醫療業務系統涵蓋了從醫院、衛生院的生產業務庫,到電子健康檔案平臺的決策分析系統,再到互聯網業務和公眾健康平臺等多個方面。這些系統中存儲著大量的個人隱私數據、健康數據和醫療財務數據,其安全性直接關系到患者的隱私權益和醫療機構的正常運營。
醫療行業的主要業務系統涉及三類:第一類是各級醫院、衛生院的HIS、LIS、PACSRIS、EMR等生產業務系統,是醫療業務的核心;第二類是電子健康檔案平臺等決策分析系統,記錄健康活動的電子化歷史;第三類是醫院等組織對外的互聯網業務及公眾健康平臺等,作為醫療業務對外的窗口。醫療系統中存有大量敏感信息,如個人隱私、健康及財務數據,核心系統還采用多級容災機制保障數據安全。
醫療數據是指和醫學相關的有關數據,如各種診治量、與技術質量有關的數據、有意義的病史資料、重大技術數據、新技術價值數據、科研數據,以及與社會上有關的數據等按照數據的使用范圍歸類,一般可包括匯聚中心數據、互聯互通數據、遠程醫療數據、健康傳感數據、移動應用數據、器械維護數據、商保對接數據、臨床研究數據等八大類。
醫療敏感數據包括但不限于:患者個人隱私信息、健康數據;患者預約信息、檢查檢驗信息、就診信息;醫療工作人員身份、隱私信息;醫藥品、醫療器材、耗材信息、庫存信息;處方信息;醫療組織、研究組織或人員內部共享、使用和分析數據;醫療財務數據信息;與技術質量有關的數據;有意義的病史資料、重大技術數據、新技術價值數據、科研數據等;與社會有關的數據等(如下圖所示)。
匯聚中心包括區域衛生信息平臺、健康醫療大數據中心、學會數據中心、醫院內部數據中心等,典型數據使用情境為科研使用、醫護調閱、第三方使用。
包括以電子病歷、電子健康檔案和醫院信息平臺為核心的醫療組織信息化項目中應用的醫院信息平臺實現醫院之間數據的互聯互通和信息共享,跨組織、跨地域健康診療信息交互共享和醫療服務協同。該場景的信息控制者包括醫療組織和醫聯體等醫療應用,涉及數據包含數據中的電子病歷數據、健康狀況數據中的電子健康檔案數據等。
遠程醫療涉及的數據包括醫療應用數據和健康狀況數據,該場景涉及的相關方包括醫療組織、患者、業務伙伴。
通過健康傳感器收集的與被采集者健康狀況相關的數據。涉及的數據包含個人身份信息的個人屬性數據、包含生活方式等的健康狀況數據。移動應用數據。通過網絡技術為個人提供的在線健康醫療服務(如在線問診、在線處方)或健康醫療信息服務的應用,涉及的數據包含個人電子健康檔案等。
不同的醫療器械涉及不同的數據,影像系統涉及病人的影像和影像診斷報告,檢驗系統涉及病人的檢驗檢查報告和檢驗結果。醫療器械為維護的目的,存有的器械維護歷史記錄等。
購買商業保險的個人健康醫療信息主體,在定點醫療組織就醫時,除醫保費用報銷范圍外,涉及其他的醫療費用,且在商業險責任范圍內的,經其授權同意,商業保險公司通過與醫療組織建立連接的醫療信息系統,以便及時掌握個人健康醫療信息主體的就診治療情況及發生的費用相關信息,根據商業保險組織的核賠規則自動進行支付結算等理賠業務。
臨床研究包括由醫院、醫生發起的科研項目,政府科研課題研究項目科研組織研究等以社會公共利益為目的的醫學科學研究,或者涉及公共衛生安全的臨床科研實驗研究項目,也可以是醫療企業發起的以商業利益為目的的臨床研究。數據使用包括數據的采集和記錄、分析總結和報告等。
醫療行業數據安全需求日益凸顯,這既源于醫療行業業務系統的復雜性,也源于醫療數據的高度敏感性。醫療機構必須建立健全數據安全管理制度,加強對醫療數據的保護。
這包括制定數據分類分級標準,對不同級別的數據進行不同級別的保護;建立數據訪問控制機制,確保只有經過授權的人員才能訪問相關數據;加強數據安全監測和應急響應能力,及時發現并處置數據安全事件。同時,醫療機構在數據互聯互通的過程中,必須采取必要的安全措施,防止數據泄露和濫用。
醫療機構應當與數據接收方簽訂保密協議,明確數據使用的目的和范圍,并對數據的使用情況進行監督和審計。此外,醫療機構還應當加強對外部攻擊和內部泄密的防范,采用先進的技術手段和管理措施,確保醫療數據的完整性和機密性。
醫療業務數據面臨多重威脅。首先,互聯互通大趨勢使得數據在不同系統、院區甚至醫院間流轉,互聯網和物聯網的數據訪問請求增多,導致數據安全風險成倍增加。
其次隨著醫療信息系統的發展,數據類型和復雜度不斷提升,從電子病歷到PACS、LIS數據再到物聯網產生的大量數據,由于缺乏統一的安全分類分級標準,治理難度加大,安全策略難以細粒度實施。
此外,傳統基于數據庫審計與訪問控制的數據防護手段已無法應對當前復雜的數據使用場景。例如,醫院數據與外部交換時的安全防護、擬人化木馬數據竊取以及賬號失竊后的數據訪問等問題,傳統安全防護手段難以有效應對。
綜上所述,醫療行業業務系統數據安全是一項復雜而重要的任務,需要綜合考慮各種威脅和挑戰,提升數據安全防護能力。針對安全威脅,采取更為先進和全面的數據安全防護措施,確保醫療數據的完整性和機密性,以保障患者和醫療機構的權益。
醫療行業數據安全治理,應以數據梳理為基礎,落實數據安全防護策略、實施數據安全監控與稽核,打造數據資產新型安全防護模式。如下圖所示,醫療數據安全治理能力涵蓋數據運行環境安全檢査、數據的分類分級、身份與角色權限管理、醫療敏感數據脫敏、水印溯源、數據訪問控制和數據行為安全審計等內容。
具備檢測與發現系統漏洞、資產管理、漏洞管理、掃描策略配置、漏洞掃描和報表管理等能力;支持CVE、CNNVD、CNCVE、CNVD、BUGTRAQ等5種漏洞庫編號,按照國家新發布的漏洞及時更新;支持掃描操作系統、網絡設備、虛擬化設備、數據庫、移動設備、應用系統等6類系統和設備。
數據匯聚應明確匯聚的數據資源目錄,明確數據匯聚數量,留存數據匯聚記錄。
制定醫療行業的數據分類分級標準,如按照數據的重要程度業務屬性、數據權屬等不同維度進行分類,在數據分類基礎上根據數據損壞、丟失、泄露等對組織造成形象損害或利益損失程度進行數據分級等,通過對業務應用相關數據表、數據字段進行數據安全調研工作,形成可用的數據安全規則庫。
對采集到的數據按照業務場景需求、數據的重要性及敏感度進行分類分級處理。基于以上分類分級標準對數據進行統一的分類分級,并對不同類別和級別的數據采取不同的安全保護細則,包括對不同級別的醫療數據進行標記區分、明確不同數據的訪問人員和訪問方式、采取的安全保護措施(如加密、脫敏等),以便更合理地對數據進行安全管理和防護。
通過身份驗證機制阻止攻擊者假冒其他醫療用戶身份:統一的用戶結構和訪問授權機制,防止攻擊者隨意訪問未經授權的數據。身份的定義是所有管控環節的基礎,只有科學、有限、全面的身份定義控制才能識別所有主體,建立和維護數字身份,并提供有效、安全地進行IT資源訪問的業務流程和管理手段,實現統一的身份認證、授權和身份數據集中管理與審計,從而對行為管控提供支撐。
靜態數據脫敏一般用在非生產環境,即醫療敏感數據在從生產環境脫敏完畢之后再在非生產環境使用,一般用于解決醫療環境測試、開發庫需要生產庫的數據量與數據間的關聯,以排查問題或進行數據分析等,但又不能將敏感數據存儲于非生產環境。
動態數據脫敏一般用在醫療生產環境,在訪問敏感數據實時進行脫敏,一般用來解決在生產環境根據不同情況對同一敏感數據讀取時需要進行不同級別脫敏的問題。
解決醫療環境應用和運維帶來的數據安全問題,提供數據庫漏洞防護、數據庫準入、數據庫動態脫敏和精細化的數據訪問控制能力,通過PP地址、MAC地址、客戶端主機名、操作系統用戶名、客戶端工具名和數據庫賬號等多個維度對用戶身份進行認證,對核心數據服務的訪問流量提供高效、精準的解析和精細的訪問控制,保障數據不會被越權訪問,提供風險操作審批機制,有效識別各種可、違規的訪問行為。
具備數據審計、數據訪問控制、數據訪問檢測與過濾數據服務發現、敏感數據發現、數據庫狀態和性能監控、數據庫管理員特權管控等功能,具備數據操作記錄的査詢、保護、備份、分析、審計、實時監控、風險報警和操作過程回放等功能。
浙公網安備 33010502006954號 
