隨著醫療信息化進程的不斷加速和網絡安全等級保護2.0制度（等保2.0）的施行，醫療數據安全這一領域也步入了新時代。醫療數據中包含了大量的個人隱私重要信息，一旦泄露將可能造成嚴重后果，醫療機構信息系統由于安全防護通常不健全，極其容易成為黑客的入侵目標，醫療數據安全保護迫在眉睫。傳統的數據安全策略已經逐漸不能滿足醫療機構對數據安全日益增長的需要，專業的醫療數據安全解決方案提供商正迎來春天。

作者 | 付海天、樊曉芳

一

醫療數據安全概覽

1.醫療數據安全類型

訪問安全：由于多源數據的大量匯聚、用戶角色眾多且需求多樣，增加了訪問控制策略制定及授權管理的難度，過度授權和授權不足現象嚴重。

使用安全：由于缺乏有效的手段對個人數據去標簽化，醫療數據在使用過程中容易發生數據泄漏、數據篡改、誤操作等風險，特別是跨區域、跨部門傳輸過程中，使用安全問題更加嚴重。

運維安全：運維人員的權限相對較大，運維人員可直接對醫療信息系統進行操作，涉及的數據量較大時，數據的安全通常難以保障。

2.醫療信息系統安全性要求

高精確性：醫療信息系統關系到患者的生命健康安全和醫療機構的穩定運作，其對信息系統的安全性、穩定性、實時性、精確性以及保密性等都有非常高的要求。

高訪問控制：醫療數據是執行病人醫療過程的重要記錄與依據，不允許非授權人閱覽、竊取甚至篡改電子病歷，對信息系統的可靠性、穩定性、安全性以及權限管理有著嚴格的要求。

高開放性：隨著醫療信息化日益發展，要求各個系統如醫院信息系統、病案信息系統以及體檢信息系統等能相互兼容，具有良好的可擴展性和靈活多變的接口設計。

二

醫療數據安全領域相關產業及市場概況

據前瞻產業研究院統計數據顯示，截止至2017年我國醫療信息化市場規模為448億元，同比增長17.59%，預測2019年我國醫療信息化市場規模將接近600億元，未來幾年，我國醫療信息化規模將持續增長，到2023年，我國醫療信息化規模有望突破1000億元。

等保2.0時代的醫療數據安全

2019年5月，網絡安全等級保護制度2.0相關標準正式發布，該標準在1.0的基礎上，實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋。在新標準下，醫療機構數據安全保護工作將有如下變化：

合理開展新業務系統及平臺的定級備案工作，加快院內已有信息系統等保建設步伐；

在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和安全態勢感知能力建設；

加強日常安全運維，引入可視化、統一運維等創新技術，讓安全管理和運維更簡單有效；

加強主動防御能力，完善醫院網絡安全建設短板，降低安全風險，提高信息系統健壯性；

適當選擇安全廠商提供的安全服務，彌補醫院專業安全技術人員缺失的問題。

醫療數據安全基本技術架構

三

醫療數據安全領域細分應用場景及代表機構

四

醫療數據安全代表數據智能技術應用產品/解決方案及應用案例

新疆CA——醫院電子病歷系統信息安全解決方案：基于數字簽名技術，新疆CA為醫院設計了一套無紙化安全解決方案，方案從“簽發數字證書與電子簽章”、“數字認證登錄”和“電子病歷可信處理”三個方面設計，保障電子病歷的合法性，對于患者/患者家屬這類群體，新疆CA為采集的患者手寫簽名進行防篡改處理，該解決方案還在醫院內網架設SSL安全認證網關與統一身份認證平臺，登錄應用系統時需通過SSL安全認證網關與統一身份認證平臺驗證數字證書的有效性。對于電子化的處方、病歷、檢驗檢查單等，該類數據需進行醫生的電子簽名和可信時間戳處理。對于紙質醫療文書，在打印相應的醫療文書時，采用二維碼生成函數將電子單據上的信息進行可信化處理，生成相應的二維碼圖片，同時配合專用掃描槍，隨時檢驗紙質單據上的二維碼圖片與電子文書的對應性。

昂楷科技——防統方系統：違規統方是醫藥代表事實定量賄賂的主要依據，醫院信息科、藥劑科、軟件開發商是提供統方的重要來源。該系統采用了信息安全防范技術，可事前主動防御、事中實時報警，安全阻斷、事后定位取證，對統方行為進行嚴密監控，滿足衛計委防統方的政策需求。該系統分為兩大平臺：基礎平臺和業務平臺。基礎平臺從系統底層來劃分，分別為系統硬件平臺、安全操作系統、深度報文檢測機制等，業務平臺從用戶操作來劃分，分別為系統配置、規則策略配置、審計管理等。昂楷防統方系統能對醫院網絡中的海量、無序的數據進行處理、分析，一旦出現違規統方事件，系統能夠審計到各種操作返回的結果，直觀地捕獲到何人、何時、何地操作了什么內容，操作結果是什么，并提供操作過程回放、審計、溯源等手段。秦皇島市第一醫院采用了面向對象的Caché數據庫，就防統方系統對Caché集成開發工具的審計，操作返回結果的審計等關鍵功能和常規功能的評比，最終昂楷防統方系統通過該項目的測試和試運行。

阿里云——醫療安全解決方案：該產品整合阿里云的大數據分析技術，聯合螞蟻金服旗下蟻盾在反欺詐領域的研究成果，可共同幫助醫療機構快速鑒別出“黃牛黨”，支付寶未來醫院已經開始落實和醫院在防黃牛方面的合作。此外，針對醫院對安全性的超高要求，醫療安全解決方案從網絡安全、服務器安全、數據安全和業務安全四個維度，保障醫療機構數據和系統的安全性，打造了包括Web應用防火墻、安騎士、先知計劃、反欺詐、證書服務、態勢感知等全方位的產品與服務，支持VPC專有網絡，醫療客戶可以在阿里云上搭建一個安全隔離、按需定制的網絡環境，采用分布式文件存儲架構，信息將被分割成許多數據片段分散加密存儲在不同的設備上，確保數據安全，提供全面的安全技術手段，助力阿里云上的醫療應用滿足等級保護三級的技術要求。目前，阿里云已與千余家直接的醫療機構成為合作伙伴，包括大型三甲醫院、藥企、院內醫療器械和醫療穿戴公司等。

美創科技——醫療行業數據安全整體解決方案：該產品基于醫療行業各類業務系統安全需求及特點，結合美創“零信任數據安全體系”，從外部威脅防御、內部風險控制、數據追責溯源、數據共享與交換安全以及業務連續性等層面，圍繞醫療業務系統敏感數據安全構建由內而外的縱深防御體系，滿足用戶在運維安全、數據脫敏、防統方等敏感數據安全方面的需求，保障系統的高可用。目前，蘇州某醫院已經將HIS、LIS、PACS等重要的業務系統，全部通過美創諾亞防勒索進行了整體防護，包括數據庫和辦公文件，并針對重點應用服務直接開啟美創諾亞防勒索的堡壘模式，從而主動防護已知和未知的勒索病毒，防范勒索病毒攻擊，確保信息系統的高可用和數據安全性。

五

醫療數據安全中的應用挑戰

1.醫療數據安全等級保護工作推進尚待時日，配套措施亟需跟上。

2.醫療行業信息系統版本迭代速度較慢，網絡安全風險較高。

3.醫療數據安全專業人才缺乏，信息系統安全防護水平相對較低。

4.醫療信息泄露事件高發，醫療數據加密算法有待加強。

5.數據管控制度完善相對滯后，有待進一步研究發展。

六

醫療數據安全智能化發展趨勢

1.數據安全問題日益嚴峻，安全防御技術思路從被動轉變為主動。

2.區塊鏈技術應用于醫療數據安全保護，實現信息防篡改可追溯。

3.醫療數據云存儲不斷普及，數據云防護成為新方向。

4.醫療數據防護需求增長，專業醫療數據安全解決方案受到青睞。

5.電子簽名技術持續發展，醫療數據讀寫權限控制機制不斷完善。來源：澎湃新聞·澎湃號·湃客