导读

解决医疗机构“临床业务数据合规流动”与“重要数据安全防护”两大难题。

2023年11月11日，在2023年南湖HIT论坛上，HIT专家网联合杭州美创科技股份有限公司（以下简称美创科技）发布《医疗数据安全风险分析及防范实践》白皮书2023年最新版。白皮书回顾了2022年医疗行业数字安全和网络安全的整体发展情况，为目前面临的重难点问题提供解决思路并展示了实践案例。

美创科技资深技术专家葛宏彬介绍，美创科技提供数据分类分级、数据流动风险评估、数据安全运营管控、医疗数据合规安全等方面的支持，有效解决医疗机构“临床业务数据合规流动”与“重要数据安全防护”两大难题，为医疗机构免除数字化转型过程中的安全之忧。

杭州美创科技股份有限公司资深技术专家葛宏彬

新需求：夯实数字化转型的数据安全基础

数字化转型是各行业降本增效的有效途径，特别是医疗行业，数字+医疗的服务模式不仅帮助医疗机构降低运营管理的成本和压力，还使医疗资源得到更高效的利用和调配。葛宏彬介绍，数字化转型带来的变化主要体现在三个方面：

第一，业务变化。系统的深度数字化带动业务走向互联网化，患者的线上咨询、问诊等需求逐步提升，医疗机构的业务数量和数据安全防护难度自然“水涨船高”。

第二，IT基础设施变化。医疗业务与数据成倍递增，加剧了IT基础设施的消耗，也对设施规模和质量提出了更高的要求。“以往医疗机构可能买几台服务器、几台交换机、一些存储设备来搭建基础设施，现在则要建造一个大的IT集群，投入十几台甚至上百台设备以支撑一个业务系统。”

第三，数据变化。医疗业务和设施规模扩大，系统从孤岛化到交互化、连结化，其数据的海量化、资产化是大势所趋。同时，大数据技术又催生了新的业务，数据资源被广泛应用于临床救治、管理分析和医学科研，医疗数据安全的重要性不言而喻。

从数据安全的角度来看，医院数字化转型带来了新的问题。“数据安全建设必须跟上医院数字化转型的步伐。”葛宏彬介绍，在以往的系统架构下，数据安全以管理好数据库为主，强调“边界安全”，为数据的网络出口打造一扇“安全门”；现今医疗数据成倍递增，安全维护的工作量变大了，且医疗数据流动性增强，在数据上云、系统运维或与其他机构合作过程中可能会“出域”，“长出腿来跑出门外”，传统IT架构下的数据安全防护措施存在失效的风险。

近几年，《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《关键信息基础设施安全保护条例》、《数据出境安全评估办法》等一系列法规相继发布，重点强调数据安全。医疗机构既要加强数据管控，又要响应法规、政策要求。同时，医疗机构数据的高价值和隐私性是黑客或非法组织关注的焦点，其对数据安全的干扰与威胁不容忽视。

新对策：围绕数据安全场景，提供美创解决方案

医疗行业数字化发展离不开数字安全建设，业务发展要以保障数据安全为前提。葛宏彬介绍，目前医疗机构的数据安全需求主要集中在“重要数据安全防护”和“医院等级评审相关的数据安全能力测评”两方面，需重点关注存量敏感数据管理风险和数据流动与共享风险。

首先，应对存量敏感数据管理风险。目前医疗机构主要存在八类数据安全隐患，涉及在线医疗数据、医联体访问数据、临床科研数据、医保数据、医疗设备维保数据、健康大数据中心数据、可穿戴健康设备数据和医疗健康App数据。“医疗数据一经泄露，无法挽回，因此数据安全更多地是在事前、事中两阶段进行保障。”葛宏彬分析，防止医疗数据泄露，需从管理人员权限和抵御外部攻击两方面入手。

一方面，为满足用户数据库安全运维管理需求，美创科技推出“数据库防水坝”产品，建立完善的访问记录和权限审批机制，解决共享账户责权不明、大权限账户导致的数据泄露等问题。美创科技还自主研发数据库安全审计系统，解析数据库协议，并对其中的SQL语句和语法进行提取、分析、还原对应行为，根据预先设置的策略进行告警提醒和实时记录，实现对数据库的全面监控和审计。

另一方面，加强数据库对外部攻击的防御能力，应对外部的SQL注入和勒索病毒攻击。葛宏彬介绍：“数据勒索造成的损失无法估量，可能导致医疗业务再也无法开展，甚至危及病患生命安全。因此数据安全不仅要防止泄露，还要防止篡改、防止黑客加密数据。”

对此，美创数据库防火墙对白名单之外的、符合SQL注入特征的可疑非法操作进行阻断，真正做到SQL危险操作的主动检测、预防、实时审计；美创诺亚防勒索系统主动防护已知和未知的勒索病毒，全面防范病毒攻击，确保信息系统的高可用性和数据安全性。

第二，关注医疗数据流动与共享风险。医疗行业数据具有数据量大、来源广泛、类型多样、存储复杂、实时性强的典型特征，具有极高的应用价值。美创科技提供流动临床数据脱敏、共享数据使用授权、数据利用安全评估以及上报数据追踪溯源等安全功能，有效解决医疗机构临床业务数据共享中存在的数据安全风险。针对回流数据、数据多节点泄露、API接口二次封装、涉疫数据安全销毁等安全风险细分场景，美创科技也为医疗机构提供相应的解决方案。

“美创科技提供的是搭建数据安全保障体系的能力。我们会综合考察医疗机构的情况，部署平台+产品，有针对性地解决不同场景下的安全问题。”葛宏彬介绍，美创科技结合政策法规背景和医疗机构自身需求，通过“摸家底”“识风险”“建体系”三个步骤，帮助医疗机构梳理数据资产，评估安全能力，打造全链路、全周期的数据安全监测与管控体系。

针对医疗机构等级评审过程中的数据安全评测需要，美创科技深入解读法律法规和重点业务系统的数据安全建设要求，对灾备集中管控平台（DRCC）、美创数据库透明加密、数据分类分级、数据库防水坝等安全产品进行调优，为用户提供不同场景、不同评审要求下有所区别的解决方案。此外，美创科技为医疗机构提供“密评”存储加密建设、涉疫数据安全保护、数据高铁建设、数据出境安全等方面的能力支持。

“美创科技是一家懂数据、懂安全的数据安全企业。从数据库、数据治理、数据资产转向数据安全的发展历程，使得美创科技对数据库有较为深入的了解，能够更好地对接医疗机构的需求。”葛宏彬介绍，美创科技已形成涵盖咨询服务、核心产品、数据安全运营服务的三大体系，赋能医疗行业客户总数超过5000家。美创科技将继续深耕数据安全领域，为医疗机构数字化转型和运营管理保驾护航