文│中山大學附屬第一醫(yī)院醫(yī)學大數(shù)據(jù)與人工智能研究中心 王海波 尚爾嵩據(jù)《2021 年中國衛(wèi)生健康統(tǒng)計年鑒》的數(shù)據(jù)顯示��,2020 年全國醫(yī)療機構總數(shù)達 35394 家�,其中綜合醫(yī)院 20133 家,占比57%�,其次是專科醫(yī)院占比 25%�、中醫(yī)醫(yī)院占比13%,2020 年總診療人次達 33 億����。如此多的醫(yī)療機構在診療過程中需要采集大量電子化數(shù)據(jù),包括醫(yī)院業(yè)務管理數(shù)據(jù)��、醫(yī)院園區(qū)智能化數(shù)據(jù)、醫(yī)療設備數(shù)字化數(shù)據(jù)�����、臨床診療數(shù)據(jù)����。由于醫(yī)療數(shù)據(jù)具有價值高、隱私性強的特點�����,針對患者個人信息���、疾病診療隱私信息����,以及醫(yī)療機構診療過程和費用信息的網絡安全攻擊��、數(shù)據(jù)竊取��、醫(yī)療機構勒索事件逐年增多����。此類事件將會對公共衛(wèi)生管理和醫(yī)院管理造成嚴重影響���,損害醫(yī)療機構和患者個人的合法權益。為了有效應對網絡安全和數(shù)據(jù)安全威脅�,各級網絡安全監(jiān)管機構和醫(yī)療行政管理部門不斷加強監(jiān)管,各類醫(yī)療機構也持續(xù)加強網絡與數(shù)據(jù)安全合規(guī)性工作���,將醫(yī)療信息系統(tǒng)網絡安全與患者個人信息保護工作作為信息化建設核心內容進行建設與加固��。
一��、醫(yī)療信息系統(tǒng)安全保障上的實踐
中山大學附屬第一醫(yī)院(以下簡稱“中山一院”)是國家衛(wèi)生健康委委屬(管)醫(yī)院���,是國家疑難重癥診治主陣地����、醫(yī)學創(chuàng)新策源地、醫(yī)學領軍人才高地���,以“技精德高”享譽海內外�����。歷經多年的發(fā)展��,通過醫(yī)院信息管理系統(tǒng)(HlS)����、科室管理信息系統(tǒng)(CIS)、電子病歷(EMR)�����、電子健康檔案(HER)�、區(qū)域醫(yī)療衛(wèi)生服務(GMIS)等各類影像檢查、實驗室檢驗��、診斷��、醫(yī)囑用藥��、護理記錄�����、費用等��,逐步匯聚海量的醫(yī)療數(shù)據(jù)�����,廣泛用于診療、醫(yī)院管理和科研創(chuàng)新中�����。面對數(shù)據(jù)安全引發(fā)的擔憂��,中山一院以國家醫(yī)學中心建設為契機�����,整合集聚多個跨學科研究力量�,打造醫(yī)療大數(shù)據(jù)與人工智能研究中心(以下簡稱“大數(shù)據(jù)中心”),以網絡安全和數(shù)據(jù)安全為基礎開展數(shù)據(jù)安全應用建設工作����。大數(shù)據(jù)中心的安全保障體系形成一個覆蓋中心建設各個環(huán)節(jié)的、滿足實際部署需求�、高可用的安全防護體系�,為醫(yī)療數(shù)據(jù)的采集、存儲��、傳輸和使用提供支撐�,保障醫(yī)療數(shù)據(jù)中心的業(yè)務的安全穩(wěn)定運行。安全保障體系包含網絡結構設計、區(qū)域邊界防護���、安全監(jiān)測���、計算環(huán)境保護、應急響應與處置等五個層面���。在安全體系設計與建設過程����,取得了一些寶貴的實踐經驗���。在網絡結構設計方面�,充分考慮骨干鏈路和設備的冗余性��,在核心層和核心業(yè)務區(qū)采用雙機/多機備份冗余設計��,滿足業(yè)務的高可靠性����;根據(jù)各業(yè)務功能區(qū)的部署,利用防火墻和交換機劃分了不同的安全區(qū)域����,采用相應的安全策略進行分別防護�����。在區(qū)域邊界防護方面���,通過部署防火墻以及虛擬局域網(VLAN)技術,在區(qū)域之間實現(xiàn)細?;脑L問控制,禁止非授權的終端和用戶接入��;在關鍵節(jié)點部署網絡攻擊監(jiān)測分析系統(tǒng)���、WEB 應用防火墻�、抗分布式拒絕服務攻擊(DDoS)系統(tǒng)����、入侵檢測系統(tǒng)等設備,實時監(jiān)測���、分析、防止網絡攻擊行為�����。在安全監(jiān)測方面,采集并解析大數(shù)據(jù)中心的關鍵節(jié)點流量數(shù)據(jù)和告警日志�,將采集到的數(shù)據(jù)進行分類存儲,對流量數(shù)據(jù)包進行合規(guī)性檢測���。通過告警功能以及機器學習和深度學習算法�,及時發(fā)現(xiàn)日志數(shù)據(jù)中的異常情況�,并整理成分析報告。針對新型高級持續(xù)性威脅�,通過對各種攻擊載體進行檢測,并借助安全情報庫和領域專家等多種檢測手段�����,實現(xiàn)對高級威脅安全事件進行智能化關聯(lián)分析和回溯審計能力����。通過實時和歷史的綜合分析,實現(xiàn)大數(shù)據(jù)中心網絡安全威脅的快速發(fā)現(xiàn)和分析監(jiān)測���。在計算環(huán)境保護方面����,對訪問的用戶進行身份標識和鑒別,并進行文件級的訪問權限控制�����。通過網站安全監(jiān)測系統(tǒng)����、網站防篡改、WEB 應用防火墻等對應用進行網絡攻擊防護�����。通過蜜罐作為誘餌��,保護應用免受攻擊并可以對攻擊行為進行分析�;通過數(shù)據(jù)資產應用管理系統(tǒng)、數(shù)據(jù)資產采集系統(tǒng)等對醫(yī)療數(shù)據(jù)分級分類�、數(shù)據(jù)加密存儲、醫(yī)療數(shù)據(jù)可信使用�����、醫(yī)療數(shù)據(jù)權限管理等����,實現(xiàn)醫(yī)療數(shù)據(jù)的全生命周期安全管理�����,確保醫(yī)療數(shù)據(jù)的安全加密傳輸、安全加密存儲��,提升醫(yī)療數(shù)據(jù)的保密性和使用效率���;通過終端安全準入管控平臺和網絡防病毒系統(tǒng)�,實現(xiàn)對主機的入網管理����、病毒防護、基線檢查等���,保障主機環(huán)境的安全可靠�����。在應急響應與處置方面����,通過網絡安全態(tài)勢信息全景可視化系統(tǒng)�����、威脅情報分析支持系統(tǒng)、高級威脅檢測分析系統(tǒng)等����,持續(xù)監(jiān)測大數(shù)據(jù)中心安全狀況,及時發(fā)現(xiàn)各種針對大數(shù)據(jù)中心的攻擊�、威脅與異常事件,實現(xiàn)大數(shù)據(jù)中心網絡安全防御體系管理閉環(huán)���。
二���、醫(yī)療信息系統(tǒng)在網絡和數(shù)據(jù)安全上面臨的風險挑戰(zhàn)
隨著信息技術的飛速發(fā)展,醫(yī)療數(shù)據(jù)應用逐步加深��,醫(yī)療信息系統(tǒng)在方便醫(yī)療機構和患者使用的同時�,背后面臨著愈發(fā)嚴峻的風險和挑戰(zhàn)。究其原因�,主要由醫(yī)療信息系統(tǒng)本身有別于其他關鍵行業(yè)信息系統(tǒng)的特殊性以及外部環(huán)境因素兩方面造成,包括以下五個方面��。(一)醫(yī)療信息系統(tǒng)的連續(xù)性目前���,醫(yī)療信息系統(tǒng)是醫(yī)療機構進行各項醫(yī)療工作的重要保障��,若出現(xiàn)服務中斷�����,將會對醫(yī)療服務正常開展會造成巨大影響���,同時延長患者等待時間,影響患者就醫(yī)體驗���;若出現(xiàn)信息系統(tǒng)數(shù)據(jù)錯誤����、數(shù)據(jù)丟失����、數(shù)據(jù)泄露、數(shù)據(jù)篡改等事故�����,輕則可能產生醫(yī)患矛盾糾紛���,重則威脅患者生命健康安全�����。同時��,各大醫(yī)院及診療機構往往以自身業(yè)務發(fā)展為主要抓手����,把科研、人員�����、經費等關鍵資源更多地向核心業(yè)務傾斜���,這在一定程度上造成了“重業(yè)務����,輕安全”的一種普遍業(yè)界現(xiàn)象��。醫(yī)療信息系統(tǒng)的信息化及網絡安全建設往往跟不上機構內龐大醫(yī)療業(yè)務數(shù)據(jù)增長的速度�����,同時,系統(tǒng)日常運行需要承載數(shù)據(jù)匯集��、數(shù)據(jù)分析�����、數(shù)據(jù)查詢等高強度功能�����,如不能做好日常運維��、升級等工作��,將導致系統(tǒng)脆弱性不斷加深�����,極易受到外部攻擊���。(二)醫(yī)療信息系統(tǒng)資產梳理不清增加風險由于我國醫(yī)療機構信息化建設工作歷時超過20 年,在醫(yī)療業(yè)務為主導的大環(huán)境下��,醫(yī)療系統(tǒng)的信息化建設往往不能做到有效迭代開發(fā)���,而是層層堆砌��。大量不同時期的信息系統(tǒng)共存��,不少大型醫(yī)療機構有超過一百多個系統(tǒng)在運行�,機構對于自己所運行的所有系統(tǒng)暴露面及系統(tǒng)資產難以清楚掌握。由于時間過長���,某些信息系統(tǒng)雖然仍在服務����,但已經無法找到開發(fā)商���,無法得到有效的運維管理��。老舊信息系統(tǒng)的持續(xù)運行不但拖慢了生產環(huán)境的效率��,還成了機構整體信息安全的短板和高危暴露面�����,這些目標往往是網絡攻擊行為的重點突破口�����。同時����,多個時期不同系統(tǒng)的堆疊共存也面臨數(shù)據(jù)標準不統(tǒng)一的問題,許多歷史數(shù)據(jù)難以被有效地分析應用�����,從而在一定程度上形成了由信息化影響業(yè)務發(fā)展的掣肘因素��。不過����,一些醫(yī)療機構近年已經開始行動,開展從統(tǒng)一數(shù)據(jù)接口標準到歷史病例的導入分析等工作�����。相信隨著醫(yī)療信息化的逐步發(fā)展�,越來越多的醫(yī)療數(shù)據(jù)會走到匯聚��、分析��、應用的正軌上來�。《中華人民共和國民法典》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)都針對個人信息保護提出了具體要求���,醫(yī)療信息系統(tǒng)中含有大量的患者個人信息用于臨床診療需要,如何依法做好針對患者個人信息的有效防護�����,對醫(yī)療信息系統(tǒng)建設提出了更高要求���。對此�,一是要加強醫(yī)療信息系統(tǒng)自身的健壯性���,提高抵御外部攻擊的基礎能力�����。二是要遵守國家及行業(yè)的數(shù)據(jù)應用規(guī)范����,同時完善機構自身的數(shù)據(jù)管理制度����,做到權責明確,有章可循��。三是在防疫抗疫、疾病診療���、臨床研究��、新藥實驗等過程中���,醫(yī)療機構要對患者個人信息加強管理,保護患者權利����,做好安全防護的技術措施。(四)醫(yī)療數(shù)據(jù)匯聚與共享難受限于醫(yī)療信息系統(tǒng)和內部數(shù)據(jù)的復雜性���,醫(yī)療數(shù)據(jù)匯集�����、共享和應用面臨挑戰(zhàn)。在外部環(huán)境中��,由于醫(yī)院信息管理系統(tǒng)開發(fā)廠商眾多��,信息系統(tǒng)框架��、數(shù)據(jù)標準、運行模式差異巨大���。因此�,信息系統(tǒng)之間數(shù)據(jù)互通���、醫(yī)療機構之間數(shù)據(jù)共享存在鴻溝�����。值得肯定的是��,一些醫(yī)療機構已經開始通過科研合作的形式打通這一壁壘���,行業(yè)主管單位也在開展試點工作,努力推進更全面的醫(yī)療數(shù)據(jù)共享����,以大數(shù)據(jù)驅動醫(yī)療質量進一步提升。網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出�,一旦出現(xiàn)問題會給關系到國計民生的關鍵信息基礎設施帶來嚴重危害。醫(yī)療領域的關鍵信息基礎設施既關系到每個人的現(xiàn)實生活又極其復雜��,因此醫(yī)療信息系統(tǒng)的供應鏈安全尤為重要���。供應鏈安全面臨的緊迫問題有四個方面�����。一是網絡產品和服務自身安全風險�,以及被非法控制、干擾和中斷運行的風險�����。二是網絡產品及關鍵部件生產����、測試、交付�����、技術支持過程中的供應鏈安全風險�。三是網絡產品和服務提供者利用提供產品和服務的便利條件,非法收集��、存儲�、處理��、使用用戶相關信息的風險。四是網絡產品和服務提供者利用用戶對產品和服務的依賴��,損害網絡安全和用戶利益的風險����。此外,我國雖然在醫(yī)療領域信息化建設的歷程較長��,但其中主要系統(tǒng)乃至核心功能建設依然有較大比例外資背景�。醫(yī)療機構的信息化專業(yè)人員素質及數(shù)量捉襟見肘,導致長期高度依賴于服務商�,這無形中增加了系統(tǒng)和數(shù)據(jù)的風險隱患。要解決這一頑疾�,需要打好持久戰(zhàn),從人才建設出發(fā)�����,落實到系統(tǒng)工程的生命周期建設�,立體化完善醫(yī)療系統(tǒng)信息化建設體系,把核心生產力掌握在行業(yè)自己手中����。
三、醫(yī)療信息系統(tǒng)數(shù)據(jù)安全體系建設與治理建議
(一)堅持以數(shù)據(jù)有效保護和合法利用為基礎,構建醫(yī)療信息系統(tǒng)數(shù)據(jù)安全管理體系《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)�����,加強了對網絡��、數(shù)據(jù)��、個人信息層面的保護要求�����。同時����,針對醫(yī)療領域也頒布了相關規(guī)章與政策,包括《國家健康醫(yī)療大數(shù)據(jù)標準��、安全和服務管理辦法》《關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》《互聯(lián)網診療管理辦法》《互聯(lián)網醫(yī)院管理辦法》《遠程醫(yī)療服務管理規(guī)范》《人類遺傳資源管理條例》等���。在國家和醫(yī)療行業(yè)性法律法規(guī)不斷完善下�,逐步構建起醫(yī)療衛(wèi)生機構���、醫(yī)療從業(yè)人員對患者個人健康和診療信息隱私保護責任義務的基本框架��,對醫(yī)療機構數(shù)據(jù)安全體系建設和治理策略提供了基本遵循原則��。在此原則下�����,要以醫(yī)療數(shù)據(jù)安全合規(guī)性為牽引���,對醫(yī)療信息系統(tǒng)數(shù)據(jù)資產全面梳理,開展數(shù)據(jù)安全建設規(guī)劃��、設計和實施落地�,逐步建立體系化、科學化的數(shù)據(jù)安全體系�����,切實保障醫(yī)療數(shù)據(jù)有效保護和合法利用�。圍繞“醫(yī)療關鍵業(yè)務、醫(yī)療關鍵數(shù)據(jù)��、醫(yī)療關鍵場景”�����,分階段分步驟構建醫(yī)療信息系統(tǒng)數(shù)據(jù)安全管理體系。通過梳理關鍵業(yè)務�,識別關鍵數(shù)據(jù)資產和數(shù)據(jù)使用關系,繪制醫(yī)療業(yè)務數(shù)據(jù)流�����,進行數(shù)據(jù)安全風險建模�����,全面識別醫(yī)療業(yè)務數(shù)據(jù)面臨的數(shù)據(jù)安全風險�����,設計合適的安全能力緩解相應的數(shù)據(jù)安全風險����,在滿足數(shù)據(jù)安全的前提下積極促進醫(yī)療數(shù)據(jù)的共享共建,發(fā)揮醫(yī)療數(shù)據(jù)紅利����。(二)堅持以數(shù)據(jù)流轉管控為思路,構建動態(tài)化細粒度醫(yī)療信息系統(tǒng)數(shù)據(jù)生命周期監(jiān)控與追溯機制在醫(yī)療數(shù)據(jù)流轉過程中應以網絡安全保護技術應用為基礎�,數(shù)據(jù)管理為核心,構建數(shù)據(jù)采集�����、數(shù)據(jù)傳輸、數(shù)據(jù)存儲��、數(shù)據(jù)使用和數(shù)據(jù)銷毀的全生命周期安全保護機制����。要對數(shù)據(jù)傳輸進行鏈路管控��,對重要數(shù)據(jù)存儲加密�����,對敏感數(shù)據(jù)和個人數(shù)據(jù)進行脫敏�、去標識化,對數(shù)據(jù)使用進行記錄留痕��。結合數(shù)據(jù)應用場景����,基于訪問主體,對數(shù)據(jù)使用進行動態(tài)實時監(jiān)控�����,實現(xiàn)對醫(yī)療數(shù)據(jù)應用、服務���,應用程序編程接口(API)�、數(shù)據(jù)流轉等過程和環(huán)節(jié)的精準管控�,實現(xiàn)數(shù)據(jù)流轉的可見、可查����、可追溯。同時�,在數(shù)據(jù)流轉過程中應嚴格落實數(shù)據(jù)安全管理制度,專人負責監(jiān)督執(zhí)行情況�,利用流量監(jiān)測、網絡行為管理等信息安全設備監(jiān)測信息流�����,同時由專業(yè)信息安全團隊監(jiān)測信息安全風險�����、監(jiān)督安全管理和技術實施情況����。(三)堅持以醫(yī)療業(yè)務流程為重點�����,構建場景化的數(shù)據(jù)安全防護模式根據(jù)醫(yī)療信息系統(tǒng)業(yè)務開展的實際需要�,構建場景化的數(shù)據(jù)安全防護模式��。如針對醫(yī)療數(shù)據(jù)采集����、收集的場景,通過加密和證書機制保障數(shù)據(jù)采集方的身份以及數(shù)據(jù)的抗抵賴�����,同時與安全接入服務建立安全套接層(SSL)安全通道���,保障數(shù)據(jù)的機密性與完整性;針對醫(yī)療數(shù)據(jù)多地分散存儲場景����,根據(jù)數(shù)據(jù)分類分級,劃分到不同保護級別數(shù)據(jù)庫存儲����,實時監(jiān)控存儲狀態(tài)���,實現(xiàn)存儲場景安全;針對醫(yī)療數(shù)據(jù)跨機構傳輸場景��,搭建安全可信的環(huán)境��,傳輸包含患者敏感信息的數(shù)據(jù)���,自動實施數(shù)據(jù)校驗��、脫敏與加密����;針對醫(yī)療應用����、科研應用、質控管理等數(shù)據(jù)使用場景���,在做好數(shù)據(jù)安全風險評估的基礎上����,根據(jù)分類分級要求,對已完成脫敏等預處理的數(shù)據(jù)開展數(shù)據(jù)查詢�����、數(shù)據(jù)分析�����、模型計算等數(shù)據(jù)應用工作����;針對數(shù)據(jù)開放共享場景,應對應不同醫(yī)療機構的數(shù)據(jù)使用需求和數(shù)據(jù)分級����,實施包括互聯(lián)網隔離、專用終端監(jiān)控�、物理環(huán)境監(jiān)控��、網絡監(jiān)控���、主機監(jiān)控的手段����,實現(xiàn)數(shù)據(jù)防泄漏的有效管理��,同時利用專用網絡、堡壘機等安全工具以及多方安全計算�、聯(lián)邦學習等新技術手段,進一步實現(xiàn)數(shù)據(jù)可見不可得��,數(shù)據(jù)可用不可見的安全控制能力���。(四)堅持以醫(yī)療數(shù)據(jù)治理為目標����,建設醫(yī)療數(shù)據(jù)受控共享體系以醫(yī)療數(shù)據(jù)治理為目標�,圍繞網絡層面、主機層面���、應用層面�����、數(shù)據(jù)層面和管理層面的安全需求����,打造網絡安全和數(shù)據(jù)受控共享體系�。在各業(yè)務環(huán)節(jié)采取必要的安全防范措施,通過技術體系(網絡、主機���、應用���、數(shù)據(jù)、安全管理等五個技術層面)和管理體系(制度���、機構����、人員�、建設和運維等五個管理層面)的綜合運用,有效保障醫(yī)療數(shù)據(jù)的安全�����。具體措施包括:一是優(yōu)化醫(yī)療信息系統(tǒng)管理體系�,健全網絡安全和數(shù)據(jù)安全管理組織,優(yōu)化管理制度及流程��,明確權利和責任���;二是完善醫(yī)療信息系統(tǒng)安全策略,對醫(yī)療數(shù)據(jù)資產和數(shù)據(jù)流轉過程進行監(jiān)管,發(fā)現(xiàn)網絡和數(shù)據(jù)安全風險��,構建日常安全策略�����,確保數(shù)據(jù)安全融入醫(yī)療機構業(yè)務體系中���;三是構建醫(yī)療數(shù)據(jù)安全技術體系��,對醫(yī)療數(shù)據(jù)采取技術防護措施�����,輔助安全策略實現(xiàn)對數(shù)據(jù)安全生命周期的有效保護�����;四是構建一體化運營體系����,實現(xiàn)對醫(yī)療數(shù)據(jù)安全的預警���、監(jiān)測����、管控、應急等閉環(huán)管理�����。在醫(yī)療領域業(yè)務和服務模式不斷轉變過程中�,醫(yī)療信息系統(tǒng)的應用愈發(fā)廣泛,醫(yī)療數(shù)據(jù)已成為醫(yī)療機構實現(xiàn)持續(xù)���、穩(wěn)定����、健康發(fā)展至關重要的資產���。做好醫(yī)療信息系統(tǒng)的安全管理��,切實保障數(shù)據(jù)安全�,維護醫(yī)患隱私信息�����,關系到國計民生和社會的穩(wěn)定和諧��。建立規(guī)范化�、體系化的安全管理措施,能夠有效應對醫(yī)療信息系統(tǒng)面臨的諸多威脅�,防范醫(yī)療數(shù)據(jù)遭受篡改、破壞或泄露�����,保障醫(yī)療機構的安全穩(wěn)定運行�,保障患者合法權益,促進醫(yī)療數(shù)據(jù)更好應用���,為建設“健康中國”貢獻力量�。
