薛万国：301医院医疗大数据安全的“八大技术防护手段”

自2016年上半年开始，医疗大数据骤然升温。6月下旬，《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》（国办发[2016]47号）的出台，是一个具有里程碑意义的标志性事件。其安全风险也与日俱增，如何实现医疗大数据的安全防控，听中国人民解放军总医院（301医院）医疗大数据中心主任薛万国讲述如何借助“八大技术防护手段”守卫医疗大数据的安全。

中国人民解放军总医院（301医院）医疗大数据中心主任薛万国

医疗大数据所面临的安全风险

薛万国主任重点强调，安全是医疗大数据的首要问题。目前，医疗行业所面临的安全风险日益增加，首先是医疗数据泄漏事件不断发生（回顾：1、2016年两百多名艾滋患者因信息泄漏而遭遇诈骗；2、2016年深圳多家医院万条产妇数据泄漏而遭遇推销；3、在过去几年“统方”等医疗数据滥用案例屡见不鲜等）。其次是大数据环境下安全风险及影响增大，随着数据的集中、量大等原因导致目标明显，泄漏后果更为严重。同时应用环境的多元化，泄露风险增加。而且泄露后果将涉及个人隐私、医院秘密，乃至国家机密。

面对如此严重的安全风险，薛万国主任指出，要坚持规范有序、安全可控是国家发展医疗大数据的基本原则。国办发[2016]47号文中指出，强化标准和安全体系建设，强化安全管理责任，妥善处理应用发展与保障安全的关系，增强安全技术支撑能力，有效保护个人隐私和信息安全。同时指出，面对医疗数据的“万无一失，一失万无的”的高要求，安全保护作为一个复杂的技术和管理问题，将成为医疗大数据的核心技术和首要问题。

在面对不同场景下医疗大数据，要把握其安全问题的特点。在区域卫生业务应用系统、区域卫生数据管理与再利用、医院数据中心业务数据管理、医院数据整合与再利用“四大场景”中拥有不同的安全特点，其中医院内部大数据的整合利用成为了关注的重点。

而针对医疗大数据使用主要有两种方式，一是通过对病例检索系统、患者随访系统、专病数据库系统等应用系统的使用，其安全防护的特点相对容易。二是“裸”数据访问服务，包含数据整合、数据预处理、数据分析建模、可视化等，其安全防护特点相对困难。面临的安全风险主要是隐私暴露、数据盗取、数据遗失和非法利用。同时安全防护既要防外（针对合作单位、外部厂商），又要防内（针对科室用户、技术人员）。薛万国主任强调，医疗行业的数据和其他行业不太一样，大部分医疗数据不会放在网络上，所以对内防控更为重要。

会上，薛万国主任指出在医疗大数据环境下的安全管理“四大难点”。

难点一：数据使用者多样化。

难点二：数据使用方式的多样化。

难点三：数据需求的多样化。

难点四：技术环境的多样化。

面对上述难点问题，医院要建立防护体系，其重点是数据安全。

医疗大数据的“八大技术防护手段”

通过301医院对医疗大数据安全防控的探索与实践，薛万国主任归纳了“八大技术防护手段”。

第一，建立集中化的平台与服务机制。建设统一的平台可改变可是各自为政的局面，将数据资源集中管理，可避免分散流失。处理能力统一提供，可减少脱机下载。数据安全统一防护，可降低安全风险。数据服务有序开展，可规范数据利用。

第二，去隐私，降低数据敏感度。其手段主要有去除或变化医疗数据中的患者识别信息、不同应用目的对患者识别信息有不同需求、将结构化数据直接替换。其中，对于文本数据，可将姓名、居住地等敏感信息进行隐藏，通过采用自然语言处理技术进行识别与替换。对于医学影像数据，DICOM影像中进行读取数据文件进行结构化替换，将模拟影像使用模版进行遮蔽。

第三，按资源需求授权分解安全风险。将数据资源“化整为零”，原始医疗数据拥有内容全、范围大，以及每个研究所需数据范围有限的特点。要为不同的专科、病种建立数据资源库。为每个临时研究抽取、建立数据资源库。按照独立的数据资源进行授权。

第四，虚拟桌面建立安全围墙。医院首选虚拟桌面，将数据处理部署于服务器上，杜绝数据从本地复制。其次是受控计算机，封锁USB端口、邮件等控制数据的复制。

第五，数据库审计追踪使用行为。面对数据访问随意性大，“控”比较困难，可见，数据利用“监”重于“控”，建设前置规定+事后审计，拥有灵活简便的特点。建立审计日志的安全分析成为关键。

第六，堡垒机实现运维监控。对运维操作的监管是数据安全的重要方面。应用堡垒机技术，实现对运维操作的记录与回放，以及对运维权限的统一管理。

第七，网络隔离划分安全区域。按照不同的安全等级划分网络和通过防火墙限制访问权限等网络层面进行管理权限。

第八，物理安全防止底层漏洞。物理安全是最基础的安全防护，其技术实现最简单，安全后果更严重，也最易被忽视。其防护的内容主要包括机房安全、机柜安全、服务器和网络连接等。

医疗大数据的保护制度的建立

在针对上述“八大技术手段”的落实之外，薛万国主任表示，制度管理要与防护技术相辅相承，人防与技防同等重要，但是离开管理，技术防护体系将会失效。要建立安全制度具有相当重要的作用，规范了能做什么，不能做什么，规定了工作职责和安全责任，以及如何做规范化路程，并规定了违规后的处罚办法。不仅如此，薛万国主任还强调了落实安全制度的重要性，要形成管理闭环，检查是否按照规定进行落实，要定期检查审计日志。

除了制度管理的建设，还要建立安全风险评估与持续改进机制。安全风险评估的建立要参照国家标准提出的“信息安全技术-信息安全风险评估规范”，结合医疗大数据应用方式特点，对数据资源分布、平台构成、数据利用过程等进行分析，对可能的威胁进行识别，提出针对性的防护措施。通过定期开展评估分析、发现漏洞及环境变化、提出改进措施建立持续改进的机制。最终实现安全与便利之间、风险与投入之间取得平衡。

最后，薛万国主任表示，数据安全是医院开展医疗大数据应用的基础性问题。医疗大数据具有用户类型复杂、访问权限随机、使用方式多样、技术多元化等特点，安全防护难度大。医疗大数据的安全管理需要针对其风险特点，多种技术并用，技术与管理并重，监、控、管相结合，实现方便应用与风险防控的统一，为医疗大数据利用保驾护航。

（本文根据2018年C3安全峰会上薛万国主任演讲速记整理）

文章来源：《中国数字医学》杂志社 孙杨

欢迎关注，CHINC服务号获取最新大会消息