美创科技首家互联网医院数据安全建设案例实践

互联网医院作为医疗服务模式创新发展的新产物,在各项配套政策支持下快速发展。然而,蓬勃之势下,无数双“暗夜之手”也在蠢蠢欲动,试图从中渔利,关乎患者隐私、种类繁多的医疗数据迎来愈加严峻的安全挑战。

某市中心医院,是一所集医、教、研为一体的综合性三甲医院,其重症医学科、心血管内科、神经内外科等不少重点专科远近驰名,服务量和竞争力区域排行前三, 在“中国省单医院竞争力100强名单”位居前列。

身处医疗资源林立的省会城市,近年来,该医院也积极拥抱数字化,加快推动互联网+信息新技术与医疗卫生领域深度融合,赋能医院高质量发展。

2018年,成为省唯一一家荣获“A级数字化医院”称号的市级单位;

2020年,顺利通过国家电子病历系统功能应用五级评审,是全省当年唯一通过五级评审的医疗机构。

2021年,作为全市首家通过审批的互联网医院,揭牌成立,涵盖包括线上诊疗服务、一键式综合服务与远程医疗服务等三大服务体系,患者使用一部手机即可走遍就医流程。

01 数据走出“院墙”,两大风险凸显

互联网医院的上线,打破“院墙”,极大便利了患者就医流程和效率。

但同时,互联网医院作为面向社会公众服务的信息系统,日常提供建卡、挂号、在线诊疗、缴费、查询报告等功能,与医院内核心业务系统(如HIS、电子病历等)具有频繁的数据交互,很多原来存储在内网的医疗业务数据不可避免地暴露在互联网上,面临的风险也随之凸显:

数据明文存储

互联网医院业务系统上的数据明文存储在数据库中,对于窃取数据的不法分子来说,可批量查询、导出数据,造成敏感数据泄露。

为应对这个风险,部分医院利用应用程序对数据进行加解密,但这种方式存在一定的弊端:影响应用程序性能,影响数据检索性能,无法做到细颗粒度的授权,算法固定不灵活等。

运维管理混乱

该医院IT系统复杂且种类在不断增加,导致运维管理环境更加复杂,来自不同背景的驻场外包、运维人员等使用的第三方设备可接触大量生产环境中真实数据。人员复杂,账户混用、设备繁多,因缺乏有效的身份鉴别机制和权限最小化机制,内部控制管理不到位,敏感数据和隐私信息内部泄露风险加剧。

02 数据安全“良方”,精准化解隐忧

数据共享和流通成为目前医院数字化发展的刚性需求,“安全”则是发展的第一原则

《互联网医院管理办法(试行)》明确,互联网医院应建立数据访问控制信息系统,确保系统稳定和服务全程留痕,并与实体医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享,信息系统实施第三级信息安全等级保护。

《数据安全法》、《个人信息保护法》及医疗行业数据安全监管要求,医院对数据采集、传输、存储、处理、交换、销毁实施全周期管理。明确“最小、够用、知情”数据采集原则,利用国密算法加强存储加密,对数据进行分级分类管理,加强权限管控,逐级授权开放。对数据进行脱敏处理,建立数据安全审查制度,加强对科研等数据使用的监管。

结合互联网医院数据安全痛点与监管要求,该医院联手美创科技开展数据安全建设,捍卫线上就医安全命脉。

数据加密存储

业务系统零改造、解决数据明文存储泄露风险

通过部署数据库透明加密系统,在保障业务系统透明访问的前提下,对数据库中各类常用的数据类型进行加密,加密后数据以密文形态存储,通过访问控制增强,防止非法身份明文访问,实现数据高度安全、应用完全透明、密文高效访问的目标。

由于黑客缺乏密钥,即使硬盘失窃或遗失也不会轻易造成敏感数据泄露。

为保证数据安全存储,实现数据安全访问,数据库透明加密系统支持SQLPLUS、PL/SQL Dev等SQL管理工具查询加密数据时的动态屏蔽(如:空行返回、星号替换、随机字符串、遮盖等),防止运维人员接触敏感数据。

多维身份访问权限控制,确保业务程序访问加密敏感数据时,只对已授权账户返回明文,对未授权的账户返回密文,防止未授权账户接触敏感数据。

值得一提的是,互联网医院业务每日有大量患者访问,连续性要求较高,需7×24h不间断运行。

美创数据库透明加密系统自研的“闪电加密”模式,加密互联网业务数据库过程中,无需改造业务程序代码,加解密流程对业务访问无影响;支持业务不停机加解密,加解密过程无需暂停业务;海量数据的快速高性能加解密,灵活适配于性能要求高、加密数据量庞大、上线时间窗口短等场景。

同时数据库透明加密系统可灵活选择基于重要资产的表、列细粒度加密,包含数据库的重要日志文件、备份文件、索引数据等相关数据加密;兼容多种国密算法(如:SM4),以及多种国际标准算法(如:3DES、AES128、AES192、AES256 等),具备《商用密码产品认证证书》 ,通过存储层重要数据机密性和完整性功能,满足医院未来密评的要求。

数据动态脱敏

基于身份权限实时脱敏,确保运维访问安全可控

为防止运维人员接触敏感数据,在运维人员通过运维工具访问敏感数据时,通过部署敏感数据动态脱敏系统,通过身份准入控制、敏感数据访问权限管理、去隐私化策略配置、风险告警、审计溯源等功能,对不同运维人员进行细粒度权限管控和针对性脱敏策略的制定,确保在运维域业务应用人员的职责分立基础上,对数据库访问行为进行实时告警与阻断、事件追溯。

敏感数据动态脱敏系统内置丰富敏感数据发现规则,结合机器学习等技术实现高效、精准、一键式的敏感数据发现,在持续发现新敏感数据的前提下,大大释放人为配置工作量。

基于丰富脱敏算法和灵活脱敏策略,根据用户的身份、访问的数据库对象,对不同授权的用户可实时返回部分遮盖、全部遮盖以及其他脱敏算法得到的结果,同时用户可根据自身的数据特征和政策合规、应用系统等需要,定义专门的脱敏算法。

无需对应用系统进行改造、无需修改数据库及存储数据,即可实现数据动态脱敏,降低人员开发成本。

高性能、高稳定性满足实时脱敏需求,有效减少查询结果返回延迟,实时同步脱敏结果,日常业务不受影响。

医疗,民生之需,民生之急,是保障人民生命财产安全的“定盘星”,其业务和数据更是具有特殊价值,面对“伺机而动”的各类威胁暗涌,守护数据安全更需认清风险,精准施策。

此次美创科技以数据库透明加密、敏感数据动态脱敏系统为核心的解决方案,帮助用户落实国家相关政策和法律法规要求,在保障数据安全使用的同时,降低互联网医院存在的数据安全隐患,提高数据安全威胁防护水平。