近年来，移动互联网、物联网、大数据等新一代信息技术广泛应用于医疗行业，越来越多的传统医疗机构开始探索建设互联网医院与智慧医院。行业快速转型的同时也引发了大量的数据风险，使得医疗行业面临更为严峻的安全形势。我国自2017年网络安全领域的基础性法律《网络安全法》实施以来，对于信息安全的保护正式由行政法规上升到了法律层面，系列配套的法律法规逐渐实施，形成了极具协调性、整体性及可行性的网络安全保护法律体系。2019年12月，公安部正式《信息安全技术网络安全等级保护基本要求》安全等级保护制度相关的系列国家标准，数据安全是等保2.0建设的核心内容之一，对数据库的审计、访问控制、加密都有更明确的要求，从原来的单一性要求变成了事前、事中、事后的整体性防范，不仅要做好审计，还要在出现问题的事后可以溯源，从而更加有效地保护等级保护对象。本文通过对医疗机构数据安全现状的分析，挖掘和锁定安全风险来源。在此基础上，对医疗机构数据安全管理全流程提出合理化建议。

1医疗机构数据安全现状

医疗机构的数据包括患者及医生的个人隐私数据（姓名、身份证号、电话等）、患者的诊疗记录（检查、检验数据、病历数据等）、网络运维数据（医院网络安全结构，数据库密码等）、医院的运营数据（如医疗收入、质控数据、科研数据等），数据流向示意图如图1所示，传统医疗机构对于数据安全及数据隐私保护不够重视，普遍做法是在网络中增加部分防火墙及入侵防御等安全设备，没有完整的数据安全保护管理体系，而数据安全存在于数据生命周期中的各个方面，从数据的产生、到数据的利用，到最后数据的销毁，都有可能发生数据泄露及侵犯隐私事件，对于数据安全的保护工作应从管理与技术两个方面入手。

2数据安全风险

数据安全风险存在于医疗机构数据流转中的各个环节，从数据的产生到数据的利用，均存在一定程度的问题，如技术漏洞、物理故障、恶意攻击等。而近年来的互联网及智慧医院信息化的建设过程中，网络安全结构的调整并没有紧跟业务调整的步伐，医疗数据泄漏风险大大增加。主要的风险节点如下：

2.1物理风险

物理风险主要包括基础设施风险与网络安全风险，医疗机构的信息基础设置主要机房环境，服务器，用户终端，光纤电缆线路，网络设备等，这些设备存在损坏、盗窃，火灾、供电等安全风险。网络安全风险，主要包括医院网络安全结构风险，以及安全设备，安全策略等遭受网络攻击的风险，具体包括低级别访问控制、恶意代码攻击、拒绝服务、入侵、窃取、篡改、盗用、勒索、泄露等高风险隐患。而互联网医院与智慧医院的建设使得原本处于物理隔离的医院内部信息系统暴露在互联网上，打通了内外网，实现了数据实时交互。这无疑拓宽了医院的网络边界，增加了遭受攻击的风险点。

2.2管理风险

管理风险主要是指医疗机构由于网络安全管理制度不完善，风险责任不到位，风险意识淡薄，审核机制不完善，部分医疗机构从业人员对账号密码管理不重视，对于侵犯患者隐私的行为无意识，从而导致医疗机构数据被动泄露，患者的诊疗数据被一些个人或企业恶意窃取，造成用户信息滥用。

2.3医院信息系统风险

医疗机构开展互联网信息化建设后，必须对互联网医院的整体架构做好规划设计，因为在互联网上，医生、患者、监管平台、第三方都要通过院内数据平台实现信息交互。在这种架构下的数据采集、数据处理与分析、人机交互，以及各类应用程序编程接口（API）加剧了系统本身的安全风险。

2.4信息系统运维风险

信息系统的运维管理是主要包括硬件、网络运维管理，软件故障处理，需求变更、系统巡检等，运维风险包括技术风险、管理风险及沟通风险，运维人员与用户、管理者必须紧密配合，方能保障医疗机构信息系统的正常运转。而互联网医院的建设加大了运维的复杂程度及工作量，从而影响系统正常运行。

3信息安全应对措施

3.1落实信息安全制度、建立安全防护体系

相关部门近年来出台的《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》对数据安全的制度、保护义务、法律责任、处理范围、处理规则，以及个人信息保护部门的职责进行了明确说明。而网络安全等级保护2.0对数据安全提出了明确要求，主要包括以下几个方面：

（1）数据库访问控制。

（2）数据库安全审计。

（3）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

（4）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。以上这些法律法规及行为规范，共同构成医疗机构数据安全的基本框架，医疗机构应当基于以上安全框架建立信息安全管理制度，对数据进行从数据产生、存储、加工到数据利用、数据销毁的全生命周期的管理，成立医院信息安全管理小组，建立网络安全管理制度，数据库操作规范，用户权限管理制度，数据保密管理制度，网络安全应急预案，第三方平台接入规范，数据拷贝管理制度等基本安全制度，并设立系统管理员，数据库管理员等岗位，确保制度责任到人。

3.2加强物理安全防范

按照等保2.0的要求，增加数据库审计、日志审计等安全设备，合理划分互联网区、DMZ区，内网安全区，明确区域边界，运用网闸等安全设备，隔离安全区与非安全区，网络拓扑图可参考图2设计。图2网络拓扑图

3.3合理设置网络安全策略

根据医院网络区域的划分情况，在不同的区域中配备不同的安全策略，在内网核心业务区要做好边界防护、访问控制、入侵检测和安全审计，在安全管理区要布置最为严格的访问控制策略和入侵检测手段，在区域内部也要配置合理的安全策略，例如在内网要配置合理的VLAN划分策略，合理的IP地址划分，与访问策略，以及密码安全性策略。常见的访问控制策略包括自主访问DAC、强制访问控制策略MAC、基于角色的访问控制RBAC和基于属性加密的访问控制。一般建议采用MAC，并结合访问控制的“最小特权原则”来对医疗数据进行更好的保护。系统将强制主体服从访问控制策略，一个主体只有通过强制性访问限制检查后，才能访问其客体，所以MAC提供了一个不可逾越的、更强的安全保护层，以防范偶然或故意地造成医疗数据危害。“最小特权原则”是从访问控制安全策略原则上进行分析，尤其在医院主体操作时，按照实施主体所需权利的最小化原则进行分配，对医疗数据的操作以最大限度地限制主体实施授权行为，避免突发事件、误操作或越权操作等意外情况的发生，上述安全访问策略能够对医疗数据提供较好的保护，但也要考虑成本消耗，因此在实际操作时，需要根据自身情况灵活增减相应策略。

3.4权限管理策略

等保2.0要求：应授予管理用户所需的最小权限，实现管理用户的权限分离，针对数据库管理员、系统管理员等岗位权限设定，均需遵守以上原则，防止出现权力滥用的情况，而对于系统操作者，应根据角色不同，设定业务所需的最小权限，并根据访问数据内容的安全性进行分级管理。

3.5数据与销毁

医疗机构的数据以动态的形式存储在医疗机构的数据中心，医疗机构将采集到的数据经过加工，分析，提供给管理者，科研工作者、上报给政府部门时，必须采用静态脱敏与去标识化技术实现数据安全，同时针对数据销毁制定完善的管理制度，明确数据安全责任人，形成数据安全管理闭环。

3.6加强宣传培训，提高信息安全意识

国家每年都会举办网络安全周活动，对网络安全进行宣传，医疗机构也需要适时利用相关机会为从业人员及用户开展安全教育培训，不但要提升网络安全管理人员的安全意识，也要提高医院管理者与操作员及用户的安全意识，要确保互联网医院医疗质量安全和信息安全，可结合通过线上、线下的方式定期开展互联网信息安全培训。针对医护人员开展法律法规、规范操作等安全培训，针对医院技术人员开展网络安全关键技术、数据库操作规范等培训，加强医院信息系统安全防护；针对互联网医院供应商开展第三方接入规范、企业人员内网准入规范、企业人员数据使用规范等培训，防止数据泄露。

4结语

医疗机构数据量大，数据价值高，数据安全成为了医疗安全管理结构中不可或缺的一部分，而互联网的接入给医院的数据安全保护工作带来的新的挑战。近几年国家也出台了越来越多的法律法规，对数据安全提出了法律层面的规范，医疗机构作为数据制造者，数据利用者以及数安全责任的承担者，必须在某些方面先行一步，探索出一条切实可行的道路。本文从医疗机构数据安全管理的现状出发，梳理医疗机构在数据安全方面容易出现的风险点，并从管理与技术方面提出了应对策略。数据安全任重而道远，需要医疗机构、监管部门、患者共同努力，形成合力，方能降低数据安全风险，提升整体安全水平，为医疗健康行业的发展与医疗服务能力的提高形成有力的支持。

参考文献：

[1]中华人民共和国数据安全法[EB/OL].

[2]全国信息安全标准化技术委员会.GB/T39725-2020信息安全技术健康医疗数据安全指南[S].

[3]全国信息安全标准化技术委员会.GB/T22239-2019信息安全技术网络安全等级保护基本要求[S].

[4]李志强，康立军，王文翠.面向医疗信息的大数据安全管理策略探究[J].计算机安全，2014（4）：85-86．

[5]俞波，朱全，杭铸.医院网络信息安全问题与安全防护方案分析[J].信息系统工程，2017：68-68.

[6]赵汉青，罗杰，王志国.互联网医疗健康服务模式中的信息安全挑战[J].中国数字医学，2019，14（8）：92-93.

作者:牛玮刘虎则 单位:山西省中西医结合医院