基于典型应用场景的健康医疗大数据安全保障体系研究

郑忆 张书铭 赵梦莹

（昆明市智慧城市建设投资有限公司 云南省昆明市 650500）

1 概述

近年来，国家陆续出台多项政策加快建立区域性医疗健康信息平台，推动了健康医疗大数据的汇聚。健康医疗大数据是覆盖自然人的全生命周期，涉及到医疗和健康的与个人相关的数据的合集，涵盖了公民的基本信息，及身体、疾病信息，住所、医保、甚至财产等信息。健康医疗数据的来源多种多样，涉及的范围也非常广泛，涵盖医院诊疗、健康服务、保险、科研等，这些数据不仅关系到个人的隐私、经济发展，甚至关系到国家安全。数据汇聚越多，信息价值越大，同时安全性也越重要，保障健康医疗大数据的安全是开展各项应用的首要条件。

2 健康医疗大数据的风险分析

数据是信息的载体，信息则是数据呈现的有实际意义的内容。数据安全问题贯穿着数据的采集、传输、存储、管理、分析、发布、交易、使用、销毁/归档等全生命周期。健康医疗大数据的安全威胁和安全问题主要体现在：

2.1 外部攻击

目前，医疗行业信息泄露的主要驱动力是来自外部的攻击。数据安全在外部遭受的攻击主要表现为外部攻击者通过各种手段渗透到数据库中，将整个数据库的数据带走到黑市上交易，俗称“脱库”；还有就是通过勒索病毒渗透到内网中，将重要数据进行加密导致系统不能正常运行，从而达到向用户勒索钱财的目的。这两种攻击手法都造成不良的影响和严重的损失，甚至危害医疗安全和患者的生命。

2.2 内部泄露

经过业界的分析统计，数据安全20%的攻击来自于外部，而80%的数据泄露来自于内部，这对数据安全的防护造成了新的挑战。与外部攻击利用漏洞等恶意行为方式相比，内部的数据泄露往往更加隐蔽、更难发现。比如，运维人员在运维时将数据打包下载，操作人员在正常业务查询中高频查询泄露信息，开发和测试人员在开发测试中将接触到的数据带走等等，可以说是防不胜防，因为它是通过正常的途径发生的。

2.3 第三方防护不当造成隐患

医疗机构实施大数据项目，请第三方应用服务商挖掘分析数据，提高医院运营效果。在这里，医疗机构是数据生产者，它每天会产生成百上千的数据，但由于数据分析技术的壁垒，没有能力进行数据分析。而第三方应用服务商是数据消费者，它主要对数据生产者的数据进行分析，挖掘数据价值。这种情况下，存在个人信息的泄露、窃取、篡改、毁损、非法使用等风险。

2.4 数据大集中后的风险

IT时代基本上还是一个强调数据生产的时代，建设了大量的信息系统，每个信息系统都有对应的独立的数据库，这时的数据风险是分散的，就算发生数据泄露也是一个库的。要想等到更多库的数据，则需要花费更多的努力，一个一个库去攻破。健康医疗大数据将多个行业的数汇聚在一起，更好的建立模型，进行人工智能等高阶应用。数据高度集中，面临的风险就会更大。一是数据集中后，对黑客和内部人员的犯罪意愿加大了，以为只有攻击一次就可以拿到所有数据，不用像以往一样攻城拔寨式的付出了；二是数据集中后，IT设施的复杂度增加了好多，原来只有一个关系型数据库就搞定的，现在变成要上大数据平台了，有的甚至要上云，这就对运营和安全的要求提高很多，稍有不慎出现疏忽就会导致功亏一篑。

2.5 新技术带来的安全风险

大数据时代，不断涌现出物联网、云计算、区块链和人工智能等新技术，医疗业务与互联网新技术的对接已是不可避免的趋势。利用新技术实现了高速的发展，极大地促进了医疗卫生健康的发展，为人们的生活带来了诸多便利。但新技术的发展总会带来安全方面的不确定性，使得不法分子利用法律法规、业务管理制度和技术框架研发本身存在的漏洞谋取不法利益，给患者、医疗机构甚至国家安全带来风险。

（1）云安全风险。云计算作为一种新型的计算模式，其安全建设必然与传统的信息安全建设存在区别，其安全性也必有其特殊的一面。如，安全边界不可见，传统安全访问控制失效；虚拟化内部的流量不可视，会导致内部业务访问关系不可视，内部威胁不可视等安全问题。

（2）移动应用安全风险。由于移动应用的开放性，开放应用，开放系统，开放网络，开放工具及其他的原因，移动应用安全问题显得尤为突出。 如移动应用内医患数据泄露，移动APP被篡改并注入恶意代码等安全风险。

（3）物联网安全风险。物联网是继计算机、互联网与移动通信网之后的世界信息产业第3次浪潮。在过去的十年中，互联网连接的设备以各种形式被应用到患者身上。无论数据来自胎儿监护仪、心电图、体温监护仪还是血糖水平，跟踪健康信息对于一些患者来说都是至关重要的，尽管其中许多措施需要与医疗专业人员进行后续互动。然而，物联网设备的使用有助于为医生提供更有价值的实时数据，并减少了医患之间直接互动的需求。同时随着医疗服务水平提升的要求，物联网应用场景也被快速开发出来，例如智能导诊、院内导航、婴儿定位、患者定位、医护关爱、智能报警、临床路径管理、设备资产移动管理、医疗废弃物实时定位等。随着越来越多地将云服务与AI结合使用，物联网设备变得越来越智能，不仅限于将数据从患者传输到医疗保健专业人员。例如，使用云服务进行数据分析的物联网设备智能葡萄糖监测系统和智能胰岛素笔。这两种技术不仅可以连续捕获有关葡萄糖水平的信息，而且还可以将数据上传到云服务或要分析的移动应用程序。根据分析结果，胰岛素泵可以为患者注射适当剂量的胰岛素。同时物联网技术的实施也引起了许多关于个人数据隐私和安全的担忧，虽然今天许多设备使用安全的方法将信息传送到云端，但它们仍然可能容易受到黑客攻击。

3 数据使用场景的分析

不同用户出于不同目的使用不同数据的场景示意图如图1所示。各场景下，数据使用的安全风险不同，需要根据涉及的用户、使用环境和使用目的选择相应的安全措施，保障个人健康医疗信息的安全。

图1：数据使用场景示意图

3.1 用户分析

使用健康医疗数据的常见用户如表1所示。

表1：健康医疗数据使用常见用户

3.2 数据类别分析

健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息等，具体内容如表2所示。

表2：数据类型

3.3 数据使用目的分析

健康医疗数据的使用目的一般可分为医疗服务、公共管理、健康生活等，详见表3所示。

表3：使用目的分类

3.4 数据使用环境

数据使用的环境可分为健康医疗信息控制者内部、健康医疗信息控制者外部。例如医院内、医院外（教育、药品研发、健康管理等）。

3.5 场景分类与使用措施要点

健康医疗数据使用场景基本分类及安全措施要点如表4所示。

表4：场景基本分类与安全措施要点

4 典型场景的安全

4.1 互联互通场景

通过各级医疗机构、区域健康信息平台的数据互联互通，实现跨机构、跨地域信息交互共享和医疗服务协同。在互联互通的场景中涉及的相关方包括区域健康信息平台、医疗机构和第三方服务机构人员等，涉及的数据包括医疗应用数据中的电子病历数据、健康状况数据中的电子健康档案数据等，需要从以下环节保证健康医疗大数据的安全：

4.1.1 传输安全

各级医疗机构内部信息共享交换系统在数据传输过程中要进行加密处理。向医疗机构以外的机构传递的数据，如医疗保险、科研机构等，首先应保证不向非授权用户透露。传输的数据要求对患者去标识化处理，确保隐私信息不泄露。

4.1.2 存储安全

存储的患者医疗敏感信息（如身份信息、银行卡号等）应该加密存储。数据库和应用系统可层级的审计功能；有数据备份和恢复功能。

4.1.3 使用安全

医院业务应用系统有完善的用户授权功能，能根据用户角色、所在科室等多维度对用户进行授权。控制对数据库、应用系统的文件等资源的访问，避免非法使用。防止外部人员访问其私有数据，在控制院内用户访问外部资源的同时检查每个网络数据包，以确定是否将其推送到目的地。检验检查报告的书写和审核、电子病历相关记录等应使用国家认可的第三方数字签名。

4.1.4 审计安全

医疗信息系统审计范围应覆盖到每个用户。审计策略应覆盖系统内重要的安全相关事件。审计记录信息需要包括引发人，事件的发生时间、类别、结果等内容。日志记录包括用户登录退出系统，电子病历新建、保存、修改，医嘱改变/执行记录等。

4.2 远程医疗场景

远程医疗场景涉及的相关方主要包括医疗机构、患方和业务伙伴。在远程诊疗过程中，医院的医生需针对患者病情，如患者的某些症状、体征进行讨论，还需传输患者的涉及个人隐私的健康医疗信息，如检验报告、临床诊断结果、影像数据等。需要从以下方面采取措施保障数据安全。

4.2.1 接入安全

只允许远程诊疗过程中使用的主机接入网络。在接入前要对各接入终端、医疗机构进行身份认证，确保各方的身份真实、可靠。对近端医院与远端医院在远程诊疗网络中传输的信息流量在接收前应进行病毒扫描和过滤。 将远程诊疗过程中涉及的设备标记为高风险设备，进行重点监控管理，如定期进行病毒扫描，及时清除病毒；定期进行系统漏洞扫，更新漏洞等。

4.2.2 传输安全

在远程医疗场景中，需要综合考虑数据传输的规模、时效要求、传输方式等，合理采用密码技术、校验技术保证信息在传输过程中的保密性、完整性，同时需要保障多种移动终端设备安全、便捷的远程数据传输。

4.2.3 存储安全

建立远程诊疗数据管理制度，通过数据销毁或者将远程诊疗数据导入内网数据库，降低服务中可以下载的远程诊疗数据数量，通过降低数据价值进而降低数据盗取风险。需要定期对存储远程诊疗数据的数据库进行风险扫描，建立状态监控机制。

4.2.4 应用安全

建立登录和授权验证手段，对用户的访问操作进行审计，发现违规的应用访问，阻止截断访问；采取WAF，网页防篡改等防护手段保证应用服务的安全，防止诊疗过程中的上传或下载病人影像文件泄露。

4.3 移动应用场景

移动应用是指通过网络平台为用户提供的快捷的线上医疗服务和健康服务，如在线问诊、医药电商、私人医生等。涉及的数据包括个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息。本场景涉及的相关方主要是使用方和应用发布者。重点安全措施如下：

4.3.1 隐私保护

应用发布者应制定隐私政策并征得用户同意。在界面显示上，为保护患者隐私，需要将涉及到个人数据，如健康状况、医疗状况 、支付数据等，去标识化处理，以降低在展示环节泄露的风险。

4.3.2 访问控制

实施访问控制，在会话级别安全地验证用户，可以关联实名制手机，后通过实名制手机登录，发送手机号验证码。对个人的操作权限有所限制，只能访问个人用户角色的内容。对于应用开发商需要开发、维护或升级系统需要访问信息，应严格授权，并对访问的行为进行记录存档。远程访问或特权访问应该要求严格的验证方式，如双因素身份验证等以降低未经授权访问的风险。

4.3.3 传输安全

需要综合考虑移动应用场景对数据传输的规模、时效等要求，合理采用密码技术、校验技术等保证信息在传输过程中的保密性、完整性。

4.3.4 存储安全

提供并使用管理、物理和技术保护措施来保护用户信息免遭未经授权的泄露或访问。应用程序数据需要定期进行备份；加强安全管理、采用新技术保护用户信息免遭未经授权的泄露或访问。

如果使用可移动介质存储个人的健康医疗信息和身份可识别信息，需要对存储在介质上的数据进行加密，以防止数据受到未经授权的访问。

4.3.5 应用安全

移动应用系统应具有防病毒软件和机制；第三方供应商服务必须通过信息安全风险评估，才能接入作为应用程序的组成部分。涉及移动支付的，应遵守相关数据安全要求。

5 结束语

健康医疗大数据的汇聚、应用及发展推进健康产业链的创新和发展，但一旦这些数据被泄露，不仅会侵害患者隐私，对社会造成不良影响，亦可能给国家安全带来严重后果。本文对健康医疗大数据的安全问题进行了分析，从场景化的角度对安全安全保障体系进行了研究，为提升健康医疗行业的整体安全防范能力，制定相关的建设方案提供参考。