智慧醫(yī)療數(shù)據(jù)安全治理體系建設(shè)與應(yīng)用探索

一、前言

2024年是全面完成“十四五”規(guī)劃目標(biāo)任務(wù)的關(guān)鍵之年，隨著《“十四五”國家信息化規(guī)劃》的深入實施和《“數(shù)據(jù)要素 × ”三年行動計劃（2024—2026年）》的提出，數(shù)據(jù)作為生產(chǎn)要素的作用日益凸顯。

近年來，隨著醫(yī)療信息化的逐步深人、線上服務(wù)不斷拓展，越來越多的醫(yī)院開始提供線上問診、復(fù)診、藥品配送等服務(wù)2。這些服務(wù)使醫(yī)療資源得到了優(yōu)化配置，同時方便了患者。

醫(yī)院數(shù)據(jù)具有類型多樣、數(shù)據(jù)量大、敏感性高等特點。這些特點意味著數(shù)據(jù)安全將成為醫(yī)院安全管理的重中之重，也是醫(yī)院正常運轉(zhuǎn)的重要前提和基礎(chǔ)。因此，本文將圍繞醫(yī)院數(shù)據(jù)安全管理，從數(shù)據(jù)安全管理的角度展開討論。

二、醫(yī)院數(shù)據(jù)特點與痛點

（一）醫(yī)院數(shù)據(jù)特點

醫(yī)院數(shù)據(jù)具有多源性、多樣性、高敏感、存儲周期長等特點。

醫(yī)院數(shù)據(jù)采集方式有人工填報、檢查檢測結(jié)果、可穿戴設(shè)備采集等。存儲的數(shù)據(jù)包括患者基本情況、病史、診斷結(jié)果、檢查及檢驗報告等方面的資料，既有結(jié)構(gòu)化數(shù)據(jù)，也有非結(jié)構(gòu)化數(shù)據(jù)（如醫(yī)生診斷描述、患者反饋信息等）。數(shù)據(jù)包含患者所有的診療記錄及診療相關(guān)信息，所以往往具有數(shù)據(jù)種類多、數(shù)據(jù)總量大的特點。特別是腫瘤疾病具有復(fù)雜性和長期治療性的特點，患者通常需要進(jìn)行長周期的檢查和治療，大大增加了數(shù)據(jù)規(guī)模。

醫(yī)院數(shù)據(jù)往往涉及病人隱私及健康信息，故敏感度較高。在數(shù)據(jù)的采集、存儲、傳輸、處理和交換過程中，必須嚴(yán)格遵守相關(guān)的法律法規(guī)和倫理規(guī)范，以確保患者的隱私得到保護(hù)。

（二）醫(yī)院數(shù)據(jù)管理痛點

患者的診療數(shù)據(jù)具有巨大價值，通過對海量病患信息的分析和利用，可以實現(xiàn)新的治療方案、藥物研究、人工智能診療等醫(yī)學(xué)實踐。在數(shù)據(jù)被分享給第三方時，數(shù)據(jù)也可能會流出安全域，如何對這些數(shù)據(jù)進(jìn)行監(jiān)管和保護(hù)成為了新的難題。《中華人民共和國數(shù)據(jù)安全法》和《個人信息保護(hù)法》等相關(guān)法律法規(guī)和指導(dǎo)文件均要求醫(yī)院按照實際情況建立數(shù)據(jù)分類分級制度（《中華人民共和國數(shù)據(jù)安全法》第二十一條、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第五條）。目前，國家標(biāo)準(zhǔn)層面正式發(fā)布了《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》GB/T43697-2024、《信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南》GB/T38667-2020等分類分級相關(guān)標(biāo)準(zhǔn)，但各地方實施進(jìn)展不一、指導(dǎo)意見不一、醫(yī)療機(jī)構(gòu)自身建設(shè)情況不一，實施缺乏明確細(xì)致的指導(dǎo)和標(biāo)準(zhǔn)，如何統(tǒng)一醫(yī)院數(shù)據(jù)分類分級原則是一個巨大挑戰(zhàn)。

因此，醫(yī)院在進(jìn)行數(shù)據(jù)安全管理時，往往面臨數(shù)據(jù)流動難監(jiān)控、數(shù)據(jù)分級防護(hù)難實現(xiàn)等問題[5]

三、醫(yī)院數(shù)據(jù)管理體系

結(jié)合醫(yī)院數(shù)據(jù)的特點、痛點和使用場景，鄭州大學(xué)附屬腫瘤醫(yī)院以我國《數(shù)據(jù)安全法》《個人信息保護(hù)法》《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》等政策為導(dǎo)向，及時發(fā)現(xiàn)合規(guī)差距。以DSMM（Data Security capability Maturity"Model，數(shù)據(jù)安全能力成熟度模型）與DSG（DataSecurityGovernance，數(shù)據(jù)安全治理）理論為實踐路線，面向數(shù)據(jù)全生命周期，以覆蓋數(shù)據(jù)處理安全為核心，梳理適合本醫(yī)院的數(shù)據(jù)安全治理思路，建設(shè)具有本地化特點的數(shù)據(jù)安全管理體系。

圖1醫(yī)院數(shù)據(jù)安全管理實踐框架

根據(jù)數(shù)據(jù)全生命周期內(nèi)的建設(shè)要點，制定醫(yī)院數(shù)據(jù)生命周期安全要求框架，并按照框架逐階段開展數(shù)據(jù)安全體系建設(shè)。建設(shè)共分為五個階段：治理規(guī)劃、治理目標(biāo)、管理體系、技術(shù)體系和能力支撐。其中管理體系、技術(shù)體系、能力支撐三個階段相互關(guān)聯(lián)、相互支持，共同構(gòu)成了滿足合規(guī)合法要求、把控數(shù)據(jù)安全風(fēng)險、促進(jìn)數(shù)據(jù)價值釋放、保護(hù)個人信息安全的治理目標(biāo)和多建設(shè)規(guī)劃的完整數(shù)據(jù)安全管理實踐框架，如圖1所示。

在醫(yī)院數(shù)據(jù)安全管理實踐框架中，主要介紹技術(shù)體系。雖說網(wǎng)絡(luò)安全和數(shù)據(jù)安全是兩個不同的體系，但是數(shù)據(jù)安全體系的建設(shè)一定是建立在網(wǎng)絡(luò)安全合規(guī)的基礎(chǔ)之上。因此，數(shù)據(jù)安全管理實踐基礎(chǔ)點是以“四制兩措”的健全網(wǎng)絡(luò)安全機(jī)制作為技術(shù)驅(qū)動。除此之外，數(shù)據(jù)安全規(guī)劃了四步走：資產(chǎn)盤點、敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險評估。

數(shù)據(jù)安全管理是一個非常龐大且復(fù)雜的工作，在數(shù)據(jù)安全實踐框架的落實實踐中，打破“單品堆砌 + 獨立功能拼湊”的固有思維，結(jié)合醫(yī)院數(shù)據(jù)安全治理思路，打造將數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、敏感數(shù)據(jù)流動監(jiān)測、人員行為基線監(jiān)測和數(shù)據(jù)安全風(fēng)險把控等能力集于一體的數(shù)據(jù)安全管理平臺。

四、醫(yī)院數(shù)據(jù)安全管理平臺建設(shè)與實踐

（一）數(shù)據(jù)安全管理平臺功能設(shè)計

數(shù)據(jù)安全管理平臺以DSPM為核心理念，融合醫(yī)院數(shù)據(jù)安全治理思路，全流程感知數(shù)據(jù)安全風(fēng)險，實現(xiàn)對數(shù)據(jù)安全態(tài)勢的全面管理。平臺通過對醫(yī)院的全資產(chǎn)、全流量、全行為、全數(shù)據(jù)、全事件等要素的安全管理，最終形成以資產(chǎn)為基礎(chǔ)、以網(wǎng)絡(luò)為支撐、以數(shù)據(jù)為中心、以人員為關(guān)鍵、以事件為驅(qū)動的數(shù)據(jù)安全運營體系，如圖2所示。

1.資產(chǎn)發(fā)現(xiàn)功能

平臺通過主動探測和被動監(jiān)聽相結(jié)合的方式，對網(wǎng)內(nèi)流量進(jìn)行捕獲和識別解析，結(jié)合內(nèi)置的245種資產(chǎn)指紋和多流量協(xié)議解析能力，準(zhǔn)確識別院內(nèi)網(wǎng)絡(luò)中的數(shù)據(jù)資產(chǎn)（支持識別應(yīng)用、API、數(shù)據(jù)庫和文件等多種類型的數(shù)據(jù)資產(chǎn)）。此外，平臺還通過資產(chǎn)標(biāo)簽化管理、敏感等級判斷、活躍狀態(tài)判斷、數(shù)據(jù)流轉(zhuǎn)監(jiān)測等功能，構(gòu)建資產(chǎn)圖譜，實現(xiàn)數(shù)據(jù)流轉(zhuǎn)的動態(tài)監(jiān)測和風(fēng)險防控，從而提升醫(yī)院的資產(chǎn)管理能力和決策支持水平。

2.流量監(jiān)測功能

數(shù)據(jù)安全管理平臺的流量監(jiān)測能力涵蓋了對域內(nèi)和域外所有類型流量（包括出口、內(nèi)部、東西向及南北向流量）的全面監(jiān)控與解析，通過實時捕獲和分析網(wǎng)絡(luò)流量數(shù)據(jù)，平臺能夠識別并分類資產(chǎn)、評估流量模式、檢測異常行為、敏感數(shù)據(jù)訪問、未備案訪問，并通過跨境流轉(zhuǎn)和跨域訪問檢查強(qiáng)化邊界安全，確保網(wǎng)絡(luò)環(huán)境的安全性和合規(guī)性。

圖2數(shù)據(jù)安全管理平臺架構(gòu)圖

圖3資產(chǎn)發(fā)現(xiàn)設(shè)計流程圖

網(wǎng)絡(luò)圖譜通過箭頭表示各級網(wǎng)段訪問關(guān)系、通過線條粗細(xì)表示各級網(wǎng)段訪問量，可視化展示網(wǎng)絡(luò)流量訪問狀態(tài)，如圖3所示。

3.行為監(jiān)測功能

醫(yī)院通過平臺能力全面監(jiān)控網(wǎng)內(nèi)的操作行為、運維行為、文件訪問和數(shù)據(jù)訪問等維度的人員行為安全。平臺通過深度協(xié)議解析和賬號識別技術(shù)，生成詳細(xì)的訪問日志，關(guān)聯(lián)內(nèi)置及需求定義的風(fēng)險模型，實現(xiàn)對全網(wǎng)用戶行為的精準(zhǔn)分析和異常檢測，如圖4所示。

4.數(shù)據(jù)監(jiān)測功能

平臺的數(shù)據(jù)監(jiān)測能力涵蓋了對結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的全面識別與分析，通過內(nèi)置數(shù)據(jù)分類模板和深度解析多種傳輸協(xié)議，平臺能夠?qū)崟r監(jiān)控數(shù)據(jù)流動、分類存儲、敏感信息檢測及用戶行為追蹤，構(gòu)建數(shù)據(jù)流動圖譜并進(jìn)行可視化展示，實現(xiàn)從數(shù)據(jù)源到終端的全程監(jiān)控溯源，確保數(shù)據(jù)的安全性和合規(guī)性。

5.風(fēng)險管理功能

在數(shù)據(jù)風(fēng)險監(jiān)測方面，平臺專注于識別資產(chǎn)暴露面、數(shù)據(jù)賬號、權(quán)限及API弱點等風(fēng)險因素，利用OWASP風(fēng)險模型解析接口異常行為。對于安全事件告警，平臺提供了包括爬蟲行為、XSS攻擊、CSRF攻擊、端口掃描、SQL注入等多種類型的實時監(jiān)控與預(yù)警能力，同時針對敏感文件下載、跨境訪問、異地訪問等高風(fēng)險行為設(shè)置了專門的告警規(guī)則，確保及時發(fā)現(xiàn)并響應(yīng)院內(nèi)網(wǎng)絡(luò)中潛在威脅，保護(hù)數(shù)據(jù)安全和系統(tǒng)穩(wěn)定。

圖4用戶行為分析識別

（二）醫(yī)院數(shù)據(jù)安全管理平臺實踐

通過數(shù)據(jù)安全管理平臺的應(yīng)用，醫(yī)院對不同等級的數(shù)據(jù)進(jìn)行不同級別的安全風(fēng)險監(jiān)測和監(jiān)督管理。在網(wǎng)絡(luò)安全層面對高風(fēng)險數(shù)據(jù)實施安全防護(hù)措施，下發(fā)安全策略，動態(tài)更新安全防護(hù)編排[。利用流量解析及日志審計技術(shù)，建立完整的數(shù)據(jù)資產(chǎn)審計臺賬，對重點監(jiān)控對象進(jìn)行畫像分析，時刻感知風(fēng)險變動及風(fēng)險趨勢，實現(xiàn)前瞻預(yù)警。

將訪問高危數(shù)據(jù)的業(yè)務(wù)應(yīng)用、API、賬號等列為重點監(jiān)控對象，記錄其操作行為，完整展示監(jiān)控對象在“什么時間”對“什么數(shù)據(jù)”執(zhí)行了“什么操作”，并從時間、頻率、數(shù)量、類型、源信息、目的信息等多個維度進(jìn)行統(tǒng)計分析，建立行為基線，構(gòu)建行為趨勢，對數(shù)據(jù)流動（流動方向、數(shù)據(jù)類型、數(shù)據(jù)量）進(jìn)行動態(tài)測繪。同時，分場景制定匹配規(guī)則和觸發(fā)條件，對命中策略的高風(fēng)險操作進(jìn)行及時預(yù)警，實現(xiàn)安全可感的目標(biāo)。

數(shù)據(jù)安全事件通常由一系列“微小”的可疑操作組成，而數(shù)據(jù)安全風(fēng)險往往“隱藏”在正常訪問行為中。在平臺中建立風(fēng)險分析策略（規(guī)則匹配、頻率異常、內(nèi)容異常、時間異常、基線偏離、行為鏈異常），并結(jié)合場景特性靈活配置分析列和算法模型，對命中策略的可疑數(shù)據(jù)操作進(jìn)行及時預(yù)警，實現(xiàn)全程追。在事件發(fā)生時，提供詳細(xì)的搜索手段“以人追數(shù)”和“以數(shù)追人”，以便深入搜索，縮小泄密事件排查范圍，還原泄密路徑，發(fā)現(xiàn)數(shù)據(jù)違規(guī)操作，快速鎖定涉事主體。事后還應(yīng)及時進(jìn)行事件評估，發(fā)現(xiàn)安全盲區(qū)。利用全流程回溯數(shù)據(jù)，建立評估模型，完善資產(chǎn)模板。根據(jù)評估過程中產(chǎn)生的各種指標(biāo)和最終結(jié)論，針對薄弱環(huán)節(jié)提出有針對性的安全整改建議，并落實整改措施[8]

五、結(jié)語

隨著醫(yī)院信息化的不斷發(fā)展，越來越多的新技術(shù)和新方法得到應(yīng)用，同時也不斷挑戰(zhàn)著數(shù)據(jù)安全基線。數(shù)據(jù)安全管理是一個不斷修補(bǔ)和更新的工作過程，沒有完美的實施路徑可供所有場景復(fù)制。通過數(shù)據(jù)安全管理平臺的使用，使日常數(shù)據(jù)安全管理能夠做到合規(guī)有序、保護(hù)可靠、運營高效。然而，僅僅關(guān)注當(dāng)前數(shù)據(jù)安全管理是不夠的，在系統(tǒng)建設(shè)中，也要做出周密的規(guī)劃。只有如此，才能在保障醫(yī)院數(shù)據(jù)安全的同時，為醫(yī)院的信息化發(fā)展奠定堅實的基礎(chǔ)。展望未來，必須始終保持警惕，不斷完善和優(yōu)化醫(yī)院的數(shù)據(jù)安全管理體系，以確?；颊咝畔⒌陌踩c隱私。

參考文獻(xiàn)

[1]中華人民共和國國家互聯(lián)網(wǎng)信息辦公室.“十四五”國家信息化規(guī)劃[EB/0L].（2021-12-27）[2022-10-15]. http：//www.cac.gov.cn/2021-12/27/c_1642205312337636.htm.

[2]底濤，楊靖祎，劉夢迪，等.我國互聯(lián)網(wǎng)醫(yī)院發(fā)展模式探究[J]中國醫(yī)院，2023.27（06）：81-83.

[3]張晨，計虹，金昌曉.醫(yī)療數(shù)據(jù)質(zhì)量分析與治理對策探討[J].中華醫(yī)院管理雜志，2020.36（09）：747-750.

[4]羅蘭花，王暉，殷玉玲，等.面向數(shù)據(jù)全生命周期的醫(yī)療數(shù)據(jù)隱私：威脅與保護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（03）：101-104.

[5]鄭攀，陳臣，馬揚，等.醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全管理建設(shè)[J].中國數(shù)字醫(yī)學(xué)，2023，18（01）：7-11.

[6]計虹.大數(shù)據(jù)在智慧醫(yī)院建設(shè)中的應(yīng)用實踐[J].中國衛(wèi)生信息管理雜志，2020，17（06）：706-709+743.

[7]徐波，苗春雨.基于零信任的數(shù)據(jù)安全管理研究[J].中國信息安全，2023（03）：80-82.

[8]艾龍.數(shù)據(jù)安全管理職責(zé)劃分和追責(zé)機(jī)制探析[J].信息安全研究，2023.9（01）：73-78.

作者單位：陳永楓、崔騰、趙燕燕，鄭州大學(xué)附屬腫瘤醫(yī)院（河南省腫瘤醫(yī)院）；李潤生，信息工程大學(xué)

責(zé)任編輯：王穎振 鄭凱津