大數據背景下如何做好醫療信息系統數據的安全

王文華 張大鵬 孟方明 王衛鵬

（山東省醫學影像學研究所信息中心 山東省濟南市 250022）

1 前言

隨著信息科學技術的飛速發展以及互聯網新技術的不斷進步和蓬勃發展，各行各業已經離不開網絡，在此背景下會產生大量的數據。尤其是在醫療行業中，醫院所使用信息系統的集成度不斷提高，HIS、PACS 系統數據庫會存儲大量病人數據。如何做到數據存儲的安全，成為醫療行業信息系統安全的一大重點工作。

2 數據安全的重要性

近年來，個人的隱私信息已成為人們越來越關心的方面，人們對它的重視程度也開始越來越高，這里所指的個人隱私信息是指通過計算機網絡以電子及其以另外方式記錄的能夠獨立或者結合其他個人隱私信息從而來識別特定私人身份信息或者是來反映特定的私人活動情況的各種隱私信息[1]，這里主要包括私人的姓名、當事人的出生年月日、個人證件件號碼、個人指紋虹膜等生物信息、個人的地址信息、手機號、郵箱、通話記錄、銀行以及APP 的賬號和密碼、私人財產的信息、銀行的個人征信、醫院住院門診信息所推導出的健康狀況等等[2]。

目前來看，這個網絡世界似乎在表面上表現得非常平靜，但是實際上它其實并不平靜，平靜僅僅只是一個假象。在當前信息安全威脅中，信息數據的泄露目前已經成為全世界人類活動范圍內算是最高發的安全事件，并且就目前來看它的事態一直保持在上升的趨勢[3]。

從2013年雅虎的用戶信息泄露到2019年4月第三方Facebook應用程序數據泄露5.4 億條記錄。個人信息數據的泄露事件從未停止，我們應當怎樣保證數據信息的安全面臨著更為嚴峻的挑戰。依據深信服發布的數據顯示目前來看企業、機構所失陷的主機在 2019年度一直在持續上升中，在 2019年12月達到了最高峰，統計的有56 萬臺主機和服務器被感染了[4]。

從當前Risk Based Security 發布的信息數據泄露報告來看，僅僅在2019年上半年被黑客或者是企業內部人員泄露出來的 41 億條數據中竟然有 32 億條的信息數據泄露于 8 起泄露事件有關，數據泄露竟然占到了總數的 78%。

在中央電視臺2009年度315 晚會中，節目曝光了私人隱私數據泄露產業鏈，個人信息安全事件又一次被推入眾人的視界，引起廣大人民的關注。自從來到了網絡時代后，數據信息的安全保護工作難度將大大提高。我們受所到來自網絡安全方面的威脅越來越嚴重，例如網絡上數據信息竊賊、來自于黑客的入侵、廣大的病毒發布者，更如甚者就是來自于公司內部的惡意泄密者[5]。如何保證數據信息的安全，目前已經成為各行各業尤其是醫療行業信息化系統的建設中最為首要的問題。

一個掌握數據企業的核心資產就是數據，假如數據遭到黑客的泄露，那會對這個企業，乃至用戶的造成莫大的損失，只有做好數據的保護工作，才能避免在遭受到攻擊的時候發生數據泄露。在醫院的信息系統中存在著大量的病人個人信息，同時也有珍貴的影像資料以及患者的治療信息，因此醫院的信息安全、數據安全成為保護的當務之急[6]。

3 如何做到數據的安全

3.1 工作站安全

工作站要安裝殺毒軟件，嚴禁連接外網，杜絕優盤等移動介質的使用，隨著木馬病毒的不斷升級演變,移動存儲介質（優盤、移動硬盤等）已經成為木馬病毒最為主要的傳播方式[7]。工作站連接著內外服務器，一旦通過移動介質感染木馬，整個網絡都可能別感染。

3.2 數據傳輸過程

數據傳輸過程中采用加密傳輸方法，目前常用的加密算法主要有對稱加密(DES 3DES AES)以及非對稱加密(RSA)[8]，采用加密技術將數據進行傳輸可以很好地防止數據信息在傳輸過程中被竊聽。

3.3 數據存儲安全

目前絕大部分的數據存儲在數據庫中，數據在存儲過程中采用加密的方式進行存儲，可以有效地防止數據泄露以后被還原，同時在數據的展示過程中采用脫敏的方式進行展示。

3.4 入侵防范技術

采用入侵防范技術，在醫療信息系統網絡的網絡關鍵節點處部署入侵檢測設備和技術[9]，可以做到檢測并同時防止或者限制從內外部網絡發起的攻擊。同時應該做到當檢測到有網絡攻擊行為時，應當記錄下攻擊源IP、攻擊的類型、攻擊的目標、攻擊所發生時間，從而能做到在發生重大網絡入侵行為時自動提供報警。入侵檢測技術將會根據病毒所采取的入侵方式對計算機系統進行有效的保護，阻擋計算機惡意病毒的入侵，保證防火墻實施工作，，提高信息系統的安全性。入侵檢測技術在病毒的入侵過程中進行安全性的掃描，對病毒的入侵采取措施進行阻擋，可以有效提高網絡的安全性，阻擋黑客的入侵，保證數據的安全。

3.5 防火墻技術

采用防火墻技術，防火墻可以做到跨越邊界的訪問和數據流通過防火墻時候根據配置規則做到限制[10]。同時可以做到訪問控制，在防火墻配置的時候應當刪除配置中多余或者說基本無效的訪問控制規則，從而做到并保證系統中訪問控制規則數量的最小化。

3.6 內外網隔離

醫院的網絡必須嚴格采用內外網隔離制度進行。從信息的安全管理角度看，內網和外網相互隔離，對內網總體來說是安全的，這樣做的好處是既不會受到來自外部黑客進攻，也不會造成數據泄密；但用戶使用互聯網需要內外網無縫連接，因此使用內外網是沒有辦法的辦法，其適用范圍要最小化[11]。

3.7 VPN加密

醫院所用的遠程會診等鏈接內部服務器的網站要采用VPN(虛擬專用網)登陸的方式。在醫院的網絡中心搭建VPN 服務器的方式來實現VPN 的功能。VPN 指的是應用在現實網絡（或物理網絡）基礎上的一種功能性網絡[12]。VPN 可以利用較低成本的公用網絡用用作自己醫院的骨干網，同時VPN 又可以克服公共網絡缺乏安全保密的弱點，在當前VPN 私密網絡中，位于公共網絡兩端的網絡在公共網絡進行信息的傳輸時，它的信息都必須經過安全處理才可以傳輸，從而保證數據信息的完整性、真實性以及私有性。

3.8 網絡維護與監控

良好的網絡狀態需要工作人員的不斷維護，按照一月一次的頻率對殺毒軟件服務器進行殺毒軟件病毒庫的更新，同時分享殺毒軟件的日志，查看是否有攻擊行為并且對攻擊行為進行分析，在防火墻中增加策略，屏蔽來自攻擊地址的IP，將這些IP 地址加入到配置黑名單中。按照一個季度一次通過漏洞掃描攻擊對系統內的服務器、網絡設備、信息系統進行掃描，對出現的漏洞及時封堵。只有做好安全防護工作，才能將信息泄漏問題扼殺在搖籃之中[13]，另外要做到每半年一次的網絡安全基線檢查。

3.9 完善制度安全

醫院應當建立完善的網絡安全維護制度，同時應當完善網絡安全管理制度[14]，一整套完整的規章制度有利于形成完整的網絡安全監察規范，往往數據安全的泄漏來自于工作人員的粗心大意，同時醫院應當建立完善的網絡安全應急預案，堅持每半年一次的網絡安全應急演練與網絡安全的攻防演練，才能做到有備無患。從制度上落實數據安全。

4 結束語

在信息系統飛速發展之下，保護數據安全現在已成成為每一個應盡的責任。任何人任何單位都應當采取多種措施和手段，多管齊下[15]，來保證數據的安全，當然保護數據安全也不是一朝一夕就可以實現的，這肯定是一個漫長而又艱辛的過程，同時保護數據安全也是一個系統性的過程。需要任何人的共同參與才能形成數據安全的環境。