关键领域数据安全建设观察——医疗卫生领域

作为我国基础民生领域，医疗卫生涵盖了医院、制药、器械、健康管理等一系列相关领域，“互联网+医疗”等新兴业态的快速兴起，医疗数据大规模增加，数据的流动性也得到空前提高。

到2025年，初步建设形成统一权威、互联互通的全民健康信息平台支撑保障体系，基本实现公立医疗卫生机构与全民健康信息平台联通全覆盖，加速推进高速泛在、云网融合、智能敏捷、集约共享、安全可控的全民健康信息化基础设施建设。

《“十四五”全民健康信息化规划》

医疗数据来源于人，同时，医嘱处方、医疗器械等都把人作为处理对象，因此，医疗数据的价值密度成为其最大的安全特征。这种高价值不同于其他行业由数据规模而聚合起来的价值，医疗领域的单条数据价值就足够大。

个人医疗数据因涉及私人身体或精神健康状况，关乎个人隐私、生命安全，群体医疗数据可分析疾病趋势、药物研发、人群基因等，更关乎公众福祉，蕴含商业价值，事关国家安全。

在巨大经济利益及政治诉求的驱动下，医疗数据成为被非法盗取、破坏、交易的重要资源，相关安全事件不绝于耳。

就在昨日（12月12日），演员周海媚工作室对外发布讣告，随后疑似其电子病历在网络流传，并记载了个人资料、就诊时间等相关信息，医院回应不确定是本院流出的病历，正在调查中。近日，全球医疗器械巨头LivaNova遭到LockBit勒索组织攻击，2.2TB的敏感数据包括产品和软件规格、全球办事处员工信息、财务文件、客户数据、电子邮件、专利详细信息和其他机密商业信息等面临泄露风险。

医疗领域是勒索软件攻击的重灾区，欧盟网络安全局第三季度的最新报告指出，在医疗领域遭遇的网络安全威胁中，勒索软件最为普遍，占比达54%。该报告进一步披露，近一半（46%）的网络安全事件旨在窃取或泄露医疗机构数据。

通过安全419与业界的沟通了解，除勒索攻击外，社会工程学攻击、医疗设备安全漏洞入侵、APT攻击、内部人员违规泄露共同构成医疗数据面临的主要风险。

主管部门高度重视医疗数据安全的建设与监管，在《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》搭建的整体框架下，近年来已出台多部配套的政策条例及标准来保障相关法律法规的落地实施，指导医疗领域提升数据安全能力。

数安法实施的2021年，首部完全针对健康医疗数据安全的标准《信息安全技术 健康医疗数据安全指南》发布，制定了医疗数据分类分级体系、使用披露原则、安全措施要点以及典型场景。

2022年，医疗领域首部安全管理制度《医疗卫生机构网络安全管理办法》出台，数据安全管理单独成章，规范数据从采集到销毁全域全流程活动的安全要求。

前文提到的《“十四五”全民健康信息化规划》亦在2022年出台，以“夯实网络与数据安全保障体系”专章明确了新时期医疗数据安全的目标和准线，并优先开展“数据安全能力提升行动”，推动全民健康信息化向数字健康迈进。

“十四五”全民健康信息化规划明确数据安全要求

各省、市近两年已陆续出台地区数据条例，梳理本地区的数据资源目录，规范数据的分类管理和分级防护。

地方医疗主管机构步伐紧跟，《深圳市卫生健康数据管理办法》于2023年12月发布，结合深圳实际对医疗数据分类处理、分级授权、共享调阅等进行规范，加强医疗数据处理的全流程管理。

2023年8月实施的苏州市地方标准《医疗机构数据安全管理规范》，以苏州典型医院的信息系统作为标准制定的对象目标，将医疗机构数据安全管理进行了更深层次的细化。

福州、上海、山东、四川和江苏此前也纷纷根据实际情况出台本地区的医疗安全法规。

再结合医疗领域数据安全的建设现状，我们发现，如今监管的重点方向也恰恰是众多医疗机构在数字化转型进程中面临的难点与需求所在，总的来说，也正是新生威胁的严峻与变化之处。

下面，我们选取几个比较具体、典型的场景需求作出观察，并佐以实践案例提供安全建设参考。

医疗机构的业务系统数量庞大，以普通三级医院为例，其可能拥有包括医院信息系统（HIS）、实验室信息管理系统（LIS）、医学影像存档与通信系统（PACS）等在内的上百套医疗业务系统。

终端涉及多个分院、科室，直达不同角色的医护人员，可以直接访问存放核心医患数据的数据资产，这样的业务属性决定了核心数据暴露面极大。

为了保证业务系统的正常运行，底层的数据库软件需要开放繁杂的接口供相关业务系统调用，业务连续性占优先，大部分数据库无法及时更新或不能更新补丁，导致普遍存在较多数据库漏洞。

而且这些系统和数据库通常由HIS厂家等第三方人员驻场运维和管理，特权账户缺乏有效管控，或者无法对访问账户进行细颗粒度的控制，误操作、敏感数据泄漏等高风险事件难以避免。

这是医疗机构步入数字化时期普遍面临的困境，数据库的安全防护亟待升级。我们从安恒信息了解到，有效的解决方案需要兼顾内防外御，保障数据库准入、访问控制、攻击防护、动态脱敏、运维审批等多种功能。

其分享了某医院客户的相关实践，在该医院的数据库安全建设中，采用了两台安恒AiGate数据库安全网关系统，一台采用旁路阻断模式部署在业务侧，一台采用反向代理模式部署在运维侧。设备部署上线后，所有访问数据库的流量均需要通过网关策略后才能放行，业务侧结合数据库隐身与虚拟补丁技术防护数据库漏洞，并同时在业务侧配置策略禁止运维侧人员身份访问，统一了访问入口。同时，在运维侧通过反向代理收紧数据库访问入口，减少运维侧数据库暴露面，同时通过精细化授权管控用户访问行为。

可以看到，除了解决前述的数据库脆弱性风险，还通过数据库精细化访问控制、数据库“隐身”、虚拟补丁实现了数据库安全的高效管理和对业务零影响的有效保障。

医疗机构数据中心已经逐步实现了数据大集中，数据中心要求其核心业务系统7*24小时不间断运行。

快速增加的多种多样的新业务，错综复杂的数据结构，日益升级的系统、数据安全要求，给数据中心的IT系统带来巨大压力，加上勒索软件攻击等威胁叠加，如何保证核心系统在任何情况下，包括发生灾难时，安全可靠与万无一失，是医疗机构面临的重要问题。

行业监管要求各医疗卫生机构应加强业务连续性管理并持续监测网络运行状态，对于第三级及以上的网络应加强保障关键链路、关键设备冗余备份，有条件的医疗卫生机构应建立应用级容灾备份，防止关键业务中断。

面对上述合规与实际安全的双重需求，主管部门也对医疗机构提出“重要信息系统需定期进行演练”的要求。我们从美创科技了解到，数据级容灾演练是验证容灾可用性、流程有效性的有效手段，同时将提高故障事故应急处理水平。

以某三级甲等中医医院10月进行的一次跨院区容灾演练为例，该医院提前通过美创DRCC灾备一体化平台编制了各种场景的灾备应急预案，演练当天，EMR数据库容灾演练预案评估通过后，执行小组通过DRCC一键启动EMR数据库RAC到单机的切换，总耗时2分2秒顺利完成容灾演练。在电子病历业务验证无异常并稳定运行一个小时后，执行小组通过DRCC顺利完成EMR数据库的一键容灾演练回切，仅耗时1分22秒。演练结束后，平台自动生成了此次正切、回切过程的详细演练报告，为记录存档和事后追溯提供有效依据。

据介绍，此次演练应用的平台DRCC将灾备建设所需的灾备运营管控能力以及容灾备份能力（包括：数据库同步、应用版本同步、海量文件同步、主机同步、数据备份）“ALL in ONE”，提供日常监控、预案评估、容灾演练、一键切换等功能，充分满足用户一站式灾备运营诉求，保障演练场景和灾难场景下的敢切和快切，真正做到灾备能力可订购、灾备状态可感知、灾备演练可掌控、灾难切换可指挥，保障业务RPO/RTO目标。

除了基础设施的安全建设，医疗机构还需要为医患人员提供商业网络使用环境。身份认证与访问控制是基础措施，随着网络环境、人员角色、终端设备、访问应用逐渐趋于移动化和复杂多变，导致身份管理成为数据泄露的一大敞口。

行业监管要求完善医疗领域商用密码应用体系，建设各类医疗卫生机构、人员和患者可信数字身份管理系统，实现医患可信身份电子认证和电子签名，保证访问、处理数据的用户身份真实，确保网络行为可管、可控、可溯源。完善医疗领域电子认证服务体系，实现电子认证服务跨区域互信互认。

宁盾对此分析到，身份与终端是核心的两大安全方向，其提出将统一身份管理平台作为安全基础设施为上层应用提供技术支撑。产品组成上从双因素认证扩展到网络设备AAA、有线无线网络认证、终端准入及单点登录，以此形成一体化身份认证与终端安全合规能力体系，为医疗用户提供动态令牌加固、有线/无线身份认证、敏捷准入控制、统一门户管理等综合功能。

其为我们介绍了上海市某三级医院的多场景联合认证方案实践，全场景一体化身份认证，满足移动化办公及有线无线网络、数据中心基础设施统一身份认证需求；统一对接AD账号源，为Citrix、堡垒机用户派发宁盾令牌，在账号密码的基础上增加动态密码提升员工认证安全；多分支有线无线网络统一身份，多认证方式满足员工、病患及坐客教授的统一认证需求；联动上网行为审计，满足82号令实名认证与实名审计需求；提供国密资质证书，满足等保及护网对供应商资质审核要求。

当然，医疗领域的数据安全建设不止于上述场景与需求，医疗领域的数字化征程也不止于简单的数据互联互通或数字基础设施构建，欢迎更多在医疗数据安全领域具有前瞻思考和成功实践的甲乙方与我们交流，为业界呈现丰富且有益的建设参考。

可以预见的是，医疗数据的量级和流动频率只增不减，数据安全管理和标准体系将持续健全细化，我们需要持续提升医疗数据安全责任意识，围绕数据全生命周期打造技术落地安全策略，建立常态化、规范化数据安全工作机制，努力实现全民健康数字化建设更高质量与更为安全的发展新局面。