醫療行業數據安全行動規劃

　　我國網絡安全建設隨著等級保護的貫徹執行已經取得相關成效，但是在數據安全方面還存在較大問題。2021年先后發布和施行了多部關于數據安全的法律法規：《中華人民共和國數據安全法》自2021年9 月1日起施行，《中華人民共和國個人信息保護法》自2021年11月1日起施行。

　　“十四五”時期是全民健康信息化建設創新引領衛生健康事業高質量發展的重要機遇期，也是以數字化、網絡化、智能化轉型推動衛生健康工作實現質量變革、效率變革、動力變革的關鍵窗口期。

　　2022年11月7日，國家衛生健康委、國家中醫藥局、國家疾控局為貫徹落實黨中央、國務院的決策部署，統籌推動全民健康信息化建設，根據全民健康信息化工作面臨的新形勢新任務，堅持“統籌集約、共建共享，服務導向、業務驅動，開放融合、創新發展，規范有序、安全可控”的基本原則，以引領支撐衛生健康事業高質量發展為主題，編制印發《“十四五”全民健康信息化規劃》(國衛規劃發〔2022〕30號)，在網絡安全與數據安全方面提出主要任務和優先行動，關鍵內容分解如下：

　　夯實網絡與數據安全保障體系任務：

　　在醫療行業中特別是醫院要全面落實網絡安全和數據安全相關法規標準，特別是補充數據安全相關標準的落實。

　　醫療行業特別是綜合性醫院中存在大量的敏感醫療數據，在信息化建設上補充完善網絡安全和數據安全責任體系、管理制度和通報機制，完善數據安全管理制度。

　　基于醫療行業各單位二級或三級等級保護相關安全技術手段建設情況，增強網絡安全和數據安全應急響應能力，在出現風險事件特別是數據風險事件時具備追溯能力。

　　打造并增加適用的網絡安全與數據安全技術手段，提升網絡安全和數據安全管理能力。

　　數據安全能力提升優先行動：

　　醫療行業的數據保護從嚴格核心數據管控、加強重要數據保護、規范一般數據管理出發，分清業務數據的類型和等級，按等級進行管理。

　　醫療數據特別是大量的臨床研究數據，對跨區域流通的過程進行識別和管理，加強重要數據和個人信息出境安全評估、監測和檢查，及時發現安全隱患，防止數據違規出境。

　　補充醫療單位網絡安全監控體系，建設數據安全態勢感知平臺，豐富技術檢查監測手段。打通數據安全監控和網絡安全監控的壁壘，數據安全基于網絡安全管理，是有機結合的狀態。

　　使用相關技術手段對業務系統形成保護能力，做好個人信息安全保護，重點保護大規模個人信息和敏感個人信息。讓患者的隱私得到最大的保護，讓患者的數據在最小的范圍內進行受控訪問。

以醫院為代表的數據安全現狀

　　醫療行業關系社會民生，涉及大量個人隱私信息，而以醫院為主的機構信息安全防護水平有限，導致醫療衛生行業成為勒索病毒、數據泄密的重災區。中國信息通信研究院發布的《2020 數字醫療：疫情防控期間網絡安全風險研究報告》顯示，受調查的醫療單位中近三成存在數據資產泄露風險，有7080家單位使用存在公開漏洞的低版本組件服務，占全部觀測對象的 44.39%，數據泄露事件與勒索病毒攻擊事件成為醫療行業突出且迫切需要解決的問題。另外，從中國醫院協會信息專業委員會(CHIMA)發布的《2019-2020年度中國醫院信息化狀況調查報告》中可以看到在1017家醫院單位的信息化應用軟件上，產品標準依從性差(58.51%)，產品功能落后(40.81%)，產品穩定性不夠、運行風險較大(34.41%)，產品采用的技術已經過時、跟不上技術發展(30.09%)，不存在問題的僅占2.26%，能夠看出醫院信息化系統建設內容以業務為中心，應用軟件在安全保護方面的功能設計較少，為數據安全事件的發生提供了“條件”。

　　以典型的就醫過程為參考，一般患者就醫到門診登記，系統錄入個人身份信息，重癥患者辦理住院，各類信息錄入到電子病歷系統。這些數據具備高敏感性以及醫學價值等特性，醫療數據從采集到交換使用面臨著諸多的數據安全風險，這些風險主要是數據違規交換風險、未知數據泄露風險、業務連續性風險以及數據庫脆弱性風險等。

　　(一)數據濫用

　　醫療數據隨著網絡和應用互聯互通，在遠程醫療、臨床研究、器械維護、商保等醫療等應用場景中數據交換頻繁，涉及多類數據和大量角色和人員。院方技術人員無法有效的監測數據資產流轉過程，無法有效地識別數據交互活動參與人員的異常行為。

　　(二)數據泄露

　　醫院有較多的專業醫療器械和配套軟件由國際公司或者其代理服務商提供，這些軟件、系統和器械在日常業務中采集并處理大量的醫療數據。設備因監控維護需要往往連接互聯網。技術人員無法識別設備與互聯網的通訊數據，可能出現數據外發、甚至未經審批出境。

　　(三)系統脆弱

　　三甲醫院一般擁有包括醫院信息系統(HIS)、實驗室信息管理系統(LIS)、醫學影像存檔與通信系統(PACS)等在內的超過一百套的醫療業務系統。在技術人員有限的情況下，以業務可用為首要目標，大部分數據庫無法及時更新或不能更新安全補丁，無法對訪問賬戶進行數據層面的控制，系統中存在較多的弱口令，上百套業務系統的API數據接口缺乏安全檢查，部分在線業務接口數據交互無安全驗證，這使得業務系統和業務數據庫安全風險很高。

醫院數據安全治理與建設探索

　　醫院數據安全風險除了常見的數據泄露、數據濫用，還可能存在數據篡改、違規傳輸、非法訪問、流量異常、其他數據暴露風險等。

　　出現數據泄露的原因可能是內部主觀行為，也可能因網絡黑客攻擊而導致。

　　出現數據濫用的原因可能是內部人員對數據超范圍、超用途、超時間使用。

　　出現數據非法訪問可能的原因是數據管理權限分配錯誤、內部攻擊或者外部黑客攻擊。

　　出現違規傳輸數據可能的原因是內部人員忽視了數據管理要求，未按照有關規定擅自跨網絡傳輸敏感數據。

　　出現數據篡改、流量異?？赡艿脑蚴蔷W絡攻擊或者病毒擴散，出現不受控的設備數據流量規模異常、流量內容異常。

　　以上場景的數據風險不論是內部還是外部因素，對于管理員來講目前只能夠通過已經實施的網絡安全系統來發現一些和網絡攻擊有關的告警，無法真正的弄清數據層面的交互情況，也就是面對溯源數據泄露、數據濫用等風險問題時涉及的具體數據是什么、數據量有多少、行為人是誰無能為力。

　　結合這種行業現狀，國家《“十四五”全民健康信息化規劃》以標準、制度、體系、機制為綱領，以管理能力、應急響應能力為目標，以規范數據、評估出境、檢查監測、保護信息為具體措施給出了明確的建設路線。醫院的數據安全保護和建設同網絡安全一樣需要在管理層面和技術層面雙管齊下并行規劃。

　　在技術上，常見的數據保護措施有備份、加密、脫敏、數據庫審計、數據防泄漏，這些技術在醫院中應用比較多的是備份和數據庫審計，隨著醫院各類業務系統國密改造的實施，有一部分業務數據會應用加密技術進行保護。這幾類數據保護技術能起到其特定的作用，但是當出現數據安全風險事件時依舊無法使管理員能夠看清出問題的數據和問題過程，本質原因是對數據和數據交互過程不能實現清晰的檢查和監測，即無法對各業務系統交互的數據、用戶賬戶、訪問權限實施清晰的活動過程溯源。如果有一套技術手段能夠像攝像頭一樣可以回放數據交互、回放數據活動風險，以上問題將迎刃而解。比如應用端與網絡的數據采集與集中分析，完成以數據為中心的所有交互用戶、設備、應用等四維關系畫像，可以呈現動態數據的流轉可視化。

　　在數據管理上，通常建立制度落實責任人，這種管理是比較籠統的。有一項關鍵的管理措施是要從數據層面落實核心數據、重要數據、一般數據的分級分類。分級分類大部分是靜態方式，即應用表格統計的方式將系統的數據進行分級分類規整。靜態規整不利于數據安全分析，所以需要從靜態規整方式轉變為動態實時數據分類管理。這種轉化是要用到技術手段可以從實時交互的數據中把數據和分級分類進行關聯結合來達到動態數據分級分類管理效果。

　　數據既有實時的分級分類，也有深度的數據和訪問關系全息畫像，分析和解決數據安全風險將變得有解，這是開展數據安全治理和落實數據保護措施的有效手段。

元溯“數據攝像頭”夯實數據安全管理

　　(一)感知醫院內部網絡與互聯網邊界交互流動的數據

　　對醫院內網網絡與互聯網邊界交互流轉的數據內容進行監測分析，實現流動數據的可視呈現，這可以使醫院數據的使用過程變得可見。

　　識別醫院網絡中承載數據交互的協議，主要識別：

　　對數據內容識別過程是分析人與數據的網絡活動，密切關注其中的數據流向流動，對其數據內容進行還原和進一步內容分析，依據關鍵數據內容對數據進行分類分級，從而把網絡中流轉數據和網絡活動的關鍵信息進行關聯并記錄下來，并以數據為中心關聯起所有和這個數據有關的人員交互，這樣可以為以后的數據安全事件溯源提供詳細的可視化分析能力。2-8層數據關聯分析如下：

　　(二)健康醫療數據分類分級標簽化管理

　　健康醫療數據分類分級在實操過程中可以參考《信息安全技術 健康醫療數據安全指南》GB/T 39725-2020標準對其業務數據按六個類別進行分類處理，具體分類為;個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛生資源數據、公共衛生數據。數據可以依據使用范圍按五個級別進行劃分，具體劃分為：第一級：完全公開使用;第二級：在較大范圍使用;第三級：在中等范圍使用;第四級：在較小范圍使用;第五級：在極小范圍使用。

　　基于醫院業務數據還原與數據內容識別能力，結合國家標準完成對醫療數據進行級別定義、類別定義、數據元素定義，建立數據的整體歸類識別策略，對數據實時掃描分析，按照業務系統、文件類型、內容匹配進行行業數據資產的管理。掃描過程可以基于內容掃描和數據特征掃描，實現準確的醫院數據分級分類管理：

　　識別和實現自動化流動數據的標簽化管理是一方面，另一方面建立以多維數據標簽為手段，以數據為中心的管理手段。實現以數據識別策略、數據內容、類型、相關關聯屬性來進行數據資產管理，實現以多種關鍵指標來輔助數據安全分析管理。醫院自動化分級分類數據標簽管理示例如下：

　　(三)敏感性數據傳輸監測，感知數據散播范圍，感知數據出境

　　根據健康醫療數據分類分級標簽化管理的一些要求，對多種敏感數據制定預警策略，這些數據可以是文檔類，表單類，API交互類，數據庫語言類等等，分析數據跨網流轉，特別是業務敏感數據信息流轉，從而為管理者解決敏感數據在網絡空間中分布和流動可視的問題。

　　對網絡中流轉的數據進行分析并把還原的數據按數據分類分級策略進行掃描、根據數據標簽決定數據的敏感性，進一步結合數據信息的網絡地址特征，展示這些敏感文件、可疑出網數據的傳輸動態，網絡流傳路徑。

　　對醫院數據出境活動進行監控和過程審計，依據數據分布、種類分布、地區分布、出境應用、出境用戶等對出境數據與出境交互的過程進行可視化展示。

　　在出境數據交互活動中，提取和聚合所有出境數據文件的文件名稱、類型、大小、數據級別、數據類別、活動、用戶數、設備數、應用數、最近活動時間等信息。這樣管理員對于一個數據違規出境行為事件可以實現清晰化的線條過程分析，這是網絡安全產品所不具備的技術能力，出網數據綜合監控如下圖：

　　(四)數據安全風險管理，感知越權訪問、數據泄露

　　流動數據的管控和風險管理是醫院網絡管理員最頭疼的問題，往往只能通過網絡手段來規范其數據流向，沒有手段可以真正的從數據層面看清這種流動。一種推薦的思路是在業務數據使用前，進行數據訪問的路徑規劃和規則保護。在數據使用中考慮進行安全行為監控和違規預警。在數據使用后，進行數據活動的留痕和審計。結合這種可回溯思路，我們解決了數據與人員、數據與設備、數據與業務系統的關系關聯分析，解決了數據深度關系分析，是誰(用戶)、在什么設備上、通過什么手段(協議及應用)、把數據信息從什么地方(源IP)、依什么身份(應用登錄ID)、送到了什么地方(目的IP)，使數據在復雜的交互過程中清晰化、線條化，簡化了數據安全事件追溯分析。

　　我們從數據、用戶、訪問可視的角度，識別數據交互中用戶、應用、業務敏感性、設備、IP 地址、時間、地點等關聯信息。識別特定文件、郵件、業務系統的用戶追蹤，位置追蹤，活動追蹤。追蹤特定文件、郵件、業務系統在網絡中的流轉路徑，每個路徑節點涉及到的用戶、地理位置，網絡活動過程，形成完整數據線條記錄。

　　我們從數據、用戶、設備和應用4個維度持續的進行數據行為挖掘，對用戶和實體行為分析，將從流量采集中提取的各個層面的信息進行2-7層面關系分析，識別和關聯業務ID，用戶實體信息，IP地址，MAC地址，主機名，應用類型，文件名稱、類型、HASH值，識別策略，關鍵字信息，形成“數據-用戶-設備-應用” 四維全息圖，達到數據溯源分析目標。

　　數據風險分析的過程是對數據安全事件溯源的過程，通過完整數據交互線條分析技術使管理員解決數據不易溯源的問題。讓管理員可以通過正文內容、數據類別、數據級別、識別策略、用戶數、設備數、應用數等多種數據分析維度實現數據風險管理。以數據為中心，以時間為線條的數據追溯過程如下：

　　(五)數據安全違規與風險事件的自動化響應和處置管理

　　數據安全事件往往很難主動被發現，所以出現數據安全違規或者泄露等風險事件時安全響應通常是滯后的，數據損失已經不可挽回。信息傳遞都是通過網絡進行的，出現風險事件時有效的阻止手段是立即實施網絡策略封堵，使其數據包無法進行傳輸。

　　從數據識別、數據分級分類、敏感數據活動監測、數據風險行為預警等維度可以為醫院建立起一套數據安全技術檢查監測手段，利用這種監測手段可以實現數據安全應急響應，把數據安全和網絡安全結合起來，在出現數據安全風險時通過網絡安全手段進行處置，即通過網絡安全策略管控實施封堵。幫助管理員實現數據安全預警管理到網絡安全處置管理的跨安全系統的管理，讓數據安全監測手段成為網絡安全保障體系的一部分，彌補數據安全能力的短板?；诿舾袛祿蛐袨榈母婢|發如下：

　　此時，醫院的管理員在應對數據活動中各種違規的行為，數據泄露、脫敏違規、數據濫用、違規流轉等風險時，實現了監測識別與告警，實現了網絡安全策略封堵管理，實現了數據安全最小化影響，實現了數據安全事件的完整溯源分析。

　　最后我們發現，用元溯“數據攝像頭”的技術手段實現了數據安全可視化管理，可以落實和完成《“十四五”全民健康信息化規劃》中關于網絡與數據安全方面提出主要任務和優先行動：實現增強網絡安全和數據安全應急響應能力;實現提升網絡安全和數據安全管理能力;實現嚴格核心數據管控，加強重要數據保護，規范一般數據管理;實現加強重要數據和個人信息出境安全評估、監測和檢查，及時發現安全隱患，防止數據違規出境;實現建設數據安全態勢感知，豐富技術檢查監測手段;實現做好個人信息安全保護，重點保護大規模個人信息和敏感個人信息。

　　(本文由安博通供稿)