醫院患者信息保護實踐

沈劍歡，瞿懷榮

（連云港市第一人民醫院信息部，江蘇 連云港 222000）

目前，醫院雖然在竭盡所能的確保患者的個人信息不被泄露，但醫療信息泄露事件一再發生。包括患者在醫院就診時的信息，如姓名、手機號、身份證號等常見隱私數據，以及就診科室、就診時間和次數等特殊敏感的醫療信息泄露事件。究其原因主要是醫院信息系統保護能力不強，漏洞防護不夠全面，患者隱私被輕而易舉地竊取[1]。為遵循患者信息保護的義務，切實筑牢個人信息安全防線，有效保護患者個人隱私[2]，某醫院從核心業務數據庫患者數據脫敏、數據平臺患者健康檔案數據脫敏、智慧服務就診過程中患者隱私保護等維度，形成一整套個人信息保護方案。傳統的數據脫敏通過識別SQL 語句中的敏感字段內容并改寫SQL，在數據庫實現脫敏處理，并返回結果[3]。本文從患者隱私保護的角度重點介紹了新型數據庫動態脫敏技術和患者智慧就診的功能及應用效果。

1 核心數據庫數據脫敏和數據平臺患者健康檔案脫敏系統

數據庫脫敏和健康檔案脫敏系統充分考慮用戶數據庫安全管理需求，采用全新的技術架構及理念，從數據庫虛擬化、安全準入、訪問控制、數據脫敏、全面審計多維度全方位保護數據安全，有效抵御口令入侵、特權提升、漏洞入侵、SQL 注入、竊取備份、勒索病毒、脫庫等數據庫攻擊手段，滿足數據庫安全管理，符合運維安全內部控制和法規法令的要求，有效保障患者重要敏感信息的安全[4]。

1.1 設計理念 數據脫敏系統支持多個平臺數據庫，醫院核心數據庫采用Oracle 12C，數據平臺數據庫采用SQL Server 2012，系統可以直接對原數據庫脫敏，通過數據庫虛擬化技術和數據庫引擎管理，采用數據水印、敏感信息替換和訪問控制的手段，加上訪問日志審計、SQL 語句審計、終端身份識別等功能，達到了數據脫敏、防脫庫和防統方的目的。安全性方面，系統設計有防火墻、數據傳輸加密和SQL 注入防護，通過建立黑白名單來限制訪問用戶，數據傳輸的加密方式防止數據竊取，根據SQL 注入的特征智能檢測、識別及阻斷，防止通過應用系統的SQL 注入入侵數據庫[5]。針對高危操作的管理，系統建立審批流程，通過系統自動生成或者手動提交申請單方式，管理者對定義的高危操作進行審批，審批通過后才能執行，真正做到管理者和使用者的職權分離，防止敏感信息的泄露（圖1）。

1.2 實現數據庫安全管理 針對開發、運維、系統管理過程中賬號管理混亂、操作不透明等一系列不合規現象造成的數據泄漏事件，系統通過多因素認證、細粒度的權限控制和細粒度的數據對象授權管理，實現操作管理定位到人、責任到人的目的，實現開發、運維人員的身份統一管理、操作合規，全面保障數據庫的安全管理需求，最大程度保障用戶敏感信息的安全，防止數據泄漏事件的發生[6]。

1.3 實現動態脫敏 實現運維人員、外包開發人員根據其工作所需和安全等級訪問敏感數據，并對核心生產庫的重要敏感數據進行動態脫敏，如患者的身份證號、手機號碼、賬戶信息等，減少患者敏感數據泄漏的風險，保證患者隱私安全。無論多復雜的SQL，都需實現100%的動態脫敏[7]。

2 線上線下就診信息泄露風險及應對

從2007 年開始，國家要求患者實名制就診，在醫療機構線下診療工作中取得了顯著效果，全國范圍內開展互聯網醫院就診以來，也采用患者實名制就診的方式。實名制就診便于醫生掌握患者的既往史、過敏史等重要信息，避免就醫過程中“張冠李戴”，確保診斷準確；實名制有利于維護互聯網診療環境的公平性與有序性，可以從源頭上堵住號販子搶號的漏洞[8]。但其也存在一定不足，一是線下就醫存在患者姓名在公共場所暴露的問題；二是由于互聯網診療要求患者實名制就診，線上就醫需建立患者電子檔案，如何保證患者電子檔案的安全，如何證明就診人是真實的本人也是一個問題[9]。

醫院需提升互聯網線上診療管理，必須保證患者信息的安全性和保密性。系統通過手機端人臉識別進行身份核驗，患者數據的存儲和傳輸加密，重要數據放置醫院內部網絡等手段，有效保護患者就醫數據[10]。線下診療過程中對患者隱私進行保護，防止患者個人信息泄露。

3 系統功能

3.1 數據庫和健康檔案脫敏系統 以往一個數據庫一套權限管理，賬號創建管理復雜，權限管理維護復雜，重復勞動多。通過多因素準入控制和多維身份認證的功能，規范數據準入控制。要素包括：應用工具名稱、主機名、IP 地址、登陸時間等。系統具有賬號鎖定策略，對于密碼猜測等試圖惡意登陸數據庫的行為，可通過設置賬號鎖定策略進行防護，達到阻止暴力破解的目的。敏感數據自動發現、管理功能，系統具有內置敏感數據特征庫，可對姓名、地址、電話、身份證、就診日期等敏感信息自動識別；通過快速的敏感發現功能，一鍵式對數據庫內的敏感信息進行掃描，對發現的敏感信息進行快速的分級分類，達到敏感數據的快速梳理，減少人為配置工作[11]。

敏感數據分類分級是數據安全管理的基礎工作，是數據共享、開放、利用的基礎，系統將敏感數據從普通業務數據中脫離出來進行獨立管理能更有效、更有針對性地做好安全管控。根據敏感表格、敏感列為單元組成敏感數據集合，并根據數據的敏感程度自定義敏感等級，便于更有針對性地進行分類分級管控，自動管理敏感數據表格的生成、變更和消亡，簡化敏感數據管理[12]。細粒度的權限控制，權限控制是數據庫安全管理體系的重要一環，系統具有130 多種DDL、DML 權限。同時，有角色脫敏、角色控制、角色準入等角色授權功能，使用戶權限配置管理簡單化。支持靈活可視化設置及控制表級別的訪問權限（insert、update、delete、select）。細粒度的數據對象授權，系統可以靈活設置訪問的數據庫對象范圍，包括表對象及schema 對象。

為避免相關人員利用合法的語句導出大量用戶敏感信息，最大限度控制敏感信息的安全性，系統具有基于敏感表格訪問的返回行控制技術，表級別修改和刪除行數控制。一方面，可以設置表級別的刪改影響行數控制，一旦操作語句中的行數高于閾值，則語句無法正常執行，防止大批量的誤刪誤改的發生；另一方面，支持刪改操作審批執行。針對一定時間內頻繁訪問數據的行為進行訪問頻次控制，對規定時間內訪問次數超過限制后對訪問操作進行攔截，有效保證數據安全。數據庫危險性操作如Create User、Drop Table、Truncate Table 等是數據庫面臨的巨大安全風險，系統擁有高危審批功能，可以阻止危險操作的執行，避免誤刪誤改數據庫的數據，做到危險操作需高權限的審核通過處理，可依據實際使用場景選擇是否需要進行高危操作管理。

系統支持敏感數據的動態脫敏管理，對未授權的賬戶訪問敏感數據實現動態脫敏功能，確保業務人員、運維人員以及外包開發人員嚴格根據其工作所需和安全等級訪問敏感數據。提供隨機映射、固定映射、遮蓋填充、范圍內隨機、浮動、截取、截除、時間偏移、散列等脫敏算法。可自定義脫敏算法，做到真正的100%脫敏，無遺漏，無泄漏。系統的數據水印功能可通過向數據中添加不易識別的水印，來實現對泄露數據來源的追溯。一旦出現數據泄露，可通過水印功能實現追責。通過對結構化數據或文件數據的頭部、中間和尾部自動增加數據水印的方法實現數據的權屬證明和泄漏者的溯源[13]。

全面審計功能可記錄單個用戶對數據庫的操作行為，包括用戶名、IP 地址、MAC 地址、客戶端程序名、執行語句的時間、執行的SQL 語句、操作的對象等，對其行為進行全程細粒度的審計分析。登錄審計功能主要記錄登錄通過、拒絕、鎖定等響應行為；訪問審計主要記錄通過、拒絕、模擬拒絕、執行異常等響應行為；能記錄SQL 執行時長、標記語句里的敏感信息及脫敏處理規則、該語句的抽取行數等信息；帶參數和影響行數的SQL 注入審計功能[14]。系統具備風險態勢感知監控功能，數據庫的全方位風險監控，分別從數據庫用戶訪問、訪問終端、SQL 語句、風險策略、敏感資產等多角度進行監控。

3.2 線上線下就診服務

3.2.1 智慧身份核驗 系統通過手機端人臉識別進行身份核驗，將姓名、身份證號、人臉圖片與權威數據源進行核驗，得出比對分數，并基于此進行業務判斷是否為同一人。活體檢測能力方面，提供了實時炫瞳、實時動作、拍照、錄制動作視頻、語音讀數字（含唇語）等10 種活體檢測能力，按照實際業務需求進行了靈活選擇。專項活體模型，針對互聯網業務場景進行專項活體模型優化，適配不同業務需求的同時，提供高效的防御攔截能力，可抵擋屏幕、照片、視頻、換臉、面具、3D 模型等非活體攻擊，并保證高通過率和識別率。

互聯網醫院小程序具有大數據風險控制功能，在接收SDK 端傳入的設備指紋信息后，基于海量大數據設備因子，對SDK 端進行設備風險識別，辨別是否為高險設備，返回識別結果，可有效防御黑產批量虛擬機、病毒侵入等攻擊手段。系統具有云端安全加密功能，SDK 端對人臉圖片信息進行加密，在云端接口進行圖片信息的解密，利用這種端云結合的加解密方案，可有效避免第三方非法黑產繞過APP模擬請求攻擊云端接口的行為，如腳本攻擊、ROM注入、視頻劫持等，增加了對黑產常用APP 攻擊的防御能力，保障終端、云端雙重驗證的數據一致性[15]。數據加密防篡改功能可以防止數據被惡意修改，摒棄了傳統人臉SDK 直接采集攝像頭數據的方式，升級為安全數據通道采集方式，從代碼邏輯、采集方式、傳輸層多維度確保人臉數據采集真實有效。

為提高防作弊能力，系統提供多達10 種離線檢測方案，支持圖片質量校驗、多幀圖片識別，有效抵御照片、合成圖、視頻翻拍、3D 模型等作弊行為；通過應用合成圖校驗技術，可有效應對PS、人臉融合后的圖片/視頻等多種防作弊手段[16]。醫院內實際應用場景多，各種軟件交互需求廣，因此本系統提供的交互形式多樣，支持在APP、通用/微信H5、API 等接入方式，形態全面豐富，靈活組合使用。

3.2.2 線下就醫隱私保護 在門診急診就診、檢查檢驗過程中的分診、報到和叫號環節，對各種顯示屏上所顯示的患者姓名均進行掩飾符號替換，保護患者隱私。患者的各種檢查檢驗報告單要求專人管理或自助打印，嚴禁隨意擺放暴露患者信息，線下就診過程中通過數據隱私保護，更好的保護了患者在公共場所的身份信息，防止重要信息和隱私暴露[17]。

4 應用效果

4.1 數據脫敏和健康檔案脫敏系統 脫敏系統采用內部運維管控模式，該系統具有獨立于源數據庫的使用者賬號管理體系，使用一套賬號就可以管理所有數據庫的賬號權限控制，用戶、角色、權限可視化授權管理，以減輕管理壓力。同時，使用者無需知道真實數據庫的賬號、密碼、源IP 和端口等信息，有效保障數據庫的安全。系統對患者敏感信息通過設定的規則進行數據的變形，實現了敏感隱私數據的可靠保護，這樣就可以在外包用戶、開發、測試和其它非生產環境中安全地使用脫敏后的真實數據集（圖2）。

醫院各管理部門用戶、運維人員、外部用戶等通過脫敏系統訪問數據庫中患者相關信息以及數據平臺患者健康檔案信息，在滿足臨床診療、科研、教學工作的同時，實現了患者數據的底層保護。通過數據脫敏，可以有效防止醫院內部對患者隱私數據的濫用，防止患者信息在未經脫敏的情況下從醫院流出，滿足醫院保護患者隱私數據的同時合理使用數據開展醫、教、研等工作[18]。

4.2 智慧就診服務實名認證 人臉識別實名認證功能通過一系列的數據核驗、風險檢測、智能認證、信息錄入、活體檢測和人臉信息比對等步驟，解決了身份快速辨別、信息采集錄入以及安全認證等問題[19]，并可快速在線完成認證流程；身份證信息輸入支持OCR 識別（電子掃描）、手動輸入和后臺傳入（后臺已有建檔信息）三種方式，方便患者自行選擇，見圖3。

圖3 在線認證流程

實名認證系統可以確保通過認證目標為真人，通過端云配合活體檢測，確定操作者是否為真人，可有效抵御彩打照片、視頻、3D 建模等攻擊。系統為確保所認證的人為本人，基于“真人”的基礎，將現場采集的人臉圖片、姓名、身份證號碼與權威數據源身份信息庫對比，確保操作者身份的真實性，避免身份證或人臉圖像偽造等欺詐風險，權威可靠，同時也確保了數據安全。患者在互聯網醫院就診過程中，通過人臉識別進行身份核驗，確認為本人操作方可掛號、就醫和修改個人信息，實現患者非見面式信息服務，為患者提供便捷的就醫服務體驗，有效攔截了非正常人臉錄入。

5 總結

本系統基于結果集流式處理的精準敏感識別和動態脫敏處理，通過對SQL 的精準解析，并對返回結果集做精準識別和標記，從而實現快速的脫敏處理，是動態脫敏領域的開拓創新。核心數據庫和健康檔案數據脫敏系統均通過數據處理技術對敏感字段替換或者隱藏，從而實現保護患者隱私的目的。智慧就診服務實名認證具有很強的安全性和優秀的交互體驗，互聯網醫院患者身份核驗通過人臉識別的方式，對比權威信息庫以及預留手機號碼進行雙重校驗，確認為本人操作。通過核心業務數據庫脫敏，實現了信息運維人員因工作所需訪問的數據進行隱私信息的動態脫敏；患者健康檔案數據脫敏實現了院內各業務系統訪問患者歷次就診信息時，可根據業務場景進行隱私數據保護；通過患者線上建檔信息錄入和修改時的人臉識別進行身份校驗，確保就診人為患者本人，線下就診過程中在院內公共場所叫號系統中進行姓名關鍵詞隱藏，實現了患者線上就診和線下就診全流程的隱私保護。