区域卫生信息平台隐私泄露应急预案研究

1、区域卫生信息平台隐私泄露应急预案研究高昭昇 冯东雷 徐静* 张赛赛 刘艳摘 要：基于健康档案的区域卫生信息平台是连接区域内的医疗卫生机构基本业务信息系统的数据交换和共享平台，承载着区域内无数患者的隐私信息，为达到不泄露，不对患者的声誉及生活造成重大影响的目的，广州市区域卫生信息平台在建设中对患者隐私保护进行了有效探索，采取了制定一套可操作性强的隐私保护应急预案和各类应急响应措施的方法，达到损失最小化的结果。制定的隐私泄露应急预案能够实时响应应急，根据预案采取措施，保障区域卫生信息平台的正常运行。关键词： 区域卫生 隐私保护 应急预案Doi:10.3969/j.issn.1673-7571.20

2、16.05.015中图分类号R319文献标识码A基金项目：国家卫生信息共享技术及应用工程技术研究中心(编号:2013FU125Q03) 广州市医药卫生科技项目(编号:20131A031002)*通讯作者：广州市卫生信息中心，510060，广东省广州市荔湾区西华路534广州市卫生信息中心，510060，广东省广州市荔湾区西华路534万达信息股份有限公司，201112，上海市闵行区联航路1518号基于居民健康档案的区域卫生信息平台(以下简称区域卫生信息平台)，是连接区域内医疗卫生机构基本业务信息系统的数据交换和共享平台，是不同系统间进行信息整合的基础和载体1。基于健康档案的区域卫生信息平台承载着诸

3、多的个人信息，很多涉及到患者的个人隐私，而这些信息除了具备一般信息的基础特征外，还具有身份可识别性和敏感性2，一旦泄露或篡改，将会导致个人身份盗用，甚至导致医疗事故，极有可能造成患者对医疗机构的信任危机，造成不可挽回的后果。针对患者隐私保护，目前已经采用的技术手段包括W3C推出的P3P（Plaform for Privacy Preference），IBM推出的EPAL（Enterprise Privacy Authorization Language）以及多级安全关系数据库技术等3。1. 隐私泄露现状分析从隐私所有者的角度来看，隐私可以大致分为两类：个人隐私和共同隐私。个人隐私，是指任何可以

4、确定个人、但个人不愿被暴露的信息，如身份证号码、家庭住址等；共同隐私，是指不但包含个人隐私，还包含共同表现出来的、但不愿被暴露出来的信息。基于健康档案的区域卫生信息平台以电子健康档案的形式对居民的个人信息进行数据交换，既包含大量的个人隐私，也包含大量的共同隐私。其主要的隐私泄露途径如下。1.1. 授权使用者泄露信息1.1.1. 偶然性泄露医务人员无意中透露病人隐私，如：敏感数据误传，电子邮件错发，从桌面计算机、便携计算机和服务器误拷贝数据到USB和移动硬盘等移动存储介质上等。1.1.2. 窥探性泄露拥有数据访问权限的员工好奇（如窥探名人的健康档案等）。1.1.3. 牟利性泄露内部员工靠获取病人

5、隐私非法牟利。1.1.4. 其他泄露形式内部人员越权访问及人为破坏，电子健康档案在内部网络传输中被窃听。1.2. 非授权都进入系统，非法访问、获取或更改信息1.2.1. 非法物理入侵外部人员在区域平台内通过非法手段访问患者隐私。1.2.2. 未授权的网络入侵黑客、离职人员等在外网非法入侵区域卫生信息平台内网，非法访问患者隐私或破坏系统。2. 隐私保护应急预案研究2.1. 应急预案制定的重要意义区域卫生信息平台作为居民个人健康档案的重要载体，无论居民的个人隐私以何种途径泄露，都会居民个人隐私权造成侵犯，部分情况还可能产生不可挽回的负面社会效应。虽然在工作中采用各种常规安全保护措施，并以相关技术手

6、段作为支撑，但随着区域卫生信息平台数据量的提升及接入机构的增多，隐私泄露的概率也在逐步增大，因此，制定一套简要、科学、可操作性强的隐私泄露应急预案对区域卫生信息平台的发展具有举足轻重的作用。2.2. 应急预案制定的原则明确隐私保护基本原则是开展相关工作的前提，所有隐私保护措施都应紧密围绕该原则进行。在美国隐私权法颁布前的“公平信息处理规范”（Code of Fair Information Practice），就明确提出隐私保护的公开、知情、二次使用、纠错、安全等五项基本原则。制定区域卫生信息平台隐私泄露应急预案时，为辅充分保障管理预案的实用性和可操作性，应从区域卫生信息平台的实际情况出发，结

7、合区域卫生信息平台的实际运作模式，制定应急预案时要遵循以下原则：首先，对隐私泄露所属的信息安全事件明确分类，分别对各类隐私泄露安全事件制定专项应急预案；其次，组织分工明确，制定明确的应急组织架构，在应急组织的有效领导下，充分调动专业技术人员支持。再次，合理制定各类应急响应流程，保障区域卫生信息平台应急响应的有效性和持久性。3. 隐私保护解决方案3.1. 应急响应基本流程广州市区域卫生信息平台总体应急响应流程如图1所示。按照应急的时序来看，分为事前准备与检测、事中处理与事后总结三个阶段。事前准备阶段包括应急响应的组织建立、应急专项预案制定、技术储备及物资准备、日常的现场勘察监测等工作；事中处理阶

8、段包括应急预案的实施；事后总结阶段包括对整个事件处理过程的回顾与总结、形成事故报告的安全建议。图1 应急响应基本流程3.2. 应急预案组织保障有效的组织体系是应急预案顺利执行的重要保障。根据广州市区域卫生信息平台的建设情况，应急体系组织结构如图2所示。图2 应急体系组织架构图针对广州市区域卫生信息平台隐私保护的实际业务需求，成立广州市区域卫生信息平台应急响应中心。中心下设应急领导小组、信息共享与分析中心、应急响应中心、专业应急组及指导专家组。应急领导小组：由卫生局信息中心牵头，信息中心及平台建设厂商核心成员构成，核心职责为领导和指挥平台隐私保护预案的制定及执行；指导专家组：卫生局及平台建设厂商

9、信息安全专家（含外聘），核心职责为对平台隐私保护预案制定及执行提供技术指导与规范；信息共享与分析中心：负责应急响应中各级组织的信息共享与交换，核心职责为信息搜集与整理、事件跟踪、预警发布等；应急响应中心：承载和日常管理应急响应的核心业务，核心职责为信息安全事件分类、预案管理、应急响应管理等；专业应急组：应急响应的实际操作与执行者，与应急响应中心人员可以是同一组或有重合职责的人员，在指导专家组的指导下工作，对应急领导小组负责。3.3. 应急预案保障措施在上述组织机构的领导下，应急预案保障措施分为三类：应急人力保障、物资条件保障和技术支撑保障。3.3.1. 应急人力保障加强信息安全人才培养，强化宣

10、传教育，建议一支高素质、高技术的信息安全核心人才和管理队伍，强化对患者隐私的保护意识。3.3.2. 物资条件保障安排一定的资金用于预防或应对患者隐私泄露突发事件，优化患者隐私泄露应急处理工作的物资保障条件。3.3.3. 技术支撑保障建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节联动机制。3.4. 专项应急预案制定及应对措施针对不同的信息安全事件制定三类专项应急预案，专项预案未涵盖的患者隐私泄露事件需要专业应急组织和指导专家组根据实际情况确定实际处理措施。三类专项应急预案如下：信息篡改类应急预案：针对授权使用者泄露信息，包含信息

11、篡改、信息窃取等信息安全事件；有害程序类专项应急预案：针对非授权者泄露信息，包含计算机病毒、蠕虫、木马等有害程序事件；网络攻击类专项应急预案：针对非授权者泄露信息，包含漏洞攻击事件、网络扫描窃听事件等网络攻击事件。3.4.1. 信息篡改类专项应急预案信息篡改类专项应急预案主要针对的是授权使用者泄露信息引发的患者隐私泄露。这类泄露分为偶然性泄露、窥探性泄露、牟利性泄露及其它的泄露形式。当发生信息篡改、信息窃取等信息安全事件时，启动该类专项应急预案。信息篡改类专项应急预案启动，各组别将迅速采取下述应急措施：评估与分析：信息共享与分析中心分析界定信息篡改和信息窃取的范围和程度，并迅速评估产生的后果；

12、控制与修复：应急响应中心和专业应急组调动技术成员对篡改及窃取的信息进行技术控制与修复，要求一经发现马上断开相应的信息上网链接；调动人力资源：根据事件严重情况及后果调动涉事接入机构技术人员参与应急，必要时需要指导专家组的介入。平台恢复使用：控制与修复完成后，平台重新投入使用；责任追究：针对泄露原因进行相关的责任追究，并对波及到的患者进行安抚等工作；备案总结：需要进行备案总结，针对可能泄露患者信息的途径进行封锁控制，对区域卫生信息平台进行安全加固，并进一步强化内部管理机制，提升工作人员综合安全素质。3.4.2. 有害程序类专项应急预案有害程序类专项应急预案主要针对非授权者泄露信息，包含计算机病毒、

13、蠕虫、木马等有害程序事件。有害程序对区域卫生信息平台患者隐私的危害易见，涉及面广、危害性大。一旦发现这类事件，信息共享与分析中心首先向应急领导小组报告，启动有害程序类专项应急预案。应急措施如下：切断处理：应急响应中心与专业应急组及时断开传播源，判断病毒的性质、涉及的端口，然后关闭相应的端口；预警通知：迅速向各接入单位下发预警通知信息并告知防御方法，避免有害程序事件在区域卫生信息网络内的扩大化，尽量减少损失；技术处置：应急响应中心和专业应急组人员进行实际处理和查找，摒除有害程序；备案总结：应急结束后及时进行汇报和总结，恢复区域卫生信息平台的常态化运作。3.4.3. 网络攻击类专项应急预案网络攻击

14、类专项预案主要针对非授权者泄露信息，包括各类网络攻击事件和窃听扫描事件。应急措施如下：攻击来源判定：应急响应中心和专业应急组首先要判断入侵的来源，区分入侵来源于区域卫生信息平台的外网或内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址，及时关闭入侵的端口，限制入侵地址的访问 ，在无法制止的情况下可以采用断开网络连接的方法；入侵来自内网的，查清入侵来源，如IP地址、上网账号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备；预警通知：向应急领导小组汇报，并迅速向各接入单位下发预警通知信息，避免网络攻击范围扩大；技术处置：应急响应中心和专业应急组人员进行实际技术处理，必要时需要指导专家组的介入；备案总结：应急结束后即时进行汇报和总结，恢复区域卫生信息平台的常态化动作。4. 总结与展望广州市常住人口1292.68万人，流动人口约837万，截止至2014年5月，广州市区域卫生信息平台建立实名电子健康档案900多万份，对医疗共享信息的隐私保护进行了有效探索。在采用多项技术对平台进行安全加固的同时，充分考虑到患者隐私保护的重要性，以隐私泄