以身份为中心基于行为场景的医院数据安全防护初探
2021-09-26王国送
王国送
提要:“智慧医院”核心命脉在于“医院数据中心”,其中记录大量居民个人及诊疗信息、医院科研及运营管理数据。随着大数据技术在医疗行业的应用,大数据分析结果往往用于临床诊断以及公共卫生决策,医疗数据因其蕴藏的巨大价值和集中化的存储管理而成为攻击的重点目标,与此同时也带来了很多数据泄露的安全隐患。
关键词:医院数据;身份认证;行为场景;数据安全;网络安全
中图分类号:TP391 文献标识码:A
文章编号:1009-3044(2021)20-0043-02
随着各信息化技术的快速发展,以及云计算、移动化、大数据、物联网等新技术的出现和发展,医疗业务与互联网对接已是不可避免的趋势。特别在2015年3月5日十二届全国人大三次会议上,李克强总理在政府工作报告中首次提出“互联网+”行动计划。进一步要求了各个业务与互联网的深度融合,医疗行业在利用互联网、移动化技术实现医生随访、移动护理、自助交费、院外康复和家庭病床等业务也利用新技术实现了高速的发展。
随着信息化技术发展、融合创新能力提升,数据安全建设在医疗行业越来越重视,数据泄露的问题成为政治问题和行业考核通报的重点内容。
1 数据安全存在的问题
医院信息系统记录大量居民个人及诊疗信息、医院科研及运营管理数据。随着大数据技术在医疗行业的应用,这些基础数据不断被进行二次汇总及大数据分析,分析结果往往用于临床诊断以及公共卫生决策,其价值较原始数据又有了更高的提升。医院间、监管机构、第三方应用对数据的交换及使用的普及也促进了医疗数据的共享,但是在数据共享的同时也带来了很多数据泄露的安全隐患,医疗数据因其蕴藏的巨大价值和集中化的存储管理模式而成为攻击的重点目标。
从国内外安全事件来看,80%的数据泄露事件是由“内鬼”造成。业务系统涉及大量公民个人隐私信息,而大部分业务系统是由第三方开发和负责运维,因为缺乏有效监管、问责机制和技术管理措施,第三方运维人员或内部人员,通过访问数据库导出数据或通过应用前台导出数据进行贩卖,造成数据泄露事件。如:
1)内部业务人员利用合法的身份进行非工作需要地查看相关数据,进行截图、录像或下载,非法牟利。
2)第三方人员或厂家人员利用维护的机会对数据进行查看、下载、拍照、录像等非法操作,窃取数据。
3)开发人员由于开发测试需求导出正式业务数据到测试环境中,在导出的过程中对数据进行泄露。
所以,需要对敏感数据加强技术防护,防止数据外泄,避免发生客户信息泄露事件和造成严重的政治影响或社会影响。
2 医院数据安全防护措施
建设以身份为中心,从源头抓起,基于行为场景的数据安全防护体系。
2.1 以身份为中心
以身份为中心即以人为中心,IT系统中身份就是账号。
IT系统人员分为:业务人员、运维管理人员、开发人员、测试人员。按照人员的所属关系分为:内部人员和外部人员。
加强人员身份的管控对人的身份进行唯一性和合规性管理,建立賬号与自然人直接关联关系,通过数字证书、动态口令、生物识别等技术手段,建立双因素认证机制,实现人员身份的唯一性管理。对账号进行全生命周期管理,防止僵尸账号、冗余账号、弱口令账号的发生,对账号权限进行管理和梳理,实现身份合规性管理。
规范人员操作行为,对重要的人员、重要的业务操作和运维操作进行管控,加强授权管理能力,以人为中心分析用户行为,建立行为场景,通过对行为场景防护建立数据安全防护措施。
2.2 基于行为场景的数据安全防护
涉及医院数据安全的行为场景主要包括日常业务系统操作、数据库运维和IT运维。
2.2.1日常业务系统操作场景下的数据安全防护措施
医护人员访问医院各业务系统时可进行患者信息查询,对查询出的数据可进行截图、拍照录像或下载等操作。
针对此类场景,可对页面内容加水印处理或关键信息做页面的动态脱敏,防止医护人员或第三方人员截屏、拍照录像,如发生信息泄露事件可有效溯源,以达到防止数据泄露的目的。针对患者信息下载的场景,可采用“零下载”功能对下载文件进行管控,使其无法下载到本地,以防止数据泄露。
2.2.2 数据库运维场景数据安全防护措施
数据运维主要包含数据导出,数据分析及数据外发,一是测试人员由于医院业务系统测试需要,会把生产环境的数据导出到本地测试环境中;二是数据分析人员也需要导出业务数据用于满足医院各方数据分析需求;另外医院也会把相关医院的运营、诊疗等数据外发给卫健委等政府部门。部分人员可能利用数据导出的机会据为己有,导致数据泄露的情况发生。
针对此类场景,可采用静态脱敏技术对数据进行安全防护,在数据导出前对敏感数据进行脱敏处理。
2.2.3 IT运维场景的数据安全防护措施
医院或第三方运维人员通过运维工具访问数据库时,可查询或批量导出数据,并下载到本地。
针对此类场景,可采用“金库”模式对重要操作进行二次授权管理,加强运维操作的审批管理,对查询结果动态实时脱敏,以防止真实数据泄露。针对运维人员下载数据文件,可采用“零下载”功能对下载文件进行管控,使其无法下载到本地,以防止数据泄露。
2.3 采用动态脱敏技术
动态脱敏包括运维实时动态脱敏和页面实时动态脱敏。
2.3.1运维实时脱敏
数据库运维实时脱敏是针对运维人员在通过工具访问后台数据库时,对查询数据库返回的结果数据根据预设的脱敏策略进行实时模糊化处理,对敏感内容采用*遮罩的方式进行脱敏展示。
