近年來,我國對醫(yī)療信息服務(wù)體系的重視程度持續(xù)提升,“互聯(lián)網(wǎng)+醫(yī)療健康”相關(guān)實踐不斷深入��。伴隨互聯(lián)網(wǎng)�、大數(shù)據(jù)技術(shù)的高速發(fā)展與普及應(yīng)用,以信息系統(tǒng)為支撐����,完善醫(yī)療管理體系�、改進醫(yī)療服務(wù)質(zhì)量�����、深化醫(yī)藥衛(wèi)生體制改革�����、提升衛(wèi)生服務(wù)系統(tǒng)效率���,已成為當(dāng)前醫(yī)療行業(yè)工作的重要目標(biāo)與發(fā)展方向�����。
在業(yè)務(wù)和服務(wù)模式的轉(zhuǎn)變過程中�,醫(yī)療信息化系統(tǒng)的應(yīng)用愈發(fā)廣泛�����,數(shù)據(jù)已成為醫(yī)療機構(gòu)實現(xiàn)持續(xù)��、穩(wěn)定�����、健康發(fā)展至關(guān)重要的資產(chǎn);與此同時�,醫(yī)療數(shù)據(jù)因包含病例、處方等大量醫(yī)患隱私信息���,也面臨著敏感數(shù)據(jù)管理方面的重重難題��。醫(yī)療行業(yè)關(guān)系國計民生��,醫(yī)療數(shù)據(jù)一旦遭受篡改����、破壞或泄露�,勢必對醫(yī)療機構(gòu)的聲譽以及醫(yī)患雙方的隱私和健康安全構(gòu)成嚴重威脅�����,甚至影響社會的穩(wěn)定和諧���!正因如此���,加強醫(yī)療數(shù)據(jù)安全防護建設(shè)勢在必行���!
安全威脅
1、患者隱私信息批量泄露
患者從掛號就診到開方用藥�����、再到住院手術(shù)�����,過程中需要錄入大量的個人隱私信息�;而這些數(shù)據(jù)對包括醫(yī)藥、廣告���、中介�、保險等醫(yī)療產(chǎn)業(yè)鏈上的相關(guān)利益方同樣具有極高的價值�����。在此背景下�����,以“醫(yī)療信息倒賣”為主要形式的黑產(chǎn)滋生蔓延,比如:通過雇傭黑客入侵醫(yī)療機構(gòu)系統(tǒng)�,或收買醫(yī)療機構(gòu)業(yè)務(wù)人員、信息中心人員��、第三方維護及開發(fā)人員�����,對患者數(shù)據(jù)進行批量竊取等��。
2�、外發(fā)測試環(huán)境數(shù)據(jù)泄露
醫(yī)療數(shù)據(jù)要在流動和使用中發(fā)揮價值,而醫(yī)療機構(gòu)業(yè)務(wù)系統(tǒng)在進行外部信息查詢��、第三方開發(fā)測試等場景下恰恰需要使用大量的數(shù)據(jù)�����;如果這些數(shù)據(jù)是由其內(nèi)網(wǎng)生產(chǎn)庫中直接抽取而來的�,則其中很可能包含未經(jīng)嚴格脫敏處理的真實敏感數(shù)據(jù)����;一旦發(fā)生泄露,醫(yī)療機構(gòu)難辭其咎��,不僅聲譽與公信力將大打折扣���,還要承擔(dān)相應(yīng)的經(jīng)濟損失與更多附帶危害��、影響�����。
3�����、非法訪問醫(yī)療敏感數(shù)據(jù)
以住院費用查詢系統(tǒng)為例����,住院病人費用明細清單一般包括:床位費用、醫(yī)生診療費用���、藥品費用���、檢查費用等重要財務(wù)信息,此類數(shù)據(jù)如果出現(xiàn)異動����,除小概率人為誤操作情況外,通常意味著數(shù)據(jù)被非法訪問。然而���,不少醫(yī)療機構(gòu)尚不具備將正常數(shù)據(jù)維護操作與敏感數(shù)據(jù)非法篡改行為從權(quán)限上進行劃分的能力���;與此同時,醫(yī)療信息系統(tǒng)常常存在院方內(nèi)部人員��、廠商程序開發(fā)人員以及部署實施人員等多方經(jīng)手的情況�,安全事件發(fā)生后難以有效界定問題出在哪一邊。
4��、非法獲取醫(yī)療統(tǒng)方數(shù)據(jù)
多年以來����,有關(guān)醫(yī)藥代表與醫(yī)生、醫(yī)療機構(gòu)信息部門人員內(nèi)外勾結(jié)�,非法統(tǒng)方屢禁不止,甚至愈演愈烈��,其中一個重要原因就是在數(shù)據(jù)安全防護技術(shù)��、理念和人員上的缺失�����,難以主動預(yù)防IT部門����、其他業(yè)務(wù)科室以及系統(tǒng)維護等內(nèi)部人員通過數(shù)據(jù)庫或應(yīng)用系統(tǒng)非法獲取醫(yī)療處方信息等違法違規(guī)行為。
防護原則
在安華金和看來���,醫(yī)療信息系統(tǒng)數(shù)據(jù)安全防護應(yīng)著眼客戶實際業(yè)務(wù)應(yīng)用安全需求����,依據(jù)國家等分保相關(guān)政策規(guī)范和技術(shù)標(biāo)準(zhǔn)�����,符合《網(wǎng)絡(luò)安全法》�����、《個人信息安全規(guī)范》�、《健康醫(yī)療信息安全指南》等法律法規(guī)要求,遵循整體規(guī)劃����、適度保護、集中管控�、靈活應(yīng)對的原則����,進行方案設(shè)計:
1���、分區(qū)分域
由于醫(yī)療信息系統(tǒng)中不同類型數(shù)據(jù)庫系統(tǒng)所面臨的安全風(fēng)險及其重要性存在差異���,在安全防護上應(yīng)根據(jù)不同數(shù)據(jù)庫的網(wǎng)絡(luò)架構(gòu)和軟硬件部署位置等進行分區(qū)分域——將安全風(fēng)險相同的系統(tǒng)和設(shè)備劃分在同一安全域,采用一致的安全控制手段進行防護�����;而對于存儲在不同業(yè)務(wù)系統(tǒng)中的不同類型數(shù)據(jù)�����,則通過動態(tài)調(diào)整關(guān)聯(lián)到準(zhǔn)確的核心敏感數(shù)據(jù)��,并保障其安全性���。同時���,分區(qū)分域應(yīng)在盡量少改變醫(yī)療信息系統(tǒng)網(wǎng)絡(luò)環(huán)境的前提下進行,快速有效地施行���。
2�����、縱深防御
為醫(yī)療信息系統(tǒng)搭建等級保護縱深防御體系�,建立檢查預(yù)警���、主動防御�����、底線防守�����、事后追溯等一系列防護機制���,并在不同的醫(yī)療信息系統(tǒng)執(zhí)行對應(yīng)的信息安全策略和機制,從而將系統(tǒng)內(nèi)重要敏感數(shù)據(jù)遭受攻擊的風(fēng)險盡可能地降低��,以保障系統(tǒng)安全���、穩(wěn)定運行�。
3、集中管控
對醫(yī)療信息系統(tǒng)內(nèi)的數(shù)據(jù)資源和用戶權(quán)限進行統(tǒng)一梳理�����,制定適合的訪問控制策略并嚴格執(zhí)行����;同時,對人員的數(shù)據(jù)訪問行為進行全面審計���,并對審計日志進行分析��,形成審計報告���,實現(xiàn)醫(yī)療數(shù)據(jù)安全防護的集中管理、嚴密監(jiān)控�、及時響應(yīng)。
4�、動態(tài)調(diào)整
醫(yī)療信息系統(tǒng)中的核心數(shù)據(jù)所面臨的安全風(fēng)險并不是靜止不變的,而會隨著相關(guān)組織架構(gòu)�、管控策略以及信息系統(tǒng)和操作流程的改變而改變;因此�,針對醫(yī)療信息系統(tǒng)中的核心敏感數(shù)據(jù),需要根據(jù)相關(guān)業(yè)務(wù)信息系統(tǒng)的變化情況�����,對安全防護措施進行動態(tài)調(diào)整,及時響應(yīng)變化�����、解決問題�����。
解決思路
安華金和認為���,醫(yī)療數(shù)據(jù)安全建設(shè)不應(yīng)照搬傳統(tǒng)網(wǎng)絡(luò)安全防護模式,也不是對數(shù)據(jù)安全產(chǎn)品的簡單堆砌�,而要用體系化的思維,結(jié)合行業(yè)特性�,構(gòu)建以“數(shù)據(jù)使用安全”為核心的整體解決方案,概述如下:
· 數(shù)據(jù)梳理
對醫(yī)療敏感數(shù)據(jù)以及醫(yī)務(wù)部�、信息中心的不同角色權(quán)限進行梳理。
· 入侵防御
面向醫(yī)聯(lián)體�����、區(qū)域健康平臺�����、遠程診療等場景,對外部攻擊和內(nèi)部數(shù)據(jù)庫漏洞進行有效防護�。
· 權(quán)限管控
針對不同訪問需求,規(guī)范劃分醫(yī)護人員��、IT信息人員����、第三方運維人員、醫(yī)學(xué)科研人員等的訪問權(quán)限�,實現(xiàn)對內(nèi)部數(shù)據(jù)操作行為的有效管控。
· 脫敏流轉(zhuǎn)
在醫(yī)療數(shù)據(jù)使用流轉(zhuǎn)過程中�����,遵循數(shù)據(jù)資源的最小化使用原則�,通過數(shù)據(jù)脫敏去標(biāo)識、去隱私�,真正實現(xiàn)對醫(yī)療數(shù)據(jù)的安全、高效利用���。
· 密文存儲
對重要醫(yī)療數(shù)據(jù)進行加密存儲�����,從根源開展數(shù)據(jù)防護�����,滿足國家及行業(yè)的合規(guī)性要求�����。
· 監(jiān)管稽核
對醫(yī)療數(shù)據(jù)從產(chǎn)生到場景化使用的全生命周期進行流向監(jiān)控與精準(zhǔn)分析�����。
行業(yè)深耕
作為專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商�����,中國數(shù)據(jù)安全治理理念的提出者和踐行者���,安華金和多年深耕醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè),深入了解醫(yī)療行業(yè)客戶的需求和痛點���,積累了大量��、寶貴的行業(yè)實踐經(jīng)驗��,并已樹立起一批行業(yè)標(biāo)桿案例��!部分案例展示:
中日友好醫(yī)院
北京協(xié)和醫(yī)院
山東腫瘤醫(yī)院
航天中心醫(yī)院
廣東省中醫(yī)院
北京口腔醫(yī)院
山東省武警總醫(yī)院
河南省第二人民醫(yī)院
江蘇大學(xué)附屬醫(yī)院
北京大學(xué)深圳醫(yī)院
復(fù)旦大學(xué)附屬中山醫(yī)院
鄭州大學(xué)第一附屬醫(yī)院
衛(wèi)健委技術(shù)研究所
南京市衛(wèi)生信息中心
愛康國賓
中美大健康
產(chǎn)品咨詢:4000 258 365 
