2021年南湖HIT论坛 ｜ 安恒信息林明峰：“CAPE”助力医院强化数据安全红线意识

来源：HIT专家网      作者：姜浩 根据录音整理

2021年是数据安全的“法治大年”，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等重磅法律的相继出台，为医院带来了前所未有的信息安全与合规监管压力。

“医疗数据安全保护工作的重要性不言而喻，对于存储、处理重要数据甚至国家核心数据的医疗机构而言，更需对数据安全保持红线意识，并体系化构建数据安全保护能力。”2021年12月4日，在由HIT专家网主办的2021年南湖HIT论坛上，杭州安恒信息技术股份有限公司副总裁林明峰结合实际分析了医院当前所面临的数据安全挑战，同时分享了安恒信息的数据安全防护方法论及其实践方法。

医院数据处理面临诸多安全威胁

“互联互通大趋势导致医疗数据暴露面增加，数据复杂度增加导致治理难度增加，部分医院数据防护思路、手段落后已无法应对现有挑战。”林明峰表示，正是由于这些潜在原因，医院的数据处理面临诸多安全威胁。

首先，数据加密勒索问题。“勒索病毒的问题本质就是数据安全，其危害性取决于系统存储的数据价值。”林明峰列举出导致医院“中招”的三项主要原因：无法对勒索病毒的入侵前兆进行感知，从第一台感染主机到全网爆发需要一段时间，由于缺乏全网主机监测手段，无法得知“0号病人”信息，错过黄金控制时间；依赖杀毒软件规则库，无法识别、处理未知的勒索病毒变种，只能任由其完成加密行为；安全防御机制无法统一协调工作，医院无法及时对全部主机上的杀毒软件配置检测任务，导致勒索病毒在局域网内大量扩散。

其次，系统间数据接口安全问题。在部分建设较早的HIS、EMR中，对外数据接口可达数十个甚至上百个，通过数据库视图、中间库或Webservice等方式对外发布数据。但无论哪种方式，大部分都缺乏较为有效的身份验证、细粒度的权限控制与数据流转监测手段，容易发生数据安全问题。

第三，第三方运维场景下的数据安全问题。包括：大量具有网络连接能力的设备，如大型医疗器械、物联网设备的运维工作没有被纳入安全保护体系中；运维人员身份识别与安全权限控制不到位，“拖库”“删库”的风险就会陡增；部分医院缺乏对远程运维端口的审批、控制与监测，数据远程窃取难度将大大降低。

第四，临床数据开放共享面临的安全问题。用于临床科研目的的数据对外共享对病理研究、医药研发均有着重要意义，也是医院普遍存在的数据使用场景。但在共享过程中，参与各方权责不清，安全共享环境缺失等问题十分突出。按照《个人信息保护法》《数据安全法》的相关要求，如何安全、合规地对含有个人信息甚至敏感个人信息的临床数据进行交换，是医院与参与数据共享各方必须关注的问题。

第五，院内数据调阅场景下的数据安全问题。在实际的数据调阅过程中，医生能正常访问哪些数据？跨科室会诊如何获取其他科室数据？如何确保相关操作是工作人员本人所为？是否存在弱口令？这些问题中都蕴含着数据安全风险。

最后，患者自助数据操作场景下的数据安全问题。由于患者设备及自助终端的安全状况参差不齐，终端漏洞、病毒可能大量存在，医院需考虑外部安全威胁隔离的问题；自助机系统、互联网业务系统本身的脆弱性会成为数据泄露的风险点，例如通过SQL注入可从外部进行“拖库”；患者账号间如果没有做好隔离工作，攻击者能够通过系统漏洞进行提权，获取他人数据。

以“CAPE”助力医院数据安全防护

面对上述安全威胁，医院需要建立一套行之有效的数据安全防控措施。为帮助医院从多个维度解决数据本身及调阅过程中存在的安全问题，安恒信息提出了“CAPE数据安全治理模型”。林明峰对治理模型中的四大环节，也即风险核查（Check）、数据梳理（Assort）、数据保护（Protect）、监测预警（Examine）进行了详细介绍，并在每个环节中给出了对应的实践方法。

在风险核查（Check）环节，首先要识别管理制度与数据环境中存在的风险。在此过程中，医院应梳理出数据使用的流程，明确每一个流程均有责任人操作规范与审计记录，由责任人列出这一流程面临的主要数据安全风险，充分论证安全管理制度是否覆盖到全部数据使用场景，以及在设计、制定、落实等各层面是否可能被绕开或“钻空子”。

其次，检查主机漏洞、数据接口漏洞、Web漏洞、配置基线、渗透抵抗等“危险因子”。通过漏洞扫描、渗透测试等技术手段，摸排数据使用场景内涉及的各个信息系统、网络、主机的安全情况。排查后，生成各个系统以及子系统的安全分数，为安全保护策略的制定提供依据。“需要注意，此步骤应关注系统间数据接口的漏洞，如有可能，可梳理所有与核心系统对接接口的安全状况。”

在数据梳理（Assort）环节，要摸清保护对象情况。林明峰表示，数据梳理可分两步走：识别与发现数据资产，通过扫描、监听、主动采集等各种技术手段，对数据库中的数据资产进行测绘，梳理出各个系统的数据总量、类型格式、内容主题、分布情况、访问情况等；标记数据敏感性与重要性，将数据中的敏感字段、重要字段、个人信息字段、敏感个人信息字段等以标签的方式进行标记。

最重要的是数据保护（Protect）环节，林明峰介绍了多种数据安全保护策略与措施：

完善数据安全管理制度。对已发现的制度问题进行总结，堵住漏洞，完善流程。

对信息系统进行安全加固。具体技术手段包括：修复漏洞、加固边界、清理弱口令、整合数据接口等。

在数据采集前告知患者并征求同意，落实《个人信息保护法》要求。当患者通过互联网、自助机进行门诊挂号、办理住院或在线诊疗时，可前置数据采集告知书，对数据采集范围、用途及个人权利等信息进行明示；在线问诊前涉及敏感个人信息采集时，要求点击同意；当患者现场办理门诊挂号或住院时，可在门诊挂号处树立显示屏或布告栏，对数据采集范围、用途及个人权利等信息进行明示并进行广播，安排工作人员对有疑问患者进行解答，并在医生问诊时设置征得同意环节。

实施数据调用权限管控，将零信任思路贯彻到数据访问管理体系中。林明峰建议：有条件的医院可建设“零信任”访问平台，通过对人员、设备的身份进行动态的、不间断的识别与验证，同时将人员、设备的环境安全纳入信任分值，并配合最小化的权限设计，从而大幅提升院内数据调阅场景的数据安全水平。同时，大型医院可在院内系统性建设统一安全管控平台，医生及其他院内人员使用各个系统时均通过此平台来进行统一登录，同时在平台上增加身份认证、角色设置、权限管理、行为审计等全流程安全保障措施。中小医院可在各个系统内对权限划分进行细化管理，并开启弱口令检测与口令定期更新策略。

对数据进行脱敏处理。数据脱敏可分为两种形式，静态脱敏适用于数据单向传输、一次性使用的场景，例如分诊系统叫号、信息系统测试环境搭建等；动态脱敏适用于数据频繁交互，且针对不同用户设置不同脱敏策略的场景，例如数据库运维等。

在互联网端使用数据加密手段保护数据。存储加密能够减少公有云数据遭“拖库〞后的不良影响，传输加密则能够保障在互联网等公开网络传输数据时的保密性与完整性，减少“窃听”“中间人攻击”等安全风险。

搭建数据安全共享环境。林明峰建议，医院可通过建设临床数据共享平台，利用沙箱同态加密、隐私计算甚至区块链技术，配合申请申批、权限控制、全流程申计、自动脱敏等机制，将复杂的数据对外共享场景管理起来。以此确保数据能够在平台内有序、安全、可追溯地计算与流动，实现原始数据的可用不可取、可用不可见。

最后是监测预警（Examine）环节，从用户行为视角识别数据安全风险。通过UEBA（User and Entity Behavior Analytics，用户与实体行为分析），包括遍历敏感数据库行为分析、用户数据高危操作分析、各种数据操作的访问规律、用户访问数据特征基线、新用户操作/访问用户基线、数据被访问失败率分析、终端异常登录行为分析等，识别潜在风险，自动生成安全基线。

“‘CAPE数据安全治理模型’是一套经历过千锤百炼的数据安全防护理论。”据林明峰介绍，安恒信息已在多家医院落地了临床数据中心数据安全建设、互联网医院数据安全建设、临床数据安全共享平台建设等项目。未来，安恒信息将持续打磨“CAPE数据安全治理模型”，帮助更多的医疗机构强化数据安全红线意识，筑牢数据安全底线思维。

【责任编辑：秦勉】