美创科技首家互联网医院数据安全建设案例实践

news2025/1/18 7:04:04

互联网医院作为医疗服务模式创新发展的新产物，在各项配套政策支持下快速发展。然而，蓬勃之势下，无数双“暗夜之手”也在蠢蠢欲动，试图从中渔利，关乎患者隐私、种类繁多的医疗数据迎来愈加严峻的安全挑战。

某市中心医院，是一所集医、教、研为一体的综合性三甲医院，其重症医学科、心血管内科、神经内外科等不少重点专科远近驰名，服务量和竞争力区域排行前三，在“中国省单医院竞争力100强名单”位居前列。

身处医疗资源林立的省会城市，近年来，该医院也积极拥抱数字化，加快推动互联网+信息新技术与医疗卫生领域深度融合，赋能医院高质量发展。

2018年，成为省唯一一家荣获“A级数字化医院”称号的市级单位；
2020年，顺利通过国家电子病历系统功能应用五级评审，是全省当年唯一通过五级评审的医疗机构。

2021年，作为全市首家通过审批的互联网医院，揭牌成立，涵盖包括线上诊疗服务、一键式综合服务与远程医疗服务等三大服务体系，患者使用一部手机即可走遍就医流程。

数据走出“院墙”，两大风险凸显

互联网医院的上线，打破“院墙”，极大便利了患者就医流程和效率。

但同时，互联网医院作为面向社会公众服务的信息系统，日常提供建卡、挂号、在线诊疗、缴费、查询报告等功能，与医院内核心业务系统（如HIS、电子病历等）具有频繁的数据交互，很多原来存储在内网的医疗业务数据不可避免地暴露在互联网上，面临的风险也随之凸显：

数据明文存储

互联网医院业务系统上的数据明文存储在数据库中，对于窃取数据的不法分子来说，可批量查询、导出数据，造成敏感数据泄露。

为应对这个风险，部分医院利用应用程序对数据进行加解密，但这种方式存在一定的弊端：影响应用程序性能，影响数据检索性能，无法做到细颗粒度的授权，算法固定不灵活等。

运维管理混乱

该医院IT系统复杂且种类在不断增加，导致运维管理环境更加复杂，来自不同背景的驻场外包、运维人员等使用的第三方设备可接触大量生产环境中真实数据。人员复杂，账户混用、设备繁多，因缺乏有效的身份鉴别机制和权限最小化机制，内部控制管理不到位，敏感数据和隐私信息内部泄露风险加剧。

数据安全“良方”，精准化解隐忧

数据共享和流通成为目前医院数字化发展的刚性需求，“安全”则是发展的第一原则。

《互联网医院管理办法（试行）》明确，互联网医院应建立数据访问控制信息系统，确保系统稳定和服务全程留痕，并与实体医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享，信息系统实施第三级信息安全等级保护。

《数据安全法》、《个人信息保护法》及医疗行业数据安全监管要求，医院对数据采集、传输、存储、处理、交换、销毁实施全周期管理。明确“最小、够用、知情”数据采集原则，利用国密算法加强存储加密，对数据进行分级分类管理，加强权限管控，逐级授权开放。对数据进行脱敏处理，建立数据安全审查制度，加强对科研等数据使用的监管。

结合互联网医院数据安全痛点与监管要求，该医院联手美创科技开展数据安全建设，捍卫线上就医安全命脉。

数据加密存储

业务系统零改造、解决数据明文存储泄露风险

通过部署数据库透明加密系统，在保障业务系统透明访问的前提下，对数据库中各类常用的数据类型进行加密，加密后的数据以密文形态存储，通过访问控制增强，防止非法身份明文访问，实现数据高度安全、应用完全透明、密文高效访问的目标。

由于黑客缺乏密钥，即使硬盘失窃或遗失也不会轻易造成敏感数据泄露。
为保证数据安全存储，实现数据安全访问，数据库透明加密系统支持SQLPLUS、PL/SQL Dev等SQL管理工具查询加密数据时的动态屏蔽（如：空行返回、星号替换、随机字符串、遮盖等），防止运维人员接触敏感数据。
多维身份访问权限控制，确保业务程序访问加密敏感数据时，只对已授权账户返回明文，对未授权的账户返回密文，防止未授权账户接触敏感数据。

值得一提的是，互联网医院业务每日有大量患者访问，连续性要求较高，需7×24h不间断运行。

美创数据库透明加密系统自研的“闪电加密”模式，加密互联网业务数据库过程中，无需改造业务程序代码，加解密流程对业务访问无影响；支持业务不停机加解密，加解密过程无需暂停业务；海量数据的快速高性能加解密，灵活适配于性能要求高、加密数据量庞大、上线时间窗口短等场景。

同时数据库透明加密系统可灵活选择基于重要资产的表、列细粒度加密，包含数据库的重要日志文件、备份文件、索引数据等相关数据加密；兼容多种国密算法（如：SM4），以及多种国际标准算法（如：3DES、AES128、AES192、AES256等），具备《商用密码产品认证证书》，通过存储层重要数据机密性和完整性功能，满足医院未来密评的要求。

数据动态脱敏

基于身份权限实时脱敏，确保运维访问安全可控

为防止运维人员接触敏感数据，在运维人员通过运维工具访问敏感数据时，通过部署敏感数据动态脱敏系统，通过身份准入控制、敏感数据访问权限管理、去隐私化策略配置、风险告警、审计溯源等功能，对不同运维人员进行细粒度权限管控和针对性脱敏策略的制定，确保在运维域业务应用人员的职责分立基础上，对数据库访问行为进行实时告警与阻断、事件追溯。

敏感数据动态脱敏系统内置丰富敏感数据发现规则，结合机器学习等技术实现高效、精准、一键式的敏感数据发现，在持续发现新敏感数据的前提下，大大释放人为配置工作量。
基于丰富脱敏算法和灵活脱敏策略，根据用户的身份、访问的数据库对象，对不同授权的用户可实时返回部分遮盖、全部遮盖以及其他脱敏算法得到的结果，同时用户可根据自身的数据特征和政策合规、应用系统等需要，定义专门的脱敏算法。
无需对应用系统进行改造、无需修改数据库及存储数据，即可实现数据动态脱敏，降低人员开发成本。
高性能、高稳定性满足实时脱敏需求，有效减少查询结果返回延迟，实时同步脱敏结果，日常业务不受影响。