王 磊 郭旭升 王穎晶

(同濟(jì)大學(xué)附屬同濟(jì)醫(yī)院計(jì)算機(jī)中心 上海 200065)

?

醫(yī)院數(shù)據(jù)泄密對(duì)策研究

王 磊 郭旭升 王穎晶

(同濟(jì)大學(xué)附屬同濟(jì)醫(yī)院計(jì)算機(jī)中心 上海 200065)

回顧國內(nèi)外數(shù)據(jù)泄密案例和最新計(jì)算機(jī)技術(shù)發(fā)展動(dòng)態(tài)，分析數(shù)據(jù)泄露防護(hù)的誤區(qū)和難點(diǎn)，對(duì)醫(yī)院數(shù)據(jù)泄密防護(hù)體系進(jìn)行設(shè)計(jì)與建設(shè)，指出探測(cè)到數(shù)據(jù)泄密是所有防護(hù)工作的基礎(chǔ)和前提，核心數(shù)據(jù)角色權(quán)限要相互制衡，泄密保護(hù)中最為核心的因素始終是“人”。

醫(yī)院；數(shù)據(jù)泄密防護(hù)；信息安全

1 引言

隨著信息化的不斷發(fā)展，信息技術(shù)已經(jīng)融入人類生活的方方面面，互聯(lián)網(wǎng)的廣泛應(yīng)用，使得數(shù)據(jù)泄密的風(fēng)險(xiǎn)越來越大。根據(jù)Check Point軟件技術(shù)有限公司與波耐蒙研究所(Ponemon Institute)2011年《了解21世紀(jì)IT環(huán)境的安全復(fù)雜性》的全球調(diào)研報(bào)告，2010年有77%的機(jī)構(gòu)都曾遭遇不同程度的數(shù)據(jù)丟失、損毀、泄露[1]。在醫(yī)療領(lǐng)域，近年來隨著醫(yī)療體制改革的深入，國內(nèi)醫(yī)院信息化建設(shè)飛速發(fā)展，醫(yī)院信息化程度不斷提高，幾乎與診療相關(guān)的數(shù)據(jù)都已電子文檔化，而與之伴隨的醫(yī)院數(shù)據(jù)泄密風(fēng)險(xiǎn)也因此被進(jìn)一步放大。

相對(duì)發(fā)達(dá)國家，我國的隱私保護(hù)意識(shí)存在缺陷，醫(yī)療保險(xiǎn)制度也有較大的差別，但可以肯定的是醫(yī)院信息化的趨勢(shì)，讓患者更加擔(dān)心自身的診療信息泄密，同時(shí)醫(yī)院也被要求承擔(dān)起越來越多的數(shù)據(jù)保護(hù)職責(zé)。2012年美國發(fā)生猶他州78萬人醫(yī)療數(shù)據(jù)泄密事件，近期國內(nèi)屢屢曝光的產(chǎn)品推銷、統(tǒng)方事件，卻進(jìn)一步暴露醫(yī)院在數(shù)據(jù)泄漏防護(hù)方面所面臨的迫切形勢(shì)以及嚴(yán)峻挑戰(zhàn)。

2 數(shù)據(jù)防護(hù)的難點(diǎn)和重點(diǎn)

2.1 難點(diǎn)：正確認(rèn)識(shí)數(shù)據(jù)價(jià)值

醫(yī)療行業(yè)的海量數(shù)據(jù)主要來源于財(cái)務(wù)、影像、臨床病案或業(yè)務(wù)類應(yīng)用以及醫(yī)學(xué)文獻(xiàn)所產(chǎn)生的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，而很多醫(yī)院管理者包括醫(yī)院領(lǐng)導(dǎo)層，對(duì)數(shù)據(jù)價(jià)值的重要性認(rèn)識(shí)不夠深刻。以往醫(yī)院注重以財(cái)務(wù)、收費(fèi)系統(tǒng)為主的醫(yī)院信息系統(tǒng)建設(shè)，認(rèn)為除處方數(shù)據(jù)以外的其他數(shù)據(jù)價(jià)值不高，使得數(shù)據(jù)挖掘的效果也無法讓人滿意。由于信息系統(tǒng)中數(shù)據(jù)源的匱乏和技術(shù)手段的制約，導(dǎo)致醫(yī)院數(shù)據(jù)這座“金礦”一直無人重視。2009年起作為支撐深化醫(yī)藥衛(wèi)生體制改革“四梁八柱”的八柱之一，臨床信息化開啟了跨越式的發(fā)展，信息系統(tǒng)數(shù)據(jù)源不斷豐富，以病案為主的數(shù)據(jù)存儲(chǔ)量也從原來的GB(吉字節(jié))走向了TB(太字節(jié))，而PB(拍字節(jié))的時(shí)代也指日可待，同時(shí)伴隨著大數(shù)據(jù)應(yīng)用、云計(jì)算技術(shù)時(shí)代的到來，海量數(shù)據(jù)分析已不是夢(mèng)想。數(shù)據(jù)對(duì)人們生活、工作與思維產(chǎn)生了變革。而大數(shù)據(jù)不注重精確性，注重混雜性、全體數(shù)據(jù)等特點(diǎn)也完全契合醫(yī)院現(xiàn)有信息系統(tǒng)數(shù)據(jù)特點(diǎn)[2]。一份報(bào)告顯示，醫(yī)療大數(shù)據(jù)的分析會(huì)為美國產(chǎn)生3 000億美元的價(jià)值，減少8%的國家醫(yī)療保健支出。醫(yī)院內(nèi)數(shù)據(jù)的價(jià)值已經(jīng)發(fā)生了翻天覆地的變化。

2.2 重點(diǎn)：培養(yǎng)專業(yè)技術(shù)人才

信息的價(jià)值決定了所面對(duì)黑客的能級(jí)[3]。通過近年來媒體報(bào)道和筆者調(diào)查，竊取醫(yī)院各個(gè)科室的醫(yī)藥信息為目的的黑客群體已經(jīng)形成。近日浙江省溫州市就判決一起案件，一黑客團(tuán)伙竊取省內(nèi)多家醫(yī)院統(tǒng)方數(shù)據(jù)，4年內(nèi)非法獲利700多萬元。恰恰相反，醫(yī)院長(zhǎng)期重點(diǎn)關(guān)注的是信息系統(tǒng)如何實(shí)現(xiàn)功能應(yīng)用，無論是系統(tǒng)承建商還是醫(yī)院信息管理部門，對(duì)醫(yī)院信息系統(tǒng)內(nèi)部龐雜的結(jié)構(gòu)存在了解不深刻、不全面及缺乏反黑客的專業(yè)培訓(xùn)[4]等情況。此外，很多安全防范技術(shù)措施因改動(dòng)升級(jí)信息系統(tǒng)會(huì)產(chǎn)生一定的風(fēng)險(xiǎn)；安全措施往往由上而下推行，導(dǎo)致增加管理部門和使用部門的額外工作量；醫(yī)院沒有建立數(shù)據(jù)安全的量化考核等。綜合以上因素，醫(yī)院信息部門既無能力也無動(dòng)力去切實(shí)履行防護(hù)工作。在這種局面下，數(shù)據(jù)防護(hù)很可能只能流于形式。

3 數(shù)據(jù)泄密防護(hù)體系構(gòu)建

3.1 整體框架

當(dāng)前，數(shù)據(jù)防泄露是信息安全的主要問題。基于不同的法律環(huán)境、文化理念和網(wǎng)絡(luò)環(huán)境，國內(nèi)外數(shù)據(jù)泄露防護(hù)體系要解決的具體問題是不同的，國外數(shù)據(jù)泄漏防護(hù)以防外部竊密和內(nèi)部無意泄密為主，國內(nèi)以防止內(nèi)部故意泄密為主，兼防內(nèi)部無意泄密和外部竊密。因此，國內(nèi)數(shù)據(jù)泄漏防護(hù)強(qiáng)調(diào)的是主動(dòng)防御，通過事前主動(dòng)防御、事中及時(shí)控制、事后及時(shí)追蹤，以審計(jì)為手段，以加密技術(shù)為核心，結(jié)合多種信息安全技術(shù)，建立完善的數(shù)據(jù)泄漏防護(hù)方案。醫(yī)院建設(shè)的數(shù)據(jù)泄密防護(hù)體系，是防止該醫(yī)院內(nèi)部的敏感數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的途徑流出的策略集合，其中包括所需的安全設(shè)備、管理制度、業(yè)務(wù)流程、技術(shù)等。目前往往是采取單一防泄密策略，如反統(tǒng)方軟件和網(wǎng)絡(luò)安全防護(hù)設(shè)備等；但實(shí)踐證明，只有頂層設(shè)計(jì)和建設(shè)完整的數(shù)據(jù)泄密防護(hù)體系，將各種防泄密策略有機(jī)整合才能最大限度防范信息泄漏。例如利用身份認(rèn)證和訪問控制技術(shù)，做到事前防護(hù)；通過對(duì)數(shù)據(jù)使用、傳輸、存儲(chǔ)的全生命過程進(jìn)行加密和權(quán)限管理，做到事中防護(hù)；同時(shí)必須建立全過程的日志審計(jì)和持續(xù)改進(jìn)行政管理手段，做到事后防護(hù)。3者緊密聯(lián)合、相互聯(lián)動(dòng)，從而實(shí)現(xiàn)醫(yī)院數(shù)據(jù)防泄密完整保護(hù)。整體框架，見圖1。

圖1 數(shù)據(jù)泄密防護(hù)體系

3.2 防護(hù)工作的前提是快速準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)泄密

如果對(duì)數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)的過程都渾然不知，那么防護(hù)無從談起。長(zhǎng)期以來，醫(yī)院信息化建設(shè)注重功能性的需求遠(yuǎn)勝于安全性。醫(yī)院內(nèi)部各類信息子系統(tǒng)林立，網(wǎng)絡(luò)安全邊界錯(cuò)綜復(fù)雜，敏感信息散落在眾多系統(tǒng)之中，給數(shù)據(jù)泄密提供了諸多便利。數(shù)據(jù)泄密的途徑可以總結(jié)為以下兩種：(1)內(nèi)部泄密——接觸敏感數(shù)據(jù)人員無意泄密或利用職務(wù)便利故意竊取數(shù)據(jù)，例如病案管理人員泄密患者隱私、科研藥房工作人員泄密統(tǒng)方數(shù)據(jù)、產(chǎn)科醫(yī)務(wù)人員泄密新生兒數(shù)據(jù)等。(2)外部泄密——通過技術(shù)手段破解、竊取、監(jiān)聽，獲得敏感數(shù)據(jù)，例如破解數(shù)據(jù)庫賬戶、登錄數(shù)據(jù)庫竊取敏感數(shù)據(jù)或者運(yùn)用網(wǎng)絡(luò)監(jiān)聽工具竊取數(shù)據(jù)包內(nèi)容等手段。

在此局面下，單憑任何一個(gè)子系統(tǒng)承建商或者單一技術(shù)手段都無力為醫(yī)院制訂具有可操作性的數(shù)據(jù)安全解決方案，因此，一個(gè)全方位數(shù)據(jù)庫防泄漏系統(tǒng)，需要對(duì)數(shù)據(jù)進(jìn)行全周期的管理和防范[5]。目前，能有效探測(cè)到數(shù)據(jù)泄密痕跡的工具是數(shù)據(jù)泄密防護(hù)系統(tǒng)，但是從該類解決方案的局限性來看，醫(yī)院信息環(huán)境的復(fù)雜性和實(shí)時(shí)性致使其在實(shí)際使用中效果大打折扣。一方面，目前國內(nèi)尚無成熟案例，醫(yī)院信息部門缺乏這方面的技術(shù)人員；另一方面，醫(yī)院信息系統(tǒng)組成復(fù)雜，同時(shí)存在結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化的多樣數(shù)據(jù)類型，這也使得單一目的性的產(chǎn)品或者方案既無法防護(hù)所有類型，又大大增加黑客侵入的目標(biāo)性。針對(duì)以上問題，可以利用數(shù)據(jù)泄密防護(hù)系統(tǒng)重點(diǎn)加強(qiáng)身份認(rèn)證和訪問控制的功能。以一個(gè)“觀察者”的身份在盡可能減少對(duì)醫(yī)務(wù)工作影響的情況下，記錄操作日志；收集一定周期內(nèi)，例如一個(gè)季度的行為日志，通過軟件系統(tǒng)廠商和醫(yī)院信息部門逐一甄別，確定操作行為的合規(guī)性；在此基礎(chǔ)上進(jìn)而建立識(shí)別規(guī)則庫，對(duì)于不屬于該識(shí)別規(guī)則庫行為系統(tǒng)要給予報(bào)警，或?qū)ι婷軘?shù)據(jù)進(jìn)行加密，由醫(yī)院專職人員在軟件系統(tǒng)廠商技術(shù)人員協(xié)助下學(xué)習(xí)鑒別和規(guī)則建立，培養(yǎng)技術(shù)能力。

3.3 三權(quán)分立的信息系統(tǒng)角色

采用分權(quán)的管理策略，醫(yī)院涉及敏感數(shù)據(jù)的核心角色主要包括數(shù)據(jù)庫管理員、報(bào)表統(tǒng)計(jì)員和審計(jì)員。 數(shù)據(jù)庫管理員負(fù)責(zé)管理和維護(hù)數(shù)據(jù)庫服務(wù)器，做日常監(jiān)控和備份工作，使數(shù)據(jù)庫正常運(yùn)行。報(bào)表統(tǒng)計(jì)員承擔(dān)信息系統(tǒng)敏感報(bào)表統(tǒng)計(jì)分析工作，從事病案管理、高值耗材、藥品消耗量報(bào)表的制作、分析等事宜。審計(jì)員包括系統(tǒng)操作日志審計(jì)員、安全系統(tǒng)管理員和數(shù)據(jù)泄密防護(hù)系統(tǒng)管理員等。數(shù)據(jù)庫管理員對(duì)數(shù)據(jù)庫有最高的訪問權(quán)限；通過加密技術(shù)等手段，使此權(quán)限能查閱的數(shù)據(jù)顯示為亂碼，無法直接使用；數(shù)據(jù)庫操作記錄日志由審計(jì)員進(jìn)行審核。報(bào)表統(tǒng)計(jì)人員在授權(quán)情況下可以看到敏感數(shù)據(jù)，審計(jì)人員負(fù)責(zé)監(jiān)督數(shù)據(jù)庫管理員和報(bào)表統(tǒng)計(jì)員的所有操作行為，但無權(quán)限查看、查詢數(shù)據(jù)庫的數(shù)據(jù)。這3個(gè)崗位應(yīng)由不同人員擔(dān)任，形成權(quán)力監(jiān)督機(jī)制。一些醫(yī)院為了節(jié)約人力成本，往往讓一個(gè)人兼任這3個(gè)崗位或部分系統(tǒng)只有報(bào)表統(tǒng)計(jì)員無審計(jì)員，這在制度上存在嚴(yán)重缺陷，信息部門核心角色一旦失去監(jiān)督威懾，為內(nèi)部人員參與泄密埋下隱患。

3.4 人是泄密防護(hù)最核心的因素

醫(yī)院業(yè)務(wù)的復(fù)雜性，使其成為最復(fù)雜的管理系統(tǒng)之一。參與其中的公司及人員眾多，其數(shù)據(jù)安全水平和安全意識(shí)參差不齊，這就要求醫(yī)院信息部門人員要對(duì)數(shù)據(jù)安全邊界的變化以及防控體系的變更做到了如指掌。各醫(yī)院對(duì)電子病歷應(yīng)用的開展，進(jìn)一步通過信息化手段支撐了醫(yī)療體制改革，方便了患者，但同時(shí)也大大增加了數(shù)據(jù)泄密的風(fēng)險(xiǎn)和機(jī)會(huì)。根據(jù)美國計(jì)算機(jī)安全研究所(CSI)2010年關(guān)于內(nèi)部泄密和外部泄密的調(diào)查結(jié)果，內(nèi)部人參與泄密比例高達(dá)85%[6]。原有以關(guān)鍵人員為主導(dǎo)的責(zé)任制行政管理手段已完全不適用，取而代之是全體醫(yī)務(wù)人員共同培養(yǎng)數(shù)據(jù)防護(hù)意識(shí)。因此，必須建立以信息部門為主、全院參與的行政管理系統(tǒng)，將數(shù)據(jù)防護(hù)有關(guān)制度作為管理制度核心之一。調(diào)動(dòng)信息部門的主觀能動(dòng)性，著重培養(yǎng)信息安全方面的技術(shù)和管理人才，加強(qiáng)精細(xì)化管理考核手段，將數(shù)據(jù)安全責(zé)任落實(shí)到每一個(gè)從業(yè)人員，重視全體從業(yè)人員的數(shù)據(jù)安全觀[7]。否則購置再多的技術(shù)工具，也只能是華而不實(shí)的擺設(shè)。

3.5 建設(shè)成效

某三級(jí)甲等醫(yī)院對(duì)數(shù)據(jù)泄密防護(hù)體系進(jìn)行了近兩年的設(shè)計(jì)與建設(shè)，達(dá)到了對(duì)醫(yī)院核心信息系統(tǒng)中的處方用藥信息、病案隱私信息等重要數(shù)據(jù)的全周期防泄漏防護(hù)，從而在由第3方權(quán)威測(cè)評(píng)機(jī)構(gòu)基于《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)第3級(jí)安全保護(hù)能力測(cè)評(píng)中，醫(yī)院核心業(yè)務(wù)系統(tǒng)項(xiàng)目符合率高達(dá)84.6%，在其同市比較中名列前茅，并且達(dá)到國家衛(wèi)生計(jì)生委《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)》4級(jí)對(duì)信息安全的要求。

4 結(jié)語

隨著醫(yī)療改革繼續(xù)深入，醫(yī)院信息化程度不斷提升，人民群眾隱私保護(hù)意識(shí)持續(xù)提高，在大數(shù)據(jù)應(yīng)用、云技術(shù)、物聯(lián)網(wǎng)、移動(dòng)浪潮等技術(shù)概念支撐下及各種利益的驅(qū)使下，診療信息的泄密風(fēng)險(xiǎn)大大增加[8]。從國外調(diào)查數(shù)據(jù)以及國內(nèi)曝光案例可以預(yù)計(jì)，醫(yī)院和政府主管部門將面臨防止診療信息泄密的長(zhǎng)期挑戰(zhàn)。因此在某種意義上，單單依靠個(gè)人、醫(yī)院信息部門或某幾項(xiàng)技術(shù)無法應(yīng)對(duì)如此錯(cuò)綜復(fù)雜的形勢(shì)，必須設(shè)計(jì)與建立數(shù)據(jù)泄密防護(hù)體系，通過制度建設(shè)來保障安全工作的持續(xù)性、科學(xué)性和有效性。在做好數(shù)據(jù)防護(hù)的同時(shí)，也應(yīng)做好數(shù)據(jù)的清洗、整合、分析，挖掘數(shù)據(jù)的潛在價(jià)值，使其發(fā)揮更大的作用，為患者的診療、科研實(shí)驗(yàn)、績(jī)效管理、便民服務(wù)各方面提供支持[9]。

未來醫(yī)聯(lián)體、居民電子健康檔案等區(qū)域醫(yī)療信息共享建設(shè)的不斷完整和準(zhǔn)確，在極大地方便患者、提升群眾生活質(zhì)量的同時(shí)也將成為新的數(shù)據(jù)泄密隱患，而且因?yàn)閰^(qū)域性優(yōu)勢(shì)其數(shù)據(jù)價(jià)值也成倍增

加，如何制定覆蓋全衛(wèi)生系統(tǒng)的數(shù)據(jù)防泄密體系的國家標(biāo)準(zhǔn)將成為未來必須面對(duì)的課題。同時(shí)為了合理利用診療數(shù)據(jù)，規(guī)范醫(yī)療機(jī)構(gòu)的數(shù)據(jù)分析行為，需要建立更有針對(duì)性的測(cè)評(píng)標(biāo)準(zhǔn)、行業(yè)規(guī)范和立法來加以保障。隨著互聯(lián)網(wǎng)+時(shí)代的到來，需思考如何應(yīng)對(duì)互聯(lián)網(wǎng)和移動(dòng)應(yīng)用對(duì)醫(yī)院信息系統(tǒng)的滲透[10]，原有醫(yī)院內(nèi)外網(wǎng)物理隔離的架構(gòu)將面臨顛覆性的改變[11]，更多的診療數(shù)據(jù)會(huì)通過互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)傳輸，而目前還缺乏相對(duì)應(yīng)的防止數(shù)據(jù)泄密的技術(shù)和經(jīng)驗(yàn)。

1 Check Point軟件技術(shù)有限公司與波耐蒙研究所.了解21世紀(jì)IT環(huán)境的安全復(fù)雜性[Z].2011.

2 Viktor Mayer-Sch·nberge,Kenneth Cukier. 大數(shù)據(jù)時(shí)代[M]. 杭州：浙江人民出版社,2013.

3 David Litchfield,Chris Anley. 數(shù)據(jù)庫黑客大曝光[M].北京：清華大學(xué)出版社,2006.

4 Michael Howard,Davis LeBlanc,John Viega. 一個(gè)都不能有——軟件的19個(gè)致命安全漏洞[M].北京：清華大學(xué)出版社, 2006.

5 汪家興,喬喆,陳希,等.構(gòu)筑立體化數(shù)據(jù)防泄密體系[J].電信工程技術(shù)與標(biāo)準(zhǔn)化, 2011,(10)：33-37.

6 孟鑫東.數(shù)據(jù)防泄密發(fā)展趨勢(shì)[J].保密科學(xué)技術(shù)，2012,(5)：54-57，68.

7 葉萍.醫(yī)院信息化建設(shè)風(fēng)險(xiǎn)與數(shù)據(jù)安全管理[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(6)：21-23.

8 王曉丹.當(dāng)前醫(yī)療信息化存在的問題及對(duì)策研究[J].醫(yī)學(xué)信息學(xué)雜志，2011,32(1)：44-47.

9 魏文浩. HIS安全維護(hù)技術(shù)的原理和應(yīng)用[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(3)：18-20.

10 劉芙蓉.醫(yī)院信息化建設(shè)之?dāng)?shù)據(jù)安全策略[J].醫(yī)學(xué)信息學(xué)雜志，2010,31(11)：31-33.

11 胡芳,沈紹武.醫(yī)院信息系統(tǒng)體系架構(gòu)構(gòu)建研究[J].醫(yī)學(xué)信息學(xué)雜志，2012,33(11)：16-21.

Research on Countermeasures of Hospital Data Leakage

WANGLei，GUOXu-sheng，WANGYing-jing,

ComputerCenterofShanghai，TongjiHospitalAffiliatedtoTongjiUniversity,Shanghai200065,China

The paper overviews domestic and foreign data leakage cases and the latest computer technology development trends, analyzes the misunderstandings and difficulties of data leakage protection, design and constructs data leakage protection system, points out detecting data leakage is the basis and premise of protection work,the permissions of the core data roles should reinforce checks and balances, the most core factor in protection work is “the person”.

Hospital; Data leakage protection; Information safety

2014-09-12

王磊，技術(shù)員，發(fā)表論文4篇;通訊作者：郭旭升。

R-058

A 〔DOI〕10.3969/j.issn.1673-6036.2015.04.008