随着信息技术的不断完善,数据安全成为信息化建设的重点,国家近几年也陆续颁布了数据安全建设相关政策。如2016年,国务院办公厅印发《关于促进和规范健康医疗大数据应用发展的指导意见》提出,加强健康医疗数据安全保障。2019年,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》提出,保障个人信息和重要数据安全。
随着互联网、大数据、云计算技术的快速发展,我国医疗机构的信息化程度越来越高,逐步向数字化医疗、智慧医疗发展。新型技术的使用必然带来新的安全风险。
(1)存在外部攻击的风险,医疗数据有着得天独厚的价值,很容易引发来自互联网的攻击行为,漏洞的存在,为外部攻击提供了途径,黑客能够非常精准地获取数据,继而进行精确诈骗。
(2)存在不安全网络风险,开放或半开放的网络环境是医疗行业的典型特征,开放的网络环境使入侵者可以轻易地进入医院网络,轻易地进行物理攻击。当前医院存在相对混乱的互联网接入服务现象,在接入互联网服务时,大部分医院就已经把主动权交付至互联网服务提供商,缺乏统一的业务和安全规划。
(3)存在数据管控风险,虽然医疗组织正在逐渐增强数据安全意识,但关于数据管控尚未建立统一管理机制,制度的完善相对滞后,同时“互联网+”等新兴业态的不断涌现,并渗透至医疗领域的各个环节,客观上导致原本相对封闭的使用环境被逐渐打破。
(4)存在数据交换风险,目前大量的医疗数据需要拿给第三方或者测试使用,存在真实数据泄露风险,没有建立科学的对外数据交换标准,特别是病患敏感数据脱敏。
(5)存在数据泄露风险,内部及第三方运维人员造成的数据泄露风险,内部工作人员的权限管控制度不完善,很多非权限人员可以随意接触病患信息,造成很大泄露风险,加之内部人员监控手段不足,也会引发取证难问题。
虽然医疗数据安全存在众多的隐患,但国内还是有相当一部分医院在数据安全方面做得比较完善的,如中国人民解放军总医院(301医院)。该院通过医疗大数据安全防控的探索与实践,在守卫医疗大数据安全上,取得了不错的成绩。
(1)建立集中化的平台与服务机制。将数据资源集中管理,避免分散流失。
(2)去隐私,降低数据敏感度。
(3)按资源需求授权分解安全风险。将数据资源“化整为零”,原始医疗数据拥有内容全、范围大,以及每个研究所需数据范围有限的特点。
(4)虚拟桌面建立安全围墙。将数据处理部署于服务器上,杜绝数据从本地复制。
(5)数据库审计追踪使用行为。建设前置规定+事后审计,拥有灵活简便的特点。
(6)堡垒机实现运维监控。应用堡垒机技术,实现对运维操作的记录与回放,以及对运维权限的统一管理。
(7)网络隔离划分安全区域。按照不同的安全等级划分网络和通过防火墙限制访问权限等网络层面进行管理权限。
(8)物理安全防止底层漏洞。其防护的内容主要包括机房安全、机柜安全、服务器和网络连接等。
在医疗信息化建设的过程中,需要着重建设完善医疗卫生数据安全,主要是对医疗数据进行监管保护,提供数据脱敏、权限、用户等数据的安全治理,确保数据安全和可追溯,做到事前实施技术和管理措施,预防数据泄露;事中保障管理和技术措施持续有效,监控数据泄露;事后分析事件泄露原因,改进管控措施。
各个医疗行政管理部门及医疗卫生机构需要对本单位内现有医疗卫生核心系统的数据库资产和数据资产进行全方位梳理,及时发现包含患者隐私信息的数据库用户分布及权限详情,深度挖掘僵尸库以及病患敏感数据的分布对包含患者敏感数据的表、模式、库进行敏感度评分,并进一步对医疗数据进行分类分级。对医疗核心数据资产进行周期性动态分析,实时动态掌握数据资产变化及使用趋势,做到对医疗数据的风险预估和异常评测。
(1)综合评估数据库“弱点”
通过专业度及成熟度较高的数据库“弱点”评估技术,对现有医疗核心数据库的运行状态进行周期性监控和综合风险评估,评估范围覆盖医疗DBMS漏洞、管理员维护漏洞、程序代码漏洞和高危敏感医疗数据检测四个方面;充分暴露并证明数据库自身的安全漏洞、弱配置项、缺省配置项、弱口令、缺省口令、易受攻击代码、程序后门、权限宽泛等安全风险,继而根据修复建议,有针对性的对数据库进行安全加固。
(2)让攻击“进不来”
医疗行业的业务系统环境复杂,三级医院便可具备一百套以上的医疗系统,数据库为这些医疗系统开放了繁杂的接口,而医院因考虑到业务稳定性,无法及时更新或不能更新数据库补丁,因此需要在各类医疗系统的数据库外围创建一个安全防护层,即虚拟补丁,并通过虚拟补丁对CVE上已公开的数据库漏洞进行全方位攻击特征拦截。漏洞分类涵盖缓冲区溢出、权限提升、拒绝服务攻击等,从而实现在数据库不打补丁的情况下也能完成数据库漏洞防护的目的。
(3)让数据“拿不走”
为了防止黑客或内部高权限用户整体拖库,造成大批量明文数据泄露,需对数据库中存储的敏感数据进行加密。通过多级权限控制体系,按角色、IP地址、时间范围对密文进行访问控制,并通过对应用程序或系统进行摘要值和连接随机种子的判定,保证应用身份标识不可伪造,合法连接不可重放,实现医疗数据被盗后无法查看明文的目的。
(4)事后追溯
对医生、护士、系统运维人员、DBA、外包人员等的数据库操作行为进行全量记录,记录信息需包含应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范畴等20多类元素。对于外部发起的数据库漏洞攻击、恶意SQL注入行为、非法业务登录、高危SQL操作和批量医疗数据下载,及时发现并告警。
对于各类医疗系统的开发测试以及医疗数据分析人员或第三方医疗疾病大数据分析公司需要使用数据的情况,建议通过专业技术对敏感数据进行自动识别和统一管理,针对共享数据中包含的患者个人隐私数据,采用脱敏算法将敏感数据转化为虚构数据,隐藏真正的患者敏感信息,防止各机构内部对隐私数据的滥用。
对于医院上报给第三方医疗机构,如卫健委、疾控中心等的医疗数据,其中若包含患者隐私信息或其他敏感处方信息,建议对数据行为进行流程化管理,对医疗数据外发行为进行事前数据发现梳理、申请审批、事中添加数据标记、自动生成水印、外发行为审计、数据源追溯等,避免内部人员外发数据泄露无法进行追溯。
对于医生、护士、医院外包服务人员、院方内部运维人员、医疗数据分析人员、医院各类系统的研发和测试团队需要访问数据的情况,建议在不影响其正常工作的前提下,通过相关技术准确识别敏感数据访问行为,采用多级权限管控手段,针对其访问过程中接触的用户隐私信息及其他敏感信息,在数据库通讯协议层面,通过SQL代理技术实现完全透明的、实时的动态遮蔽;根据不同业务用户身份、不同业务功能模块进行遮蔽配置,以适应复杂环境下的敏感数据使用需求。
通过“用户+操作+对象+时间”的控制策略,防止大规模医疗数据泄露或篡改,防止批量数据查询和下载,以及敏感表非法访问。对于内部高权限用户的高危操作,针对应用系统初始建模和高危SQL语句定义,捕获所有应用访问SQL语句,形成语法抽象,用户根据风险确定黑名单或白名单,一旦触发黑名单则对其进行拦截,如果特殊场景下必须执行高危命令,则需要进行申请,审批通过后方可执行。
图文版权归作者 ZYY 所有,如有侵权,请联系医信邦删除
文章来源:医信在线
