于雪梅：医疗数据安全风险识别与管控

随着医疗信息化的不断发展，尤其是互联网医疗的兴起，医疗数据安全面临全新压力。如何识别医疗数据安全风险并进行管控成为医疗信息化建设的当务之急。对此，首都儿科研究所附属儿童医院医工处处长于雪梅在CHIMA 2020大会上进行了详细解读。

以下内容根据于雪梅处长演讲内容整理。

医疗数据安全不是一个新鲜话题，但是在特殊时刻重提有了特殊的含义。在2020年这个不平凡的一年，医疗信息化建设既存在机遇，也面临挑战。在这个大环境下，互联网医疗成为一个热词。新形势下互联网医疗的发展无论是主动还是被动，都已呈现出乘风破浪的趋势。然而，这却给已经相对稳固的医院信息安全建设带来一个新的挑战。医院的信息系统充分暴露在互联网环境下，展开了一个新的业务环境。

和医院早期的信息化、网络化非常不同，当前医院网络已经发展到智慧化的环境下，平台安全和数据安全成为关注重点，主要存在以下挑战：现有安全技术过于专业，无法支持医院的管理模式和管理复杂度；医院业务开始向互联网开放，安全防护措施和主动防御手段不足，针对互联网医疗WEB应用防护，入侵监测未在行业普及；安全运维工作缺失，补丁和安全风险解决时机滞后，部分机构的补丁管理依赖于国外工具；院内资产不清晰，容易产生大量安全事件和风险。

互联网医疗的特点是全链条社会化，并且跨行业、跨部门、跨区域，涉及的环节非常多：包括医院、物流配送、药厂药店、患者在内的不同端点；覆盖面广，从社区医院到三甲医院全覆盖；数据流通环节涉及采集、存储、交换、处理；合作模式多样，包括自建、第三方合作和第三方运营；数据价值主要体现为交易、挖掘、再利用。

不同于传统模式，互联网医疗需针对上述全链条的场景、角色和应用广度深度，营造安全管控大环境，主要涉及以下方面：患者隐私，主要包括基本信息、疾病信息等；黑客威胁，出于政治或经济目的的攻击、勒索、窃取、剽窃、篡改等；主管部门、医保、医疗机构、运维单位、患者等不同角色的责任边界划分等。

2019年全国两会保障期间，国家卫生健康委委托中电数据针对200余家医院网站进行安全扫描和域名安全分析，整理出行业互联网安全情况，辅助国家卫生健康委进行行业安全治理，结果显示：2018年，互联网医院兴起，因为安全运维管理不到位，导致这一年成为医院网络安全漏洞出现特别集中的一年。同时，近几年医院的高危漏洞数呈现明显的上升趋势，医院信息化安全风险趋势严峻。

做好医院信息安全保障，标准须先行。目前，有关医疗信息安全的标准有公共标准，即等保2.0。同时，智慧医疗、智慧服务，以及正在拟定中的智慧管理等行业评价标准中，也对医院信息安全的标准做出了界定。

具体到每一家医院，需认清有哪些安全风险以及用什么方式进行管控。医院智慧服务数据全生命周期安全保障体系中涉及到的终端数据、数据传输、数据交换、数据应用、数据存储、数据管理等各个环节，都会面临着安全风险。

医院和封闭式的管理机构不同，属于半开放机构。医院的终端呈现出以下特点：数量多，管理复杂；分布分散，维护困难；环境复杂，安全服务保障；使用不可控，数据易泄露；人员复杂，内部威胁不可知。因此，需确保合适的人在合适的地点、合适的时间规范使用网络资源，同时确保每台终端安全可靠，全面管控各个终端以防引入安全风险。

随着医院信息化的发展进程加快，系统与系统之间、检测设备与系统之间、系统与终端之间，以及医院与三方合作机构之间存在大量的数据传输交互，而不安全的数据传输极易导致传输数据被窃取、篡改、销毁等，存在极大的安全风险。缺乏对跨安全域、内外网、系统的数据传输安全，无法保证数据传输过程中的机密性、完整性和可用性防护。

医院数据交换环节主要存在以下安全风险：缺乏对敏感信息和个人隐私的数据保护；缺乏对原始数据的保护，特别是应用系统数据交换；缺乏数据交换脱敏系统，无法提供事后审计功能，对数据提取、人员操作、平台规则维护进行审计。

在数据应用环节，需认清网站不等于WEB应用，防止信息泄露、网页篡改和植入后门。

数据存储环节面临的信息安全威胁之一是医疗系统或设备存在安全漏洞，可能被入侵或破坏。

在数据管理环节，随着医院内网络应用规模和复杂度的不断提高，网络中传输的数据量急剧上升，网络攻防对抗日趋激烈，医院内部新的安全问题开始显现。

要想确保医院网络安全，需制定安全规划体系，主要包括以下内容：技术体系，涉及访问控制、完整性保护、系统和通信保护、物理与环境保护、检测与响应、备份与恢复等一系列技术方案；运维体系，包含流程和规范、日常维护、风险评估、行为管理、应急处置等；管理体系，包括组织机构、规章制度、人员安全、安全培训等。其中，数据安全是信息安全体系的一个方面。

安全规划要有思路，提供以下六种思路供参考：业务需求，主要与医院的业务特点结合，了解业务模式和发展方向，同步规划、同步建设，主要包括互联网服务、AI、科研多中心等；合规需求，医院安全需遵循国家等级保护规定、参照相关国家标准，合法合规使用数据；威胁识别，充分识别内部隐患和外部威胁，持续追踪最新安全态势；风险评估，了解安全事件所产生的后果，针对重大风险做出有效控制计划；安全治理，明确治理目标、责任人、技术路线和时间节点；动态改进和管理，追踪溯源，持续改进。

数据流动中安全性薄弱，应该明确的是传输及交互的原则与标准、数据提取及分析中有哪些敏感数据，避开不予提取。在数据展示中，需界定哪些是患者隐私不能披露，明晰数据应用是否需征得患者的授权等。在安全规划过程中，需分清数据资产性质，划分不同风险级别，给出相应对策（分层、分级、分域），关注新应用、医疗设备、物联网接入。同时，防止数据被篡改和删除，做好应急恢复和容灾备份。

在进行安全规划时，需特点注意以下几点：清晰地整理医院暴漏在互联网上的信息资产情况，及时规避风险；做好整体边界和内部敏感区域的防护，防止未授权的访问行为发生；做好数据管理；定期开展医院漏洞扫描和风险评估；安全合规是底线，标准的等级保护、密码应用、信息安全管理不能忽视；采取零信任原则，不自动信任何内部/外部的人、事、物。

在实践中，安全规划最重要的是营造安全管控大环境，需明确的是数据安全是全局性的，需要的是整体安全能力的提升。回归到医院端，需要从以下方面做好数据安全管理：在管理方面，做好制度修订、流程修订、规范修订，增加一项新业务的同时进行安全评估和安全加固，持续开展安全培训；在技术方面，摸清数据资产、明确患者隐私保护内容、必要的知情同意、自身安全加固、信息交换审批与留痕、建立可追溯机制；在合规方面，互联网医疗需达到等保三级，合规是手段，不是目的，应针对自身业务特点进行安全细化；在实际操作中，要做好应用安全、交互安全、访问控制。

同时，医疗数据安全保护过程中要做好资产分类，明确边界，进行风险评估，加强资产的全生命周期管理；保障系统存储安全，做好数据备份与恢复；制定合适的防护安全策略，持续提升技术保障能力；建立数据管理委员会，充分讨论安全、伦理，加强监管；对数据进行脱敏处理，进行知情告知，整个过程留痕追溯。

点击此处可查看于雪梅处长演讲回放