论文部分内容阅读
摘要:医疗大数据时代为患者的就诊提供了一定的便利,同时也存在个人隐私泄露风险。本文主要就医院大数据的患者隐私保护问题进行研究,明确在当前患者存在的隐私泄露问题,并针对问题研究、制定相应的保护策略。
关键词:大数据;信息安全;患者隐私保护
患者信息泄露的问题不胜枚举。2016年7月,全国30省份有330位艾滋病感染者的信息遭泄密,接到骗子打来的诈骗电话;2017年2月,上海20万条新生婴儿信息被上海疾控中心、黄浦区疾控中心两名工作人员窃取,并贩卖给婴幼儿保健品经营企业。2017年9月13日,《法制日报》报道了一起特大侵犯公民个人信息的案件,有涉及7亿公民的个人信息遭泄露,8000余万信息遭到贩卖—其中还包含了公民个人孕检信息。医疗大数据时代下患者的隐私保护值得深思!
一、当前医疗大数据时代下患者隐私保护中存在的主要问题表现
对于当前医疗大数据环境,给患者和医生带来便利的同时,也会在健康医疗大数据环境下给患者个人隐私带来负面影响。在相应的国家政策指导之下,建设了互联网医院、分级诊疗等等,有效的推动医疗信息的互联互通。
互联网为患者就医提供诸多便利,比如患者可以通过微信、支付宝预约挂号、缴费、可以在手机上查看自己或家人的检验检查结果、甚至可以通过互联网寻医问药。海量的医疗数据暴露在互联网中,为不法分子提供了“便利”。患者的隐私被盗会给患者或患者家属带来严重的伤害和影响,甚至触犯法律。在当前“互联网+”医疗时代下健康大数据所带来的隐私问题有以下几种情况:
首先患者个人数据暴露在互联网下,有可能会对患者的个人形象和财产带来伤害。在健康医疗大数据当中,保存了患者的个人基本信息,如:姓名、电话、家庭住址、银行卡号、病史、诊疗信息以及用药记录等等。对于患者的个人信息来说如果无法进行有效的保护,那么就将会给患者带来严重的信息泄露,可能会危害患者和患者家属的人身安全,可能会给患者和患者家属的财产带来严重的损失。如果患者的诊疗信息,如用药记录,病情等泄露会给或者的家庭生活带去不必要的烦恼,可能会影响患者的治疗情绪,会给患者的精神带来严重的负面影响。
其次医院网络信息安全出现问题。假如黑客攻进了医院数据库,就如同进入自己后花园,想要什么数据,直接拿。这个黑客可能是外人,也可能是内部的人。有人会问,好好的数据库,黑客怎么就如此自由出入呢?一方面,一些传统医院信息系统陈旧,比较容易被攻破防火墙,二来也有一些醫疗记录因为没有加设密码,而导致医疗信息泄露。就算在美国这样的科技发达国家,医疗信息安全也是个问题。根据芝加哥医疗卫生信息和管理系统协会在2016年下半年进行的调查结果,在119家急性病医疗机构和31家非急性病机构当中,有36%的受访者表示在传输时没有加密医疗记录,而只有58.7%的受访者会加密静态数据。
最后,互联网应用广泛后,人人皆记者。微信、微博、抖音等等,随时可以记录、发布各种信息。也会成为患者信息窃密的一个隐患,患者到医院就诊,处于各种摄像头的监控之下,若不采取适当的遮蔽保护的方式就容易让有些医院内部或者外部的害群之马利于职务之便对这些信息进行窃取,然后倒买倒卖。
二、在互联网+医疗时代下有效保护患者隐私的有效建议
患者隐私保护、信息安全的执行力,源自于有效的安全管理架构,必须从制度上、组织和技能三个方面整体建设。
(一)制定严格安全制度
就个体医院来说:医院应对涉密网的环境因素实施监控和警卫,预防人为威胁。集中建设网络支撑平台监控中心,进行统一安全监控,建立健全相关网络安全管理责任制度和机房安全管理制度。非工作人员未经许可不准进入机房,任何人不准将有关资料泄密、拍摄、任意抄录或复制。禁止在生产系统中使用未经批准的应用程序,禁止在生产系统上加载无关软件,严禁擅自修改系统的有关参数。用于开发、测试的系统必须与生产系统严格分开。制定各项访问控制措施,包括对网络、主机、数据库等的访问。对所有路由器、交换机的密码及配置应由网络管理员掌握,统一进行配置;对各类主机的管理和对用户以及文件系统的分配、访问权限设置等工作统一由主机管理员执行;对所有数据库的管理和对表、视图、记录和域的授权工作统一由数据库管理员执行,信息科主任不定期抽查。
医院可根据医护人员的职务、职称进行权限管理。权限管理包括两部分:基于特定规则的权限和基于病案借阅管理的权限。基于特定规则的权限支持自定义配置,比如:临床科室:能查看本科室患者的所有在院和出院的记录,能查看非本科室患者的出院记录。对于非本科室其他的病历内容如果需要浏览,需要提出浏览申请,由患者现所在科室的医生进行授权后方可浏览。授权时可对其浏览时限进行设定,到期直接回收浏览权限。医技科室:能查看在院患者的入院记录,对于出院患者只能查看出院记录。医务科和病案室:有权限浏览全部的病历。基于病案借阅管理的权限:只要完成了借阅登记并通过审批,则在借阅时限内有浏览归档病历的权限。
(二)对患者隐私加密技术保护
医院的数据涉及医院业务及患者就诊信息,需要得到保护,以防止其他人员的非法获取。数据在传输与储存过程重,通过加密技术进行处理。
任何一位用户登录系统都必须输入用户密码进行验证,当用户第一次登录时系统强制用户更换新密码保障密码不外泄,且系统密码具有强制有效期功能要求用户定期更换。所有系统验证数据的传输均采用SSL加密技术进行加密,保障数据传输安全可靠性。当用户通过系统级别验证成功后系统随即根据其所属安全组的授权分配用户系统功能组件和菜单定义,用户只准在其安全组定义的范围内部进行操作。除了安全组定义进行安全控制以外,系统也可以根据用户级别定义的界面权限控制其访问的界面元素内容和访问数据权限。
(三)内外安全网技术加强
架构安全:IT基础资源的所有关键节点,从互联网线路入口,防火墙,核心交换机,负载均衡,全部采用高可用的冗余架构,确保IT基础资源高可用。系统应用服务器,全部为集群模式,不仅确保高性能,同时确保单一节点失效情况下,业务平稳运行。
网络安全:外-内:部署硬件防火墙严格限制互联网入口访问,禁止一切非业务的通讯,启用相关安全策略防御syn攻击,icmp泛滥,端口扫描等攻击行为。内-内:各个应用服务器,根据服务层级,划分严格的安全域,严格控制安全域间网络通讯。内-外:各个内部应用服务器,关闭一切不必要的对外通讯权限。
应用安全:所有用户互联网访问,全站HTTPS加密,确保信息通讯安全,防止数据泄漏。使用基于角色的权限控制方式对系统资源的访问进行授权,支持根据业务角色不同赋予权限。支持到功能模块、文件、报表的细颗粒度权限控制;严格限制默认账户的访问权限。权限分离应采用最小授权原则,授予用户完成承担任务所需的最小权限。开发人员遵循程序代码编写安全规范编写代码,并在开发过程中对代码进行复审。在系统上线前对代码进行安全脆弱性分析和安全扫描测试。业务系统使用的主机全部采用安全可控的Linux系统,并严格遵守保规范安全加固。
结束语:
医疗时代的到来为大数据等新技术的发展提供了有利的条件,而且大数据等新的技术出现为患者和医生也带来了极大的便利以及高工作效率,同时也给患者隐私带来一定影响。文章就主要对当前医疗时代下存在的患者隐私泄露问题进行有效分析,明确当前存在的主要泄露患者隐私的问题情况,之后在结合相应问题提出更为合理的改善策略,更好的发挥医疗时代下大数据新技术的优势,也能对患者隐私进行维护,以此才能更好的便于患者就医以及医生诊治等工作的开展提供有利条件。
参考文献:
[1]党莹,张江霄,党维.“互联网+”时代患者隐私保护的健康医疗大数据研究[J].邢台职业技术学院学报,2017,34(06):88-91.
[2]姜明芳.“互联网+”时代用户隐私保护策略研究[J].高校图书馆工作,2017,37(02):81-84.
[3]舒婷.“互联网+”时代的患者隐私保护[J].中国数字医学,2016,11(05):41-43+83.
关键词:大数据;信息安全;患者隐私保护
患者信息泄露的问题不胜枚举。2016年7月,全国30省份有330位艾滋病感染者的信息遭泄密,接到骗子打来的诈骗电话;2017年2月,上海20万条新生婴儿信息被上海疾控中心、黄浦区疾控中心两名工作人员窃取,并贩卖给婴幼儿保健品经营企业。2017年9月13日,《法制日报》报道了一起特大侵犯公民个人信息的案件,有涉及7亿公民的个人信息遭泄露,8000余万信息遭到贩卖—其中还包含了公民个人孕检信息。医疗大数据时代下患者的隐私保护值得深思!
一、当前医疗大数据时代下患者隐私保护中存在的主要问题表现
对于当前医疗大数据环境,给患者和医生带来便利的同时,也会在健康医疗大数据环境下给患者个人隐私带来负面影响。在相应的国家政策指导之下,建设了互联网医院、分级诊疗等等,有效的推动医疗信息的互联互通。
互联网为患者就医提供诸多便利,比如患者可以通过微信、支付宝预约挂号、缴费、可以在手机上查看自己或家人的检验检查结果、甚至可以通过互联网寻医问药。海量的医疗数据暴露在互联网中,为不法分子提供了“便利”。患者的隐私被盗会给患者或患者家属带来严重的伤害和影响,甚至触犯法律。在当前“互联网+”医疗时代下健康大数据所带来的隐私问题有以下几种情况:
首先患者个人数据暴露在互联网下,有可能会对患者的个人形象和财产带来伤害。在健康医疗大数据当中,保存了患者的个人基本信息,如:姓名、电话、家庭住址、银行卡号、病史、诊疗信息以及用药记录等等。对于患者的个人信息来说如果无法进行有效的保护,那么就将会给患者带来严重的信息泄露,可能会危害患者和患者家属的人身安全,可能会给患者和患者家属的财产带来严重的损失。如果患者的诊疗信息,如用药记录,病情等泄露会给或者的家庭生活带去不必要的烦恼,可能会影响患者的治疗情绪,会给患者的精神带来严重的负面影响。
其次医院网络信息安全出现问题。假如黑客攻进了医院数据库,就如同进入自己后花园,想要什么数据,直接拿。这个黑客可能是外人,也可能是内部的人。有人会问,好好的数据库,黑客怎么就如此自由出入呢?一方面,一些传统医院信息系统陈旧,比较容易被攻破防火墙,二来也有一些醫疗记录因为没有加设密码,而导致医疗信息泄露。就算在美国这样的科技发达国家,医疗信息安全也是个问题。根据芝加哥医疗卫生信息和管理系统协会在2016年下半年进行的调查结果,在119家急性病医疗机构和31家非急性病机构当中,有36%的受访者表示在传输时没有加密医疗记录,而只有58.7%的受访者会加密静态数据。
最后,互联网应用广泛后,人人皆记者。微信、微博、抖音等等,随时可以记录、发布各种信息。也会成为患者信息窃密的一个隐患,患者到医院就诊,处于各种摄像头的监控之下,若不采取适当的遮蔽保护的方式就容易让有些医院内部或者外部的害群之马利于职务之便对这些信息进行窃取,然后倒买倒卖。
二、在互联网+医疗时代下有效保护患者隐私的有效建议
患者隐私保护、信息安全的执行力,源自于有效的安全管理架构,必须从制度上、组织和技能三个方面整体建设。
(一)制定严格安全制度
就个体医院来说:医院应对涉密网的环境因素实施监控和警卫,预防人为威胁。集中建设网络支撑平台监控中心,进行统一安全监控,建立健全相关网络安全管理责任制度和机房安全管理制度。非工作人员未经许可不准进入机房,任何人不准将有关资料泄密、拍摄、任意抄录或复制。禁止在生产系统中使用未经批准的应用程序,禁止在生产系统上加载无关软件,严禁擅自修改系统的有关参数。用于开发、测试的系统必须与生产系统严格分开。制定各项访问控制措施,包括对网络、主机、数据库等的访问。对所有路由器、交换机的密码及配置应由网络管理员掌握,统一进行配置;对各类主机的管理和对用户以及文件系统的分配、访问权限设置等工作统一由主机管理员执行;对所有数据库的管理和对表、视图、记录和域的授权工作统一由数据库管理员执行,信息科主任不定期抽查。
医院可根据医护人员的职务、职称进行权限管理。权限管理包括两部分:基于特定规则的权限和基于病案借阅管理的权限。基于特定规则的权限支持自定义配置,比如:临床科室:能查看本科室患者的所有在院和出院的记录,能查看非本科室患者的出院记录。对于非本科室其他的病历内容如果需要浏览,需要提出浏览申请,由患者现所在科室的医生进行授权后方可浏览。授权时可对其浏览时限进行设定,到期直接回收浏览权限。医技科室:能查看在院患者的入院记录,对于出院患者只能查看出院记录。医务科和病案室:有权限浏览全部的病历。基于病案借阅管理的权限:只要完成了借阅登记并通过审批,则在借阅时限内有浏览归档病历的权限。
(二)对患者隐私加密技术保护
医院的数据涉及医院业务及患者就诊信息,需要得到保护,以防止其他人员的非法获取。数据在传输与储存过程重,通过加密技术进行处理。
任何一位用户登录系统都必须输入用户密码进行验证,当用户第一次登录时系统强制用户更换新密码保障密码不外泄,且系统密码具有强制有效期功能要求用户定期更换。所有系统验证数据的传输均采用SSL加密技术进行加密,保障数据传输安全可靠性。当用户通过系统级别验证成功后系统随即根据其所属安全组的授权分配用户系统功能组件和菜单定义,用户只准在其安全组定义的范围内部进行操作。除了安全组定义进行安全控制以外,系统也可以根据用户级别定义的界面权限控制其访问的界面元素内容和访问数据权限。
(三)内外安全网技术加强
架构安全:IT基础资源的所有关键节点,从互联网线路入口,防火墙,核心交换机,负载均衡,全部采用高可用的冗余架构,确保IT基础资源高可用。系统应用服务器,全部为集群模式,不仅确保高性能,同时确保单一节点失效情况下,业务平稳运行。
网络安全:外-内:部署硬件防火墙严格限制互联网入口访问,禁止一切非业务的通讯,启用相关安全策略防御syn攻击,icmp泛滥,端口扫描等攻击行为。内-内:各个应用服务器,根据服务层级,划分严格的安全域,严格控制安全域间网络通讯。内-外:各个内部应用服务器,关闭一切不必要的对外通讯权限。
应用安全:所有用户互联网访问,全站HTTPS加密,确保信息通讯安全,防止数据泄漏。使用基于角色的权限控制方式对系统资源的访问进行授权,支持根据业务角色不同赋予权限。支持到功能模块、文件、报表的细颗粒度权限控制;严格限制默认账户的访问权限。权限分离应采用最小授权原则,授予用户完成承担任务所需的最小权限。开发人员遵循程序代码编写安全规范编写代码,并在开发过程中对代码进行复审。在系统上线前对代码进行安全脆弱性分析和安全扫描测试。业务系统使用的主机全部采用安全可控的Linux系统,并严格遵守保规范安全加固。
结束语:
医疗时代的到来为大数据等新技术的发展提供了有利的条件,而且大数据等新的技术出现为患者和医生也带来了极大的便利以及高工作效率,同时也给患者隐私带来一定影响。文章就主要对当前医疗时代下存在的患者隐私泄露问题进行有效分析,明确当前存在的主要泄露患者隐私的问题情况,之后在结合相应问题提出更为合理的改善策略,更好的发挥医疗时代下大数据新技术的优势,也能对患者隐私进行维护,以此才能更好的便于患者就医以及医生诊治等工作的开展提供有利条件。
参考文献:
[1]党莹,张江霄,党维.“互联网+”时代患者隐私保护的健康医疗大数据研究[J].邢台职业技术学院学报,2017,34(06):88-91.
[2]姜明芳.“互联网+”时代用户隐私保护策略研究[J].高校图书馆工作,2017,37(02):81-84.
[3]舒婷.“互联网+”时代的患者隐私保护[J].中国数字医学,2016,11(05):41-43+83.