醫(yī)院數(shù)據(jù)泄密對策研究

王 磊 郭旭升 王穎晶

(同濟(jì)大學(xué)附屬同濟(jì)醫(yī)院計算機(jī)中心 上海 200065)

?

醫(yī)院數(shù)據(jù)泄密對策研究

王 磊 郭旭升 王穎晶

(同濟(jì)大學(xué)附屬同濟(jì)醫(yī)院計算機(jī)中心 上海 200065)

回顧國內(nèi)外數(shù)據(jù)泄密案例和最新計算機(jī)技術(shù)發(fā)展動態(tài)，分析數(shù)據(jù)泄露防護(hù)的誤區(qū)和難點，對醫(yī)院數(shù)據(jù)泄密防護(hù)體系進(jìn)行設(shè)計與建設(shè)，指出探測到數(shù)據(jù)泄密是所有防護(hù)工作的基礎(chǔ)和前提，核心數(shù)據(jù)角色權(quán)限要相互制衡，泄密保護(hù)中最為核心的因素始終是“人”。

醫(yī)院；數(shù)據(jù)泄密防護(hù)；信息安全

1 引言

隨著信息化的不斷發(fā)展，信息技術(shù)已經(jīng)融入人類生活的方方面面，互聯(lián)網(wǎng)的廣泛應(yīng)用，使得數(shù)據(jù)泄密的風(fēng)險越來越大。根據(jù)Check Point軟件技術(shù)有限公司與波耐蒙研究所(Ponemon Institute)2011年《了解21世紀(jì)IT環(huán)境的安全復(fù)雜性》的全球調(diào)研報告，2010年有77%的機(jī)構(gòu)都曾遭遇不同程度的數(shù)據(jù)丟失、損毀、泄露[1]。在醫(yī)療領(lǐng)域，近年來隨著醫(yī)療體制改革的深入，國內(nèi)醫(yī)院信息化建設(shè)飛速發(fā)展，醫(yī)院信息化程度不斷提高，幾乎與診療相關(guān)的數(shù)據(jù)都已電子文檔化，而與之伴隨的醫(yī)院數(shù)據(jù)泄密風(fēng)險也因此被進(jìn)一步放大。

相對發(fā)達(dá)國家，我國的隱私保護(hù)意識存在缺陷，醫(yī)療保險制度也有較大的差別，但可以肯定的是醫(yī)院信息化的趨勢，讓患者更加擔(dān)心自身的診療信息泄密，同時醫(yī)院也被要求承擔(dān)起越來越多的數(shù)據(jù)保護(hù)職責(zé)。2012年美國發(fā)生猶他州78萬人醫(yī)療數(shù)據(jù)泄密事件，近期國內(nèi)屢屢曝光的產(chǎn)品推銷、統(tǒng)方事件，卻進(jìn)一步暴露醫(yī)院在數(shù)據(jù)泄漏防護(hù)方面所面臨的迫切形勢以及嚴(yán)峻挑戰(zhàn)。

2 數(shù)據(jù)防護(hù)的難點和重點

2.1 難點：正確認(rèn)識數(shù)據(jù)價值

醫(yī)療行業(yè)的海量數(shù)據(jù)主要來源于財務(wù)、影像、臨床病案或業(yè)務(wù)類應(yīng)用以及醫(yī)學(xué)文獻(xiàn)所產(chǎn)生的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，而很多醫(yī)院管理者包括醫(yī)院領(lǐng)導(dǎo)層，對數(shù)據(jù)價值的重要性認(rèn)識不夠深刻。以往醫(yī)院注重以財務(wù)、收費系統(tǒng)為主的醫(yī)院信息系統(tǒng)建設(shè)，認(rèn)為除處方數(shù)據(jù)以外的其他數(shù)據(jù)價值不高，使得數(shù)據(jù)挖掘的效果也無法讓人滿意。由于信息系統(tǒng)中數(shù)據(jù)源的匱乏和技術(shù)手段的制約，導(dǎo)致醫(yī)院數(shù)據(jù)這座“金礦”一直無人重視。2009年起作為支撐深化醫(yī)藥衛(wèi)生體制改革“四梁八柱”的八柱之一，臨床信息化開啟了跨越式的發(fā)展，信息系統(tǒng)數(shù)據(jù)源不斷豐富，以病案為主的數(shù)據(jù)存儲量也從原來的GB(吉字節(jié))走向了TB(太字節(jié))，而PB(拍字節(jié))的時代也指日可待，同時伴隨著大數(shù)據(jù)應(yīng)用、云計算技術(shù)時代的到來，海量數(shù)據(jù)分析已不是夢想。數(shù)據(jù)對人們生活、工作與思維產(chǎn)生了變革。而大數(shù)據(jù)不注重精確性，注重混雜性、全體數(shù)據(jù)等特點也完全契合醫(yī)院現(xiàn)有信息系統(tǒng)數(shù)據(jù)特點[2]。一份報告顯示，醫(yī)療大數(shù)據(jù)的分析會為美國產(chǎn)生3 000億美元的價值，減少8%的國家醫(yī)療保健支出。醫(yī)院內(nèi)數(shù)據(jù)的價值已經(jīng)發(fā)生了翻天覆地的變化。

2.2 重點：培養(yǎng)專業(yè)技術(shù)人才

信息的價值決定了所面對黑客的能級[3]。通過近年來媒體報道和筆者調(diào)查，竊取醫(yī)院各個科室的醫(yī)藥信息為目的的黑客群體已經(jīng)形成。近日浙江省溫州市就判決一起案件，一黑客團(tuán)伙竊取省內(nèi)多家醫(yī)院統(tǒng)方數(shù)據(jù)，4年內(nèi)非法獲利700多萬元。恰恰相反，醫(yī)院長期重點關(guān)注的是信息系統(tǒng)如何實現(xiàn)功能應(yīng)用，無論是系統(tǒng)承建商還是醫(yī)院信息管理部門，對醫(yī)院信息系統(tǒng)內(nèi)部龐雜的結(jié)構(gòu)存在了解不深刻、不全面及缺乏反黑客的專業(yè)培訓(xùn)[4]等情況。此外，很多安全防范技術(shù)措施因改動升級信息系統(tǒng)會產(chǎn)生一定的風(fēng)險；安全措施往往由上而下推行，導(dǎo)致增加管理部門和使用部門的額外工作量；醫(yī)院沒有建立數(shù)據(jù)安全的量化考核等。綜合以上因素，醫(yī)院信息部門既無能力也無動力去切實履行防護(hù)工作。在這種局面下，數(shù)據(jù)防護(hù)很可能只能流于形式。

3 數(shù)據(jù)泄密防護(hù)體系構(gòu)建

3.1 整體框架

當(dāng)前，數(shù)據(jù)防泄露是信息安全的主要問題。基于不同的法律環(huán)境、文化理念和網(wǎng)絡(luò)環(huán)境，國內(nèi)外數(shù)據(jù)泄露防護(hù)體系要解決的具體問題是不同的，國外數(shù)據(jù)泄漏防護(hù)以防外部竊密和內(nèi)部無意泄密為主，國內(nèi)以防止內(nèi)部故意泄密為主，兼防內(nèi)部無意泄密和外部竊密。因此，國內(nèi)數(shù)據(jù)泄漏防護(hù)強(qiáng)調(diào)的是主動防御，通過事前主動防御、事中及時控制、事后及時追蹤，以審計為手段，以加密技術(shù)為核心，結(jié)合多種信息安全技術(shù)，建立完善的數(shù)據(jù)泄漏防護(hù)方案。醫(yī)院建設(shè)的數(shù)據(jù)泄密防護(hù)體系，是防止該醫(yī)院內(nèi)部的敏感數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的途徑流出的策略集合，其中包括所需的安全設(shè)備、管理制度、業(yè)務(wù)流程、技術(shù)等。目前往往是采取單一防泄密策略，如反統(tǒng)方軟件和網(wǎng)絡(luò)安全防護(hù)設(shè)備等；但實踐證明，只有頂層設(shè)計和建設(shè)完整的數(shù)據(jù)泄密防護(hù)體系，將各種防泄密策略有機(jī)整合才能最大限度防范信息泄漏。例如利用身份認(rèn)證和訪問控制技術(shù)，做到事前防護(hù)；通過對數(shù)據(jù)使用、傳輸、存儲的全生命過程進(jìn)行加密和權(quán)限管理，做到事中防護(hù)；同時必須建立全過程的日志審計和持續(xù)改進(jìn)行政管理手段，做到事后防護(hù)。3者緊密聯(lián)合、相互聯(lián)動，從而實現(xiàn)醫(yī)院數(shù)據(jù)防泄密完整保護(hù)。整體框架，見圖1。

圖1 數(shù)據(jù)泄密防護(hù)體系

3.2 防護(hù)工作的前提是快速準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)泄密

如果對數(shù)據(jù)的產(chǎn)生、傳輸、存儲的過程都渾然不知，那么防護(hù)無從談起。長期以來，醫(yī)院信息化建設(shè)注重功能性的需求遠(yuǎn)勝于安全性。醫(yī)院內(nèi)部各類信息子系統(tǒng)林立，網(wǎng)絡(luò)安全邊界錯綜復(fù)雜，敏感信息散落在眾多系統(tǒng)之中，給數(shù)據(jù)泄密提供了諸多便利。數(shù)據(jù)泄密的途徑可以總結(jié)為以下兩種：(1)內(nèi)部泄密——接觸敏感數(shù)據(jù)人員無意泄密或利用職務(wù)便利故意竊取數(shù)據(jù)，例如病案管理人員泄密患者隱私、科研藥房工作人員泄密統(tǒng)方數(shù)據(jù)、產(chǎn)科醫(yī)務(wù)人員泄密新生兒數(shù)據(jù)等。(2)外部泄密——通過技術(shù)手段破解、竊取、監(jiān)聽，獲得敏感數(shù)據(jù)，例如破解數(shù)據(jù)庫賬戶、登錄數(shù)據(jù)庫竊取敏感數(shù)據(jù)或者運用網(wǎng)絡(luò)監(jiān)聽工具竊取數(shù)據(jù)包內(nèi)容等手段。

在此局面下，單憑任何一個子系統(tǒng)承建商或者單一技術(shù)手段都無力為醫(yī)院制訂具有可操作性的數(shù)據(jù)安全解決方案，因此，一個全方位數(shù)據(jù)庫防泄漏系統(tǒng)，需要對數(shù)據(jù)進(jìn)行全周期的管理和防范[5]。目前，能有效探測到數(shù)據(jù)泄密痕跡的工具是數(shù)據(jù)泄密防護(hù)系統(tǒng)，但是從該類解決方案的局限性來看，醫(yī)院信息環(huán)境的復(fù)雜性和實時性致使其在實際使用中效果大打折扣。一方面，目前國內(nèi)尚無成熟案例，醫(yī)院信息部門缺乏這方面的技術(shù)人員；另一方面，醫(yī)院信息系統(tǒng)組成復(fù)雜，同時存在結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化的多樣數(shù)據(jù)類型，這也使得單一目的性的產(chǎn)品或者方案既無法防護(hù)所有類型，又大大增加黑客侵入的目標(biāo)性。針對以上問題，可以利用數(shù)據(jù)泄密防護(hù)系統(tǒng)重點加強(qiáng)身份認(rèn)證和訪問控制的功能。以一個“觀察者”的身份在盡可能減少對醫(yī)務(wù)工作影響的情況下，記錄操作日志；收集一定周期內(nèi)，例如一個季度的行為日志，通過軟件系統(tǒng)廠商和醫(yī)院信息部門逐一甄別，確定操作行為的合規(guī)性；在此基礎(chǔ)上進(jìn)而建立識別規(guī)則庫，對于不屬于該識別規(guī)則庫行為系統(tǒng)要給予報警，或?qū)ι婷軘?shù)據(jù)進(jìn)行加密，由醫(yī)院專職人員在軟件系統(tǒng)廠商技術(shù)人員協(xié)助下學(xué)習(xí)鑒別和規(guī)則建立，培養(yǎng)技術(shù)能力。

3.3 三權(quán)分立的信息系統(tǒng)角色

采用分權(quán)的管理策略，醫(yī)院涉及敏感數(shù)據(jù)的核心角色主要包括數(shù)據(jù)庫管理員、報表統(tǒng)計員和審計員。 數(shù)據(jù)庫管理員負(fù)責(zé)管理和維護(hù)數(shù)據(jù)庫服務(wù)器，做日常監(jiān)控和備份工作，使數(shù)據(jù)庫正常運行。報表統(tǒng)計員承擔(dān)信息系統(tǒng)敏感報表統(tǒng)計分析工作，從事病案管理、高值耗材、藥品消耗量報表的制作、分析等事宜。審計員包括系統(tǒng)操作日志審計員、安全系統(tǒng)管理員和數(shù)據(jù)泄密防護(hù)系統(tǒng)管理員等。數(shù)據(jù)庫管理員對數(shù)據(jù)庫有最高的訪問權(quán)限；通過加密技術(shù)等手段，使此權(quán)限能查閱的數(shù)據(jù)顯示為亂碼，無法直接使用；數(shù)據(jù)庫操作記錄日志由審計員進(jìn)行審核。報表統(tǒng)計人員在授權(quán)情況下可以看到敏感數(shù)據(jù)，審計人員負(fù)責(zé)監(jiān)督數(shù)據(jù)庫管理員和報表統(tǒng)計員的所有操作行為，但無權(quán)限查看、查詢數(shù)據(jù)庫的數(shù)據(jù)。這3個崗位應(yīng)由不同人員擔(dān)任，形成權(quán)力監(jiān)督機(jī)制。一些醫(yī)院為了節(jié)約人力成本，往往讓一個人兼任這3個崗位或部分系統(tǒng)只有報表統(tǒng)計員無審計員，這在制度上存在嚴(yán)重缺陷，信息部門核心角色一旦失去監(jiān)督威懾，為內(nèi)部人員參與泄密埋下隱患。

3.4 人是泄密防護(hù)最核心的因素

醫(yī)院業(yè)務(wù)的復(fù)雜性，使其成為最復(fù)雜的管理系統(tǒng)之一。參與其中的公司及人員眾多，其數(shù)據(jù)安全水平和安全意識參差不齊，這就要求醫(yī)院信息部門人員要對數(shù)據(jù)安全邊界的變化以及防控體系的變更做到了如指掌。各醫(yī)院對電子病歷應(yīng)用的開展，進(jìn)一步通過信息化手段支撐了醫(yī)療體制改革，方便了患者，但同時也大大增加了數(shù)據(jù)泄密的風(fēng)險和機(jī)會。根據(jù)美國計算機(jī)安全研究所(CSI)2010年關(guān)于內(nèi)部泄密和外部泄密的調(diào)查結(jié)果，內(nèi)部人參與泄密比例高達(dá)85%[6]。原有以關(guān)鍵人員為主導(dǎo)的責(zé)任制行政管理手段已完全不適用，取而代之是全體醫(yī)務(wù)人員共同培養(yǎng)數(shù)據(jù)防護(hù)意識。因此，必須建立以信息部門為主、全院參與的行政管理系統(tǒng)，將數(shù)據(jù)防護(hù)有關(guān)制度作為管理制度核心之一。調(diào)動信息部門的主觀能動性，著重培養(yǎng)信息安全方面的技術(shù)和管理人才，加強(qiáng)精細(xì)化管理考核手段，將數(shù)據(jù)安全責(zé)任落實到每一個從業(yè)人員，重視全體從業(yè)人員的數(shù)據(jù)安全觀[7]。否則購置再多的技術(shù)工具，也只能是華而不實的擺設(shè)。

3.5 建設(shè)成效

某三級甲等醫(yī)院對數(shù)據(jù)泄密防護(hù)體系進(jìn)行了近兩年的設(shè)計與建設(shè)，達(dá)到了對醫(yī)院核心信息系統(tǒng)中的處方用藥信息、病案隱私信息等重要數(shù)據(jù)的全周期防泄漏防護(hù)，從而在由第3方權(quán)威測評機(jī)構(gòu)基于《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239—2008)第3級安全保護(hù)能力測評中，醫(yī)院核心業(yè)務(wù)系統(tǒng)項目符合率高達(dá)84.6%，在其同市比較中名列前茅，并且達(dá)到國家衛(wèi)生計生委《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評》4級對信息安全的要求。

4 結(jié)語

隨著醫(yī)療改革繼續(xù)深入，醫(yī)院信息化程度不斷提升，人民群眾隱私保護(hù)意識持續(xù)提高，在大數(shù)據(jù)應(yīng)用、云技術(shù)、物聯(lián)網(wǎng)、移動浪潮等技術(shù)概念支撐下及各種利益的驅(qū)使下，診療信息的泄密風(fēng)險大大增加[8]。從國外調(diào)查數(shù)據(jù)以及國內(nèi)曝光案例可以預(yù)計，醫(yī)院和政府主管部門將面臨防止診療信息泄密的長期挑戰(zhàn)。因此在某種意義上，單單依靠個人、醫(yī)院信息部門或某幾項技術(shù)無法應(yīng)對如此錯綜復(fù)雜的形勢，必須設(shè)計與建立數(shù)據(jù)泄密防護(hù)體系，通過制度建設(shè)來保障安全工作的持續(xù)性、科學(xué)性和有效性。在做好數(shù)據(jù)防護(hù)的同時，也應(yīng)做好數(shù)據(jù)的清洗、整合、分析，挖掘數(shù)據(jù)的潛在價值，使其發(fā)揮更大的作用，為患者的診療、科研實驗、績效管理、便民服務(wù)各方面提供支持[9]。

未來醫(yī)聯(lián)體、居民電子健康檔案等區(qū)域醫(yī)療信息共享建設(shè)的不斷完整和準(zhǔn)確，在極大地方便患者、提升群眾生活質(zhì)量的同時也將成為新的數(shù)據(jù)泄密隱患，而且因為區(qū)域性優(yōu)勢其數(shù)據(jù)價值也成倍增

加，如何制定覆蓋全衛(wèi)生系統(tǒng)的數(shù)據(jù)防泄密體系的國家標(biāo)準(zhǔn)將成為未來必須面對的課題。同時為了合理利用診療數(shù)據(jù)，規(guī)范醫(yī)療機(jī)構(gòu)的數(shù)據(jù)分析行為，需要建立更有針對性的測評標(biāo)準(zhǔn)、行業(yè)規(guī)范和立法來加以保障。隨著互聯(lián)網(wǎng)+時代的到來，需思考如何應(yīng)對互聯(lián)網(wǎng)和移動應(yīng)用對醫(yī)院信息系統(tǒng)的滲透[10]，原有醫(yī)院內(nèi)外網(wǎng)物理隔離的架構(gòu)將面臨顛覆性的改變[11]，更多的診療數(shù)據(jù)會通過互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)傳輸，而目前還缺乏相對應(yīng)的防止數(shù)據(jù)泄密的技術(shù)和經(jīng)驗。

1 Check Point軟件技術(shù)有限公司與波耐蒙研究所.了解21世紀(jì)IT環(huán)境的安全復(fù)雜性[Z].2011.

2 Viktor Mayer-Sch·nberge,Kenneth Cukier. 大數(shù)據(jù)時代[M]. 杭州：浙江人民出版社,2013.

3 David Litchfield,Chris Anley. 數(shù)據(jù)庫黑客大曝光[M].北京：清華大學(xué)出版社,2006.

4 Michael Howard,Davis LeBlanc,John Viega. 一個都不能有——軟件的19個致命安全漏洞[M].北京：清華大學(xué)出版社, 2006.

5 汪家興,喬喆,陳希,等.構(gòu)筑立體化數(shù)據(jù)防泄密體系[J].電信工程技術(shù)與標(biāo)準(zhǔn)化, 2011,(10)：33-37.

6 孟鑫東.數(shù)據(jù)防泄密發(fā)展趨勢[J].保密科學(xué)技術(shù)，2012,(5)：54-57，68.

7 葉萍.醫(yī)院信息化建設(shè)風(fēng)險與數(shù)據(jù)安全管理[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(6)：21-23.

8 王曉丹.當(dāng)前醫(yī)療信息化存在的問題及對策研究[J].醫(yī)學(xué)信息學(xué)雜志，2011,32(1)：44-47.

9 魏文浩. HIS安全維護(hù)技術(shù)的原理和應(yīng)用[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(3)：18-20.

10 劉芙蓉.醫(yī)院信息化建設(shè)之?dāng)?shù)據(jù)安全策略[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(11)：31-33.

11 胡芳,沈紹武.醫(yī)院信息系統(tǒng)體系架構(gòu)構(gòu)建研究[J].醫(yī)學(xué)信息學(xué)雜志，2012,33(11)：16-21.

Research on Countermeasures of Hospital Data Leakage

WANGLei，GUOXu-sheng，WANGYing-jing,

ComputerCenterofShanghai，TongjiHospitalAffiliatedtoTongjiUniversity,Shanghai200065,China

The paper overviews domestic and foreign data leakage cases and the latest computer technology development trends, analyzes the misunderstandings and difficulties of data leakage protection, design and constructs data leakage protection system, points out detecting data leakage is the basis and premise of protection work,the permissions of the core data roles should reinforce checks and balances, the most core factor in protection work is “the person”.

Hospital; Data leakage protection; Information safety

2014-09-12

王磊，技術(shù)員，發(fā)表論文4篇;通訊作者：郭旭升。

R-058

A 〔DOI〕10.3969/j.issn.1673-6036.2015.04.008