以身份為中心基于行為場景的醫(yī)院數(shù)據(jù)安全防護初探

王國送

提要：“智慧醫(yī)院”核心命脈在于“醫(yī)院數(shù)據(jù)中心”，其中記錄大量居民個人及診療信息、醫(yī)院科研及運營管理數(shù)據(jù)。隨著大數(shù)據(jù)技術(shù)在醫(yī)療行業(yè)的應(yīng)用，大數(shù)據(jù)分析結(jié)果往往用于臨床診斷以及公共衛(wèi)生決策，醫(yī)療數(shù)據(jù)因其蘊藏的巨大價值和集中化的存儲管理而成為攻擊的重點目標，與此同時也帶來了很多數(shù)據(jù)泄露的安全隱患。

關(guān)鍵詞：醫(yī)院數(shù)據(jù);身份認證;行為場景;數(shù)據(jù)安全;網(wǎng)絡(luò)安全

中圖分類號：TP391? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）20-0043-02

隨著各信息化技術(shù)的快速發(fā)展，以及云計算、移動化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)和發(fā)展，醫(yī)療業(yè)務(wù)與互聯(lián)網(wǎng)對接已是不可避免的趨勢。特別在2015年3月5日十二屆全國人大三次會議上，李克強總理在政府工作報告中首次提出“互聯(lián)網(wǎng)+”行動計劃。進一步要求了各個業(yè)務(wù)與互聯(lián)網(wǎng)的深度融合，醫(yī)療行業(yè)在利用互聯(lián)網(wǎng)、移動化技術(shù)實現(xiàn)醫(yī)生隨訪、移動護理、自助交費、院外康復(fù)和家庭病床等業(yè)務(wù)也利用新技術(shù)實現(xiàn)了高速的發(fā)展。

隨著信息化技術(shù)發(fā)展、融合創(chuàng)新能力提升，數(shù)據(jù)安全建設(shè)在醫(yī)療行業(yè)越來越重視，數(shù)據(jù)泄露的問題成為政治問題和行業(yè)考核通報的重點內(nèi)容。

1 數(shù)據(jù)安全存在的問題

醫(yī)院信息系統(tǒng)記錄大量居民個人及診療信息、醫(yī)院科研及運營管理數(shù)據(jù)。隨著大數(shù)據(jù)技術(shù)在醫(yī)療行業(yè)的應(yīng)用，這些基礎(chǔ)數(shù)據(jù)不斷被進行二次匯總及大數(shù)據(jù)分析，分析結(jié)果往往用于臨床診斷以及公共衛(wèi)生決策，其價值較原始數(shù)據(jù)又有了更高的提升。醫(yī)院間、監(jiān)管機構(gòu)、第三方應(yīng)用對數(shù)據(jù)的交換及使用的普及也促進了醫(yī)療數(shù)據(jù)的共享，但是在數(shù)據(jù)共享的同時也帶來了很多數(shù)據(jù)泄露的安全隱患，醫(yī)療數(shù)據(jù)因其蘊藏的巨大價值和集中化的存儲管理模式而成為攻擊的重點目標。

從國內(nèi)外安全事件來看，80%的數(shù)據(jù)泄露事件是由“內(nèi)鬼”造成。業(yè)務(wù)系統(tǒng)涉及大量公民個人隱私信息，而大部分業(yè)務(wù)系統(tǒng)是由第三方開發(fā)和負責運維，因為缺乏有效監(jiān)管、問責機制和技術(shù)管理措施，第三方運維人員或內(nèi)部人員，通過訪問數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)或通過應(yīng)用前臺導(dǎo)出數(shù)據(jù)進行販賣，造成數(shù)據(jù)泄露事件。如：

1）內(nèi)部業(yè)務(wù)人員利用合法的身份進行非工作需要地查看相關(guān)數(shù)據(jù)，進行截圖、錄像或下載，非法牟利。

2）第三方人員或廠家人員利用維護的機會對數(shù)據(jù)進行查看、下載、拍照、錄像等非法操作，竊取數(shù)據(jù)。

3）開發(fā)人員由于開發(fā)測試需求導(dǎo)出正式業(yè)務(wù)數(shù)據(jù)到測試環(huán)境中，在導(dǎo)出的過程中對數(shù)據(jù)進行泄露。

所以，需要對敏感數(shù)據(jù)加強技術(shù)防護，防止數(shù)據(jù)外泄，避免發(fā)生客戶信息泄露事件和造成嚴重的政治影響或社會影響。

2 醫(yī)院數(shù)據(jù)安全防護措施

建設(shè)以身份為中心，從源頭抓起，基于行為場景的數(shù)據(jù)安全防護體系。

2.1 以身份為中心

以身份為中心即以人為中心，IT系統(tǒng)中身份就是賬號。

IT系統(tǒng)人員分為：業(yè)務(wù)人員、運維管理人員、開發(fā)人員、測試人員。按照人員的所屬關(guān)系分為：內(nèi)部人員和外部人員。

加強人員身份的管控對人的身份進行唯一性和合規(guī)性管理，建立賬號與自然人直接關(guān)聯(lián)關(guān)系，通過數(shù)字證書、動態(tài)口令、生物識別等技術(shù)手段，建立雙因素認證機制，實現(xiàn)人員身份的唯一性管理。對賬號進行全生命周期管理，防止僵尸賬號、冗余賬號、弱口令賬號的發(fā)生，對賬號權(quán)限進行管理和梳理，實現(xiàn)身份合規(guī)性管理。

規(guī)范人員操作行為，對重要的人員、重要的業(yè)務(wù)操作和運維操作進行管控，加強授權(quán)管理能力，以人為中心分析用戶行為，建立行為場景，通過對行為場景防護建立數(shù)據(jù)安全防護措施。

2.2? 基于行為場景的數(shù)據(jù)安全防護

涉及醫(yī)院數(shù)據(jù)安全的行為場景主要包括日常業(yè)務(wù)系統(tǒng)操作、數(shù)據(jù)庫運維和IT運維。

2.2.1日常業(yè)務(wù)系統(tǒng)操作場景下的數(shù)據(jù)安全防護措施

醫(yī)護人員訪問醫(yī)院各業(yè)務(wù)系統(tǒng)時可進行患者信息查詢，對查詢出的數(shù)據(jù)可進行截圖、拍照錄像或下載等操作。

針對此類場景，可對頁面內(nèi)容加水印處理或關(guān)鍵信息做頁面的動態(tài)脫敏，防止醫(yī)護人員或第三方人員截屏、拍照錄像，如發(fā)生信息泄露事件可有效溯源，以達到防止數(shù)據(jù)泄露的目的。針對患者信息下載的場景，可采用“零下載”功能對下載文件進行管控，使其無法下載到本地，以防止數(shù)據(jù)泄露。

2.2.2 數(shù)據(jù)庫運維場景數(shù)據(jù)安全防護措施

數(shù)據(jù)運維主要包含數(shù)據(jù)導(dǎo)出，數(shù)據(jù)分析及數(shù)據(jù)外發(fā)，一是測試人員由于醫(yī)院業(yè)務(wù)系統(tǒng)測試需要，會把生產(chǎn)環(huán)境的數(shù)據(jù)導(dǎo)出到本地測試環(huán)境中;二是數(shù)據(jù)分析人員也需要導(dǎo)出業(yè)務(wù)數(shù)據(jù)用于滿足醫(yī)院各方數(shù)據(jù)分析需求;另外醫(yī)院也會把相關(guān)醫(yī)院的運營、診療等數(shù)據(jù)外發(fā)給衛(wèi)健委等政府部門。部分人員可能利用數(shù)據(jù)導(dǎo)出的機會據(jù)為己有，導(dǎo)致數(shù)據(jù)泄露的情況發(fā)生。

針對此類場景，可采用靜態(tài)脫敏技術(shù)對數(shù)據(jù)進行安全防護，在數(shù)據(jù)導(dǎo)出前對敏感數(shù)據(jù)進行脫敏處理。

2.2.3 IT運維場景的數(shù)據(jù)安全防護措施

醫(yī)院或第三方運維人員通過運維工具訪問數(shù)據(jù)庫時，可查詢或批量導(dǎo)出數(shù)據(jù)，并下載到本地。

針對此類場景，可采用“金庫”模式對重要操作進行二次授權(quán)管理，加強運維操作的審批管理，對查詢結(jié)果動態(tài)實時脫敏，以防止真實數(shù)據(jù)泄露。針對運維人員下載數(shù)據(jù)文件，可采用“零下載”功能對下載文件進行管控，使其無法下載到本地，以防止數(shù)據(jù)泄露。

2.3 采用動態(tài)脫敏技術(shù)

動態(tài)脫敏包括運維實時動態(tài)脫敏和頁面實時動態(tài)脫敏。

2.3.1運維實時脫敏

數(shù)據(jù)庫運維實時脫敏是針對運維人員在通過工具訪問后臺數(shù)據(jù)庫時，對查詢數(shù)據(jù)庫返回的結(jié)果數(shù)據(jù)根據(jù)預(yù)設(shè)的脫敏策略進行實時模糊化處理，對敏感內(nèi)容采用*遮罩的方式進行脫敏展示。