首页 > 论文范文 > 社会科学论文 > 科技论文 > 网络安全论文 > 新形势下医疗数据安全体系的研究

新形势下医疗数据安全体系的研究

2024-06-06 7 上传者：管理员

摘要：随着互联网医疗及医疗大数据的持续发展，医疗数据复杂度越来越高，面临严峻的数据安全风险。本文从医疗行业数据安全现状及面临的安全挑战进行分析，结合医疗行业特点提出了一套医疗数据全生命周期安全防护体系，可以供医疗卫生机构参考并完善自身的数据安全保障能力。

关键词：
医疗卫生机构
医疗数据安全体系
医疗行业
敏感个人信息
数据安全
加入收藏

随着各类信息化系统在医疗行业的广泛应用，数据已成为医疗卫生机构的重要资产。医疗行业关系国计民生，其中医疗数据包含健康状况、病例、处方等大量敏感个人信息，一旦遭到恶意人员篡改、破坏或泄露，会对医疗卫生机构的业务运行、病人隐私安全等构成严重威胁，破坏社会秩序及公共利益。在此状况下，以医疗数据安全保障为核心目标，以网络及信息化系统为支撑，不断完善医疗卫生机构数据安全管理体系及策略，强化数据安全治理能力，落实医疗数据安全保障实践相关内容，是目前医疗行业持续健康发展的基础性工作。

1、医疗行业数据安全现状

近几年来，随着云计算、大数据、人工智能等技术快速发展及演进升级，驱动我国迈入数字化、智能化为主要特征的数据时代。党的二十大报告中多次提及了数字领域关键词[1]。发展数字经济、加快培育数据发展的要素市场，必须把数据安全保障放在突出位置。医疗卫生机构在信息化建设的不断深入过程中，凭借其系统规模庞大、数据高价值性等特性，成为网络黑客的典型攻击目标。由于医疗卫生机构的设备种类繁多，尤其医院中部署了大量医疗设备，各类业务系统（HIS、PACS、LIS等）和院内人员构成也相对复杂，导致医疗数据面临诸多隐患。根据国内外相关机构的披露，针对医疗行业的勒索攻击、挖矿病毒、社会工程学攻击、数据泄露频发，医疗卫生机构面临严峻的安全挑战。在国家层面，《网络安全法》、《数据安全法》、《个人信息保护法》三部法律逐步出台，对各行业的数据安全保障提出了基础性要求。在医疗行业层面，2022年8月卫健委等三部门联合发布了《医疗卫生机构网络安全管理办法》[2]，是目前为止我国首个针对医疗领域的网络安全管理办法，旨在大力推动我国医疗行业网络与数据安全的建设和发展。

2、医疗行业数据安全面临的挑战

数据作为生产要素，是最有价值的资产之一[3]。医疗数据具有多样性、敏感性、时效性等特点，对于提升医疗行业水平具有重要作用。然而，任何数据往往是价值与风险并存，随着医疗数据规模的不断扩大，在数据收集、传输、存储、使用、共享、删除等[4]环节都存在各类安全隐患，目前普遍面临的困难和挑战主要包括以下几个方面：（1）政策标准不完善。《数据安全法》颁布至今，我国尚未出台专门针对医疗数据保护的法律法规，现有的法律法规及技术标准对于医疗数据的定义、分类、责任、权限等方面缺乏明确的规定，导致在医疗行业数据安全建设实践中存在着诸多困惑和争议。例如，医疗数据属于谁的资产，患者是否有权要求删除或更正自己的医疗数据，医院是否可以将医疗数据转让给第三方等，这些问题都需要有明确的规定和解决机制。（2）技术手段不成熟。目前我国在医疗数据全生命周期的安全保障措施方面还存在着技术上的差距，包括实现医疗数据的标准化、互通性、可追溯性，验证医疗数据的完整性、时效性，防止医疗数据被篡改、删除、泄露等层面，解决这些问题需要有强大的技术支撑和研究能力。（3）管理制度不健全。医疗卫生机构在医疗数据的管理方面还存在着制度层面的缺失和漏洞，大部分单位未建立医疗数据全生命周期管理的制度和流程，缺乏有效的监督检查和问责机制，对供应链的管理措施不足，医护人员对于医疗数据保护的意识和能力薄弱，这些问题都需要有完善且符合医疗行业特点的数据安全管理制度作为指导依据。

3、医疗行业数据全生命周期安全防护体系

根据医疗行业的业务和信息化特点，以及面临的威胁，数据安全技术体系框架应包含数据全生命周期安全和通用安全两个部分，其中通用安全包括传统网络及信息系统的身份认证、访问控制、公钥基础设施、数据安全审计、数据接口安全等层面，作为实现数据安全防护体系的基础性支撑环境。医疗卫生机构的数据安全体系建设，要依照数据安全总体策略，围绕数据处理各项活动场景的安全需求，建立与自身网络安全制度和流程相配套的数据安全技术能力，并形成平台化的安全体系。通过对数据全生命周期的各环节进行持续性风险监测，评估现有安全措施的有效性，核查是否存在薄弱环节并进行及时安全整改，优化数据安全相关管理制度及流程，进而持续的保持并提升数据安全总体能力。数据安全技术体系框架如图1所示。

图1 数据安全技术体系框架图

3.1 数据采集安全

依据“合法、必要”原则，明确医疗数据采集和处理的目的、方式、规则和范围，保障数据采集过程的数据完整性和来源可追溯性，并建立保障采集对象的个人知情权和决定权，一旦发现违规采集活动则立即停止。

(1）数据采集安全技术保障

建立数据采集阶段的安全技术保障措施，在采集外部单位数据过程中，一方面需明确采集数据的目的及具体用途，确保数据采集源的真实性，规范数据采集的流程、方式和渠道，并标记采集数据的来源；另一方面应采用技术手段对数据提供方的身份进行验证。为了防止数据在采集过程中被恶意篡改，通过HASH算法对采集的数据进行校验。同时建立“过度采集”监测机制，针对个人信息采集持续审计其是否符合最小必要原则，并通过相关数据治理平台对采集数量进行监测，如果发现过度采集情况及时告警。

(2）隐私政策保护

医疗卫生机构在采集敏感个人信息前，应在满足医疗行业政策要求及GB/T 35273的基础上，依据最小必要原则明确收集的信息范围[5]；应采用对个人权益影响最小的方式受控收集敏感个人信息，并保障其过程的安全性；如有医疗行业政策明确规定或经单位内部评估确定有必要收集敏感个人信息的情形，应在通过个人信息保护影响安全评估之后再执行，确保个人信息的收集符合国家及医疗行业政策要求。

3.2 数据传输安全

建立数据传输安全管控措施，覆盖传输通道及内容加密、数据接口安全、数据传输终端安全等层面。

(1）数据传输安全通道

医疗卫生机构在传输数据前，首先应评估传输通道的安全性，包括但不限于数据传输加密、网络可用性、传输完整性保护等方面，发现可能存在的数据传输安全风险问题，根据数据传输安全管理规范设计相应的安全传输策略。通过对数据传输通道两端进行身份鉴别，部署独立的数字证书，以保证数据传输各节点的身份认证有效性。通过建立网络链路基础设施、关键网络设备冗余部署，实现网络的高可用，从而确保数据传输过程的可靠性。

(2）传输内容安全

根据数据安全领域的法律法规及医疗行业相关政策要求，医疗卫生机构应明确机构内需要加密传输的数据范围及安全加密算法，采用数据加密硬件设施和模块，根据不同医疗数据类型和级别进行数据加密，并定期对数据加密的基础设施进行安全巡检。使用HASH算法对数据的发送和接收进行校验，保护数据传输的完整性，一旦发现数据在传输过程中被破坏要有识别和恢复能力。

3.3 数据存储安全

存储作为网络数据的底座和载体，对保障数据安全非常重要。医疗卫生机构应明确数据存储安全相关措施，针对不同类别和级别的医疗数据采取加密、访问控制等针对性的安全存储保护措施。采用数据库加密技术保障各类结构化医疗数据的存储安全，将明文数据经过加密密钥及加密函数进行转换为密文数据，当需要获取数据实际信息时，通过解密算法及受控的流程将数据恢复成为明文数据。对各类数据存储介质通过技术和管理手段保障其安全性，防止对介质层面引发的数据泄露事件；当介质中的数据级别变更或介质复用时，采取有效的净化工具对存储介质进行净化处理，并对介质访问和使用进行记录和审计。此外应完善数据备份与恢复的策略和操作规程，建立数据备份和恢复的技术设施，并将备份策略规范化；建立备份数据的安全管理措施，对备份数据的压缩、加解密、访问控制等活动进行有效管理。

3.4 数据使用安全

医疗数据在使用中发挥应有的价值，但基于数据在使用过程中的流动性特征，极易造成数据泄露事件的发生，数据使用阶段安全是保障医疗数据安全的重要环节。通过系统用户身份鉴别、数据访问控制、去标识化[6]、脱敏等技术手段保障数据使用期间的安全性，并定期评估其安全措施的有效性，动态调整安全保障措施。

(1）身份鉴别及访问控制

通过身份鉴别技术有效识别数据的用户使用是否得到数据所有者的有效授权，重要数据原则上采用双因素鉴别技术，保障数据使用的合规性和可控性；数据层面的访问控制区别于传统系统访问控制措施，应从数据内容识别和数据细粒度两个方面实施，并进一步对业务应用访问数据库的访问进行细粒度控制。

(2）去标识化及匿名化

医疗卫生机构对敏感个人信息进行展示的时候，应对其展示的信息采取去标识化处理，降低敏感个人信息在展示环节的泄露风险，对于通过匿名化处理的敏感个人信息，应定期评估匿名化处理效果，确保个人信息在当前技术条件下不具备还原能力。

(3）数据脱敏

数据脱敏可以分为静态脱敏和动态脱敏，静态脱敏是在生产数据用于到测试环节时，对其中的敏感数据进行脱敏，避免数据泄露。静态脱敏通常会涉及对较大数量的数据进行批量化的处理，脱敏系统首先从数据的原始存储环境读入含有敏感信息的数据，然后在非持久化存储条件下按照脱敏策略、规则和算法对数据进行变形等脱敏处理，再将经过处理后的脱敏数据存储到新的目标存储环境中。

3.5 数据提供和公开安全

医疗数据对外提供和公开阶段，存在各类非预期的数据泄露风险，通过机密计算、隐私计算、溯源标记等技术保障数据在此阶段的安全。建立数据公开披露的审批制度，分析可能产生的影响，并确保数据公开在官方渠道发布，保障数据真实、准确。

(1）机密计算及隐私计算

机密计算是针对数据在使用过程中的典型安全问题提出的一种新型解决方案，通过基于可信执行环境对使用中的数据进行保护，这种机制是从硬件层面进行实现[7]。其中，可信执行环境是一种提供较高级别或可定义级别的数据完整性、机密性和代码完整性保证的安全环境。此外，数据提供和公开安全最理想化的就是做到“数据可用不可见”，可以通过隐私计算[8]实现此目标。隐私计算是一套包含AI技术、密码学、数据科学等众多领域融合的技术体系，从技术机制方面主要分为三大技术路线，包括安全多方计算、密码学和联邦学习。

(2）数据溯源标记

医疗数据一旦提供或公开给其他单位的使用方或处理方，医疗卫生机构可能丧失对数据的管理权和监督权，通过数据水印技术在一定程度上对数据的二次传播进行溯源标记；建立数据提供和公开相关安全管理制度及流程，从技术和管理两个层面缓解数据失控的风险。

3.6 数据删除和销毁安全

医疗数据涉及较多的敏感个人信息及业务信息，应按照国家、医疗行业有关规定制定数据销毁管理制度，对数据销毁过程进行有效的安全管控。对存储数据的物理设备或介质采取无法通过技术手段恢复的方式进行数据销毁，并验证数据销毁结果。

(1）超限存储匿名化

敏感医疗数据和敏感个人信息存储环境应具备时效性的安全管理能力，根据机构的数据安全存储期限政策提供过期存储彻底删除的方法和工具，并能够验证数据是否已被删除或匿名化处理。

(2）数据销毁

数据删除及销毁有多种不同级别的技术手段。其中，对于敏感程度不高的数据，可以通过数据覆盖等软件方法对数据进行擦除，如采用数据覆写法将非保密数据写入硬盘簇的过程，使用预先定义的无效信息反复多次覆盖硬盘上原先存储的数据，使其信息失去原本的意义，达到硬盘数据擦除的目的。而对于敏感医疗数据、敏感个人信息的存储介质，应对其存储介质进行物理销毁，其中硬盘数据销毁应通过采用物理、化学方法直接销毁存储介质，以达到彻底的硬盘数据销毁目的，避免通过各类手段还原数据。

4、结束语

数据安全体系建设是一项需要综合数据分级分类、加解密、脱敏、数据防泄漏等多种技术融合的工程，医疗行业作为承载大量医疗健康数据及敏感个人信息的行业，更需要结合行业特点进行针对性设计和落实，是一个需要各部门密切配合的持久性工作。本文立足于医疗行业数据安全现状和发展趋势，分析了目前医疗卫生机构面临的挑战，采用预防性建设为主、检测响应为辅的思路，以数据为中心设计了覆盖医疗数据全生命周期安全的防护体系，形成数据安全保障闭环，有效防止医疗数据泄露、篡改等事件发生，实现医疗数据的安全可控。

参考文献:

[1]余晓晖.加快提升数字中国建设的整体性､系统性､协同性——《数字中国建设整体布局规划》解读[J].互联网天地,2023(04):10-13.

[2]关于印发医疗卫生机构网络安全管理办法的通知[J].中华人民共和国国家卫生健康委员会公报,2022(08):42-46.

[3]汪文张,李筱涵.数据资产化的理论基础及实现形式研究[J].当代经济研究,2022(12):40-50.

[4]王月兵,覃锦端,刘隽良,等.医疗行业数据安全治理框架研究[C]//杭州市数据资源管理局.2022年西湖论剑·网络安全大会——数字城市安全治理论坛论文集.信息安全硏究杂志社,2022:35-38.

[5]田晓华,陈涛,郭睿,等.个人信息保护合规标准实践[J].信息技术与标准化,2022(05):223-227.

[6]叶竹盛,刘婉君.医疗科研中的生物医疗数据“匿名化”问题研究[J].医学与法学,2023,15(04):44-53.

[7]刘忻,李韵宜,王淼.一种基于机密计算的联邦学习节点轻量级身份认证协议[J].信息网络安全,2022,22(07):37-45.

[8]凡航,徐葳,范晓昱,等.隐私计算在新型电力系统中的应用分析与展望[J/OL].电力系统自动化:1-13[2023-09-28].

文章来源:邓巍伟,关林宝,张超,等.新形势下医疗数据安全体系的研究[J].网络安全技术与应用,2024(06):76-78.