腾讯健康正在全力构建数字健康的“两面四桥”,借助自身储备的技术能力、连接能力,致力成为医疗行业信息化的“数字化助手”,实现“科技向善”的企业愿景。瞄准医疗数据全生命周期管理过程,“TRUST”腾讯健康数据中台为医疗数据安全管理提供了系统的设计思路和技术实现能力。
腾讯健康专栏 | TRUST体系:撑起医疗数据安全保护伞
当前,大量敏感的医疗数据会存储在政府、医疗机构的后台数据库中。在这些数据的使用过程中,不可避免地存在数据的访问、复制和交换等行为,这其中隐藏着各种数据泄露的风险。
伴随医疗行业数字化的深入,腾讯健康不断加深对产业的理解,打造了“TRUST”体系,以科技助医(Technology)、实时高效(Real-time)、用户导向(User-oriented)、安全可信(Security)、开放共赢(Together)为核心,并于2021年首批通过“医疗健康网络数据安全能力评估”。
腾讯健康数据中台在数据安全治理、分类分级的基础上,建立了数据可信接入、数据加密、数据脱敏、认证授权、数据操作审计等技术手段,采用从数据可见、数据风险可控、数据可管的设计思路,基于数据安全的洋葱模型,为医疗数据处理的每一层准备了一套独特的安全管控方案,实现全链路的安全管理。
如图1所示,在医疗数据处理链路的不同环节,腾讯健康数据中台通过以下安全处理措施,帮助操作角色规避风险。
数据采集阶段
数据采集的一方是原始业务的前置机,一方是中心端。数据采集阶段可能需要跨机构、跨网络、跨部门,主要风险及解决方式包括:
1.账号安全。拥有原始数据访问权限的账户用户名和密码需要限制分级管理,数据库的访问用户和角色需要掌握在数据安全管理人员手里,这里的安全管理员应为数据所有方,密码应全程脱敏展示并在后台加密存储,由管理员在系统界面维护,账户管理统一更新,连接数据库的工具就实现了单一出口管理。
2.数据流向安全。拥有数据访问权,就可以任意进行数据ETL,因此需要对数据流向进行把控。
3.数据内容安全。敏感数据如传染病信息、患者身份证号码等,在进行展示时需要进行数据的分级处理。
“TRUST”腾讯健康数据中台通过数据工作流、元数据、主数据、数据血缘确保数据源的链路可追溯。例如,通过可视化工作流管理,根据数据血缘可以直接查看到底哪些数据进行了ETL操作,数据流向了哪些终端,所有的流入流出数据源都在系统里进行统一维护,避免数据流向私域的可能。
数据治理与开发阶段
数据治理阶段面临的风险包括违规操作和越权访问等。因此首先应进行数据的分级管理,根据数据采集标准集应用标准对数据字段内容进行分级定义。数据分级主要是为了对后续的数据展示、数据传输,以及数据的防泄漏监控进行不同级别的监管。参考《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020),“TRUST”腾讯健康数据中台对医疗数据进行4个类别的划分,如表1所示。
其次,在数据治理过程中,会有不同角色的参与,比如算法工程师需要针对数据进行标注,需要查看原始诊断和病历数据,而信息中心业务数据使用者只对部分宽表的数据有查询需求。因此需要对不同角色赋予不同的数据权限,有些具有查询权限,有些具有写入权限。具备查询权限的,也应进行数据限制,比如跨科室、跨机构不可查询等,这里就需要有数据的行列权限。
“TRUST”腾讯健康数据中台的数据权限功能是由“用户-角色-权限”三个主体形成的权限管理体系。数据权限包括数据增删改查以及行列权限,基于表来进行权限控制。如果需要限定数据分析人员只能看到某个科室的患者数据时,可以在数据权限功能中开通查询权限,进一步进行行级权限配置,将科室查询条件指定为科室名称,再将该数据权限关联到相应的权限角色,最后将拥有该权限的角色绑定到数据分析用户,通过对数据资源设置权限后将数据权限赋予角色载体。如图2所示。
图2
最后,通过用户行为审计功能,对接用户权限管理中心,记录用户每一次对产品功能和数据层面的操作,记录感知越权尝试。
数据共享及使用阶段
数据治理的目的是使用,要为不同的应用需求提供不同的数据。比如,在提供核酸检测业务的最新数据时,如果身份证号码通过明文传递将带来个人身份的泄露风险。“TRUST”腾讯健康数据中台提供相关加密与脱敏功能,在数据共享过程能够支持数据脱敏,如遮蔽、正则表达式、哈希、匿名算法、差分隐私等脱敏方法,可按照不同的业务场景、不同的脱敏需求进行可视化配置;对于一些业务显示层面需要查看的数据,比如姓名和身份证号码等,数据中台支持采用以字段为单位的加密方式,用户可以根据实际需求对任意表中的敏感字段进行加密。如图3所示。
图3
在数据使用阶段,主要通过数据服务的方法,实现业务与数据之间的对接。此时应通过服务相关安全措施形成“安全门禁”,如通过网关与身份认证系统进行对接,实现服务鉴权、信任传递。数据中台提供应用留痕功能,通过访问日志收集所有接入请求的详细信息,另外结合堡垒机和防火墙模块,可构建起数据应用层的安全保障。如图4所示。
图4
综上,数据安全不是各个单独模块的孤立存在,安全机制应覆盖医疗数据全生命周期的各个环节,并联合部署。必须强调的是,用户在引入技术手段的同时,需要构建一套完善的数据全生命周期管理制度,才能形成完善的医疗数据安全防范体系。
互动调查
往期回顾
HIT培训动态 | 第一期第二场学员讨论课评比结果出炉
医院IT运维服务台热线,用一个号码还是两个号码好?| HIT培训问答
黄瑜专栏 | 医院管理数据利用流程为何陷入“死循环”?
HIT培训讨论课 | 提升信息中心在医院的满意度的6点建议
寻求“商务合作”,长按二维码可快速与我们取得联系
投稿:gong_chen@HIT180.com
商务合作:(010)82373062
本公众号原创文章,版权归HIT专家网和原作者所有。
未经许可,谢绝转载或以其他形式使用文章内容进行传播。