近幾年大家對“數(shù)據(jù)安全”的關注度一直升溫不降，各個行業(yè)為了保護自身數(shù)據(jù)安全采取各種防護手段，本文將針對醫(yī)療行業(yè)的數(shù)據(jù)安全現(xiàn)狀做簡單分析并給數(shù)據(jù)安全防護建議。

一、醫(yī)療行業(yè)的安全形勢

1、“互聯(lián)網(wǎng)+”正在強勢進入醫(yī)療行業(yè)，滲透到醫(yī)療領域的各個環(huán)節(jié)，不僅打破了醫(yī)療行業(yè)原有相對封閉的使用環(huán)境，而且還會使信息聚集更加便捷、迅速，這也就給醫(yī)療行業(yè)帶來了全新的數(shù)據(jù)安全挑戰(zhàn)。例如：2017年5月， 20萬條新生嬰兒信息從某市疾病預防控制中心泄露出來，這些竊取來的信息，被用于電話推銷新生兒保健品；

2、隨著移動醫(yī)療、AI醫(yī)療影像、電子病歷等等數(shù)字化程序的普及，醫(yī)療數(shù)據(jù)被泄露已經成為家常便飯。2017年4月，某部委醫(yī)療服務系統(tǒng)大量個人信息泄露，其中包括大量的孕檢信息遭到暴露并在暗網(wǎng)進行交易。

3、正常的統(tǒng)方行為是醫(yī)院對醫(yī)生用藥信息量，用藥單據(jù)的統(tǒng)計，非法統(tǒng)方行為是指為了達到不正當?shù)纳虡I(yè)目的進行的非授權統(tǒng)方行為。由于醫(yī)院絕大部分業(yè)務都通過信息系統(tǒng)來處理，這就使內部統(tǒng)方的途徑也變得多樣化，藥房、科室、信息中心任何一個能進入信息系統(tǒng)的終端都可能成為統(tǒng)方的途徑。2017年11月，某高校婦產醫(yī)院主管醫(yī)師非法統(tǒng)方案件，因非法獲取計算機信息數(shù)據(jù)罪，涉案人員被法院判處有期徒刑2至3年不等……

二、風險分析

1、數(shù)據(jù)管控制度有待完善，面對數(shù)據(jù)威脅醫(yī)療組織雖然也逐漸增強數(shù)據(jù)安全意識，但是關于數(shù)據(jù)管控尚未建立統(tǒng)一管理機制，數(shù)據(jù)管控制度的完善相對滯后。

2、外部攻擊風險，由于醫(yī)療數(shù)據(jù)有著得天獨厚的價值，從而很容易引起大量黑客攻擊行為，漏洞如果無法及時修復，自然會為外部攻擊提供途徑，因此需要采取有效措施應對外部攻擊風險。

3、數(shù)據(jù)交換風險，目前大量的醫(yī)療數(shù)據(jù)需要拿給第三方或者測試使用，為了規(guī)避真實數(shù)據(jù)泄露，需要建立科學的對外數(shù)據(jù)交換標準，提高數(shù)據(jù)安全要求，最主要的是需要強化病患敏感數(shù)據(jù)脫敏處理能力。

4、內部及第三方運維人員造成的數(shù)據(jù)泄露風險，內部工作人員的權限管控制度如果不完善，很多非權限人員可以隨意接觸病患信息，造成很大泄露風險，加之內部人員監(jiān)控手段不足，也會引發(fā)取證難問題。

大多數(shù)醫(yī)療機構對于信息安全都有一定程度的認知，但一部分機構在數(shù)據(jù)安全領域缺乏足夠的認知，普遍安全誤區(qū)如下：

①大家會認為黑客是大部分安全事件的主因。事實上，80%的數(shù)據(jù)丟失來自內部；

②網(wǎng)絡防火墻可以保證數(shù)據(jù)安全。事實上，盡管安裝了防火墻，40%網(wǎng)絡入侵仍會發(fā)生；

③加密可以保證數(shù)據(jù)安全，事實上，加密僅是保護數(shù)據(jù)安全的一種途徑，數(shù)據(jù)安全同樣也需要訪問控制、數(shù)據(jù)完整性、系統(tǒng)的可用性以及審計等。

面對醫(yī)療行業(yè)的數(shù)據(jù)安全威脅和現(xiàn)狀，918搏天堂憑借多年在醫(yī)療行業(yè)的積累，重點關注醫(yī)療患者隱私信息批量泄密，非法“統(tǒng)方”導致醫(yī)藥賄賂事件頻頻發(fā)生等信息安全問題，給出了主動防御的應對思路，提出綜合性的醫(yī)療數(shù)據(jù)安全加固解決方案，核心是以DBMS、訪問路徑、核心數(shù)據(jù)為三大核心，建立包含四道防線的數(shù)據(jù)安全縱深的防御體系。