文|龚磊

2021 年 6 月 10 日，我国《数据安全法》颁布，并于 2021 年 9 月 1 日正式施行，作为数据领域的纲领性和基础性法律，以准确定义数据、数据处理、数据安全为出发点，提出解决数据全生命周期中的数据安全问题，达到数据开发利用、产业发展和数据安全相互促进的目标。重新改写了数据安全的定义，标志着数据安全新时代的到来。法律明确提出了卫生健康主管部门承担本行业、本领域数据安全监管职责。要求医疗行业应根据相关要求建立数据分类分级管理制度，建立重要数据目录，并进行重点防护，建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警、应急处置机制。

2021 年 11 月，《个人信息保护法》在我国正式施行，构建起完整的个人信息保护框架，采取分级保护制度，进一步细化、完善个人信息处理活动人的权利，及处理者的原则、要求和义务。

医疗行业数据安全建设背景

除了法律层面上的两大基础性法律，国家层面、行业和地方层面对医疗数据安全建设均有明确要求。

一、国家相关法规

2020 年 3 月 1 日，全国信息安全标准化技术委员会正式提出《信息安全技术—数据安全能力成熟度模型》国家标准，给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。

2021 年 3 月 1 日，在我国“十四五”规划中，明确提出要加快数字化发展，建设数字中国。数据安全和个人信息保护是推进数字产业化、产业数字化以及发展数字经济的重要支撑。

2021 年 9 月 1 日，《关键信息基础设施安全保护条例》正式发布，在《中华人民共和国网络安全法》确立的制度框架下，细化相关制度措施。明确运营者应履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。

2021 年 11 月 14 日，《网络数据安全管理条例（征求意见稿）》发布，明确建立数据分类分级保护制度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。明确对数据处理者的一般规定，和涉及个人信息、重要数据及数据跨境时的要求；明确互联网平台运营者的义务；明确国家部门的监督管理责任和内容；明确法律责任和处罚制度。

二、行业及地方要求

卫健委：

2018 年 9 月推出《国家健康医疗大数据标准、安全和服务管理办法（试行）》明确建立健全健康医疗大数据安全管理人才培养机制，建立健康医疗大数据安全监测和 预警系统，开展数据安全规范和技术规范的研究工作，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度等。

2019 年 3 月推出《关于落实卫生健康行业网络信息与数据安全责任的通知》，进一步明确和落实网络信息与数据安全责任，建立健全网络信息与数据安全工作领导责任制。

2019 年 4 月推出《关于印发全国基层医疗卫生机构信息化建设标准与规范》，规范了基层医疗卫生机构信息化建设的主要应用内容和建设要求，明确数据防泄漏、数 据备份与恢复等具体内容和要求。

2020 年 9 月提出《关于加强全民健康信息标准化体系建设的意见》，强化数据安全标准研制。围绕大数据应用和数据联通共享的安全需求，从个人信息安全、 重要数据安全、跨境数据安全三个方面，研究编制数据分类分级、数据脱敏、去标识化、 数据跨境、风险评估等标准。

2022 年 10 月，卫健委规划司提出《卫生健康行业数据分类分级指南（征求意见稿》，在国家数据安全工作机制协调办公室指引建议下进一步明确了医疗行业的数据分类分级相关要求。

医保局：

2021 年 4 月提出《关于加强网络安全和数据保护工作的指导意见》，要求加强数据安全保护，实施数据全生命周期安全管理，实施分级分类管理，加强重要 数据和敏感字段保护，强化数据安全审批管理，落实数据安全权限，推动数据安全共享和使用，建立健全数据安全风险评估机制等。

2021 年医保局正式提出《国家医疗保障局数据安全管理办法》，要求各级医保部门进一步做好医保数据分级分类管理和应用安全管理，逐步建立规范、 高效、安全的数据交换和信息共享机制。

国家市场监督管理总局：

2021 年 7 月，国家市场监督管理总局提出《信息安全技术——健康医疗数据安全指南》，给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。

数据安全建设重点及挑战

一、建设重点

基于《数据安全能力成熟度模型》国家标准中相关要求，数据安全整体建设围绕数据全生命周期展开。全生命周期包含：数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁等六个过程。

其中“数据使用安全”关注数据使用方对数据相关操作的安全管理，关注不同处理场景、平台的安全策略的实施，是全生命周期安全建设的重中之重，主要因素体现在三方面：

（1）数据本身可分为动态和静态，绝大部分风险来源于数据动态流动使用过程中。

（2）从暴露面角度分析，数据使用过程最为复杂，涉及人员最多，暴露面最大，风险相对也最高。

（3）建设基础层面，数据使用和共享保护措施薄弱，其余部分如采集、存储等相对建设难度低，且在网络安全建设阶段有一定基础。

二、医疗单位数据安全挑战

（1）安全审计缺失：大量应用系统账号、权限未做统一梳理，数据导出、重要数据的查看、编辑、修改等敏感操作未做审计。

（2）数据泄漏隐患大：内部如干保系统，HIS、LIS、病理信息管理、急诊、体检等系统系统日常访问量大，使用人员众多，隐藏着大量的数据安全风险。

（3）敏感数据保护能力薄弱：内部应用系统几乎没有安全防护能力，仅通过权限控制，但往往风险来自于有权限人员的泄漏，同时还有账号共享、泄漏导致的风险，敏感数据脱敏、导出文件水印等防护能力缺失，缺乏有效手段保护业务应用数据的使用安全。

围绕“三大问题”构建行业解决方案

一、建设思路

数据使用安全建设围绕使用数据过程中“谁在用”、“怎么用”、“用的什么”三个基础问题，有机融合调研、技术、管理手段，最终形成有效的运营管控体系，从而保障数据的安全使用。具体建设内容如下：

No.1 “谁在用”：核心需要解决访问主体识别问题，具体建设分为两方面。

1、业务梳理：通过调研梳理院内相关各个软件系统及业务应用的人员权限、组织架构等情况，明确账号、部门、角色、权限等一系列相关属性信息。从而掌握各类应用系统中“访问主体”相关情况。

2、 技术对接：平台建设“组织架构对接”、“应用权限接入”模块，把梳理的账号、角色、权限、组织架构等信息通过接口或文件等方式输入到数据安全集成管理平台，从而实现“访问主体”的信息化留存。以便后续安全分析监控过程中充分应用“访问主体”相关属性信息。

No.2 “用的什么”：核心需要解决访问对象识别问题，具体建设分为两方面。

1、业务梳理：通过调研梳理院内不同应用数据情况，进行数据资产梳理，定义“敏感数据”范畴，进行初步的“分类分级”尝试工作。

2、技术对接：平台建设“敏感数据标记”模块，支持通过内置算法模型以及自定义策略规则，识别并主动标记各类重要敏感数据，从而实现数据使用过程中的“访问对象”识别。为基于不同数据安全等级建立不同的防护手段打好基础。

No.3 “怎么用”：核心需要解决访问行为采集问题，具体建设分为两方面。

1、业务梳理：通过调研梳理各类数据使用场景及其风险，从账号、权限、接口、敏感数据暴露面等多维度进行数据安全风险评估，形成数据安全审计策略体系，同时梳理数据安全管理、审批流程。

2、技术对接：分为四部分，一是通过“应用对接”模块建设，通过主动或被动采集方式，实现精细化的“数据使用行为”采集；二是通过“安全策略分析”建设，围绕具体数据使用场景构建场景化监控策略体系，有效识别并审计各类数据使用行为的风险；三是通过“安全防护”建设，通过脱敏、水印、风险告警、风险处置等功能，实现风险识别后的响应防护，从而保障数据的安全使用；四是“安全管理”建设，通过安全知识库、安全审批、辅助决策等模块建设，将安全分析能力与安全管理流程相融合，从而实现一体化的安全管理。

二、建设方案

（1）应用对接层（“怎么用”）

应用对接层主要负责访问行为数据的采集和增强数据的加载。其中包括主动采集及被动采集两种模式，其中主动采集采用网关方式，支持自定义埋点，可以对接各类 B/S 架构应用，实现精细化的数据采集，行为数据包含用户在访问应用系统过程中，页面上的行为、HTTP 流量，以及用户使用的终端设备的设备指纹部分。这些数据通过网关和 JS 软探针进行实时采集。被动式采集通过 syslog 日志对接的方式，对接各类 C/S 类应用（为主），从而进行进一步解析和分析。

（2）数据层（“用的什么”、“谁在用”）

数据层主要负责对各类应用以及人员相关数据进行统一的对接及处理，数据采集层中采集进来的用户行为数据进一步处理，识别出其中包含的各类敏感数据、API 接口、用户账号等信息，并对敏感数据进行分类分级打标以及关联各类增强数据。通过该层处理后的用户行为数据将包含非常丰富的字段和上下文信息。另外通过对接组织架构、人员权限丰富使用人员主体信息，梳理人员账号权限并进行有效监控审计。

（3）安全分析与防护层（“怎么用”）

安全分析和防护层主要负责对数据层处理后的用户行为数据进行实时分析，并根据系统配置对接入的应用进行实时的安全防护。

实时分析依靠实时决策分析引擎，根据预先配置的风险模型，对用户行为数据进行实时风险分析。其中，通过决策分析引擎判定存在风险的用户行为，将被上报给安全运营层的风险告警相关模块，同时，也会被输送到安全防护引擎。

安全防护引擎根据预先的配置和实时决策分析引擎分析发现的风险，通过网关和 JS 软探针，对应用进行实时防护，降权或者阻断某些用户的风险行为。

（4）应用层（“怎么用”）

数据安全运营层主要负责平台运维管理、安全运营工作支撑等安全运营层主要负责系统自身的维护、安全模型配置、安全事件溯源和风险处置、安全运营周报制作等。

辅助决策：平台收集医院安全数据，对安全数据进行融合分析，根据政策、标准、规范和日常经验构建的知识库进行决策，提供安全风险发现、安全规划决策支持、安全日常任务执行辅助等功能，针对医院信息安全不同场景提供动态的辅助。

审批功能：安全审批平台内建数据安全使用的审批功能，支持按照医院数据安全管理办法开展医疗、教学、科研和管理数据的使用审批，并且对接相关的数据资源平台，开展数据使用过程的合规性监控，支持从采集到销毁数据使用全生命周期的监管。

安全知识库：安全知识库，并且提供知识库的管理功能，支持更新和修订。将法律政策、标准规范、医院规章和管理经验整理成判断规则、条文、提醒消息等形式，为数据安全管理的操作步骤提供审核要点提醒、辅助判断、辅助报告和审批意见、数据内容辅助安全分析/敏感数据发现等功能，在安全管理中自动化的落实管理要求。

可视化页面：提供数据安全管理的大屏展示页面，展示数据安全管理的年度任务、风险处置、审批决策等情况，一览医院数据安全管理态势。

​

“五个步骤”

落地医疗行业数据安全建设体系

某头部大型三甲医院通过引入极盾·觅踪-数据使用安全管控平台，实现了数据使用行为监控及审计，并且围绕动态使用中的敏感数据实现了统一识别以及精细化动态脱敏。

在项目落地建设过程中，采用先调研、再评估、后对接、优化改进、循序渐进、逐步完善的建设方法。

Step1 业务调研：参照国家卫健委对于重要数据的定义初步评估系统重要性，同时从系统业务概况、账号权限体系、主要数据安全风险、业务诉求等方面进行详细梳理，并明确初步调研结论，形成详细调研报告。            

Step2 风险评估：基于调研情况，从应用、账号、接口、权限、敏感数据暴露面等多个纬度进行详细的数据安全风险评估及梳理，出具相关风险评估报告。

Step3 落地对接

• 账号权限对接：通过钉钉对接完整组织架构，通过读数据库中间表等方式对接不同应用系统的账号权限信息。

• 应用接入：B/S 类应用通过网关方式主动接入，无需应用做任何改造；C/S 类应用通过日志对接，常见为 syslog，同时支持其他方式如接口等

• 敏感数据识别：通过自定义逻辑识别各类常见的敏感信息，并针对敏感信息的敏感操作进行定向监测与审计，覆盖各类常见的数据安全风险。

• 策略配置：基于数据使用场景配置各类场景化监控策略，防护数据安全风险。

Step4 优化改进：项目初期基于调研情况进行初始化监控策略配置，随着项目深入，结合实际数据使用情况进行策略优化和改进，从而进一步完善监控运营体系。

Step5 循序渐进，逐步完善：整体建设分为多个阶段展开，从试点应用扩展到多个应用，从部分数据扩展到更多数据范围，从而实现项目的有序逐步落地。