王 磊 郭旭升 王颖晶

(同济大学附属同济医院计算机中心 上海 200065)



医院数据泄密对策研究

王 磊 郭旭升 王颖晶

(同济大学附属同济医院计算机中心 上海 200065)

回顾国内外数据泄密案例和最新计算机技术发展动态，分析数据泄露防护的误区和难点，对医院数据泄密防护体系进行设计与建设，指出探测到数据泄密是所有防护工作的基础和前提，核心数据角色权限要相互制衡，泄密保护中最为核心的因素始终是“人”。

医院；数据泄密防护；信息安全

1 引言

随着信息化的不断发展，信息技术已经融入人类生活的方方面面，互联网的广泛应用，使得数据泄密的风险越来越大。根据Check Point软件技术有限公司与波耐蒙研究所(Ponemon Institute)2011年《了解21世纪IT环境的安全复杂性》的全球调研报告，2010年有77%的机构都曾遭遇不同程度的数据丢失、损毁、泄露[1]。在医疗领域，近年来随着医疗体制改革的深入，国内医院信息化建设飞速发展，医院信息化程度不断提高，几乎与诊疗相关的数据都已电子文档化，而与之伴随的医院数据泄密风险也因此被进一步放大。

相对发达国家，我国的隐私保护意识存在缺陷，医疗保险制度也有较大的差别，但可以肯定的是医院信息化的趋势，让患者更加担心自身的诊疗信息泄密，同时医院也被要求承担起越来越多的数据保护职责。2012年美国发生犹他州78万人医疗数据泄密事件，近期国内屡屡曝光的产品推销、统方事件，却进一步暴露医院在数据泄漏防护方面所面临的迫切形势以及严峻挑战。

2 数据防护的难点和重点

2.1 难点：正确认识数据价值

医疗行业的海量数据主要来源于财务、影像、临床病案或业务类应用以及医学文献所产生的结构化和非结构化数据，而很多医院管理者包括医院领导层，对数据价值的重要性认识不够深刻。以往医院注重以财务、收费系统为主的医院信息系统建设，认为除处方数据以外的其他数据价值不高，使得数据挖掘的效果也无法让人满意。由于信息系统中数据源的匮乏和技术手段的制约，导致医院数据这座“金矿”一直无人重视。2009年起作为支撑深化医药卫生体制改革“四梁八柱”的八柱之一，临床信息化开启了跨越式的发展，信息系统数据源不断丰富，以病案为主的数据存储量也从原来的GB(吉字节)走向了TB(太字节)，而PB(拍字节)的时代也指日可待，同时伴随着大数据应用、云计算技术时代的到来，海量数据分析已不是梦想。数据对人们生活、工作与思维产生了变革。而大数据不注重精确性，注重混杂性、全体数据等特点也完全契合医院现有信息系统数据特点[2]。一份报告显示，医疗大数据的分析会为美国产生3 000亿美元的价值，减少8%的国家医疗保健支出。医院内数据的价值已经发生了翻天覆地的变化。

2.2 重点：培养专业技术人才

信息的价值决定了所面对黑客的能级[3]。通过近年来媒体报道和笔者调查，窃取医院各个科室的医药信息为目的的黑客群体已经形成。近日浙江省温州市就判决一起案件，一黑客团伙窃取省内多家医院统方数据，4年内非法获利700多万元。恰恰相反，医院长期重点关注的是信息系统如何实现功能应用，无论是系统承建商还是医院信息管理部门，对医院信息系统内部庞杂的结构存在了解不深刻、不全面及缺乏反黑客的专业培训[4]等情况。此外，很多安全防范技术措施因改动升级信息系统会产生一定的风险；安全措施往往由上而下推行，导致增加管理部门和使用部门的额外工作量；医院没有建立数据安全的量化考核等。综合以上因素，医院信息部门既无能力也无动力去切实履行防护工作。在这种局面下，数据防护很可能只能流于形式。

3 数据泄密防护体系构建

3.1 整体框架

当前，数据防泄露是信息安全的主要问题。基于不同的法律环境、文化理念和网络环境，国内外数据泄露防护体系要解决的具体问题是不同的，国外数据泄漏防护以防外部窃密和内部无意泄密为主，国内以防止内部故意泄密为主，兼防内部无意泄密和外部窃密。因此，国内数据泄漏防护强调的是主动防御，通过事前主动防御、事中及时控制、事后及时追踪，以审计为手段，以加密技术为核心，结合多种信息安全技术，建立完善的数据泄漏防护方案。医院建设的数据泄密防护体系，是防止该医院内部的敏感数据或信息资产以违反安全策略规定的途径流出的策略集合，其中包括所需的安全设备、管理制度、业务流程、技术等。目前往往是采取单一防泄密策略，如反统方软件和网络安全防护设备等；但实践证明，只有顶层设计和建设完整的数据泄密防护体系，将各种防泄密策略有机整合才能最大限度防范信息泄漏。例如利用身份认证和访问控制技术，做到事前防护；通过对数据使用、传输、存储的全生命过程进行加密和权限管理，做到事中防护；同时必须建立全过程的日志审计和持续改进行政管理手段，做到事后防护。3者紧密联合、相互联动，从而实现医院数据防泄密完整保护。整体框架，见图1。

图1 数据泄密防护体系

3.2 防护工作的前提是快速准确地发现数据泄密

如果对数据的产生、传输、存储的过程都浑然不知，那么防护无从谈起。长期以来，医院信息化建设注重功能性的需求远胜于安全性。医院内部各类信息子系统林立，网络安全边界错综复杂，敏感信息散落在众多系统之中，给数据泄密提供了诸多便利。数据泄密的途径可以总结为以下两种：(1)内部泄密——接触敏感数据人员无意泄密或利用职务便利故意窃取数据，例如病案管理人员泄密患者隐私、科研药房工作人员泄密统方数据、产科医务人员泄密新生儿数据等。(2)外部泄密——通过技术手段破解、窃取、监听，获得敏感数据，例如破解数据库账户、登录数据库窃取敏感数据或者运用网络监听工具窃取数据包内容等手段。

在此局面下，单凭任何一个子系统承建商或者单一技术手段都无力为医院制订具有可操作性的数据安全解决方案，因此，一个全方位数据库防泄漏系统，需要对数据进行全周期的管理和防范[5]。目前，能有效探测到数据泄密痕迹的工具是数据泄密防护系统，但是从该类解决方案的局限性来看，医院信息环境的复杂性和实时性致使其在实际使用中效果大打折扣。一方面，目前国内尚无成熟案例，医院信息部门缺乏这方面的技术人员；另一方面，医院信息系统组成复杂，同时存在结构化、非结构化和半结构化的多样数据类型，这也使得单一目的性的产品或者方案既无法防护所有类型，又大大增加黑客侵入的目标性。针对以上问题，可以利用数据泄密防护系统重点加强身份认证和访问控制的功能。以一个“观察者”的身份在尽可能减少对医务工作影响的情况下，记录操作日志；收集一定周期内，例如一个季度的行为日志，通过软件系统厂商和医院信息部门逐一甄别，确定操作行为的合规性；在此基础上进而建立识别规则库，对于不属于该识别规则库行为系统要给予报警，或对涉密数据进行加密，由医院专职人员在软件系统厂商技术人员协助下学习鉴别和规则建立，培养技术能力。

3.3 三权分立的信息系统角色

采用分权的管理策略，医院涉及敏感数据的核心角色主要包括数据库管理员、报表统计员和审计员。 数据库管理员负责管理和维护数据库服务器，做日常监控和备份工作，使数据库正常运行。报表统计员承担信息系统敏感报表统计分析工作，从事病案管理、高值耗材、药品消耗量报表的制作、分析等事宜。审计员包括系统操作日志审计员、安全系统管理员和数据泄密防护系统管理员等。数据库管理员对数据库有最高的访问权限；通过加密技术等手段，使此权限能查阅的数据显示为乱码，无法直接使用；数据库操作记录日志由审计员进行审核。报表统计人员在授权情况下可以看到敏感数据，审计人员负责监督数据库管理员和报表统计员的所有操作行为，但无权限查看、查询数据库的数据。这3个岗位应由不同人员担任，形成权力监督机制。一些医院为了节约人力成本，往往让一个人兼任这3个岗位或部分系统只有报表统计员无审计员，这在制度上存在严重缺陷，信息部门核心角色一旦失去监督威慑，为内部人员参与泄密埋下隐患。

3.4 人是泄密防护最核心的因素

医院业务的复杂性，使其成为最复杂的管理系统之一。参与其中的公司及人员众多，其数据安全水平和安全意识参差不齐，这就要求医院信息部门人员要对数据安全边界的变化以及防控体系的变更做到了如指掌。各医院对电子病历应用的开展，进一步通过信息化手段支撑了医疗体制改革，方便了患者，但同时也大大增加了数据泄密的风险和机会。根据美国计算机安全研究所(CSI)2010年关于内部泄密和外部泄密的调查结果，内部人参与泄密比例高达85%[6]。原有以关键人员为主导的责任制行政管理手段已完全不适用，取而代之是全体医务人员共同培养数据防护意识。因此，必须建立以信息部门为主、全院参与的行政管理系统，将数据防护有关制度作为管理制度核心之一。调动信息部门的主观能动性，着重培养信息安全方面的技术和管理人才，加强精细化管理考核手段，将数据安全责任落实到每一个从业人员，重视全体从业人员的数据安全观[7]。否则购置再多的技术工具，也只能是华而不实的摆设。

3.5 建设成效

某三级甲等医院对数据泄密防护体系进行了近两年的设计与建设，达到了对医院核心信息系统中的处方用药信息、病案隐私信息等重要数据的全周期防泄漏防护，从而在由第3方权威测评机构基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)第3级安全保护能力测评中，医院核心业务系统项目符合率高达84.6%，在其同市比较中名列前茅，并且达到国家卫生计生委《医院信息互联互通标准化成熟度测评》4级对信息安全的要求。

4 结语

随着医疗改革继续深入，医院信息化程度不断提升，人民群众隐私保护意识持续提高，在大数据应用、云技术、物联网、移动浪潮等技术概念支撑下及各种利益的驱使下，诊疗信息的泄密风险大大增加[8]。从国外调查数据以及国内曝光案例可以预计，医院和政府主管部门将面临防止诊疗信息泄密的长期挑战。因此在某种意义上，单单依靠个人、医院信息部门或某几项技术无法应对如此错综复杂的形势，必须设计与建立数据泄密防护体系，通过制度建设来保障安全工作的持续性、科学性和有效性。在做好数据防护的同时，也应做好数据的清洗、整合、分析，挖掘数据的潜在价值，使其发挥更大的作用，为患者的诊疗、科研实验、绩效管理、便民服务各方面提供支持[9]。

未来医联体、居民电子健康档案等区域医疗信息共享建设的不断完整和准确，在极大地方便患者、提升群众生活质量的同时也将成为新的数据泄密隐患，而且因为区域性优势其数据价值也成倍增

加，如何制定覆盖全卫生系统的数据防泄密体系的国家标准将成为未来必须面对的课题。同时为了合理利用诊疗数据，规范医疗机构的数据分析行为，需要建立更有针对性的测评标准、行业规范和立法来加以保障。随着互联网+时代的到来，需思考如何应对互联网和移动应用对医院信息系统的渗透[10]，原有医院内外网物理隔离的架构将面临颠覆性的改变[11]，更多的诊疗数据会通过互联网、无线网络传输，而目前还缺乏相对应的防止数据泄密的技术和经验。

1 Check Point软件技术有限公司与波耐蒙研究所.了解21世纪IT环境的安全复杂性[Z].2011.

2 Viktor Mayer-Sch·nberge,Kenneth Cukier. 大数据时代[M]. 杭州：浙江人民出版社,2013.

3 David Litchfield,Chris Anley. 数据库黑客大曝光[M].北京：清华大学出版社,2006.

4 Michael Howard,Davis LeBlanc,John Viega. 一个都不能有——软件的19个致命安全漏洞[M].北京：清华大学出版社, 2006.

5 汪家兴,乔喆,陈希,等.构筑立体化数据防泄密体系[J].电信工程技术与标准化, 2011,(10)：33-37.

6 孟鑫东.数据防泄密发展趋势[J].保密科学技术，2012,(5)：54-57，68.

7 叶萍.医院信息化建设风险与数据安全管理[J].医学信息学杂志，2010,31(6)：21-23.

8 王晓丹.当前医疗信息化存在的问题及对策研究[J].医学信息学杂志，2011,32(1)：44-47.

9 魏文浩. HIS安全维护技术的原理和应用[J].医学信息学杂志，2010,31(3)：18-20.

10 刘芙蓉.医院信息化建设之数据安全策略[J].医学信息学杂志，2010,31(11)：31-33.

11 胡芳,沈绍武.医院信息系统体系架构构建研究[J].医学信息学杂志，2012,33(11)：16-21.

Research on Countermeasures of Hospital Data Leakage

WANGLei，GUOXu-sheng，WANGYing-jing,

ComputerCenterofShanghai，TongjiHospitalAffiliatedtoTongjiUniversity,Shanghai200065,China

The paper overviews domestic and foreign data leakage cases and the latest computer technology development trends, analyzes the misunderstandings and difficulties of data leakage protection, design and constructs data leakage protection system, points out detecting data leakage is the basis and premise of protection work,the permissions of the core data roles should reinforce checks and balances, the most core factor in protection work is “the person”.

Hospital; Data leakage protection; Information safety

2014-09-12

王磊，技术员，发表论文4篇;通讯作者：郭旭升。

R-058

A 〔DOI〕10.3969/j.issn.1673-6036.2015.04.008