專題·醫療數據安全 | 面向醫療信息系統的安全管理實踐
據《2021 年中國衛生健康統計年鑒》的數據顯示,2020 年全國醫療機構總數達 35394 家,其中綜合醫院 20133 家,占比57%,其次是專科醫院占比 25%、中醫醫院占比13%,2020 年總診療人次達 33 億。如此多的醫療機構在診療過程中需要采集大量電子化數據,包括醫院業務管理數據、醫院園區智能化數據、醫療設備數字化數據、臨床診療數據。
由于醫療數據具有價值高、隱私性強的特點,針對患者個人信息、疾病診療隱私信息,以及醫療機構診療過程和費用信息的網絡安全攻擊、數據竊取、醫療機構勒索事件逐年增多。此類事件將會對公共衛生管理和醫院管理造成嚴重影響,損害醫療機構和患者個人的合法權益。為了有效應對網絡安全和數據安全威脅,各級網絡安全監管機構和醫療行政管理部門不斷加強監管,各類醫療機構也持續加強網絡與數據安全合規性工作,將醫療信息系統網絡安全與患者個人信息保護工作作為信息化建設核心內容進行建設與加固。
一、醫療信息系統安全保障上的實踐
中山大學附屬第一醫院(以下簡稱“中山一院”)是國家衛生健康委委屬(管)醫院,是國家疑難重癥診治主陣地、醫學創新策源地、醫學領軍人才高地,以“技精德高”享譽海內外。歷經多年的發展,通過醫院信息管理系統(HlS)、科室管理信息系統(CIS)、電子病歷(EMR)、電子健康檔案(HER)、區域醫療衛生服務(GMIS)等各類影像檢查、實驗室檢驗、診斷、醫囑用藥、護理記錄、費用等,逐步匯聚海量的醫療數據,廣泛用于診療、醫院管理和科研創新中。
面對數據安全引發的擔憂,中山一院以國家醫學中心建設為契機,整合集聚多個跨學科研究力量,打造醫療大數據與人工智能研究中心(以下簡稱“大數據中心”),以網絡安全和數據安全為基礎開展數據安全應用建設工作。大數據中心的安全保障體系形成一個覆蓋中心建設各個環節的、滿足實際部署需求、高可用的安全防護體系,為醫療數據的采集、存儲、傳輸和使用提供支撐,保障醫療數據中心的業務的安全穩定運行。安全保障體系包含網絡結構設計、區域邊界防護、安全監測、計算環境保護、應急響應與處置等五個層面。在安全體系設計與建設過程,取得了一些寶貴的實踐經驗。
(一)網絡結構規劃設計
在網絡結構設計方面,充分考慮骨干鏈路和設備的冗余性,在核心層和核心業務區采用雙機/多機備份冗余設計,滿足業務的高可靠性;根據各業務功能區的部署,利用防火墻和交換機劃分了不同的安全區域,采用相應的安全策略進行分別防護。
(二)區域邊界防護
在區域邊界防護方面,通過部署防火墻以及虛擬局域網(VLAN)技術,在區域之間實現細粒化的訪問控制,禁止非授權的終端和用戶接入;在關鍵節點部署網絡攻擊監測分析系統、WEB 應用防火墻、抗分布式拒絕服務攻擊(DDoS)系統、入侵檢測系統等設備,實時監測、分析、防止網絡攻擊行為。
(三)安全監測防護
在安全監測方面,采集并解析大數據中心的關鍵節點流量數據和告警日志,將采集到的數據進行分類存儲,對流量數據包進行合規性檢測。通過告警功能以及機器學習和深度學習算法,及時發現日志數據中的異常情況,并整理成分析報告。
針對新型高級持續性威脅,通過對各種攻擊載體進行檢測,并借助安全情報庫和領域專家等多種檢測手段,實現對高級威脅安全事件進行智能化關聯分析和回溯審計能力。通過實時和歷史的綜合分析,實現大數據中心網絡安全威脅的快速發現和分析監測。
(四)計算環境保護
在計算環境保護方面,對訪問的用戶進行身份標識和鑒別,并進行文件級的訪問權限控制。通過網站安全監測系統、網站防篡改、WEB 應用防火墻等對應用進行網絡攻擊防護。通過蜜罐作為誘餌,保護應用免受攻擊并可以對攻擊行為進行分析;通過數據資產應用管理系統、數據資產采集系統等對醫療數據分級分類、數據加密存儲、醫療數據可信使用、醫療數據權限管理等,實現醫療數據的全生命周期安全管理,確保醫療數據的安全加密傳輸、安全加密存儲,提升醫療數據的保密性和使用效率;通過終端安全準入管控平臺和網絡防病毒系統,實現對主機的入網管理、病毒防護、基線檢查等,保障主機環境的安全可靠。
(五)應急響應與處置
在應急響應與處置方面,通過網絡安全態勢信息全景可視化系統、威脅情報分析支持系統、高級威脅檢測分析系統等,持續監測大數據中心安全狀況,及時發現各種針對大數據中心的攻擊、威脅與異常事件,實現大數據中心網絡安全防御體系管理閉環。
二、醫療信息系統在網絡和數據安全上面臨的風險挑戰
隨著信息技術的飛速發展,醫療數據應用逐步加深,醫療信息系統在方便醫療機構和患者使用的同時,背后面臨著愈發嚴峻的風險和挑戰。究其原因,主要由醫療信息系統本身有別于其他關鍵行業信息系統的特殊性以及外部環境因素兩方面造成,包括以下五個方面。
(一)醫療信息系統的連續性
目前,醫療信息系統是醫療機構進行各項醫療工作的重要保障,若出現服務中斷,將會對醫療服務正常開展會造成巨大影響,同時延長患者等待時間,影響患者就醫體驗;若出現信息系統數據錯誤、數據丟失、數據泄露、數據篡改等事故,輕則可能產生醫患矛盾糾紛,重則威脅患者生命健康安全。同時,各大醫院及診療機構往往以自身業務發展為主要抓手,把科研、人員、經費等關鍵資源更多地向核心業務傾斜,這在一定程度上造成了“重業務,輕安全”的一種普遍業界現象。醫療信息系統的信息化及網絡安全建設往往跟不上機構內龐大醫療業務數據增長的速度,同時,系統日常運行需要承載數據匯集、數據分析、數據查詢等高強度功能,如不能做好日常運維、升級等工作,將導致系統脆弱性不斷加深,極易受到外部攻擊。
(二)醫療信息系統資產梳理不清增加風險
由于我國醫療機構信息化建設工作歷時超過20 年,在醫療業務為主導的大環境下,醫療系統的信息化建設往往不能做到有效迭代開發,而是層層堆砌。大量不同時期的信息系統共存,不少大型醫療機構有超過一百多個系統在運行,機構對于自己所運行的所有系統暴露面及系統資產難以清楚掌握。由于時間過長,某些信息系統雖然仍在服務,但已經無法找到開發商,無法得到有效的運維管理。老舊信息系統的持續運行不但拖慢了生產環境的效率,還成了機構整體信息安全的短板和高危暴露面,這些目標往往是網絡攻擊行為的重點突破口。
同時,多個時期不同系統的堆疊共存也面臨數據標準不統一的問題,許多歷史數據難以被有效地分析應用,從而在一定程度上形成了由信息化影響業務發展的掣肘因素。不過,一些醫療機構近年已經開始行動,開展從統一數據接口標準到歷史病例的導入分析等工作。相信隨著醫療信息化的逐步發展,越來越多的醫療數據會走到匯聚、分析、應用的正軌上來。
(三)患者個人信息保護亟待加強
《中華人民共和國民法典》《數據安全法》《個人信息保護法》等法律法規都針對個人信息保護提出了具體要求,醫療信息系統中含有大量的患者個人信息用于臨床診療需要,如何依法做好針對患者個人信息的有效防護,對醫療信息系統建設提出了更高要求。
對此,一是要加強醫療信息系統自身的健壯性,提高抵御外部攻擊的基礎能力。二是要遵守國家及行業的數據應用規范,同時完善機構自身的數據管理制度,做到權責明確,有章可循。三是在防疫抗疫、疾病診療、臨床研究、新藥實驗等過程中,醫療機構要對患者個人信息加強管理,保護患者權利,做好安全防護的技術措施。
(四)醫療數據匯聚與共享難
受限于醫療信息系統和內部數據的復雜性,醫療數據匯集、共享和應用面臨挑戰。在外部環境中,由于醫院信息管理系統開發廠商眾多,信息系統框架、數據標準、運行模式差異巨大。因此,信息系統之間數據互通、醫療機構之間數據共享存在鴻溝。值得肯定的是,一些醫療機構已經開始通過科研合作的形式打通這一壁壘,行業主管單位也在開展試點工作,努力推進更全面的醫療數據共享,以大數據驅動醫療質量進一步提升。
(五)供應鏈難以有效管控
網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出,一旦出現問題會給關系到國計民生的關鍵信息基礎設施帶來嚴重危害。醫療領域的關鍵信息基礎設施既關系到每個人的現實生活又極其復雜,因此醫療信息系統的供應鏈安全尤為重要。
供應鏈安全面臨的緊迫問題有四個方面。一是網絡產品和服務自身安全風險,以及被非法控制、干擾和中斷運行的風險。二是網絡產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險。三是網絡產品和服務提供者利用提供產品和服務的便利條件,非法收集、存儲、處理、使用用戶相關信息的風險。四是網絡產品和服務提供者利用用戶對產品和服務的依賴,損害網絡安全和用戶利益的風險。
此外,我國雖然在醫療領域信息化建設的歷程較長,但其中主要系統乃至核心功能建設依然有較大比例外資背景。醫療機構的信息化專業人員素質及數量捉襟見肘,導致長期高度依賴于服務商,這無形中增加了系統和數據的風險隱患。要解決這一頑疾,需要打好持久戰,從人才建設出發,落實到系統工程的生命周期建設,立體化完善醫療系統信息化建設體系,把核心生產力掌握在行業自己手中。
三、醫療信息系統數據安全體系建設與治理建議
(一)堅持以數據有效保護和合法利用為基礎,構建醫療信息系統數據安全管理體系
《網絡安全法》《數據安全法》《個人信息保護法》等法律法規,加強了對網絡、數據、個人信息層面的保護要求。同時,針對醫療領域也頒布了相關規章與政策,包括《國家健康醫療大數據標準、安全和服務管理辦法》《關于促進和規范健康醫療大數據應用發展的指導意見》《互聯網診療管理辦法》《互聯網醫院管理辦法》《遠程醫療服務管理規范》《人類遺傳資源管理條例》等。在國家和醫療行業性法律法規不斷完善下,逐步構建起醫療衛生機構、醫療從業人員對患者個人健康和診療信息隱私保護責任義務的基本框架,對醫療機構數據安全體系建設和治理策略提供了基本遵循原則。
在此原則下,要以醫療數據安全合規性為牽引,對醫療信息系統數據資產全面梳理,開展數據安全建設規劃、設計和實施落地,逐步建立體系化、科學化的數據安全體系,切實保障醫療數據有效保護和合法利用。圍繞“醫療關鍵業務、醫療關鍵數據、醫療關鍵場景”,分階段分步驟構建醫療信息系統數據安全管理體系。通過梳理關鍵業務,識別關鍵數據資產和數據使用關系,繪制醫療業務數據流,進行數據安全風險建模,全面識別醫療業務數據面臨的數據安全風險,設計合適的安全能力緩解相應的數據安全風險,在滿足數據安全的前提下積極促進醫療數據的共享共建,發揮醫療數據紅利。
(二)堅持以數據流轉管控為思路,構建動態化細粒度醫療信息系統數據生命周期監控與追溯機制
在醫療數據流轉過程中應以網絡安全保護技術應用為基礎,數據管理為核心,構建數據采集、數據傳輸、數據存儲、數據使用和數據銷毀的全生命周期安全保護機制。要對數據傳輸進行鏈路管控,對重要數據存儲加密,對敏感數據和個人數據進行脫敏、去標識化,對數據使用進行記錄留痕。結合數據應用場景,基于訪問主體,對數據使用進行動態實時監控,實現對醫療數據應用、服務,應用程序編程接口(API)、數據流轉等過程和環節的精準管控,實現數據流轉的可見、可查、可追溯。
同時,在數據流轉過程中應嚴格落實數據安全管理制度,專人負責監督執行情況,利用流量監測、網絡行為管理等信息安全設備監測信息流,同時由專業信息安全團隊監測信息安全風險、監督安全管理和技術實施情況。
(三)堅持以醫療業務流程為重點,構建場景化的數據安全防護模式
根據醫療信息系統業務開展的實際需要,構建場景化的數據安全防護模式。如針對醫療數據采集、收集的場景,通過加密和證書機制保障數據采集方的身份以及數據的抗抵賴,同時與安全接入服務建立安全套接層(SSL)安全通道,保障數據的機密性與完整性;針對醫療數據多地分散存儲場景,根據數據分類分級,劃分到不同保護級別數據庫存儲,實時監控存儲狀態,實現存儲場景安全;針對醫療數據跨機構傳輸場景,搭建安全可信的環境,傳輸包含患者敏感信息的數據,自動實施數據校驗、脫敏與加密;針對醫療應用、科研應用、質控管理等數據使用場景,在做好數據安全風險評估的基礎上,根據分類分級要求,對已完成脫敏等預處理的數據開展數據查詢、數據分析、模型計算等數據應用工作;針對數據開放共享場景,應對應不同醫療機構的數據使用需求和數據分級,實施包括互聯網隔離、專用終端監控、物理環境監控、網絡監控、主機監控的手段,實現數據防泄漏的有效管理,同時利用專用網絡、堡壘機等安全工具以及多方安全計算、聯邦學習等新技術手段,進一步實現數據可見不可得,數據可用不可見的安全控制能力。
(四)堅持以醫療數據治理為目標,建設醫療數據受控共享體系
以醫療數據治理為目標,圍繞網絡層面、主機層面、應用層面、數據層面和管理層面的安全需求,打造網絡安全和數據受控共享體系。在各業務環節采取必要的安全防范措施,通過技術體系(網絡、主機、應用、數據、安全管理等五個技術層面)和管理體系(制度、機構、人員、建設和運維等五個管理層面)的綜合運用,有效保障醫療數據的安全。
具體措施包括:一是優化醫療信息系統管理體系,健全網絡安全和數據安全管理組織,優化管理制度及流程,明確權利和責任;二是完善醫療信息系統安全策略,對醫療數據資產和數據流轉過程進行監管,發現網絡和數據安全風險,構建日常安全策略,確保數據安全融入醫療機構業務體系中;三是構建醫療數據安全技術體系,對醫療數據采取技術防護措施,輔助安全策略實現對數據安全生命周期的有效保護;四是構建一體化運營體系,實現對醫療數據安全的預警、監測、管控、應急等閉環管理。
在醫療領域業務和服務模式不斷轉變過程中,醫療信息系統的應用愈發廣泛,醫療數據已成為醫療機構實現持續、穩定、健康發展至關重要的資產。做好醫療信息系統的安全管理,切實保障數據安全,維護醫患隱私信息,關系到國計民生和社會的穩定和諧。建立規范化、體系化的安全管理措施,能夠有效應對醫療信息系統面臨的諸多威脅,防范醫療數據遭受篡改、破壞或泄露,保障醫療機構的安全穩定運行,保障患者合法權益,促進醫療數據更好應用,為建設“健康中國”貢獻力量。
