原创机器之心产业研究机器之能

随着医疗信息化进程的不断加速和网络安全等级保护2.0制度（等保2.0）的施行，医疗数据安全这一领域也步入了新时代。医疗数据中包含了大量的个人隐私重要信息，一旦泄露将可能造成严重后果，医疗机构信息系统由于安全防护通常不健全，极其容易成为黑客的入侵目标，医疗数据安全保护迫在眉睫。传统的数据安全策略已经逐渐不能满足医疗机构对数据安全日益增长的需要，专业的医疗数据安全解决方案提供商正迎来春天。

作者

付海天、樊晓芳

一

医疗数据安全概览

1.医疗数据安全类型

访问安全：由于多源数据的大量汇聚、用户角色众多且需求多样，增加了访问控制策略制定及授权管理的难度，过度授权和授权不足现象严重。

使用安全：由于缺乏有效的手段对个人数据去标签化，医疗数据在使用过程中容易发生数据泄漏、数据篡改、误操作等风险，特别是跨区域、跨部门传输过程中，使用安全问题更加严重。

运维安全：运维人员的权限相对较大，运维人员可直接对医疗信息系统进行操作，涉及的数据量较大时，数据的安全通常难以保障。

2.医疗信息系统安全性要求

高精确性：医疗信息系统关系到患者的生命健康安全和医疗机构的稳定运作，其对信息系统的安全性、稳定性、实时性、精确性以及保密性等都有非常高的要求。

高访问控制：医疗数据是执行病人医疗过程的重要记录与依据，不允许非授权人阅览、窃取甚至篡改电子病历，对信息系统的可靠性、稳定性、安全性以及权限管理有着严格的要求。

高开放性：随着医疗信息化日益发展，医院信息系统、病案信息系统以及体检信息系统等能相互兼容，具有良好的可扩展性和灵活多变的接口设计。

二

医疗数据安全领域相关产业及市场概况

据前瞻产业研究院统计数据显示，截止至年我国医疗信息化市场规模为亿元，同比增长17.59%，预测年我国医疗信息化市场规模将接近亿元，未来几年，我国医疗信息化规模将持续增长，到年，我国医疗信息化规模有望突破亿元。

等保2.0时代的医疗数据安全

年5月，网络安全等级保护制度2.0相关标准正式发布，该标准在1.0的基础上，实现对新技术、新应用安全保护对象和安全保护领域的全覆盖。在新标准下，医疗机构数据安全保护工作将有如下变化：

合理开展新业务系统及平台的定级备案工作，加快院内已有信息系统等保建设步伐；

在等保建设中尝试采用医院的安全技术防护和安全态势感知能力建设；

加强日常安全运维，引入可视化、统一运维等创新技术，让安全管理和运维更简单有效；

加强主动防御能力，医院网络安全建设短板，降低安全风险，提高信息系统健壮性；

适当选择安全厂商提供的安全服务，医院专业安全技术人员缺失的问题。

医疗数据安全基本技术架构

三

医疗数据安全领域细分应用场景及代表机构

四

医疗数据安全代表数据智能技术应用产品/解决方案及应用案例

新疆CA——医院电子病历系统信息安全解决方案：基于数字签名技术，新疆CA为医院设计了一套无纸化安全解决方案，方案从“签发数字证书与电子签章”、“数字认证登录”和“电子病历可信处理”三个方面设计，保障电子病历的合法性，对于患者/患者家属这类群体，新疆CA为采集的患者手写签名进行防篡改处理，医院内网架设SSL安全认证网关与统一身份认证平台，登录应用系统时需通过SSL安全认证网关与统一身份认证平台验证数字证书的有效性。对于电子化的处方、病历、检验检查单等，该类数据需进行医生的电子签名和可信时间戳处理。对于纸质医疗文书，在打印相应的医疗文书时，采用

转载请注明:http://www.aideyishus.com/lkcf/2646.html