鄭云硉 吳曉芬

(上海市同濟(jì)醫(yī)院信息處 上海 200065)

1 引言

為貫徹落實《關(guān)于加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)統(tǒng)方管理的規(guī)定》(國衛(wèi)糾發(fā)〔2014〕1號)、《關(guān)于印發(fā)醫(yī)療機(jī)構(gòu)工作人員廉潔從業(yè)九項準(zhǔn)則的通知》(國衛(wèi)醫(yī)發(fā)〔2021〕37號)要求，進(jìn)一步加強(qiáng)行風(fēng)建設(shè)，嚴(yán)禁不正當(dāng)商業(yè)目的統(tǒng)方。醫(yī)院防治非法統(tǒng)方行為手段不能局限于技術(shù)人員職業(yè)道德約束和簡單的平臺監(jiān)控，數(shù)據(jù)安全問題迫在眉睫。歸納總結(jié)原防統(tǒng)方系統(tǒng)的問題，優(yōu)化防統(tǒng)方體系，借助已有防統(tǒng)方系統(tǒng)，結(jié)合數(shù)據(jù)庫審計[1]、準(zhǔn)入系統(tǒng)、運維監(jiān)控平臺等安全設(shè)備，依照事前防范、事中控制、事后追溯的原則，建設(shè)全域管控、多層次安全防御體系，增強(qiáng)統(tǒng)方實時告警與事后溯源、分析、審計能力，加大醫(yī)院對非法統(tǒng)方行為的打擊力度，保護(hù)患者隱私。

2 原防統(tǒng)方系統(tǒng)方案的問題

2.1 模糊查詢難發(fā)現(xiàn)

測試過程中發(fā)現(xiàn)，系統(tǒng)對全庫/表查詢、下載等大批量、頻繁操作[2]這些常見的疑似統(tǒng)方行為，可以通過發(fā)送短信或頁面彈窗的形式報告給防統(tǒng)方管理員。但對于故意采用模糊查詢條件，查詢后再二次篩選或拼裝的行為，系統(tǒng)給出的風(fēng)險判斷等級較低，一般會被防統(tǒng)方管理員忽略，存在統(tǒng)方風(fēng)險。

2.2 追溯難

防統(tǒng)方系統(tǒng)支持及時保留統(tǒng)方操作痕跡，再現(xiàn)統(tǒng)方結(jié)果，形成防統(tǒng)方監(jiān)測報告，留存異常日志。由于多人共用一臺電腦，僅靠IP無法準(zhǔn)確定位，需借助攝像等操作，供事后追溯。

2.3 滯后性

原統(tǒng)方系統(tǒng)采用旁路鏡像的模式搭建[3]，其拓?fù)浣Y(jié)構(gòu)，見圖1。這種事后干預(yù)方式不會影響正常業(yè)務(wù)運行，但是響應(yīng)相對滯后，需要依靠防統(tǒng)方管理員及時追溯，從大量語句中篩選疑似語句。

圖1 防統(tǒng)方系統(tǒng)接入拓?fù)浣Y(jié)構(gòu)

3 全域管控防統(tǒng)方體系設(shè)計

目前醫(yī)院信息化建設(shè)發(fā)展迅速，各業(yè)務(wù)系統(tǒng)關(guān)聯(lián)性越來越復(fù)雜，核心數(shù)據(jù)泄密的隱患也越來越突出[4]，數(shù)據(jù)安全不能單單依靠一套系統(tǒng)，全域管控防統(tǒng)方體系是指防統(tǒng)方系統(tǒng)與數(shù)據(jù)庫審計、準(zhǔn)入系統(tǒng)、運維監(jiān)控平臺、網(wǎng)絡(luò)資源監(jiān)控平臺等安全設(shè)備及監(jiān)控平臺交叉合作，提升綜合管理效率，達(dá)到統(tǒng)方實時預(yù)警與事后溯源、及時定位、協(xié)助分析、結(jié)果驗證并舉的效果。

3.1 多維度、全方位、全范圍監(jiān)控阻攔

本方案體系主要從4大場景展開：數(shù)據(jù)安全威脅監(jiān)測場景、數(shù)據(jù)安全威脅處置場景、保障業(yè)務(wù)連續(xù)性場景、日常運維場景。結(jié)合醫(yī)院安全設(shè)備，形成多維度、全方位、全范圍的數(shù)據(jù)安全體系，交錯驗證終端準(zhǔn)入，上網(wǎng)行為管理設(shè)備限制可連接設(shè)備，結(jié)合網(wǎng)絡(luò)策略阻斷訪問。

3.1.1 數(shù)據(jù)安全威脅監(jiān)測場景 監(jiān)測維護(hù)人員的操作行為，詳細(xì)記錄其操作內(nèi)容，以保障重要數(shù)據(jù)安全為出發(fā)點，完整記錄、分析對關(guān)鍵數(shù)據(jù)的查詢、變更、刪除等操作，為統(tǒng)方行為的溯源提供助力[5-6]。

3.1.2 數(shù)據(jù)安全威脅處置場景 當(dāng)數(shù)據(jù)被大量復(fù)制，甚至范圍擴(kuò)展到整個數(shù)據(jù)庫時，會被資源監(jiān)控平臺記錄，即時觸發(fā)報警，工程師聯(lián)動桌面管理軟件智能阻斷數(shù)據(jù)訪問，通過桌面系統(tǒng)錄屏、鎖屏、阻斷等，極大提高了系統(tǒng)取證及控制能力。防統(tǒng)方系統(tǒng)、數(shù)據(jù)庫審計通過對醫(yī)院核心數(shù)據(jù)的實時監(jiān)控，使管理者能夠及時掌握數(shù)據(jù)的應(yīng)用情況，及時發(fā)現(xiàn)用戶的使用問題，糾正存在的安全隱患。

3.1.3 保障業(yè)務(wù)連續(xù)性場景 在醫(yī)院業(yè)務(wù)系統(tǒng)全方位打通、高強(qiáng)度融合的背景下，網(wǎng)絡(luò)安全已經(jīng)從以系統(tǒng)為中心逐漸轉(zhuǎn)向以數(shù)據(jù)為中心，傳統(tǒng)的基于清晰邊界隔離的圍欄式靜態(tài)安全保護(hù)方法已經(jīng)無法滿足數(shù)據(jù)流動下的動態(tài)安全防護(hù)體系化需求。基于全域管控防統(tǒng)方體系的準(zhǔn)入系統(tǒng)、防統(tǒng)方系統(tǒng)等安全設(shè)備，結(jié)合網(wǎng)管平臺、網(wǎng)絡(luò)資源監(jiān)控平臺，做到事中記錄、實時防護(hù)，保障業(yè)務(wù)連續(xù)性。

3.1.4 日常運維場景 日常運維管理中，對于涉及患者敏感信息的需求，由信息安全小組介入，以最小夠用原則評估業(yè)務(wù)的必要性[7]。對于借助數(shù)據(jù)平臺的項目，例如專病庫、科研管理平臺等，則配合脫敏系統(tǒng)對接數(shù)據(jù)，層層設(shè)置對應(yīng)的用戶權(quán)限[8]。當(dāng)下載數(shù)據(jù)用于科研項目時，由科研員提交OA申請，經(jīng)科主任、臨床研究中心管理員審核，待申請通過后，由管理員下載并保留操作痕跡，以備審查。對于需對接的系統(tǒng)，經(jīng)信息安全小組評估通過后，定期檢查數(shù)據(jù)平臺接入內(nèi)容，審查所有接口的調(diào)用記錄，及時清理舍棄的接口，減少數(shù)據(jù)泄露的可能，見圖2。多安全設(shè)備相互協(xié)作，輔助保障數(shù)據(jù)安全。多平臺驗證分析結(jié)果，形成閉環(huán)管理。

圖2 接口調(diào)用記錄

3.2 基于自學(xué)習(xí)的防統(tǒng)方系統(tǒng)算法

整合線性規(guī)劃、非線性規(guī)劃等算法，加上傳統(tǒng)的經(jīng)驗法，更快定位疑似行為，應(yīng)用獨特的業(yè)務(wù)活動分析技術(shù)，可以區(qū)分真正的攻擊與無害的用戶行為變化，特有的阻斷技術(shù)為數(shù)據(jù)提供實時保護(hù)，防止利用數(shù)據(jù)庫信息進(jìn)行“統(tǒng)方”、醫(yī)患數(shù)據(jù)外泄、擅自篡改醫(yī)院和患者信息數(shù)據(jù)等問題。系統(tǒng)采用加密傳輸機(jī)制，避免可能存在的嗅探行為，保證安全[3，9]。

系統(tǒng)內(nèi)置防統(tǒng)方知識庫，對于可疑篩選操作，定期進(jìn)行人工輔助識別，并將結(jié)果反饋給防統(tǒng)方系統(tǒng)，供其自動學(xué)習(xí)。經(jīng)過一段時間的學(xué)習(xí)，防統(tǒng)方結(jié)果會更加準(zhǔn)確。同時還設(shè)有實時更新的合理用藥、供應(yīng)鏈管理、耗材等知識庫。

3.3 基于移動端聯(lián)動處理

傳統(tǒng)架構(gòu)下的提醒功能通過平臺彈框和短信提示，隨著業(yè)務(wù)拓展，業(yè)務(wù)與數(shù)據(jù)量成倍增長，短信成本較高，且無法查看詳細(xì)可疑語句，倒查追溯困難。結(jié)合醫(yī)院自研的綜合平臺和釘釘平臺，可大幅減少運營成本，防統(tǒng)方管理員也能更精準(zhǔn)、便捷定位。借助綜合管理平臺定期分析敏感數(shù)據(jù)，防統(tǒng)方管理員可在平臺上分配分析任務(wù)，分析結(jié)果支持多人復(fù)核，在平臺上選擇審核部門進(jìn)行逐層上報。審核結(jié)果生成電子檔案，長期保留供下載或者打印存檔，也可解決紙質(zhì)檔案不易保存的問題。

4 應(yīng)用效果及社會效益

4.1 防止管理員權(quán)限濫用

管理員根據(jù)工作崗位需要，依據(jù)“最小化配置”原則配置權(quán)限。安全設(shè)備(如數(shù)據(jù)庫審計系統(tǒng))記錄所有用戶數(shù)據(jù)庫操作，審計員可以審計用戶行為，借助設(shè)備還原出原操作記錄，形成閉環(huán)管理。能夠提供多角度、可追溯的制度與響應(yīng)機(jī)制，防止管理員權(quán)限濫用。

4.2 降低維護(hù)人員竊取數(shù)據(jù)風(fēng)險

現(xiàn)有醫(yī)療業(yè)務(wù)系統(tǒng)依賴大量運維人員，運維人員可以直接接觸核心數(shù)據(jù)，且配有大部分系統(tǒng)的權(quán)限。對于運維人員，除了定期培訓(xùn)、明確網(wǎng)絡(luò)安全責(zé)任和簽署保密協(xié)議外，還要規(guī)范外部準(zhǔn)入行為，做好進(jìn)出身份核實、實名登記與背景審查、在運維專區(qū)設(shè)置攝像頭、配置專屬運維電腦等，達(dá)到數(shù)據(jù)“可以使用，無法帶走”的運維管理效果。

4.3 保護(hù)重要數(shù)據(jù)安全

保護(hù)患者數(shù)據(jù)安全是智慧醫(yī)療的生命線，要像對待醫(yī)療安全一樣對待網(wǎng)絡(luò)安全。作為非傳統(tǒng)安全的重要組成部分，網(wǎng)絡(luò)安全是穩(wěn)步推進(jìn)數(shù)字化轉(zhuǎn)型的前提和基礎(chǔ)。以保障患者的診療數(shù)據(jù)安全為目標(biāo)，事前防范、事中控制、事后追溯，完整記錄和分析對關(guān)鍵數(shù)據(jù)的變更，促進(jìn)行風(fēng)建設(shè)，提升醫(yī)院形象。

5 結(jié)語

構(gòu)建基于全域管控的防統(tǒng)方體系，能夠有效提升網(wǎng)絡(luò)管理、網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)庫防火墻防范和專用防統(tǒng)方系統(tǒng)等技術(shù)措施的效果；優(yōu)化原防統(tǒng)方系統(tǒng)算法，提高全域防統(tǒng)方能力；借助移動端綜合平臺、線上審核歸檔等功能，使行風(fēng)管理員工作更高效，為數(shù)據(jù)安全管理部門及紀(jì)檢部門提供了一種有效的執(zhí)法與監(jiān)控手段。