基于全域管控的防統方體系建設方案及應用*

鄭云硉 吳曉芬

(上海市同濟醫院信息處 上海 200065)

1 引言

為貫徹落實《關于加強醫療衛生機構統方管理的規定》(國衛糾發〔2014〕1號)、《關于印發醫療機構工作人員廉潔從業九項準則的通知》(國衛醫發〔2021〕37號)要求，進一步加強行風建設，嚴禁不正當商業目的統方。醫院防治非法統方行為手段不能局限于技術人員職業道德約束和簡單的平臺監控，數據安全問題迫在眉睫。歸納總結原防統方系統的問題，優化防統方體系，借助已有防統方系統，結合數據庫審計[1]、準入系統、運維監控平臺等安全設備，依照事前防范、事中控制、事后追溯的原則，建設全域管控、多層次安全防御體系，增強統方實時告警與事后溯源、分析、審計能力，加大醫院對非法統方行為的打擊力度，保護患者隱私。

2 原防統方系統方案的問題

2.1 模糊查詢難發現

測試過程中發現，系統對全庫/表查詢、下載等大批量、頻繁操作[2]這些常見的疑似統方行為，可以通過發送短信或頁面彈窗的形式報告給防統方管理員。但對于故意采用模糊查詢條件，查詢后再二次篩選或拼裝的行為，系統給出的風險判斷等級較低，一般會被防統方管理員忽略，存在統方風險。

2.2 追溯難

防統方系統支持及時保留統方操作痕跡，再現統方結果，形成防統方監測報告，留存異常日志。由于多人共用一臺電腦，僅靠IP無法準確定位，需借助攝像等操作，供事后追溯。

2.3 滯后性

原統方系統采用旁路鏡像的模式搭建[3]，其拓撲結構，見圖1。這種事后干預方式不會影響正常業務運行，但是響應相對滯后，需要依靠防統方管理員及時追溯，從大量語句中篩選疑似語句。

圖1 防統方系統接入拓撲結構

3 全域管控防統方體系設計

目前醫院信息化建設發展迅速，各業務系統關聯性越來越復雜，核心數據泄密的隱患也越來越突出[4]，數據安全不能單單依靠一套系統，全域管控防統方體系是指防統方系統與數據庫審計、準入系統、運維監控平臺、網絡資源監控平臺等安全設備及監控平臺交叉合作，提升綜合管理效率，達到統方實時預警與事后溯源、及時定位、協助分析、結果驗證并舉的效果。

3.1 多維度、全方位、全范圍監控阻攔

本方案體系主要從4大場景展開：數據安全威脅監測場景、數據安全威脅處置場景、保障業務連續性場景、日常運維場景。結合醫院安全設備，形成多維度、全方位、全范圍的數據安全體系，交錯驗證終端準入，上網行為管理設備限制可連接設備，結合網絡策略阻斷訪問。

3.1.1 數據安全威脅監測場景 監測維護人員的操作行為，詳細記錄其操作內容，以保障重要數據安全為出發點，完整記錄、分析對關鍵數據的查詢、變更、刪除等操作，為統方行為的溯源提供助力[5-6]。

3.1.2 數據安全威脅處置場景 當數據被大量復制，甚至范圍擴展到整個數據庫時，會被資源監控平臺記錄，即時觸發報警，工程師聯動桌面管理軟件智能阻斷數據訪問，通過桌面系統錄屏、鎖屏、阻斷等，極大提高了系統取證及控制能力。防統方系統、數據庫審計通過對醫院核心數據的實時監控，使管理者能夠及時掌握數據的應用情況，及時發現用戶的使用問題，糾正存在的安全隱患。

3.1.3 保障業務連續性場景 在醫院業務系統全方位打通、高強度融合的背景下，網絡安全已經從以系統為中心逐漸轉向以數據為中心，傳統的基于清晰邊界隔離的圍欄式靜態安全保護方法已經無法滿足數據流動下的動態安全防護體系化需求。基于全域管控防統方體系的準入系統、防統方系統等安全設備，結合網管平臺、網絡資源監控平臺，做到事中記錄、實時防護，保障業務連續性。

3.1.4 日常運維場景 日常運維管理中，對于涉及患者敏感信息的需求，由信息安全小組介入，以最小夠用原則評估業務的必要性[7]。對于借助數據平臺的項目，例如專病庫、科研管理平臺等，則配合脫敏系統對接數據，層層設置對應的用戶權限[8]。當下載數據用于科研項目時，由科研員提交OA申請，經科主任、臨床研究中心管理員審核，待申請通過后，由管理員下載并保留操作痕跡，以備審查。對于需對接的系統，經信息安全小組評估通過后，定期檢查數據平臺接入內容，審查所有接口的調用記錄，及時清理舍棄的接口，減少數據泄露的可能，見圖2。多安全設備相互協作，輔助保障數據安全。多平臺驗證分析結果，形成閉環管理。

圖2 接口調用記錄

3.2 基于自學習的防統方系統算法

整合線性規劃、非線性規劃等算法，加上傳統的經驗法，更快定位疑似行為，應用獨特的業務活動分析技術，可以區分真正的攻擊與無害的用戶行為變化，特有的阻斷技術為數據提供實時保護，防止利用數據庫信息進行“統方”、醫患數據外泄、擅自篡改醫院和患者信息數據等問題。系統采用加密傳輸機制，避免可能存在的嗅探行為，保證安全[3，9]。

系統內置防統方知識庫，對于可疑篩選操作，定期進行人工輔助識別，并將結果反饋給防統方系統，供其自動學習。經過一段時間的學習，防統方結果會更加準確。同時還設有實時更新的合理用藥、供應鏈管理、耗材等知識庫。

3.3 基于移動端聯動處理

傳統架構下的提醒功能通過平臺彈框和短信提示，隨著業務拓展，業務與數據量成倍增長，短信成本較高，且無法查看詳細可疑語句，倒查追溯困難。結合醫院自研的綜合平臺和釘釘平臺，可大幅減少運營成本，防統方管理員也能更精準、便捷定位。借助綜合管理平臺定期分析敏感數據，防統方管理員可在平臺上分配分析任務，分析結果支持多人復核，在平臺上選擇審核部門進行逐層上報。審核結果生成電子檔案，長期保留供下載或者打印存檔，也可解決紙質檔案不易保存的問題。

4 應用效果及社會效益

4.1 防止管理員權限濫用

管理員根據工作崗位需要，依據“最小化配置”原則配置權限。安全設備(如數據庫審計系統)記錄所有用戶數據庫操作，審計員可以審計用戶行為，借助設備還原出原操作記錄，形成閉環管理。能夠提供多角度、可追溯的制度與響應機制，防止管理員權限濫用。

4.2 降低維護人員竊取數據風險

現有醫療業務系統依賴大量運維人員，運維人員可以直接接觸核心數據，且配有大部分系統的權限。對于運維人員，除了定期培訓、明確網絡安全責任和簽署保密協議外，還要規范外部準入行為，做好進出身份核實、實名登記與背景審查、在運維專區設置攝像頭、配置專屬運維電腦等，達到數據“可以使用，無法帶走”的運維管理效果。

4.3 保護重要數據安全

保護患者數據安全是智慧醫療的生命線，要像對待醫療安全一樣對待網絡安全。作為非傳統安全的重要組成部分，網絡安全是穩步推進數字化轉型的前提和基礎。以保障患者的診療數據安全為目標，事前防范、事中控制、事后追溯，完整記錄和分析對關鍵數據的變更，促進行風建設，提升醫院形象。

5 結語

構建基于全域管控的防統方體系，能夠有效提升網絡管理、網絡準入控制、數據庫防火墻防范和專用防統方系統等技術措施的效果；優化原防統方系統算法，提高全域防統方能力；借助移動端綜合平臺、線上審核歸檔等功能，使行風管理員工作更高效，為數據安全管理部門及紀檢部門提供了一種有效的執法與監控手段。