文│中山大学附属第一医院医学大数据与人工智能研究中心 王海波 尚尔嵩
据《2021 年中国卫生健康统计年鉴》的数据显示,2020 年全国医疗机构总数达 35394 家,其中综合医院 20133 家,占比57%,其次是专科医院占比 25%、中医医院占比13%,2020 年总诊疗人次达 33 亿。如此多的医疗机构在诊疗过程中需要采集大量电子化数据,包括医院业务管理数据、医院园区智能化数据、医疗设备数字化数据、临床诊疗数据。
由于医疗数据具有价值高、隐私性强的特点,针对患者个人信息、疾病诊疗隐私信息,以及医疗机构诊疗过程和费用信息的网络安全攻击、数据窃取、医疗机构勒索事件逐年增多。此类事件将会对公共卫生管理和医院管理造成严重影响,损害医疗机构和患者个人的合法权益。为了有效应对网络安全和数据安全威胁,各级网络安全监管机构和医疗行政管理部门不断加强监管,各类医疗机构也持续加强网络与数据安全合规性工作,将医疗信息系统网络安全与患者个人信息保护工作作为信息化建设核心内容进行建设与加固。
一、医疗信息系统安全保障上的实践
中山大学附属第一医院(以下简称“中山一院”)是国家卫生健康委委属(管)医院,是国家疑难重症诊治主阵地、医学创新策源地、医学领军人才高地,以“技精德高”享誉海内外。历经多年的发展,通过医院信息管理系统(HlS)、科室管理信息系统(CIS)、电子病历(EMR)、电子健康档案(HER)、区域医疗卫生服务(GMIS)等各类影像检查、实验室检验、诊断、医嘱用药、护理记录、费用等,逐步汇聚海量的医疗数据,广泛用于诊疗、医院管理和科研创新中。
面对数据安全引发的担忧,中山一院以国家医学中心建设为契机,整合集聚多个跨学科研究力量,打造医疗大数据与人工智能研究中心(以下简称“大数据中心”),以网络安全和数据安全为基础开展数据安全应用建设工作。大数据中心的安全保障体系形成一个覆盖中心建设各个环节的、满足实际部署需求、高可用的安全防护体系,为医疗数据的采集、存储、传输和使用提供支撑,保障医疗数据中心的业务的安全稳定运行。安全保障体系包含网络结构设计、区域边界防护、安全监测、计算环境保护、应急响应与处置等五个层面。在安全体系设计与建设过程,取得了一些宝贵的实践经验。
(一)网络结构规划设计
在网络结构设计方面,充分考虑骨干链路和设备的冗余性,在核心层和核心业务区采用双机/多机备份冗余设计,满足业务的高可靠性;根据各业务功能区的部署,利用防火墙和交换机划分了不同的安全区域,采用相应的安全策略进行分别防护。
(二)区域边界防护
在区域边界防护方面,通过部署防火墙以及虚拟局域网(VLAN)技术,在区域之间实现细粒化的访问控制,禁止非授权的终端和用户接入;在关键节点部署网络攻击监测分析系统、WEB 应用防火墙、抗分布式拒绝服务攻击(DDoS)系统、入侵检测系统等设备,实时监测、分析、防止网络攻击行为。
(三)安全监测防护
在安全监测方面,采集并解析大数据中心的关键节点流量数据和告警日志,将采集到的数据进行分类存储,对流量数据包进行合规性检测。通过告警功能以及机器学习和深度学习算法,及时发现日志数据中的异常情况,并整理成分析报告。
针对新型高级持续性威胁,通过对各种攻击载体进行检测,并借助安全情报库和领域专家等多种检测手段,实现对高级威胁安全事件进行智能化关联分析和回溯审计能力。通过实时和历史的综合分析,实现大数据中心网络安全威胁的快速发现和分析监测。
(四)计算环境保护
在计算环境保护方面,对访问的用户进行身份标识和鉴别,并进行文件级的访问权限控制。通过网站安全监测系统、网站防篡改、WEB 应用防火墙等对应用进行网络攻击防护。通过蜜罐作为诱饵,保护应用免受攻击并可以对攻击行为进行分析;通过数据资产应用管理系统、数据资产采集系统等对医疗数据分级分类、数据加密存储、医疗数据可信使用、医疗数据权限管理等,实现医疗数据的全生命周期安全管理,确保医疗数据的安全加密传输、安全加密存储,提升医疗数据的保密性和使用效率;通过终端安全准入管控平台和网络防病毒系统,实现对主机的入网管理、病毒防护、基线检查等,保障主机环境的安全可靠。
(五)应急响应与处置
在应急响应与处置方面,通过网络安全态势信息全景可视化系统、威胁情报分析支持系统、高级威胁检测分析系统等,持续监测大数据中心安全状况,及时发现各种针对大数据中心的攻击、威胁与异常事件,实现大数据中心网络安全防御体系管理闭环。
二、医疗信息系统在网络和数据安全上面临的风险挑战
随着信息技术的飞速发展,医疗数据应用逐步加深,医疗信息系统在方便医疗机构和患者使用的同时,背后面临着愈发严峻的风险和挑战。究其原因,主要由医疗信息系统本身有别于其他关键行业信息系统的特殊性以及外部环境因素两方面造成,包括以下五个方面。
(一)医疗信息系统的连续性
目前,医疗信息系统是医疗机构进行各项医疗工作的重要保障,若出现服务中断,将会对医疗服务正常开展会造成巨大影响,同时延长患者等待时间,影响患者就医体验;若出现信息系统数据错误、数据丢失、数据泄露、数据篡改等事故,轻则可能产生医患矛盾纠纷,重则威胁患者生命健康安全。同时,各大医院及诊疗机构往往以自身业务发展为主要抓手,把科研、人员、经费等关键资源更多地向核心业务倾斜,这在一定程度上造成了“重业务,轻安全”的一种普遍业界现象。医疗信息系统的信息化及网络安全建设往往跟不上机构内庞大医疗业务数据增长的速度,同时,系统日常运行需要承载数据汇集、数据分析、数据查询等高强度功能,如不能做好日常运维、升级等工作,将导致系统脆弱性不断加深,极易受到外部攻击。
(二)医疗信息系统资产梳理不清增加风险
由于我国医疗机构信息化建设工作历时超过20 年,在医疗业务为主导的大环境下,医疗系统的信息化建设往往不能做到有效迭代开发,而是层层堆砌。大量不同时期的信息系统共存,不少大型医疗机构有超过一百多个系统在运行,机构对于自己所运行的所有系统暴露面及系统资产难以清楚掌握。由于时间过长,某些信息系统虽然仍在服务,但已经无法找到开发商,无法得到有效的运维管理。老旧信息系统的持续运行不但拖慢了生产环境的效率,还成了机构整体信息安全的短板和高危暴露面,这些目标往往是网络攻击行为的重点突破口。
同时,多个时期不同系统的堆叠共存也面临数据标准不统一的问题,许多历史数据难以被有效地分析应用,从而在一定程度上形成了由信息化影响业务发展的掣肘因素。不过,一些医疗机构近年已经开始行动,开展从统一数据接口标准到历史病例的导入分析等工作。相信随着医疗信息化的逐步发展,越来越多的医疗数据会走到汇聚、分析、应用的正轨上来。
(三)患者个人信息保护亟待加强
《中华人民共和国民法典》《数据安全法》《个人信息保护法》等法律法规都针对个人信息保护提出了具体要求,医疗信息系统中含有大量的患者个人信息用于临床诊疗需要,如何依法做好针对患者个人信息的有效防护,对医疗信息系统建设提出了更高要求。
对此,一是要加强医疗信息系统自身的健壮性,提高抵御外部攻击的基础能力。二是要遵守国家及行业的数据应用规范,同时完善机构自身的数据管理制度,做到权责明确,有章可循。三是在防疫抗疫、疾病诊疗、临床研究、新药实验等过程中,医疗机构要对患者个人信息加强管理,保护患者权利,做好安全防护的技术措施。
(四)医疗数据汇聚与共享难
受限于医疗信息系统和内部数据的复杂性,医疗数据汇集、共享和应用面临挑战。在外部环境中,由于医院信息管理系统开发厂商众多,信息系统框架、数据标准、运行模式差异巨大。因此,信息系统之间数据互通、医疗机构之间数据共享存在鸿沟。值得肯定的是,一些医疗机构已经开始通过科研合作的形式打通这一壁垒,行业主管单位也在开展试点工作,努力推进更全面的医疗数据共享,以大数据驱动医疗质量进一步提升。
(五)供应链难以有效管控
网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出,一旦出现问题会给关系到国计民生的关键信息基础设施带来严重危害。医疗领域的关键信息基础设施既关系到每个人的现实生活又极其复杂,因此医疗信息系统的供应链安全尤为重要。
供应链安全面临的紧迫问题有四个方面。一是网络产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险。二是网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险。三是网络产品和服务提供者利用提供产品和服务的便利条件,非法收集、存储、处理、使用用户相关信息的风险。四是网络产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。
此外,我国虽然在医疗领域信息化建设的历程较长,但其中主要系统乃至核心功能建设依然有较大比例外资背景。医疗机构的信息化专业人员素质及数量捉襟见肘,导致长期高度依赖于服务商,这无形中增加了系统和数据的风险隐患。要解决这一顽疾,需要打好持久战,从人才建设出发,落实到系统工程的生命周期建设,立体化完善医疗系统信息化建设体系,把核心生产力掌握在行业自己手中。
三、医疗信息系统数据安全体系建设与治理建议
(一)坚持以数据有效保护和合法利用为基础,构建医疗信息系统数据安全管理体系
《网络安全法》《数据安全法》《个人信息保护法》等法律法规,加强了对网络、数据、个人信息层面的保护要求。同时,针对医疗领域也颁布了相关规章与政策,包括《国家健康医疗大数据标准、安全和服务管理办法》《关于促进和规范健康医疗大数据应用发展的指导意见》《互联网诊疗管理办法》《互联网医院管理办法》《远程医疗服务管理规范》《人类遗传资源管理条例》等。在国家和医疗行业性法律法规不断完善下,逐步构建起医疗卫生机构、医疗从业人员对患者个人健康和诊疗信息隐私保护责任义务的基本框架,对医疗机构数据安全体系建设和治理策略提供了基本遵循原则。
在此原则下,要以医疗数据安全合规性为牵引,对医疗信息系统数据资产全面梳理,开展数据安全建设规划、设计和实施落地,逐步建立体系化、科学化的数据安全体系,切实保障医疗数据有效保护和合法利用。围绕“医疗关键业务、医疗关键数据、医疗关键场景”,分阶段分步骤构建医疗信息系统数据安全管理体系。通过梳理关键业务,识别关键数据资产和数据使用关系,绘制医疗业务数据流,进行数据安全风险建模,全面识别医疗业务数据面临的数据安全风险,设计合适的安全能力缓解相应的数据安全风险,在满足数据安全的前提下积极促进医疗数据的共享共建,发挥医疗数据红利。
(二)坚持以数据流转管控为思路,构建动态化细粒度医疗信息系统数据生命周期监控与追溯机制
在医疗数据流转过程中应以网络安全保护技术应用为基础,数据管理为核心,构建数据采集、数据传输、数据存储、数据使用和数据销毁的全生命周期安全保护机制。要对数据传输进行链路管控,对重要数据存储加密,对敏感数据和个人数据进行脱敏、去标识化,对数据使用进行记录留痕。结合数据应用场景,基于访问主体,对数据使用进行动态实时监控,实现对医疗数据应用、服务,应用程序编程接口(API)、数据流转等过程和环节的精准管控,实现数据流转的可见、可查、可追溯。
同时,在数据流转过程中应严格落实数据安全管理制度,专人负责监督执行情况,利用流量监测、网络行为管理等信息安全设备监测信息流,同时由专业信息安全团队监测信息安全风险、监督安全管理和技术实施情况。
(三)坚持以医疗业务流程为重点,构建场景化的数据安全防护模式
根据医疗信息系统业务开展的实际需要,构建场景化的数据安全防护模式。如针对医疗数据采集、收集的场景,通过加密和证书机制保障数据采集方的身份以及数据的抗抵赖,同时与安全接入服务建立安全套接层(SSL)安全通道,保障数据的机密性与完整性;针对医疗数据多地分散存储场景,根据数据分类分级,划分到不同保护级别数据库存储,实时监控存储状态,实现存储场景安全;针对医疗数据跨机构传输场景,搭建安全可信的环境,传输包含患者敏感信息的数据,自动实施数据校验、脱敏与加密;针对医疗应用、科研应用、质控管理等数据使用场景,在做好数据安全风险评估的基础上,根据分类分级要求,对已完成脱敏等预处理的数据开展数据查询、数据分析、模型计算等数据应用工作;针对数据开放共享场景,应对应不同医疗机构的数据使用需求和数据分级,实施包括互联网隔离、专用终端监控、物理环境监控、网络监控、主机监控的手段,实现数据防泄漏的有效管理,同时利用专用网络、堡垒机等安全工具以及多方安全计算、联邦学习等新技术手段,进一步实现数据可见不可得,数据可用不可见的安全控制能力。
(四)坚持以医疗数据治理为目标,建设医疗数据受控共享体系
以医疗数据治理为目标,围绕网络层面、主机层面、应用层面、数据层面和管理层面的安全需求,打造网络安全和数据受控共享体系。在各业务环节采取必要的安全防范措施,通过技术体系(网络、主机、应用、数据、安全管理等五个技术层面)和管理体系(制度、机构、人员、建设和运维等五个管理层面)的综合运用,有效保障医疗数据的安全。
具体措施包括:一是优化医疗信息系统管理体系,健全网络安全和数据安全管理组织,优化管理制度及流程,明确权利和责任;二是完善医疗信息系统安全策略,对医疗数据资产和数据流转过程进行监管,发现网络和数据安全风险,构建日常安全策略,确保数据安全融入医疗机构业务体系中;三是构建医疗数据安全技术体系,对医疗数据采取技术防护措施,辅助安全策略实现对数据安全生命周期的有效保护;四是构建一体化运营体系,实现对医疗数据安全的预警、监测、管控、应急等闭环管理。
在医疗领域业务和服务模式不断转变过程中,医疗信息系统的应用愈发广泛,医疗数据已成为医疗机构实现持续、稳定、健康发展至关重要的资产。做好医疗信息系统的安全管理,切实保障数据安全,维护医患隐私信息,关系到国计民生和社会的稳定和谐。建立规范化、体系化的安全管理措施,能够有效应对医疗信息系统面临的诸多威胁,防范医疗数据遭受篡改、破坏或泄露,保障医疗机构的安全稳定运行,保障患者合法权益,促进医疗数据更好应用,为建设“健康中国”贡献力量。
(本文刊登于《中国信息安全》杂志2022年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。