這樣的環境下不斷突出出來。對于醫療環境而言，病人的個人信息檔案，病例檔案，醫生診斷以及記錄等，都成為醫院信息安全需要關注的重點。如何保證這些信息能夠得到有效保護，是當前醫院信息部門工作的一個重點所在。

2 醫院信息安全體系建設現狀

中國醫院協會信息管理專業委員會抽樣調查了全國484家醫院，并且發布了《2017-2018中國醫院信息化狀況調查報告》，從報告中可以看到幾個重點。首先，92%的醫院都有專門的信息部門，負責處理相關信息并且保證醫療信息系統的安全。其次，75.82%的醫院都設立了獨立的物理隔離網絡。而在安全措施方面，醫院系統所選用的主要包括防火墻、VPN以及上網行為管理三個方面。進一步細分考察，可以發現用戶權限控制的應用比例最高，其中應用系統用戶行為審計日志使用率占30.79%，電子簽名的應用占15.08%，單點登陸占15.08%。相對而言，采用率最低的是生物信息識別技術，包括諸如指紋、聲音、虹膜等，僅占3.1%。

對于醫院而言，信息以及數據的安全問題，基本可以得到全員的認可，但是仍然有很多工作人員并未加以重視。雖然用戶權限是醫療領域中最為常用，并且也相對應用比較深入的安全舉措，但是從信息系統日常用戶的角度看，安全觀念仍然有待于深入。這種安全觀念的欠缺，在實際工作中多表現為對于某些界面使用之后未能及時退出等。雖然總體來說此類細節的危害比較有限，但是一旦網絡環境中存在惡意的信息侵略行為，這些開放的身份頁面就很容易變成進入系統的端口，造成信息的流失，為整個系統帶來更大面積的危害。

除此以外，醫院信息系統的另外兩個安全隱患來源于病毒和外部攻擊。從表面看，這兩個安全隱患與常規網絡環境下的安全隱患基本一致，但是在大數據格局中，病毒的危害在一定程度上被放大了。醫療系統中海量的文件和數據，讓安全運算能力無法有效地及時檢查每一個細節，因此給了病毒更多的傳播時間，對應的病毒危害，也因此而加劇。這種相對于傳統數據環境而言的大數據環境特征，面對的安全隱患明顯更為嚴峻。而外部攻擊，對于醫療系統而言同樣不能忽視。針對醫療系統的黑客一直存在，他們會非法竊取各類數據展開營銷或者非法販賣，或者基于醫療糾紛等動機伺機入侵醫療系統。這些外部力量通常都攜帶有非法目的，是會直接帶來安全威脅的重要因素，相對于病毒而言，這種外部攻擊力量更加不容忽視。

3 醫院信息安全領域核心技術分析

安全技術自計算機產生以來就成為整個社會關注的重點，隨著網絡的發展，安全技術也呈現出突飛猛進的狀態。大數據時代所帶來的安全威脅陡然上升，但是對應地大數據也給安全體系的建設帶來更為強大的支持力。具體而言，當前重點應用于醫院信息系統中的安全技術包括如下幾個方面：

3.1 病毒防范軟件以及防火墻

把這兩種技術列入到一個方面，主要是這兩種技術相對而言都比較成熟。對于這二者來說，通常及時的更新，就可以發揮一定的安全防范作用。但是在大數據時代而言，二者還需要依據對應的大數據技術，展開具有一定針對性的部署，才能獲取更為良好的效果，對醫療信息系統進行更為嚴密的安全防范。對于前者而言，病毒防范軟件更應當利用當前大數據體系中常見的云技術，來加強病毒防范過程中的運算能力短缺的問題。而對于防火墻方面而言，則應當加強醫院信息傳輸的特征分析，通過此種方式獲取到傳輸特征，加強網絡邊界管理，并且制定對應的策略實現防火墻的優化。而這種對于數據傳輸的分析，同樣有賴于大數據技術的支持。對于這兩個方面技術的實施，在實際工作中應當注意及時更新，保證二者能夠實現迭代的發展。只有保證病毒特征庫以及防火墻機制的有效性，才可以有效地確保醫院在使用計算機網絡系統時的運行環境能夠處在安全的狀態，讓所有的使用用戶可以放心使用，并且安全通過計算機網絡進行數據的交換。

3.2 積極引入和加強認證簽名技術

相對而言，認證簽名技術仍然屬于一種新型技術。在應用認證簽名技術時，只有證書的擁有者才可以使用公共鑰匙，也就是說，當醫院環境中的工作人員想要使用醫院內部網絡聯網進行工作的時候，必須通過認證簽名才能開啟。認證簽名技術能夠在最短時間內對該端點進行驗證，確定信息屬實，此種技術的本質是快速獲取到用戶信息，并且為接入網絡的用戶匹配對應的權限。就目前而言，此種技術除了用于實現對于院內工作人員身份信息的快速識別以外，還用于鑒別病歷書寫人員的真實身份，因此有助于實現病歷本身的安全，避免了在發生醫療事故情況下，醫務工作者互相推諉責任的問題。

3.3 加強入侵檢測系統的建設

與病毒防范軟件以及防火墻相比，入侵檢測系統有著更為主動的行為特征。其技術關鍵特征在于能夠依據事先所設置的各種關鍵信息特征，來對網絡環境中的用戶，以及相應的用戶行為進行檢測和監察。對于醫療信息系統而言，不同來源的數據本身就帶有極強的特征，其通信傳輸的去向也都會存在一定的固有路線，這些都可以作為入侵檢測系統展開工作的必要依據。在實際工作中，入侵檢測系統可以自行對醫療信息系統中的數據傳輸模式以及數據格式進行學習，一旦發現非法入侵或者病毒等與日常數據狀態或者數據傳輸行為不一致的情況，系統就會占據進一步的檢測，或者采取隔離并且發出警告。通常來說，入侵檢測系統與防火墻會保持一種聯動的合作狀態，一旦出現了對局域網的外部攻擊時，就可以實現兩種系統同時防護，以此來確保醫院的內網不受到攻擊，最大限度地保證了醫院內的數據信息安全。防火墻本身的相對來說被動的防御特征，與主動的入侵檢測系統相輔相成，能夠實現信息防御效果的最大化。

3.4 加強數據識別

在醫院信息系統中，各個科室輸出的各類數據，不僅僅總量龐大，種類和格式也繁雜。這些數據混在一起，很難實現有效處理。但是對于醫院工作體系而言，所有的數據，從產出一直到傳輸，再倒存檔，都是一個有跡可循的過程，因此雖然數據總量龐大，但是想要展開有效的識別和分析卻仍然存在可能。對不同的數據進行識別，從而對其可能傳輸的去向進行判斷，一旦發現異常就可以進行隔離或者告警。并且針對不同的數據提供不同等級不同方式的安全保護，一方面可以有針對性地提升數據安全，另一個方面也能更為有效地實現網絡環境中安全運算力的利用。

3.5 VPN的深入應用

虛擬專用網絡（VPN，Virtual Private Network）的主要作用在于，在公用網絡上建立虛擬的專用信息傳輸通道，進行加密通訊。VPN在現階段而言，最主要的用途在于在地理分布式狀態的組織環境中實現遠程訪問。對于醫院而言，院區本身有時候也會呈現出分布特征，不同地理位置上的院區之間想要實現安全有效的通信，必然需要VPN技術的參與。除此以外，科室內部不同醫護工作人員在醫院環境中也會處于不同的地理位置，這些人員想要實現順暢的通信，同樣可以依賴VPN實現。并且VPN技術中提供的信息加密方式，能夠提供比常規加密更為安全的算法，從而做到以虛擬通道的方式有效傳輸，在安全水平上基本可以得到保證。

4 結論

對于醫院而言，數據規模之大已經成為信息系統安全的重要特征。一方面這種大數據必然會為安全防范帶來挑戰，另一個方面大數據技術也必然會為安全管理系統帶來更多的技術支持。在這樣的背景之下，唯有深入分析醫療信息系統的數據特征，才能有的放矢的展開安全技術的布局，不斷提升安全水平。