醫院防統方系統事前預防機制構建策略

鐘冰

摘要：醫院信息化管理日益滲透到醫療工作的方方面面，僅依靠傳統的規章制度要求院內職工謹守職業底線和數據庫自身有限的審計功能管制第三方開發運維人員的不當運作，對防范患者醫療數據被非法獲取，日漸顯得捉襟見肘。為夯實醫院的行風建設，同時執行好國家衛計委聯合國家中醫藥管理局在2014年頒布的《關于加強醫療衛生機構統方管理的規定》，本文把統方的防御手段從依賴道德和法規約束跨越到數據安全層面進行解構，在技術角度關注如何杜絕相關風險方進入統方禁區。

關鍵詞：防統方，數據安全，風險防范

【中圖分類號】 R197.3 【文獻標識碼】 A? ? ? 【文章編號】2107-2306（2022）07--01

為了緊跟“互聯網+醫療健康”的潮流態勢，計算機技術應用與醫院發展、醫學科技不斷深化融合。隨著醫院信息化的迅猛發展，醫療水平得以進一步提高，但患者信息的高度集中，也使醫療行業面臨核心數據泄露的風險逐漸增加，尤其是醫藥購銷領域商業賄賂的問題尤為突出。在Verizon發布的《2020年數據泄露調查報告》中，醫療保障領域的數據泄露事件與2019年相比，大幅增加了304起，并且是內部惡意行為者數量最多的行業之一。因此只有在數據泄露事件中確立人在事前預防的主體地位，提高相關人員對數據相關業務的理解程度、信息安全意識和信息安全專業能力，除了健全相應的流程制度，還要對大型設備、醫用耗材、臨床藥品的采購和使用在技術上進行有目的性的監控，才能最大程度的限制院內統方行為的發生。

1.觸發統方的風險點分析

1.1權限未實現顆粒度管理

對數據庫設置一個最高權限管理員賬號屬于基本的安全防護手段，但是對于運維開發人員來講，會存在多人共用該賬號的情況，而且在不同的人使用管理員賬號操作時通常只能追蹤到賬號很難審查到個人，如果一旦出現數據安全事件，便無法追蹤到具體使用人員。

1.2大權限賬號濫用

醫院內部業務操作人員、數據庫管理人員、第三方運維開發人員等由于早期建設不重視權限最小化原則，會被賦予信息系統里的大權限賬戶。更甚者第三方的工程師流動性大、制約力弱，此類人員能夠輕易接觸到敏感數據，存在更高的數據泄露風險。

1.3真實數據使用失控

數據庫管理員在進行數據庫運維過程中無需查看表格里的真實數據，但數據庫管理員都享有相應的訪問權限。同時開發運維人員對表的增刪改查等操作不能進行有效防范，比如運行select * from table語句就能看到所有的數據，無從精確控制。甚至于在數據共享和數據開發測試等場景下，采用真實數據進行操作，就會造成較嚴重數據失密。

1.4操作行為難追溯

若出現內部人員利用大權限賬號，越權訪問，高頻訪問等高危操作，就必須對數據庫操作日志進行回溯，但數據庫自帶日志較占用自身資源易被刪除，而且解讀門檻高，導致真正利用日志進行行為溯源變得極其困難。

2. 針對統方操作的建設原則

2.1數據甄別原則

對海量的醫療數據進行篩查，明確保護目標，把敏感數據從普通業務數據中脫離出來進行獨立管理。敏感數據發現完成后需要進行數據分級分類，確定數據重要性和敏感度，并有傾向性地采取安全防護措施，在保證數據安全的基礎上促進數據開發共享。按照數據的重要程度進行劃分，有助于對各人員權限進一步的細分，做到不同的數據訪問有相應等級的安全操作。

2.2根據數據采集、數據存儲、數據使用、數據共享開放過程中的不同功能和用途將數據使用和數據管理分離。采取“用管分離、分權而治”的原則。

2.3權限最小化原則

根據共享交換過程中的不同角色不同業務場景的賬戶權限分配需要滿足最小化原則，確保數據主體僅被授予任務執行和完成工作所必需的權限。

2.4可溯性原則

進行全流程監管，實現數據的來源或泄露點可追溯，對泄露點進行溯源，明確責任。

2.5可控性原則

通過技術或管理手段，保證數據在共享交換活動的各個階段是可控的。

3. 統方管控的的安全對策

3.1系統配置

防統方服務器通常是基于旁路流量鏡像展開監控，需把防統方系統接連在醫院網絡的核心層交換機上，流向各個業務系統的數據經過交換機開放的一個數據鏡像端口被防統方系統進行記錄、解析和篩查。

3.2程序控制

通過對醫院職工的數據調用行為、數據管理員的數據管理行為、軟件運維商的調試行為的分析，對不同的人員角色進行合法性授權并采取多因子認證，確認行為對應到人（或定位到物理位置）后，需對用戶的全部行為在統方規則里進行監測高危操作。如對于數據庫、敏感數據表、列等對象不定期高頻次檢索，基于訪問者的身份、使用工具、用戶權限等要素發現未經授權的違規操作，需及時阻止非正常數據會話協同引發告警機制。但充分考慮實際應用的靈活性，當某些危險性操作或者需要訪問敏感數據必須進行時，可提交臨時授權工單，由監管員審批允許進行細粒度更改或設置白名單排除危害警告方可進行操作。最后依照用戶的日常行為生成審計報告，分析醫院的統方情況再施行管理或配置上的調整。

3.3存在問題

對醫療數據查探的偽裝手段日新月異，而防統方系統規則的設定是根據過去的事件進行的規律總結，系統的方式識別更新是否能跟上竊取數據的技術發展，仍需業內進一步的驗證。

4.研究目的

完善醫院防統方系統事前預防的部署，實現對統方利益相關各方人員高危操作行為的分析，依據真實的感知數據，可驅動醫院今后制定對應的有效決策，有目的性地部署管理，從而提升整體數據安全水平使。

參考文獻：

[1]李海濤，楊洋，高世龍.防非法統方_從事后審計到事前預防[J].醫學信息學雜志，2014，35 （11）：41-43.

[2]王俊新，李偉，尚明偉等.基于醫院數據庫審計的防統方系統思考與應用[J].中國數字醫學，2019，14（7）：109-110.

[3]王蓓.醫院信息系統防統方技術策略[J].信息與電腦，2015，（4）：61-62.

[4]許銳釵.從信息鏈上切斷醫藥利益聯系[N].健康報.2007-10-18（5）

[5]段曉偉.數字化轉型下的人民銀行金融數據安全體系建設[J].電子技術與軟件工程.2021， （20）：239-240.

[6]唐彬，吳曉光.金融業大數據安全問題[J].中國金融.2017（23）：78.

[7]江傳.醫院信息系統數據安全威脅與防范機制的構建[J]. 中國新通信，2019（19）：132.

[8]費曉璐，李嘉，黃躍等.醫療大數據應用中的數據治理實踐[J].中國衛生信息管理雜志，2018，15（5）：555-556.