邱 扬 黄智勇 刘思煜 陈媛媛 许延杰 徐 峰

1 汕头市中心医院 广东汕头 515041; 2 广东阳普智慧医疗信息科技有限公司 广东广州 510530

1 医疗数据安全体系建设的必要性

在当今数字化的时代浪潮下,医疗领域充斥着海量的数据,而医疗数据作为患者健康记录的集合,其中包含了患者诊断和治疗的重要信息,对于医疗机构以及相关产业具有极高价值。如何保护患者医疗数据安全,是当前健康医疗大数据应用发展中普遍关注的热点问题[1]。有效保护医疗数据的安全,我国卫健委针对性制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,以及国家标准化管理委员会制定了《信息安全技术健康医疗数据安全指南》,为如何确保健康医疗信息的安全提供了原则性要求及方向性指导。

然而,目前的医疗数据安全保护存在着重大压力和负担,其主要原因来源于两个方面:①由于医疗业务场景复杂,导致数据来源广泛且数据量庞大,其中包含临床诊疗数据、临床研究数据、公共卫生数据、医院管理数据、后勤运营数据、支付、药品等数据[2]。②医疗业务流程复杂导致数据在多方机构流转,由于对接了大量的医疗器械、信息化系统、物联网硬件、第三方检测机构等多方组织,导致医疗机构的信息安全保护存在较大的压力和负担[3]。

相较于我国医院信息化建设的不断深入,医疗数据安全建设仍然相对滞后。为有效应对这一挑战,目前大多数医院已经开展了网络安全建设,进行了相关安全防御应用的部署,同时持续开展信息安全审查管理以及制定相关数据管理规章制度,防范应对网络攻击和数据应用过程中的安全问题。随着区域医疗、互联网+医疗、智慧医疗、智慧服务、智慧管理等新兴业态进入医疗行业各个环节带来的巨大改变,特别是云计算(Cloud Computing)的快速发展,为医疗数据安全领域带来了新的机遇[4-6]。本文旨在通过国产云原生(Cloud Native)[7]技术,在管理和技术两个维度实现医疗数据安全体系搭建方面探索系统性医疗数据安全保护的方法。

2 当前医疗数据安全面临的挑战

患者在诊疗过程中产生的就诊、治疗、健康体检等临床数据,以及支付产生的社会人口学相关数据对提高医院的医疗循证能力以及科研水平具有重要价值。随着医疗信息化建设的不断发展,以往的数据安全建设体系在也面临着全新的挑战。

2.1 数据来源管控

医疗数据主要来源于日常医疗活动的各个业务环节,从构成上来看,主要分为结构化数据、文本数据以及影像数据三大类。目前我国健康医疗数据种类繁杂,标准不一,且质量参差不齐,特别是疾病相关数据维度多,特异性广,隐私数据匿名化处理急需加强。需建立一套行之有效的管控体系监管多来源数据的真实性、有效性。

2.2 数据交互管控

除院内各业务模块间数据交互外,随着医院影响力辐射省级区域,将有大量院外机构如区域内其他机构、监管部门、国家卫生平台等相关系统与我院进行医疗数据交互,汇聚到我院数据湖统一存储[8]。海量区域医疗数据统一汇总管理,存储泄密、存储硬件损坏、断电等灾难性事件可能引发不可估量损失。数据不同使用人员和场景的监控分析,缺乏系统性管控措施。数据交互流转过程中,相关人员权限及接触数据范围等管理方面,需进一步加强。

2.3 数据应用管控

随着区域化重点专科的进一步发展,数据流转的范围已经不局限于院内,而是在区域内各系统间流转,除查询外,还用于辅助诊疗、科学研究等应用,应用范围多样导致数据泄露、黑客入侵等风险增加。在应用过程中,需在防火墙、网络接入安全、网络存储方式、信息数据加密、认证管理等多维度进行加强。

3 医疗数据安全体系的建设思路和路线

为有效应对当前医疗数据安全面临的挑战,在充分学习《关于构建数据基础制度更好发挥数据要素作用的意见》《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》[9]《医疗卫生机构网络安全管理办法》等国家相关要求的基础上,本文的医疗数据安全体制建设围绕着两方面开展:管理体制建设和技术体系建设[10-11]。

3.1 管理体制

管理体制建设包括安全规划、组织架构、规章制度、人才体系以及应急措施五个方面。

3.1.1 安全规划 安全规划从数据层面、用户层面、业务节点、硬件层面、管理人员层面多个层面进行梳理规划,以明确任务及目标,合理配置资源。最终指导各部门合法合规的使用数据。①数据层面规划:针对数据域及各域数据分类分级梳理。明确数据安全分类分级的总则要求、明确不同类别和级别数据的管理机构。明确数据安全分类分级的原则,明确数据共享开放的原则。明确不同类型和不同级别数据的安全级别等相关内容的规划梳理。②用户层面规划:明确用户类型及不同类型用户的角色分类。明确不同的角色的用户数据权限分级。③ 业务节点:梳理业务场景,明确数据运营相关场景,制定不同数据运营场景的数据权限、数据范围和数据使用原则等。④硬件层面:梳理数据应用硬件,明确硬件层面的数据安全保护场景,保护原则等。⑤管理人员层面:根据医院现有的组织架构、信息管理架构、安全管理需求等,梳理数据安全管理组织架构和角色,制定数据安全管理组架构。

3.1.2 组织架构 建立清晰的组织架构,包括负责人、数据管理团队和数据维护团队。构建数据安全管理组织工作及相关角色,为数据安全工作提供支撑工作。按照决策层、管理层、执行层以及监督层四个层级构建,并依照这四个层级赋予相关的职责。从而建立院内业务部门、医院内各科室、区域各单位部门、各合作厂商等的合作内容和管理制度。组织开展数据安全规章制度解读、数据安全灾备演练、数据安全技术能力培训等。

3.1.3 规章制度 制定完善的数据安全管理规章制度,稳步推进数据安全管理与开发利用,强化风险意识,加强制度保障。数据安全相关制度从数据安全、风控要求、合规要求三个方面进行构建。数据安全管理制度包括数据安全总则、数据安全管理制度、数据安全操作规范、数据安全操作记录等四方面的规范。

3.1.4 人才体系 通过培训、实践等多种方式,培养数据安全人才队伍。

3.1.5 应急措施 梳理数据安全需求及可能发生的数据安全事件,提前制定应急预案。

3.2 技术体系

在技术体系建设方面,在结合医疗的业务特点和未来发展规划基础上,通过梳理业务数据、对数据进行分域分类分级、分析数据业务流向、数据全生命周期安全评估、敏感数据监测分析、优化并持续改进来构建技术工具体系。

3.2.1 数据分域 数据分为三个域,包括安全域、跨安全域和互联网数据。安全域数据来自于院内信息系统,处于相对封闭的环境下,数据安全程度高;跨安全域的数据来自于院外其他信息系统,需要经过云平台的交互使用,因其跨了数个安全域的环境,所以此部分数据的安全程度较安全域数据稍低;互联网数据来自于互联网医院、院外随访系统等,需要经过互联网的交互,受到攻击的可能性最大,数据安全程度最低[12]。

3.2.2 数据分类 健康医疗数据可以分为:①个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。②健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。③医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。④医疗支付数据是指医疗或保险等服务中所涉及的费用相关的数据。⑤卫生资源数据是指可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。⑥公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。

3.2.3 数据分级 数据根据危害对象、危害程度、数据覆盖范围等因素,结合数据所属域及其应用场景,建立数据分类分级判定模型。将卫生健康统计数据分为核心数据和一般数据。核心数据一般为涉密数据或对政治安全、国家安全造成特别严重危害的数据,不纳入本任务研究范围;一般数据从低到高分为1～4级[13],详见表1。

表1 数据分级表

3.2.4 数据安全策略制定 优先根据分级结果设置数据脱敏加密、流转监控、审计等规则。针对4级数据,进行全密文加密处理,设置用户查询权限审批机制,数据血缘管理,并基于字段级别进行过程审计;针对3级数据,进行部分密文加密处理,设置角色授权,数据血缘管理,并基于表及文件级别进行过程审计;针对2级数据,进行部分密文加密处理,设置角色授权,数据血缘管理,并基于表及文件级别进行过程审计;针对1级数据,无需加密处理,数据可共享外发,无需审计。

数据安全体系建设从管理体系建设和技术体系建设两方面结合,对数据全生命周期进行管控,对数据采集安全、传输安全、数据存储安全、数据交互安全到数据应用安全进行管理。见图1。

图1 全生命周期数据安全管控解决思路

4 国产云原生基础下的技术实现

Pivotal公司的Matt Stine于2013年首次提出云原生的概念,在最新官网上将其概括为四个要点:DevOps+持续交付+微服务+容器。为了实现系统的高并发、高可用和易扩展,并且符合国家信创要求,本文在技术实现上,系统采用微服务架构,并且基于国产云原生技术实现和部署。

4.1 微服务架构

微服务架构是一种将单体应用拆分成多个小型服务的架构模式。每个微服务负责实现一个明确的业务功能,不同微服务之间通过轻量级通信机制互相配合。相比单体应用,微服务架构有以下显著优势:

首先,微服务提高了系统的可扩展性。根据业务需要可以针对特定微服务进行平滑扩容,而不会影响其他服务。单体应用的扩容则需要扩展整个系统;其次,微服务架构实现了服务解耦,降低了代码间的相互依赖。这大大提高了系统的可维护性,可以根据业务需求独立开发、部署每个微服务[14]。单体应用存在严重的依赖, 改动一个地方可能影响整个系统。此外,微服务可以利用云平台实现灵活的部署。不同的微服务可以根据业务需求、性能等选择合适开发技术和部署硬件。

本文在技术实现上是基于微服务架构进行设计和实现。首先,系统采用Java语言和Spring Cloud Alibaba开发框架[15]。Spring Cloud Alibaba[16]提供了一站式的微服务架构组件集合,可以快速构建高可用和可伸缩的微服务;其次,系统遵循领域驱动设计(domain-driven design,DDD)[17]思想,根据业务功能将系统拆分为细粒度的微服务,每个微服务针对一个独立业务领域。微服务间通过Nacos实现服务发现和配置管理(Nacos为一个阿里开源项目,用于微服务架构的配置管理,以及服务发现,服务治理等解决方案)。每个微服务规模小、功能内聚,便于开发和测试。每个微服务的Jar(JAVA archive file)部署包小,可以快速进行弹性伸缩,动态应对请求量的变化。每个微服务独立运行,故障隔离性强,极大地提高整体系统稳定性。

此外,微服务采用自动化部署和测试,提高了系统交付效率。服务监控和链路跟踪分析使微服务调试和排障更高效。微服务API(application programming interface)采用统一的设计规范,方便与其他系统对接,实现内外开放和集成。

4.2 国产云原生技术

云原生是一种构建和运行软件应用程序的现代方法,并逐渐成为软件应用架构事实标准。它利用了云计算的灵活性、可扩展性和弹性。云原生本身具有在资源节省,增加效能,支撑业务创新能力的优势。在我国,云原生实践是指结合使用基于容器的云基础架构、敏捷方法、持续集成(continuous integration,CI)/持续交付 (continuous delivery,CD) 、服务网格和微服务架构来实现新一代IT(information technology)应用。

国产云原生技术是基于底层到应用层的自主创新实现,包括芯片、操作系统、存储、数据库、应用系统、中间件等,并形成完整的符合国家信创的技术体系,在多个方面实现核心技术的突破。

本文在技术实现上完全基于国产云原生技术,如图2所见,从整体架构来看,国产云原生系统技术平台由8个主要层次组成。①用户访问层,采用前后端分离的浏览器/服务器模式,支持多终端访问及多款主流国产浏览器,包括360安全浏览器等;②应用服务层,我们采用JAVA语言开发,并兼容主流国产JDK(java SE development kit,用于编程的Java开发工具),其中包括龙井(alibaba dragonwell)[18]、毕昇等。基于spring cloud Alibaba开发框架[16],将系统拆分为多个松耦合的微服务。并通过Nacos实现动态服务发现、服务配置、服务元数据及流量管理;③数据服务层,为了实现系统的高并发、高可用和易扩展,并且符合国家信创要求,我们采用统一数据库生态,明确采用达梦数据库、人大金仓数据库等为代表的国产事实标准生态;④开发一套基于Spring网关框架(spring gateway),并支持主流国产JDK的自研网关管理平台Spring Gateway Improve[19],然后利用规则引擎架构,基于融合业务编排特性,将复杂的业务流程通过组件化的方式解耦为每个步骤,通过重新编排来构建一个低耦合灵活的系统。并通过KubeSphere——在 Kubernetes 之上构建的以应用为中心的企业级分布式容器平台来自动化部署和管理容器及微服务,使平台具备调配可信底层资源以及应用容器化的全生命周期的管理能力;⑤平台监控层,使用满足信创要求的国产开源的夜莺云原生监控(nightingale)和SkyWalking云原生监控,并集成Prometheus、Jaeger、Elasticsearch来实现资源监控和数据可视化,此三者均为开源的分布式追踪工具;⑥应用服务层,结合业务场景和数据安全体系,应用服务主要包括:数据分级分类、元数据管理、数据加密、敏感数据监控等;⑦自动化运维层,通过构架一体化智能可观测管理平台,实现了可视化监控、可视化配置、可视化运维等功能的同时,结合流量治理平台、系统逃生平台等组件,大大提升了实施运维的质量、效率和安全性;⑧安全管理层,基于鲲鹏ARM[20]/飞腾+麒麟操作系统+华为云操作系统FusionSphere[21]作为安全设备和集成集虚拟化平台和云管理系统,在对接底层整体资源的调用上,通过多核性能并行处理以及数据转发机制,大幅提升了整体性能和处理效率,同时也构建了安全解析平面,增强了安全访问控制能力,并融入Seata、 ShardingSphere、RocketMQ等国产开源中间件,在整体上实现了网络转发和应用层处理的高并发、高可靠性及数据完整性。

图2 国产云原生系统技术平台架构图

本文的技术实现是从国产云原生基础软硬件出发,进行关键核心技术的整合开发与应用(相关技术详见表2),在满足国家信创要求的基础上,不仅提高了医院数据的安全性,也不断优化和完善医院信创生态圈,让数据安全更加自主可控。

表2 基于国产云原生技术的实现与应用

5 主要创新点和推广意义

5.1 主要创新点

5.1.1 全面系统的数据安全保护体系 医疗数据安全保护体系系统全面,从管理和技术两个维度分别进行了数据安全体系搭建。管理体系和技术体系建设并重,从而实现管理和技术互为支撑,相辅相成,更有利地保障区域数据安全。

5.1.2 区域数据安全体系 区域数据安全体系搭建,数据安全范围扩大到区域相关医疗机构、第三方健康管理机构、互联网医院,数据来源多样,管控范围广。

5.1.3 可溯源数据安全管控平台 平台具有可溯源性,可以提供身份访问控制安全和审计溯源管理;为审计提供强有力的原始证据,协助数据安全监管从深度和广度上不断加强[22]。

5.2 推广意义

2023年2月国家卫健委和发改委等六部门联合发布《关于开展紧密型城市医疗集团建设试点工作的通知》,标志着我国开始积极倡导探索智慧医联体,驱动着我国智慧医院的前进方向。在未来,医院的信息化建设将由分散走向整体,单个医院的信息化架构设计走向区域医疗的信息化体系建设,而网络安全为其中的重中之重。通过搭建的医疗数据安全体系,从管理、人员到数据安全软硬件方面的工具,全面覆盖。实现数据全生命周期的数据安全管控,为系统化的数据安全体系的搭建提供了实际应用方面的解决方案。有较大的数据安全应用的推广价值。