以身份為中心基于行為場景的醫院數據安全防護初探

王國送

提要：“智慧醫院”核心命脈在于“醫院數據中心”，其中記錄大量居民個人及診療信息、醫院科研及運營管理數據。隨著大數據技術在醫療行業的應用，大數據分析結果往往用于臨床診斷以及公共衛生決策，醫療數據因其蘊藏的巨大價值和集中化的存儲管理而成為攻擊的重點目標，與此同時也帶來了很多數據泄露的安全隱患。

關鍵詞：醫院數據;身份認證;行為場景;數據安全;網絡安全

中圖分類號：TP391? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）20-0043-02

隨著各信息化技術的快速發展，以及云計算、移動化、大數據、物聯網等新技術的出現和發展，醫療業務與互聯網對接已是不可避免的趨勢。特別在2015年3月5日十二屆全國人大三次會議上，李克強總理在政府工作報告中首次提出“互聯網+”行動計劃。進一步要求了各個業務與互聯網的深度融合，醫療行業在利用互聯網、移動化技術實現醫生隨訪、移動護理、自助交費、院外康復和家庭病床等業務也利用新技術實現了高速的發展。

隨著信息化技術發展、融合創新能力提升，數據安全建設在醫療行業越來越重視，數據泄露的問題成為政治問題和行業考核通報的重點內容。

1 數據安全存在的問題

醫院信息系統記錄大量居民個人及診療信息、醫院科研及運營管理數據。隨著大數據技術在醫療行業的應用，這些基礎數據不斷被進行二次匯總及大數據分析，分析結果往往用于臨床診斷以及公共衛生決策，其價值較原始數據又有了更高的提升。醫院間、監管機構、第三方應用對數據的交換及使用的普及也促進了醫療數據的共享，但是在數據共享的同時也帶來了很多數據泄露的安全隱患，醫療數據因其蘊藏的巨大價值和集中化的存儲管理模式而成為攻擊的重點目標。

從國內外安全事件來看，80%的數據泄露事件是由“內鬼”造成。業務系統涉及大量公民個人隱私信息，而大部分業務系統是由第三方開發和負責運維，因為缺乏有效監管、問責機制和技術管理措施，第三方運維人員或內部人員，通過訪問數據庫導出數據或通過應用前臺導出數據進行販賣，造成數據泄露事件。如：

1）內部業務人員利用合法的身份進行非工作需要地查看相關數據，進行截圖、錄像或下載，非法牟利。

2）第三方人員或廠家人員利用維護的機會對數據進行查看、下載、拍照、錄像等非法操作，竊取數據。

3）開發人員由于開發測試需求導出正式業務數據到測試環境中，在導出的過程中對數據進行泄露。

所以，需要對敏感數據加強技術防護，防止數據外泄，避免發生客戶信息泄露事件和造成嚴重的政治影響或社會影響。

2 醫院數據安全防護措施

建設以身份為中心，從源頭抓起，基于行為場景的數據安全防護體系。

2.1 以身份為中心

以身份為中心即以人為中心，IT系統中身份就是賬號。

IT系統人員分為：業務人員、運維管理人員、開發人員、測試人員。按照人員的所屬關系分為：內部人員和外部人員。

加強人員身份的管控對人的身份進行唯一性和合規性管理，建立賬號與自然人直接關聯關系，通過數字證書、動態口令、生物識別等技術手段，建立雙因素認證機制，實現人員身份的唯一性管理。對賬號進行全生命周期管理，防止僵尸賬號、冗余賬號、弱口令賬號的發生，對賬號權限進行管理和梳理，實現身份合規性管理。

規范人員操作行為，對重要的人員、重要的業務操作和運維操作進行管控，加強授權管理能力，以人為中心分析用戶行為，建立行為場景，通過對行為場景防護建立數據安全防護措施。

2.2? 基于行為場景的數據安全防護

涉及醫院數據安全的行為場景主要包括日常業務系統操作、數據庫運維和IT運維。

2.2.1日常業務系統操作場景下的數據安全防護措施

醫護人員訪問醫院各業務系統時可進行患者信息查詢，對查詢出的數據可進行截圖、拍照錄像或下載等操作。

針對此類場景，可對頁面內容加水印處理或關鍵信息做頁面的動態脫敏，防止醫護人員或第三方人員截屏、拍照錄像，如發生信息泄露事件可有效溯源，以達到防止數據泄露的目的。針對患者信息下載的場景，可采用“零下載”功能對下載文件進行管控，使其無法下載到本地，以防止數據泄露。

2.2.2 數據庫運維場景數據安全防護措施

數據運維主要包含數據導出，數據分析及數據外發，一是測試人員由于醫院業務系統測試需要，會把生產環境的數據導出到本地測試環境中;二是數據分析人員也需要導出業務數據用于滿足醫院各方數據分析需求;另外醫院也會把相關醫院的運營、診療等數據外發給衛健委等政府部門。部分人員可能利用數據導出的機會據為己有，導致數據泄露的情況發生。

針對此類場景，可采用靜態脫敏技術對數據進行安全防護，在數據導出前對敏感數據進行脫敏處理。

2.2.3 IT運維場景的數據安全防護措施

醫院或第三方運維人員通過運維工具訪問數據庫時，可查詢或批量導出數據，并下載到本地。

針對此類場景，可采用“金庫”模式對重要操作進行二次授權管理，加強運維操作的審批管理，對查詢結果動態實時脫敏，以防止真實數據泄露。針對運維人員下載數據文件，可采用“零下載”功能對下載文件進行管控，使其無法下載到本地，以防止數據泄露。

2.3 采用動態脫敏技術

動態脫敏包括運維實時動態脫敏和頁面實時動態脫敏。

2.3.1運維實時脫敏

數據庫運維實時脫敏是針對運維人員在通過工具訪問后臺數據庫時，對查詢數據庫返回的結果數據根據預設的脫敏策略進行實時模糊化處理，對敏感內容采用*遮罩的方式進行脫敏展示。