1、新形势下医院数据安全治理应对实践CHIMA 201901020304CONTENTS0506医院简介医疗数据安全形势医疗数据安全现状医疗数据安全治理框架医疗数据安全实践措施总结及经验CHIMA 2019医院简介CHIMA 2019历史沿革4建立于1957年我国最早建立的以诊治心胸疾患为主的三级甲等专科医院1957年起作为卫生部指定的全国心胸外科进修基地2004年成为上海市红十字医院2005年成为上海交通大学附属医院2013年成为上海市专科医师规范化培训医院开放床位964张，设有12个临床科室、10个医技科室，22个病区，另设ICU、CCU全院职工1490余人，高级职称200余人2017年12月

2、15日60周年院庆CHIMA 2019医院成就5研制和应用我国第一架鼓泡式人工心肺机国内首创塑料无缝人造血管、毛绒型涤纶人造血管并应用于临床自主研制自动快速心血管造影换片机及二尖瓣扩张器、动脉导管钳闭器国内首例冠脉搭桥并行心脏瓣膜置换术世界首例非血缘供体、成人单侧肺叶移植术、双肺移植术国内首例达芬奇机器人辅助肺癌根治术、胸腺瘤、食管癌切除术国内第一株人体肺腺癌细胞株国内首创无线传输系统应用于床边摄片6个国内第一 1个世界首例以诊治心胸疾病为主，医院专科特色鲜明，在学界享有很高声誉，创造多个国内外的第一国家级卫生部临床重点专科心血管内科、胸外科、心脏大血管外科教育部重点学科心血管病学中医药管理局

3、“十二五”重点专科中西医结合肿瘤专业市级上海市首批医学领先专业胸心外科学、肺部肿瘤学上海市医学重点学科胸外科上海市肺部肿瘤临床医学中心上海市首批癌痛规范化治疗示范病房（肿瘤科）校局级上海交通大学呼吸疾病重点学科上海交通大学心房颤动诊治中心上海交通大学食管疾病诊治中心学科特色CHIMA 20196业务发展情况累计施行各类心脏介入逾万例，其中高难度的房颤消融数（900例/年）3254340936902559399650003

4、00035004000450050002000162017介入总数Cardiac Interventions电消融Ablation支架PTCA4869523759244934433749855326638783453585484685990200040006000800040002000162017胸心手术数Chest Surgery胸外手术Thoracic Surgery心外手术Heart Sur

5、gery2018年门急诊人次71.2万人次，出院人次7.4万人次2018年胸心手术数已超14000例，近5年平均增长14%/年年胸外手术量保持全市第一；胸外科机器人手术量及个人手术量居全国第一CHIMA 2019医疗数据安全形势CHIMA 20198费用导向以HIS为核心信息化建设数据导向以数据平台为核心信息化建设应用导向以电子病历为核心信息化建设智能导向现在人工智能成为热点历史回顾医院信息化建设发展CHIMA 20199以患者为核心的临床数据中心建设临床大数据中心建立智慧医疗体系建设当下的智慧医疗体系推进临床智能决策平台、科研数据挖掘分析、智能化个体给药人工智能的应用区域医疗、医联体建设、社

6、区胸痛中心建设、便民服务体系、数据互联互通互联网数据接入互联网、大数据、人工智能.CHIMA 201910业务的流程梳理及医院管理的梳理重构基于以患者为核心的临床大数据中心建设人工智能体系建设对医院业务支撑核心信息系统建设顶层设计模式规划上海市胸科医院logoIT服务部门技术紧密配合业务发展医院信息中心承担的职责切合度CHIMA 2019医疗信息泄露事件11全国范围勒索病毒事件影响范围：全国医疗信息机构032017年新生儿信息泄露影响范围：20万条新生儿信息黑客攻击导致疾控中心信息泄露影响范围：30个省275例022016年012015年医疗信息安全问题逐年提升面临的主要问题：数据泄密 病毒爆

7、发CHIMA 201912医疗行业网络安全事故频发2019年1月25日关于进一步严格落实本市卫生健康行业信息系统病毒防治工作的通知(沪卫计信息便函 20191号_)2019年1月25日关于转发上海市网络与信息安全信息通报中心关于防范境外“藏独”组织对我展开网络攻击的紧急通报的通知2019年1月29日关于本市卫生健康行业春节前期网络安全飞行检查情况的通报2019年1月31日关于转发市委网信办关于做好防范网络攻击的通知的通知2019年1月31日(沪卫计信息20192号_)关于进一步调整本市卫生健康行业重要信息系统等级范围的通知2019年2月27日关于转发市委网信办关于使用办公邮箱注册第三方平台存在

8、网络安全风险的预警通报的通知2019年2月28日关于进一步做好本市卫生健康行业2019年全国“两会”期间网络与信息安全保障工作的通知 沪卫计信息2019122019年3月07日关于进一步明确网络安全职能部门做好所辖信息系统归口管理工作的通知（沪卫计信息便函201916号）2019年3月15日关于防范勒索病毒的大规模传播的通告（网络与信息安全情况通报_专刊第3期20190311）2019年4月03日关于转发市委网信办关于进一步加强网络安全事件处置能力的通知（沪卫计信息便函201924号）2019年4月19日关于开展本市医疗机构内部大屏使用情况调研的通知（沪卫信息便函20193号）2019年5月3

9、0日关于向市反恐办上报防范网络恐怖袭击重点目标的通知（沪卫信息便函20198号）2019年6月03日关于进一步加强电子屏等宣传阵地管理的通知（沪卫办便函20197号）2019年6月28日关于做好国庆70周年本市卫生健康行业网络安全保障工作的通知（沪卫信息20195号）卫计委和网络与安全信息通报中心连续针对安全下文：1.扩大等保纳入范围2.明确信息系统归口管理部门3.加强定期检查和自查CHIMA 2019现代医疗信息化的数据安全问题13从典型案例分析面临的数据安全性问题的挑战大数据时代下新的系统架构对于数据安全的冲击新挑战数据库自身安全性老问题CHIMA 2019医疗数据安全现状CHIMA 20

10、1915医疗行业数据安全现状病案和药物成为数据泄露的核心内容美国Verizon数据泄露报告2018年（DBIR）医疗和金融是勒索病毒威胁的主要目标全行业的勒索病毒发展趋势图医疗是内部威胁大于外部威胁的行业全行业的勒索病毒发展趋势图特殊性-内部数据风险数据库和文档服务器患者单体数据价值CHIMA 201916医疗行业数据安全现状医疗数据的价值认识变迁：随着医疗数据价值的得到公认，医疗行业的数据安全问题日益凸显云驱动数据流动人的安全网络环境数据价值cloud 患者个人数据 患者社会关系 患者病案病史 医嘱和处方 药品和器械价格 医护人员信息 开放网络环境 半开放网络化境 互联网接入 手动操作 特权

11、账户 外部入侵 勒索病毒 临床数据中心 科研平台 后结构化平台 测序平台 互联互通需求 众多的业务交换 非受控环境 开放程度更高 CHIMA 2019胸科医院的数据平台建设现状17起始日期：2007年15,175,962条患者入出转224,271,634条医疗费用57,430条医疗主数据56,719,011条医嘱处方72,853,215条检验568,595,569条影像1,096,803条检查15,193,512条病历文书19,632条手术麻醉716,211条药房发药6,287,776条病理报告11,421,677条护理304,828条高值耗材346,708条临床药学11,421,677条体检

12、数据来源：15个方面数据总量：2.3TB影像数据：240TB15年在线CHIMA 2019医疗数据安全治理框架CHIMA 2019数据安全治理基本理念和治理框架19数据安全治理理念数据安全治理框架从数据隐私合规角度向市场提出隐私、保密和合规性数据治理方案国际研究机构进行数据治理专属领域研究提出CHIMA 2019数据安全治理理念（DSG体系）201.业务梳理，需求与风险/威胁/合规性之间的平衡2.绘制数据地图，确定数据优先级3.制定策略，硬件/传输加密，降低安全风险4.实行安全工具5.策略配置同步五个步骤：CHIMA 2019数据治理框架（DGPC框架）21基于隐私、保密、合规性框架进行数据安

13、全治理三个核心能力：三个标准：IT管理和控制框架（COBIT 5.0版本）ISO/IEC 27001/27002 支付卡行业数据安全标准（PCI DSS）人员DGPC框架：把数据安全相关组织分为战略层、战术层和操作层三个层次，每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南；流程DGPC认为，根据数据安全相关的法规、标准、政策和程序，使其制度化与流程化，以指导数据安全实践；技术数据安全差距分析表，分析与评估数据安全流程控制和技术控制存在的特定风险，围绕三要素建设：数据生命周期、四个技术领域、数据隐私和保密原则。CHIMA 2019数据治理框架（DGPC框架）22安全的基础架构

14、保护信息所需要的基础信息架构，保护计算机、存储设备、操作系统、应用程序的杀毒、网闸等等，黑客和内部人员窃取身份和访问控制采用微软域控访问技术，针对访问者的身份进行AD的域认证，确保服务器访问的合法性数据保护对于数据的持续保护及连续性备份机制，确保在整个生命周期内正确分类和保护机密数据。行为审计遵从行控制的系统管理，监控与自动化审计针对验证系统和数据访问进行识别和记录，及时识别可疑和不合规的行为 承诺按照法规进行数据处理，允许数据查询时接收监督。01.政策遵守原则 信息保护系统应增加保护措施，确保在极端情况下丢失数据的影响范围为最小。03.减少数据丢失影响原则 建设未经授权访问数据，以确保数据机

15、密性、完整性、可用性。02.授权访问数据原则 使用适用的机制进行访问监督，并证明审计日志的可靠性和有效性。04.审计监督合规性原则四个技术领域四个原则CHIMA 201923数据治理框架（DGPC框架）数据发现数据分类数据存储加密数据存储方式数据传输加密数据归档数据备份数据销毁数据收集数据存储数据应用数据传输数据备份数据销毁数据维护安全业务数据使用业务系统承载使用权限设置数据分级数据传输途径每个环节要求4个数据安全策略数据全生命周期管理CHIMA 2019医疗数据安全治理的实践措施CHIMA 20195.1 数据定义阶段25如何解决医生跨权开立医嘱和主任账号非本人使用情况下造成医疗安全性问题。

16、医疗数据开立溯源问题如何解决非本人使用客户端的安全性问题。客户端使用者认证问题如何解决电子病历文书的唯一性签名后归档，非法篡改病历造成的安全性问题医疗文书可信问题数据及时可得和人员往来的矛盾CHIMA 20195.1 数据收集阶段26（1）权限的分级管理新进员工实习人员CRC人员离退休人员医务部管理权限信息中心归档维护统一管理OA流程审批用户权限获取统一授权管理平台权限分发看似简单角色处方权手术分级权角色对应的权限WIFI账号登陆权院内邮箱跟踪可查CHIMA 20195.1 数据收集阶段27（2）防止无关用户操作-客户端用户下线保护销售人员患者及家属其他非认证人员20分钟无操作退出程序他人操作

17、电子医嘱系统电子病历系统.CHIMA 2019全院病历无纸化项目基于“移动手信签“数字签名28（3）医疗文书可信5.1 数据收集阶段CHIMA 2019数字签名目前效果 实现病区、医技科室无纸化 实现病案无纸化归档过去现在（3）医疗文书可信5.1 数据收集阶段29CHIMA 20195.1 数据收集阶段30（3）医疗文书可信认证授信认证中心CA医护人员患者数字验证系统统一时间戳管理系统文书归档系统手写数字签名系统可信数据电文管理系统HISLISRISPACS电子病历可信签名：医嘱、病历、麻醉记录单等病历文书CHIMA 2019植入类耗材知情同意书重症护理记录护理文书电子医嘱病历文书病程记录历史

18、纸质文书手术麻醉文书医技报告94种文书，12类使用角色，30多个应用场景，全流程、全场景、全角色无纸化建设全院无纸化建设应用31（3）医疗文书可信5.1 数据收集阶段CHIMA 20195.2 数据的存储32存储数据的物理安全性突发极端情况下的数据恢复“互联网+医疗”架构下，核心敏感数据的保护措施CHIMA 2019 全院共有7套网络，服务器及网络设备302 台，电脑及打印机1520 台。应用软件系统82个。主数据机房面积从2013年的30平米到如今170 平米。47 个机柜4 个冷通道。网络385.2 数据的存储CHIMA 2019 2019.4PACSCAWEBDMZHIS/CIS/LIS

19、PACS NASPACSPACSHIS/LIS/CISPACSVPNACPACSPACS网络395.2 数据的存储需求：智慧医疗的环境CHIMA 20195.2 数据的存储35（2）敏感数据加密存储患者ID账户余额738496789C9C9 4739920!&*&*a2 1789495A6#77C 第三方支付交易对账平台数据加密存储（DES加密字段）HIS加密数据平台对账第三方支付对账CHIMA 20195.2 数据的存储36（3）影像资料云存储DICOM影像资料云存储实现跨区域云上调阅30TCHIMA 20195.3 数据应用阶段37安全性审计如何追踪数据查询历史和事中预警院内数据使用流程特

20、权用户查询如何对医务部、绩效办、院办、门办、统计中心等科室使用数据或查询数据如何进行管理保证数据的合理应用，防止泄露，应对内部人员和外包厂商人员等特殊权限的角色数据应用调优如何对数据库的性能及访问效率进行优化处理CHIMA 20195.3 数据应用阶段38（1）数据调阅权限分配体系建立查询需求科室OA提交请求科主任审核信心中心审核信息中心工单分派查询审计（SQL监控）结果返回敏感数据院领导审核内部人员权限分配SQL语句监控大批量查询监控返回查询结果财务主任审核病案主任审核CHIMA 20195.3 数据应用阶段39（2）信息中心人员和项目驻场人员访问管理登录可信用户控制用户在指定时间指定地点用

21、指定设备访问应用可信来源防止绕过合法应用程序访问操作对象可信授信用户访问授信对象语句和结果可信控制访问SQL语句防止非法用户防止非法操作防止访问非法对象信息可追溯CHIMA 20195.3 数据应用阶段40（3）敏感特权用户，信任机构托管微信支付支付宝支付云闪付医院付款到个人开启权限控制银行权限托管非现金支付CHIMA 20195.3 数据应用阶段41（4）数据查询审查和大批量查询预警应用程序脚本查询数据库查询审计系统访问审计规则制定敏感数据查询（如药品）大批量查询（如返回1万行数据）非法IP查询（不在访问允许列表）允许禁止后台预警事前高危查询规则防范事中数据查询审计（用户、IP、查询语句、查

22、询结果）事后问题跟踪CHIMA 20195.3 数据应用阶段42（4）应用调优 应用调优是日常保证数据应用安全的重要环节！日常的异常，除了网络方面，大部分遇到的应用软件导致数据应用异常 重启数据库不是万能良药，安全隐患仍然存在 数据库的性能永远不会是线性增长CHIMA 20195.4 数据传输阶段上海市胸科医院4301如何解决外部云服务的隐私数据脱敏问题数据外部云服务互联措施02如何避免便民服务造成的数据泄露风险微信便民服务的数据分享风险03医院内外部网络安全架构实现内部网络安全防护策略04防御外部病毒和攻击的服务器加固如何实现服务器加固策略CHIMA 20195.4 数据传输阶段44（1）云

23、服务去隐私化（科研数据中心建设）院内业务科研中心云端服务CDR脱敏后到云端服务云端服务反推到院内科研数据中心院内科研从临床数据中心到科研数据中心提供数据时进行去隐私化处理CHIMA 20195.4 数据传输阶段45（2）限制外部调阅数据患者微信端集成医学影像云临床检查掌上医院便民服务检验、超声、内镜、心电、病理报告一键分享报告和影像信息云调阅规范改造敏感信息去隐私化（患者姓名、诊断医生等）影像链接分享3日自动失效CHIMA 20195.4 数据传输阶段46（3）硬件架构对数据攻击的抵御黑客客户端互联网用户Internet/IntranetFirewall防火墙端口扫描，Dos攻击、电子欺诈、入

24、侵检测、Web漏洞、网页防篡改、已知模式的攻击应用程序应用服务器Web服务器接口服务器业务数据库数据中心WAF系统1.防火墙Firewall防止DoS、DDoS、电子欺诈、端口扫描2.WAF、IDS/IPS 入侵检测防御漏洞及模式攻击3.网闸隔离内外网及核心网络路径4.趋势杀毒定期升级，清扫可能入侵的病毒院内硬件网络架构IDS/IPSCHIMA 20195.4 数据传输阶段47（4）服务器加固策略密码采用强密码策略，必须带有字母，数字、符号，指定最小长度，90天密码更新策略强密码访问策略根据服务器实际情况 禁用RemoteRegistry、Print Spooler、DHCP关闭高危服务定期备

25、份服务器核心数据，防止破坏发生后无法恢复的问题数据离线备份网闸隔离内外网，核心网段进行VLAN隔离网络隔离迁移核心数据，取消老式的系统试用共享服务架构，改为ESB服务调用取消文件共享和FTP访问关闭135、139、445、3389 等端口，只保留必要的端口，涉及修改软件，修改缓慢，梳理关闭高危端口*实施人员现场，开发工程师远程，要加强远程登陆管控，源地址限定为堡垒机地址、逃生地址。限制远程登录*核查服务器及更新杀毒软件至最新版本定期更新杀毒软件CHIMA 20195.5 数据备份&销毁阶段48数据备份隐患往往需要部署多个方案，才能覆盖复杂的IT环境，但投入成本高昂混合IT环境统一保护难海量数据

26、保护效率低下数据激增且重要性加强，传统方案难以满足核心业务数据快速恢复的SLA要求海量数据保护管理耗时耗力无法实时监控备份恢复任务运行状态，缺乏自适应和自优化数据历来是组织发展的命脉，尤其是在数字化时代，数据价值更加凸显威胁数据安全的因素，无处不在数据重要性提高IT环境从单纯物理环境，逐步向虚拟化、云环境过度，形成混合IT环境IT环境复杂化数据量激增，据预测2025年，全球数据量将达到163ZB数据量爆炸性增长趋势CHIMA 20195.5 数据的备份阶段49（1）数据备份每日0:00核心数据全量备份策略每日数据全量备份每15分钟进行数据差异备份，确保数据可恢复时间(RTO)小于15分钟每15

27、分钟差异备份备份数据每日移动设备保存，确保服务器数据安全异地数据备份保存双机双柜或联动复制技术不能解决误删除操作,硬件级支持恢复点的连续体，能够存取所有时间点上的数据硬件支持连续数据保护（CDP）CHIMA 20195.5 数据的备份阶段50（2）安全容灾异地灾备机房，两地两中心模式，本地加异地模式双机双柜 数据库事务全库复制，增量异地灾备 基于数据库事务复制数据页、索引页组织不一样，执行计划不一样意外点增多，需要投入精力运维 基于镜像异步复制运维人力成本少，数据库可以作查询用主备点表损坏同步发生数据安全是首位CHIMA 20195.5 数据的备份阶段51（3）定期灾难预演分析灾难分析灾难备份

28、需求备份需求成立灾难恢复专成立灾难恢复专门机构门机构制订灾难制订灾难备份方案备份方案实施灾难实施灾难备份方案备份方案制订灾难制订灾难恢复预案恢复预案保持灾备保持灾备系统永续系统永续运行运行灾难恢复：一旦数据的完整性受到损坏时采取有效的恢复手段，恢复被损坏的数据。CHIMA 20195.5 数据的销毁阶段52（4）淘汰设备的完全清理机制规范设备报废流程淘汰硬盘统一消磁消磁设备统一处理CHIMA 2019 领导的意识 信息部门的意识 临床的意识 厂商的意识数据安全是一个系统工程，建立从上到下安全意识606.经验和总结CHIMA 20196.经验和总结54 再多的投入也需要人的实施 再强的设备也需要人的监控 再好的制度也需要人的管理不可能永远不出差错CHIMA 2019感谢聆听CHIMA 2019