医院防统方系统事前预防机制构建策略

钟冰

摘要：医院信息化管理日益渗透到医疗工作的方方面面，仅依靠传统的规章制度要求院内职工谨守职业底线和数据库自身有限的审计功能管制第三方开发运维人员的不当运作，对防范患者医疗数据被非法获取，日渐显得捉襟见肘。为夯实医院的行风建设，同时执行好国家卫计委联合国家中医药管理局在2014年颁布的《关于加强医疗卫生机构统方管理的规定》，本文把统方的防御手段从依赖道德和法规约束跨越到数据安全层面进行解构，在技术角度关注如何杜绝相关风险方进入统方禁区。

关键词：防统方，数据安全，风险防范

【中图分类号】 R197.3 【文献标识码】 A      【文章编号】2107-2306（2022）07--01

为了紧跟“互联网+医疗健康”的潮流态势，计算机技术应用与医院发展、医学科技不断深化融合。随着医院信息化的迅猛发展，医疗水平得以进一步提高，但患者信息的高度集中，也使医疗行业面临核心数据泄露的风险逐渐增加，尤其是医药购销领域商业贿赂的问题尤为突出。在Verizon发布的《2020年数据泄露调查报告》中，医疗保障领域的数据泄露事件与2019年相比，大幅增加了304起，并且是内部恶意行为者数量最多的行业之一。因此只有在数据泄露事件中确立人在事前预防的主体地位，提高相关人员对数据相关业务的理解程度、信息安全意识和信息安全专业能力，除了健全相应的流程制度，还要对大型设备、医用耗材、临床药品的采购和使用在技术上进行有目的性的监控，才能最大程度的限制院内统方行为的发生。

1.触发统方的风险点分析

1.1权限未实现颗粒度管理

对数据库设置一个最高权限管理员账号属于基本的安全防护手段，但是对于运维开发人员来讲，会存在多人共用该账号的情况，而且在不同的人使用管理员账号操作时通常只能追踪到账号很难审查到个人，如果一旦出现数据安全事件，便无法追踪到具体使用人员。

1.2大权限账号滥用

医院内部业务操作人员、数据库管理人员、第三方运维开发人员等由于早期建设不重视权限最小化原则，会被赋予信息系统里的大权限账户。更甚者第三方的工程师流动性大、制约力弱，此类人员能够轻易接触到敏感数据，存在更高的数据泄露风险。

1.3真实数据使用失控

数据库管理员在进行数据库运维过程中无需查看表格里的真实数据，但数据库管理员都享有相应的访问权限。同时开发运维人员对表的增删改查等操作不能进行有效防范，比如运行select * from table语句就能看到所有的数据，无从精确控制。甚至于在数据共享和数据开发测试等场景下，采用真实数据进行操作，就会造成较严重数据失密。

1.4操作行为难追溯

若出现内部人员利用大权限账号，越权访问，高频访问等高危操作，就必须对数据库操作日志进行回溯，但数据库自带日志较占用自身资源易被删除，而且解读门槛高，导致真正利用日志进行行为溯源变得极其困难。

2. 针对统方操作的建设原则

2.1数据甄别原则

对海量的医疗数据进行筛查，明确保护目标，把敏感数据从普通业务数据中脱离出来进行独立管理。敏感数据发现完成后需要进行数据分级分类，确定数据重要性和敏感度，并有倾向性地采取安全防护措施，在保证数据安全的基础上促进数据开发共享。按照数据的重要程度进行划分，有助于对各人员权限进一步的细分，做到不同的数据访问有相应等级的安全操作。

2.2根据数据采集、数据存储、数据使用、数据共享开放过程中的不同功能和用途将数据使用和数据管理分离。采取“用管分离、分权而治”的原则。

2.3权限最小化原则

根据共享交换过程中的不同角色不同业务场景的账户权限分配需要满足最小化原则，确保数据主体仅被授予任务执行和完成工作所必需的权限。

2.4可溯性原则

进行全流程监管，实现数据的来源或泄露点可追溯，对泄露点进行溯源，明确责任。

2.5可控性原则

通过技术或管理手段，保證数据在共享交换活动的各个阶段是可控的。

3. 统方管控的的安全对策

3.1系统配置

防统方服务器通常是基于旁路流量镜像展开监控，需把防统方系统接连在医院网络的核心层交换机上，流向各个业务系统的数据经过交换机开放的一个数据镜像端口被防统方系统进行记录、解析和筛查。

3.2程序控制

通过对医院职工的数据调用行为、数据管理员的数据管理行为、软件运维商的调试行为的分析，对不同的人员角色进行合法性授权并采取多因子认证，确认行为对应到人（或定位到物理位置）后，需对用户的全部行为在统方规则里进行监测高危操作。如对于数据库、敏感数据表、列等对象不定期高频次检索，基于访问者的身份、使用工具、用户权限等要素发现未经授权的违规操作，需及时阻止非正常数据会话协同引发告警机制。但充分考虑实际应用的灵活性，当某些危险性操作或者需要访问敏感数据必须进行时，可提交临时授权工单，由监管员审批允许进行细粒度更改或设置白名单排除危害警告方可进行操作。最后依照用户的日常行为生成审计报告，分析医院的统方情况再施行管理或配置上的调整。

3.3存在问题

对医疗数据查探的伪装手段日新月异，而防统方系统规则的设定是根据过去的事件进行的规律总结，系统的方式识别更新是否能跟上窃取数据的技术发展，仍需业内进一步的验证。

4.研究目的

完善医院防统方系统事前预防的部署，实现对统方利益相关各方人员高危操作行为的分析，依据真实的感知数据，可驱动医院今后制定对应的有效决策，有目的性地部署管理，从而提升整体数据安全水平使。

参考文献：

[1]李海涛，杨洋，高世龙.防非法统方_从事后审计到事前预防[J].医学信息学杂志，2014，35 （11）：41-43.

[2]王俊新，李伟，尚明伟等.基于医院数据库审计的防统方系统思考与应用[J].中国数字医学，2019，14（7）：109-110.

[3]王蓓.医院信息系统防统方技术策略[J].信息与电脑，2015，（4）：61-62.

[4]许锐钗.从信息链上切断医药利益联系[N].健康报.2007-10-18（5）

[5]段晓伟.数字化转型下的人民银行金融数据安全体系建设[J].电子技术与软件工程.2021， （20）：239-240.

[6]唐彬，吴晓光.金融业大数据安全问题[J].中国金融.2017（23）：78.

[7]江传.医院信息系统数据安全威胁与防范机制的构建[J]. 中国新通信，2019（19）：132.

[8]费晓璐，李嘉，黄跃等.医疗大数据应用中的数据治理实践[J].中国卫生信息管理杂志，2018，15（5）：555-556.