一 背景

　　近年來，數據安全成為國家社會發展面臨的重要議題，在十四五規劃下，《數據安全法》《個人信息保護法》《醫療衛生機構網絡安全管理辦法》等法律法規也陸續出臺，從國家層面制度法規明確提出了衛生健康主管部門承擔本行業、本領域數據安全監管職責。完善醫療衛生行業相關數據安全指標體系和評價機制，加強人員培訓、新技術適配與管理制度落地，確保所涉及的各類醫療健康數據遵循法律規定，符合數據全生命周期安全管理要求，讓醫療健康數據全流程可感知、可管控、可溯源已是迫在眉睫。

　　隨著智慧醫療快速發展，網上掛號、在線問診、電子病歷、AI影像等移動醫療為我們帶來了諸多便利，沉淀了大量敏感數據的同時，也加劇了醫療數據泄漏風險。尤其是新冠疫情暴發以來，國家對全面健康醫療的重視，進一步促進了新業態的發展，醫療數據逐步實現互聯互通，數據的流動性也得到了空前的提高，同時醫療機構也在面臨著嚴峻的網絡安全挑戰。

二 安全現狀

　　1.勒索病毒攻擊日漸頻繁

　　據了解，自2016年勒索病毒開始在全球蔓延，到2017年WannaCry勒索事件，勒索病毒逐漸成為全球范圍內主流的網絡安全威脅。2021年5月，根據對全球30個國家/地區中型組織中的328名醫療機構的信息化部門負責人的調查結果顯示，2020年約有34%的醫療機構受到勒索軟件的攻擊。醫療數據中的患者信息高度個人化且敏感，具有很高的商業價值，這對黑客具有相當大的吸引力，黑客往往通過加密或泄漏這些數據來向醫療機構及患者個人進行雙重勒索。隨著醫療行業數字化程度不斷在提高，醫療行業數據安全防護能力卻普遍不足，導致醫療行業成為受勒索病毒威脅最為嚴重的行業之一。

　　2.個人信息泄漏頻發不止

　　在個人信息安全方面，中國信息通信研究院發布的《2020數字醫療：疫情防控期間網絡安全風險研究報告》顯示，受調查的醫療單位中近三成存在數據資產泄漏風險，有7080家單位使用存在公開漏洞的低版本組件服務，占全部觀測對象的44.39%。由此可以看出目前不少醫療機構的數據安全意識和保護措施還很薄弱，由于智慧醫院醫院及互聯互通的普及促使醫院內網數據走向公共互聯網，越來越多的醫療機構通過移動終端或互聯網提供醫療健康服務，但移動應用和業務系統數據安全保障機制不足，導致醫療機構的應用數據易受到黑客攻擊，從而引發醫療數據泄漏的安全事件頻發不止。

三 醫療數據安全治理痛點

　　信息化建設推進過程需要高度重視數據安全的建設，按數據能力成熟度模型進行建設，同時在數據安全生命周期各階段也需采取相應措施。

　　1.數據接口資產理不清

　　在數據安全治理實踐中首先面對的就是要知道治理對象“是誰”“有多少”的問題，由于醫療機構業務系統及數據接口資產的數量多而且增長快，導致很多醫院都不清楚自己擁有多少個數據接口，以及數據接口處于什么樣的狀態。在數據治理初期遇到業務系統歸屬部門多，與外部對接錯綜復雜，導致數據接口資產梳理極其困難的問題。在大量的數據接口未梳理的情況下，數據接口資產不清，安全責任就無法劃分實施，也就不能有效的對數據接口資產的生命安全周期進行管理。

　　2.數據接口安全業務狀況不明確

　　智慧醫院必然擁有著數量眾多的在線業務系統，而在實際的業務系統中，數據接口是獲得各種高價值服務和敏感數據的重要途徑。有些數據接口的流量雖然很低，卻是業務的核心部分，并且這些類型的數據接口很可能攜帶著敏感數據，但是相關從業人員卻不能及時有效的監測數據傳輸過程中的安全風險，不清楚業務系統數據接口是否應該攜帶這些敏感數據，其數據處理方式是否合法以及涉敏數據是否被惡意使用。

　　3.數據接口安全暴露面廣，被攻擊風險大

　　隨著醫療行業云化的不斷推進，醫療機構數據接口需要整合大量系統來實現業務彼此之間的交互，越來越多的個人數據以及敏感數據將存儲在云上、使用在云上，根據智慧醫院建設標準，需要實現互聯互通，這也意味著更多的數據接口將暴露到互聯網中，相對于傳統數據中心的單點調用，東西向和南北向都可能成為數據接口的攻擊面。另外，研發人員常常會因為測試需要、啟用第三方開發人員訪問以及為合作伙伴演示等不經意原因向外部公開數據接口，其中不安全的數據接口會持續擴大應用程序攻擊面，讓黑客更容易進行偵察、收集配置信息以及策劃網絡攻擊。

　　4.傳統安全防御部分失效

　　回過頭來我們再看傳統意義上安全工具，如傳統防火墻以及Web應用防火墻 (WAF)缺乏針對數據接口脆弱性的有效治理方法，目前均不能對業務系統數據接口風險進行準確感知和防御。傳統安全防御工具實現方式是基于已知特征和規則進行風險審計，在這種技術路徑下的缺陷在于行為特征規則越復雜，規則的可依賴性就越低。由于業務的不確定性和持續迭代特點，會讓行為特征本身的可依賴性降低，這使得無法直接判定風險，且會產生較高的誤判率。

四 解決思路

　　面對數據安全治理痛點及挑戰，需分別從管理制度和技術防護兩個層面進行治理。在技術防護層面，結合實際情況與業務流程、合規要求，可通過旁路獲取解析醫院網絡出入口動態鏡像流量，在不影響業務的前提下，無侵入地對網絡會話進行實時的管控。通過對內部數據進行自定義分類分級，劃分出“醫患敏感信息”等數據類型，有效檢測數據傳輸過程中的安全風險，識別敏感數據類型，監控并審計相關數據使用情況，并展示醫院相關數據接口信息，以“一個中心、四個引擎”的工作模式實現數據資產可視化、威脅事件監測、數據安全漏洞評估、敏感數據發現等引擎。在管理制度層面，建立數據安全治理專業團隊，常態化開展健康醫療數據安全攻防演練、應急演練。提升數據安全管理、技術、合規能力，加強醫護數據安全意識，實現健康醫療數據安全運營的可視、可控、可持續。

　　1.數據資產梳理

　　醫院信息系統中數據量巨大，數據關系復雜，需要與眾多機構進行數據交換，跨科室業務數據對接共享，跨單位數據對接共享以及開放給互聯網平臺等。只有掌握系統中數據的具體情況、流轉狀態，才能為數據安全治理打下基礎。

　　在數據接口安全治理過程中通過實現自動化識別、自定義數據標簽、手工注冊等多種方式導入本院的現有業務系統數據接口，最終形成醫院統一數據接口資產圖譜。對數據資產進行細致的梳理，使得我們能夠清晰地掌握數據資產存儲在哪里，敏感數據分布在哪里，有哪些類型的數據，這些數據哪些人有權限可操作。只有清楚的知道數據的使用情況和分布情況，才能知道需要實現怎樣的管控措施。

圖1 業務系統信息(應用總數，活躍應用數，應用被訪問熱度TOP10等)

圖2 信息系統敏感數據接口信息(敏感數據接口總數、占比信息，數據接口訪問熱度TOP10等)

　　2.數據分類分級

　　在數據資產梳理的基礎上還需要對醫院信息系統中的數據進行合理的分類分級，在數據接口安全治理實踐過程中利用數據識別探測引擎，構造了醫療行業數據分類分級規范以及目錄，完成了例如：個人健康醫療數據、支付及醫保數據等數據的分類，包括診斷結果、用藥信息、醫生用藥選擇、用戶支付記錄等信息，滿足安全合規要求，通過該實踐完成了對數據的分類分級指導，實現對不同類型和不同級別的數據的針對性管控措施。

圖3：數據接口中數據分類分級情況(數據接口中包含的敏感信息數量、敏感等級占比信息，敏感信息TOP10，敏感信息所在數據接口詳情等)

　　3.數據安全評估

　　建立安全特征庫與業務規則庫，對應用接口進行安全態勢監測，同時對在線業務與即將上線業務進行風險評估。基于網絡資產指紋在自身的設備漏洞庫中尋找相匹配的漏洞。除了第一時間補充互聯網上爆發的漏洞信息外，還包含了大量醫院內部安全人員發現的漏洞信息，例如大量的主機漏洞、網站漏洞、組件漏洞、組件、其他漏洞等各類型的漏洞，包括文件讀取、信息泄漏、遠程代碼執行、緩沖區溢出等。在授權的情況下對目標網站的應用和框架進行檢測分析，確認目標組件后，以組件為依據，從安全能力庫中尋找與該組件相匹配的PoC(漏洞驗證程序)并對目標應用進行無感知的威脅檢測。

圖4 安全評估任務掃描狀況

　　4.數據安全防護

　　目前數據安全防御性產品，多數采用串聯式部署，且存在一定的誤報率，這對智慧醫院追求時效性安全性帶來一定障礙，在數據防護方面可考慮采取以下措施：

　　(1)實時監測流量中的威脅攻擊;(2)用旁路流量分析技術，不影響正常業務運行;(3)對敏感數據訪問行為管控，防止非授權人員的數據濫用行為。

圖5：在實時流量中的威脅攻擊的捕獲情況(威脅攻擊的等級占比信息、威脅攻擊趨勢信息、威脅攻擊詳情等)

五 總結

　　通過對數據資產以及數據接口資產的梳理，規范了管理，實現了對業務層的資產信息進行精準識別和動態感知，讓資產清晰可見。基于醫院動態流量進行分析，實現了對醫院全域內業務系統審計日志展示、威脅行為告警，確保醫療數據的安全傳輸，降低信息化數據安全風險，有效保障智慧醫院信息安全一體化建設，顯著提高了醫院數據接口安全治理效率，滿足智慧醫院信息化的長遠發展要求。

　　在數據治理落地實踐過程中，遇到的問題具有一定的特性，大部分具有共性，因此具有一定的推廣示范的價值;此實踐思路可以幫助類似的醫療機構從業務層面對應用系統以及數據接口進行精準識別和動態感知，實現數據資產清晰可見;從數據傳輸層面實現數據的自定義分類分級，監控并識別數據傳輸過程中的敏感數據，實現數據的安全治理;及時發現各種威脅事件，并能夠提供深入詳細的入侵分析和響應手段，從而讓醫療機構精準有效地解決數據接口問題。通過安全評估引擎分析潛在安全漏洞，提前發現隱患。

　　數據治理是有效管理數據的重要舉措，是實現數字化轉型的必經之路，對提升醫療行業業務運營效率和數字化轉型具有重要意義，此次實踐有助于醫療行業把控數據接口資產態勢，提高數據傳輸管理效率。持續性風險監控，實現醫院數據傳輸風險可視化，對數據進行深度分析，通過對入侵時間快速定位取證，有效解決傳統防御手段的被動處境。醫院應建立持續的數據安全監測體系，讓醫院時刻掌控當前數據安全風險態勢，第一時間響應和解決數據安全高危風險行為，為數據流動保駕護航。

　　作者簡介

　　張雷，CHIMA常委，河北醫科大學第一醫院元氏院區院長。