醫院數據泄密對策研究

王 磊 郭旭升 王穎晶

(同濟大學附屬同濟醫院計算機中心 上海 200065)

?

醫院數據泄密對策研究

王 磊 郭旭升 王穎晶

(同濟大學附屬同濟醫院計算機中心 上海 200065)

回顧國內外數據泄密案例和最新計算機技術發展動態，分析數據泄露防護的誤區和難點，對醫院數據泄密防護體系進行設計與建設，指出探測到數據泄密是所有防護工作的基礎和前提，核心數據角色權限要相互制衡，泄密保護中最為核心的因素始終是“人”。

醫院；數據泄密防護；信息安全

1 引言

隨著信息化的不斷發展，信息技術已經融入人類生活的方方面面，互聯網的廣泛應用，使得數據泄密的風險越來越大。根據Check Point軟件技術有限公司與波耐蒙研究所(Ponemon Institute)2011年《了解21世紀IT環境的安全復雜性》的全球調研報告，2010年有77%的機構都曾遭遇不同程度的數據丟失、損毀、泄露[1]。在醫療領域，近年來隨著醫療體制改革的深入，國內醫院信息化建設飛速發展，醫院信息化程度不斷提高，幾乎與診療相關的數據都已電子文檔化，而與之伴隨的醫院數據泄密風險也因此被進一步放大。

相對發達國家，我國的隱私保護意識存在缺陷，醫療保險制度也有較大的差別，但可以肯定的是醫院信息化的趨勢，讓患者更加擔心自身的診療信息泄密，同時醫院也被要求承擔起越來越多的數據保護職責。2012年美國發生猶他州78萬人醫療數據泄密事件，近期國內屢屢曝光的產品推銷、統方事件，卻進一步暴露醫院在數據泄漏防護方面所面臨的迫切形勢以及嚴峻挑戰。

2 數據防護的難點和重點

2.1 難點：正確認識數據價值

醫療行業的海量數據主要來源于財務、影像、臨床病案或業務類應用以及醫學文獻所產生的結構化和非結構化數據，而很多醫院管理者包括醫院領導層，對數據價值的重要性認識不夠深刻。以往醫院注重以財務、收費系統為主的醫院信息系統建設，認為除處方數據以外的其他數據價值不高，使得數據挖掘的效果也無法讓人滿意。由于信息系統中數據源的匱乏和技術手段的制約，導致醫院數據這座“金礦”一直無人重視。2009年起作為支撐深化醫藥衛生體制改革“四梁八柱”的八柱之一，臨床信息化開啟了跨越式的發展，信息系統數據源不斷豐富，以病案為主的數據存儲量也從原來的GB(吉字節)走向了TB(太字節)，而PB(拍字節)的時代也指日可待，同時伴隨著大數據應用、云計算技術時代的到來，海量數據分析已不是夢想。數據對人們生活、工作與思維產生了變革。而大數據不注重精確性，注重混雜性、全體數據等特點也完全契合醫院現有信息系統數據特點[2]。一份報告顯示，醫療大數據的分析會為美國產生3 000億美元的價值，減少8%的國家醫療保健支出。醫院內數據的價值已經發生了翻天覆地的變化。

2.2 重點：培養專業技術人才

信息的價值決定了所面對黑客的能級[3]。通過近年來媒體報道和筆者調查，竊取醫院各個科室的醫藥信息為目的的黑客群體已經形成。近日浙江省溫州市就判決一起案件，一黑客團伙竊取省內多家醫院統方數據，4年內非法獲利700多萬元。恰恰相反，醫院長期重點關注的是信息系統如何實現功能應用，無論是系統承建商還是醫院信息管理部門，對醫院信息系統內部龐雜的結構存在了解不深刻、不全面及缺乏反黑客的專業培訓[4]等情況。此外，很多安全防范技術措施因改動升級信息系統會產生一定的風險；安全措施往往由上而下推行，導致增加管理部門和使用部門的額外工作量；醫院沒有建立數據安全的量化考核等。綜合以上因素，醫院信息部門既無能力也無動力去切實履行防護工作。在這種局面下，數據防護很可能只能流于形式。

3 數據泄密防護體系構建

3.1 整體框架

當前，數據防泄露是信息安全的主要問題?；诓煌姆森h境、文化理念和網絡環境，國內外數據泄露防護體系要解決的具體問題是不同的，國外數據泄漏防護以防外部竊密和內部無意泄密為主，國內以防止內部故意泄密為主，兼防內部無意泄密和外部竊密。因此，國內數據泄漏防護強調的是主動防御，通過事前主動防御、事中及時控制、事后及時追蹤，以審計為手段，以加密技術為核心，結合多種信息安全技術，建立完善的數據泄漏防護方案。醫院建設的數據泄密防護體系，是防止該醫院內部的敏感數據或信息資產以違反安全策略規定的途徑流出的策略集合，其中包括所需的安全設備、管理制度、業務流程、技術等。目前往往是采取單一防泄密策略，如反統方軟件和網絡安全防護設備等；但實踐證明，只有頂層設計和建設完整的數據泄密防護體系，將各種防泄密策略有機整合才能最大限度防范信息泄漏。例如利用身份認證和訪問控制技術，做到事前防護；通過對數據使用、傳輸、存儲的全生命過程進行加密和權限管理，做到事中防護；同時必須建立全過程的日志審計和持續改進行政管理手段，做到事后防護。3者緊密聯合、相互聯動，從而實現醫院數據防泄密完整保護。整體框架，見圖1。

圖1 數據泄密防護體系

3.2 防護工作的前提是快速準確地發現數據泄密

如果對數據的產生、傳輸、存儲的過程都渾然不知，那么防護無從談起。長期以來，醫院信息化建設注重功能性的需求遠勝于安全性。醫院內部各類信息子系統林立，網絡安全邊界錯綜復雜，敏感信息散落在眾多系統之中，給數據泄密提供了諸多便利。數據泄密的途徑可以總結為以下兩種：(1)內部泄密——接觸敏感數據人員無意泄密或利用職務便利故意竊取數據，例如病案管理人員泄密患者隱私、科研藥房工作人員泄密統方數據、產科醫務人員泄密新生兒數據等。(2)外部泄密——通過技術手段破解、竊取、監聽，獲得敏感數據，例如破解數據庫賬戶、登錄數據庫竊取敏感數據或者運用網絡監聽工具竊取數據包內容等手段。

在此局面下，單憑任何一個子系統承建商或者單一技術手段都無力為醫院制訂具有可操作性的數據安全解決方案，因此，一個全方位數據庫防泄漏系統，需要對數據進行全周期的管理和防范[5]。目前，能有效探測到數據泄密痕跡的工具是數據泄密防護系統，但是從該類解決方案的局限性來看，醫院信息環境的復雜性和實時性致使其在實際使用中效果大打折扣。一方面，目前國內尚無成熟案例，醫院信息部門缺乏這方面的技術人員；另一方面，醫院信息系統組成復雜，同時存在結構化、非結構化和半結構化的多樣數據類型，這也使得單一目的性的產品或者方案既無法防護所有類型，又大大增加黑客侵入的目標性。針對以上問題，可以利用數據泄密防護系統重點加強身份認證和訪問控制的功能。以一個“觀察者”的身份在盡可能減少對醫務工作影響的情況下，記錄操作日志；收集一定周期內，例如一個季度的行為日志，通過軟件系統廠商和醫院信息部門逐一甄別，確定操作行為的合規性；在此基礎上進而建立識別規則庫，對于不屬于該識別規則庫行為系統要給予報警，或對涉密數據進行加密，由醫院專職人員在軟件系統廠商技術人員協助下學習鑒別和規則建立，培養技術能力。

3.3 三權分立的信息系統角色

采用分權的管理策略，醫院涉及敏感數據的核心角色主要包括數據庫管理員、報表統計員和審計員。 數據庫管理員負責管理和維護數據庫服務器，做日常監控和備份工作，使數據庫正常運行。報表統計員承擔信息系統敏感報表統計分析工作，從事病案管理、高值耗材、藥品消耗量報表的制作、分析等事宜。審計員包括系統操作日志審計員、安全系統管理員和數據泄密防護系統管理員等。數據庫管理員對數據庫有最高的訪問權限；通過加密技術等手段，使此權限能查閱的數據顯示為亂碼，無法直接使用；數據庫操作記錄日志由審計員進行審核。報表統計人員在授權情況下可以看到敏感數據，審計人員負責監督數據庫管理員和報表統計員的所有操作行為，但無權限查看、查詢數據庫的數據。這3個崗位應由不同人員擔任，形成權力監督機制。一些醫院為了節約人力成本，往往讓一個人兼任這3個崗位或部分系統只有報表統計員無審計員，這在制度上存在嚴重缺陷，信息部門核心角色一旦失去監督威懾，為內部人員參與泄密埋下隱患。

3.4 人是泄密防護最核心的因素

醫院業務的復雜性，使其成為最復雜的管理系統之一。參與其中的公司及人員眾多，其數據安全水平和安全意識參差不齊，這就要求醫院信息部門人員要對數據安全邊界的變化以及防控體系的變更做到了如指掌。各醫院對電子病歷應用的開展，進一步通過信息化手段支撐了醫療體制改革，方便了患者，但同時也大大增加了數據泄密的風險和機會。根據美國計算機安全研究所(CSI)2010年關于內部泄密和外部泄密的調查結果，內部人參與泄密比例高達85%[6]。原有以關鍵人員為主導的責任制行政管理手段已完全不適用，取而代之是全體醫務人員共同培養數據防護意識。因此，必須建立以信息部門為主、全院參與的行政管理系統，將數據防護有關制度作為管理制度核心之一。調動信息部門的主觀能動性，著重培養信息安全方面的技術和管理人才，加強精細化管理考核手段，將數據安全責任落實到每一個從業人員，重視全體從業人員的數據安全觀[7]。否則購置再多的技術工具，也只能是華而不實的擺設。

3.5 建設成效

某三級甲等醫院對數據泄密防護體系進行了近兩年的設計與建設，達到了對醫院核心信息系統中的處方用藥信息、病案隱私信息等重要數據的全周期防泄漏防護，從而在由第3方權威測評機構基于《信息安全技術信息系統安全等級保護基本要求》(GB/T 22239—2008)第3級安全保護能力測評中，醫院核心業務系統項目符合率高達84.6%，在其同市比較中名列前茅，并且達到國家衛生計生委《醫院信息互聯互通標準化成熟度測評》4級對信息安全的要求。

4 結語

隨著醫療改革繼續深入，醫院信息化程度不斷提升，人民群眾隱私保護意識持續提高，在大數據應用、云技術、物聯網、移動浪潮等技術概念支撐下及各種利益的驅使下，診療信息的泄密風險大大增加[8]。從國外調查數據以及國內曝光案例可以預計，醫院和政府主管部門將面臨防止診療信息泄密的長期挑戰。因此在某種意義上，單單依靠個人、醫院信息部門或某幾項技術無法應對如此錯綜復雜的形勢，必須設計與建立數據泄密防護體系，通過制度建設來保障安全工作的持續性、科學性和有效性。在做好數據防護的同時，也應做好數據的清洗、整合、分析，挖掘數據的潛在價值，使其發揮更大的作用，為患者的診療、科研實驗、績效管理、便民服務各方面提供支持[9]。

未來醫聯體、居民電子健康檔案等區域醫療信息共享建設的不斷完整和準確，在極大地方便患者、提升群眾生活質量的同時也將成為新的數據泄密隱患，而且因為區域性優勢其數據價值也成倍增

加，如何制定覆蓋全衛生系統的數據防泄密體系的國家標準將成為未來必須面對的課題。同時為了合理利用診療數據，規范醫療機構的數據分析行為，需要建立更有針對性的測評標準、行業規范和立法來加以保障。隨著互聯網+時代的到來，需思考如何應對互聯網和移動應用對醫院信息系統的滲透[10]，原有醫院內外網物理隔離的架構將面臨顛覆性的改變[11]，更多的診療數據會通過互聯網、無線網絡傳輸，而目前還缺乏相對應的防止數據泄密的技術和經驗。

1 Check Point軟件技術有限公司與波耐蒙研究所.了解21世紀IT環境的安全復雜性[Z].2011.

2 Viktor Mayer-Sch·nberge,Kenneth Cukier. 大數據時代[M]. 杭州：浙江人民出版社,2013.

3 David Litchfield,Chris Anley. 數據庫黑客大曝光[M].北京：清華大學出版社,2006.

4 Michael Howard,Davis LeBlanc,John Viega. 一個都不能有——軟件的19個致命安全漏洞[M].北京：清華大學出版社, 2006.

5 汪家興,喬喆,陳希,等.構筑立體化數據防泄密體系[J].電信工程技術與標準化, 2011,(10)：33-37.

6 孟鑫東.數據防泄密發展趨勢[J].保密科學技術，2012,(5)：54-57，68.

7 葉萍.醫院信息化建設風險與數據安全管理[J].醫學信息學雜志，2010,31(6)：21-23.

8 王曉丹.當前醫療信息化存在的問題及對策研究[J].醫學信息學雜志，2011,32(1)：44-47.

9 魏文浩. HIS安全維護技術的原理和應用[J].醫學信息學雜志，2010,31(3)：18-20.

10 劉芙蓉.醫院信息化建設之數據安全策略[J].醫學信息學雜志，2010,31(11)：31-33.

11 胡芳,沈紹武.醫院信息系統體系架構構建研究[J].醫學信息學雜志，2012,33(11)：16-21.

Research on Countermeasures of Hospital Data Leakage

WANGLei，GUOXu-sheng，WANGYing-jing,

ComputerCenterofShanghai，TongjiHospitalAffiliatedtoTongjiUniversity,Shanghai200065,China

The paper overviews domestic and foreign data leakage cases and the latest computer technology development trends, analyzes the misunderstandings and difficulties of data leakage protection, design and constructs data leakage protection system, points out detecting data leakage is the basis and premise of protection work,the permissions of the core data roles should reinforce checks and balances, the most core factor in protection work is “the person”.

Hospital; Data leakage protection; Information safety

2014-09-12

王磊，技術員，發表論文4篇;通訊作者：郭旭升。

R-058

A 〔DOI〕10.3969/j.issn.1673-6036.2015.04.008