大数据背景下区域人口健康信息化 网络可信体系建设思考 张洪亮
关于BJCA 成立于2001年,是北京市国有资产经营公司控股的国有企业 首批获得电子认证服务许可资质的专业电子认证服务提供商 首批通过原卫生部接入测试的电子认证服务机构 参与行业规划、承担行业标准制定 卫生计生委及直属单位信息系统CA认证服务指定提供商 已成功实施医院客户近500家,全国卫生行业市场占有率达60%以上 2009年3月,中标原卫生部“卫生系统电子认证服务体系建设项目”,协助卫生部建立卫生领域电子认证服务体系和标准 协助原卫生部办公厅起草相关规范,现参与卫生计生委新版系列《管理办法》的修订 卫生部数字证书服务管理平台
目 录 一、大数据时代人口健康信息安全面临的挑战 二、区域人口健康信息化网络可信体系建设思考
健康医疗大数据得到前所未有的的重视 以人为本 有序安全 开放共享 《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号) 以人为本 有序安全 开放共享 健康医疗大数据是国家重要的基础性战略资源。
信息化建设的核心是让信息“流动”发挥价值 公共卫生 计划生育 医疗服务 医疗保障 药品管理 综合管理 EMR EHR 地市/县级平台 省级平台 人口库 中医药管理 新农合 应急指挥 主题库 国家级平台 国家平台 市县平台 互联、共享、协同
认识大数据时代的新变化 过去 如今 大数据时代健康医疗信息的特点 信息是局部的、离散的、混乱的 信息是全面的、汇聚的、关联的 人口健康信息 行政管理部门 公共卫生机构 基层医疗卫生机构 人口健康信息 远程医疗 网络医院 医院 可穿戴设备 药店 健康体检机构 数数据收集渠道更加广泛,每时每刻都在产生海量健康数据 信息更加全面,普遍共享,关联性更强 信息利用在诊疗、预防、健康管理、政策决策等方面发挥着重要作用 据收集渠道更加广泛 基层医疗的信息化和网络覆盖 医疗设备、仪器将各类检查、检验、健康监测数据实时上报 信息更加全面 电子健康档案组织了个人全生命周期(从出生到死亡)的医疗/ 健康数据 数据普遍共享,关联性更强 基于电子病历、健康档案数据交换的双向转诊 基于区域PACS、区域心电的远程会诊 6
健康医疗信息面临着复杂多样的安全威胁 …… 可能面临的攻击方式先进隐蔽,如APT… 信息的真实可信性可能存在疑问 个人隐私信息可能泄露 大数据分析结果可能涉及机密 …… 攻击变得越来越功利,从损人不利己向获取利益转变,其攻击行为以获取有价值信息作为主要攻击目标 攻击变得越来越有组织性,从个人英雄向组织犯罪转变,攻击资源更多,更加有效,造成的安全威胁更大 攻击的手段更先进,更加隐蔽,借助更多高技术手段(如APT)
信息安全威胁的特点 攻击越来越功利,越来越有组织性 “互联网+”对安全考验前所未有 汇聚的信息价值越大,安全越重要 信息可为我所用,也可为敌所用 …… 攻击变得越来越功利,从损人不利己向获取利益转变,其攻击行为以获取有价值信息作为主要攻击目标 攻击变得越来越有组织性,从个人英雄向组织犯罪转变,攻击资源更多,更加有效,造成的安全威胁更大 攻击的手段更先进,更加隐蔽,借助更多高技术手段(如APT)
大数据时代健康医疗信息安全需求:控制与保护 数据的控制 数据的保护 确定谁能访问 访问者身份认证 权限控制和行为追溯 信息完整性保护 机密性保护,防泄露 安全有序可控“流动” 网络可信体系 数据:电子病历、电子处方、电子健康档案、全员人口信息… 用户:服务管理机构、服务管理人员、服务管理对象、接入设备… 范围:业务全流程、互联互通的各类系统
可信安全是健康医疗大数据应用发展的关键 国办发〔2016〕47号文强调 规范有序,安全可控 安全为先,保护隐私 推进网络可信体系建设:强化健康医疗数字身份管理,建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统,积极推进电子签名应用,逐步建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。 “可信”“安全”字眼出现35次,除去“健康 医疗 数据”之外最多 坚持规范有序、安全可控。建立健全健康医疗大数据开放、保护等法规制度,强化标准和安全体系建设,强化安全管理责任,妥善处理应用发展与保障安全的关系,增强安全技术支撑能力,有效保护个人隐私和信息安全。 推进网络可信体系建设。强化健康医疗数字身份管理,建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统,积极推进电子签名应用,逐步建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。
“十三五”人口健康信息化网络可信体系规划框架 远程医疗 多点执业 电子处方... 技 术 标 准 医疗服务 公共卫生 计划生育 药品管理 医疗保障 综合管理 政 策 法 规 用户访问行为可管、可控、可追溯 人口健康信息自始至终完整、可信 安全可信的人口健康信息 人口健康身份认证服务 可靠电子签名服务 服务管理对象 数字身份管理 从业人员 数字身份管理 可信电子凭据管理 数字证书 居民 健康卡 电子 执业证照 数字签名 时间戳 加密技术
端 网 云 区域人口健康信息化网络可信体系建设思路 信息产生源头上保证安全 信息共享传输安全 平台端信息安全 在各级各类卫生计生机构内部,应用认证、电子签名、加密等技术,保障信息安全可信。 利用电子签名技术、VPN通道加密技术等,实现信息在网络传输中防泄漏、防窃取、防篡改。 信息利用过程,访问者身份可靠、行为可溯、数据可信 数据存储安全 密码是网络信息的核心技术,是解决互联网和计算机系统中信息安全的基础,是现代数据安全的核心。 传统的密码主要用于保密通信,现代密码应用扩展到网络身份认证,在传输和存储过程中的信息保密和信息完整性,以及信息不可否认性等方面。 密码除了用于保护政府、军事、外交等重要信息安全之外,已扩展用于社会公众生活的诸多方面,它与我们的生活息息相关。 区域人口健康信息化网络可信体系建设思路 端 网 云 信息产生源头上保证安全 信息共享传输安全 平台端信息安全
目标是健康医疗信息全生命周期安全可信 流动的健康医疗信息 生成 共享 存储 利用 国家级平台 省级平台 区域平台 (市县) 公共卫生 系统 区域平台 (市县) 国家级平台 省级平台 医疗服务 生成 流动的健康医疗信息 共享 存储 利用 木桶效应,不留短板,没有“法外”之地
基于电子认证技术构建健康医疗信息网络可信体系 基于电子认证技术构建网络可信体系 健康医疗信息 核心安全需求 数据的控制:确定由谁使用,确定身份和权限 数据的保护:真实完整,防止泄露,有序可控 1、身份认证 2、权限控制 3、传输及存储加密 数据的控制 数据的保护 4、防篡改 5、抗抵赖 基于电子认证技术构建健康医疗信息网络可信体系
区域人口健康信息化网络可信体系建设规划要点 管理服务人员 平台用户身份认证 区域信息安全保障建设重点: 建设平台一级的数字身份管理等安全支撑体系 建立平台与下属机构信息安全共享机制 建设下级医疗卫生系统的应用安全支撑 解决平台和外部数据交换的安全 建立面向全区域的卫生证书服务管理体系 平台访问、处理信息的行为签名 服务对象 对上传数据完整性校验 健康信息平台 对外共享的信息签名、加密 身份可信 行为规范 数据真实完整 医疗卫生人员身份认证 …… 生成、处理的医疗数据电子签名、加盖时间戳 公共卫生系统 医院信息系统 对上传平台的医疗数据加密、电子签名
从源头保障人口健康信息真实完整、合法可信 身份认证 电子签名 时间戳 移动护理 证书服务 ① ② 手写电子签名 ④ 电子签名司法鉴定 信手书手写电子签名司法鉴定 病历归档 复核质控 借阅管理 集中打印 ③
要始终关注“人”的因素 关于“人”的数字身份管理问题 生成人身份是否可信? 数据完整性能否保证? 责任可否追溯、界定? 信息资源 产生源头上数据是否真实可信 信息的访问和利用是否受控 生成人身份是否可信? 数据完整性能否保证? 责任可否追溯、界定? 你安全吗? 认证 访问请求 合法用户 合格用户 安全检查 非法用户 拒绝访问 你是谁? 不合格 隔离,加固 不同用户享受不同的访问权限 你在做什么? 隔离区 信息资源 你可以做什么? 授权 行为审计 数据共享传输、存储安全是否有保障
小 结 人口健康信息化建设信息安全至关重要 网络可信体系是人口健康信息安全有序可控流动的关键 要从整体上、源头上保障人口健康信息安全
可信规范的运营 随需应变的服务 谢谢 www.bjca.org.cn