读者来稿 | 基于零信任的医院数据安全保障体系建设实践

来源：HIT专家网 作者：张勇 郭华伟

为应对新形势下的数据安全挑战，西安国际医学中心医院以《数据安全法》《个人信息保护法》为指引，遵循“以数据为中心”的设计原则，把数据作为抓手推进安全防护工作，探索基于零信任的医院数据安全保障体系建设，支撑医疗工作安全有序开展。

基于零信任的医院数据安全保障体系设计

医疗行业数据安全保障，面临着合规性建设、业务发展、医院管理等多方面需求。报告显示，医疗行业是唯一一个内部威胁高于外部威胁的行业，其中既有医护人员对患者隐私保护意识淡薄的原因，也包括部分可以接触到整个数据库的运维人员因操作不慎或监管不到位，造成敏感信息的泄露。因此医院应高度重视数据安全管理，通过健全管理机制，完善技术体系，形成贯穿全院的安全防护机制，为患者营造安全的就诊环境。

零信任安全理念于2010年被提出，其核心思想是“永不信任，持续验证”；2019年，工信部将“零信任安全”作为需要重点突破的关键技术；2020年，新冠肺炎疫情成为推动其发展的重要转折点：传统的VPN接入方式能满足医护及管理人员远程办公需求，但其“接入即可信”的做法，无法实现用户权限的精细化管理。如何在疫情期间通过远程方式快速恢复生产，并保持数据的访问安全和合规使用？基于此需求，正式推进了零信任安全技术在医疗行业的应用和落地。

西安国际医学中心医院按照“统一规划建设、全面立体防御、技术管理并重、保障安全运行”的基本思路，推进基于零信任安全理念的数据安全保障体系建设工作，形成了数据安全保障体系能力框架，如图1所示。

1.总体方针政策。医院数据安全保障体系建设首先应合法合规，参照《数据安全法》《个人信息保护法》和《信息安全技术 健康医疗数据安全指南》等进行数据安全保障体系的顶层规划和设计，使本次建设能够满足法律法规的要求。

2.安全管理机构。按照《数据安全法》以及国家卫生健康委《关于落实卫生健康行业网络信息与数据安全责任的通知》等法律法规要求，医院应建立数据安全管理机构。按照“谁主管、谁负责，谁使用、谁负责”的原则明确数据安全责任人，明确工作责任边界，健全考核机制，严格责任追究，确保安全责任全覆盖。

3.管理制度体系。制度体系建设是有效开展管理工作的基石，通过建设系统完备、科学规范、运行高效的制度体系支撑数据安全管理工作。

4.技术防护体系。以业务需求、合规需求和管理需求为出发点，结合业务梳理、策略规划、权限管控与安全防护提供医院全生命周期数据安全防护能力。

基于零信任的医院数据安全防护实践

根据上述能力框架，西安国际医学中心医院将零信任数据安全保障体系建设分为业务梳理、策略规划、权限管控、安全防护四个主要部分，如图2所示。

1.资产梳理。资产梳理是零信任数据安全保护体系实施的先决条件。通过对医院数据安全现状进行全面排查，全面梳理自建信息系统及厂商合作项目，明确数据资产清单、存储方式、存储内容、存放地点、访问边界，进行资产标识及敏感数据识别，将现有的医疗数据（包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等），通过分级分类，识别需要保护的核心医疗数据，明确保护范围。

2.策略规划。策略规划是零信任数据安全保护体系实施的关键动作。依据《数据安全法》，按照数据使用者的岗位、职务、工作范围等，确定其数据访问边界及管理权限，结合数据资产梳理及分级分类结果，根据不同的人员角色实现各项管控策略定义及下发，完成数据全生命周期保护策略。数据安全策略矩阵如图3所示。

3.权限管控。权限管控是零信任数据安全保护体系实施的落地环节。根据策略规划矩阵，对所有的数据访问行为基于身份、角色、时间、行为等因素进行集中式认证及授权，综合访问控制、审计、加密、脱敏等技术措施，实施精确到用户的字段级访问控制，实现对数据全生命周期的安全监管及防护，确保医疗数据在可控范围内流转。

4.安全防护。权限管控是零信任数据安全保护体系实施的成果展示。结合敏感数据加密、数据授权使用、权限动态控制功能，对数据库中的敏感信息字段进行密文存储，杜绝加密防护能力不足问题，数据仅对授权用户开放授权，防止因物理介质更换、数据库账号泄露、黑客攻击等造成数据泄密；集中式认证及授权中心对访问进行验证授权，数据库防火墙进行数据级别的访问控制，并通过数据库审计提供事中全程监控及事后追溯能力，形成一体化的数据安全防护能力，满足医疗数据合规性防护要求。

项目实施难点

西安国际医学中心医院在网络安全领域建设相对完善，此前在数据安全建设方面大多以部署单一产品的方式来满足合规需求，在本次数据安全保障体系建设过程中，我们遇到了如下难点：

1.员工安全意识弱。医院的信息系统包含了大量的患者个人隐私和医疗数据，部分员工数据安全意识薄弱，对患者数据敏感性、个人信息隐私合规等缺乏足够的认识，存在不当泄露患者隐私的风险。

2.涉及多部门协作。医院的数据安全建设和运营工作涉及信息管理、临床、医技、教学、后勤、运营、财务、法务等诸多部门。不同部门的数据需求不同，部分场景需要多部门协同参与，可能会导致数据管理职责不清、安全责任难明确的问题。

3.数据资产识别难。数据安全体系建设的首要任务是对数据资产进行识别。医疗数据具有数据类型多样、数据内容敏感、数据规模庞大的特点，这些因素给数据安全建设带来很大挑战。

4.数据资产管控难。数据安全的全生命周期包括数据产生、传输、存储、使用、委托处理、共享、交换、披露和销毁等环节，几乎涉及医院所有科室，其中每个环节都有可能面临安全风险，安全管理难度大。

5.相关法律法规有待完善。近年来，国家针对数据安全和个人隐私保护方面陆续出台相关法律要求，但部分法律法规颗粒度较为粗糙，缺乏医疗行业的落地合规基准，不利于医疗机构数据安全建设工作的开展。

以上问题还有待在实践中进一步探索，也期待能与更多业界同仁就“基于零信任的医院数据安全保障体系建设”展开讨论。

【作者简介】

张勇，男，高级工程师，长期从事信息化基础设施规划设计及运营管理工作，现任西安国际医学投资股份有限公司信息管理部基础架构中心主管。

郭华伟，男，长期负责医院信息化工作，对集团医院信息化顶层设计和信息化管理有深入研究，现任西安国际医学投资股份有限公司信息管理部副总经理。

【责任编辑：陈曦 版式：明超】