近日,炼石成功中标华南某百年历史综合公立医院数据加密项目。与专科医院不同,综合性公立医院科室门类齐全、信息系统庞杂、历史数据体量庞大,数据安全的“面”更宽、“底”更厚。本项目中,炼石聚焦“数据加密”体系化技术能力,以免改造方式,仅需配置级部署、无需改动应用源代码,为该院多个核心业务系统统一构建数据加密保护,在不改动既有系统架构、尽量不影响诊疗运行的前提下,把敏感数据“应加密、尽加密”落到实处。
一:从守边界到护数据
医疗健康数据是关系国计民生和个人权益的高敏感数据,国家对其安全保护的要求正不断明确、不断加码,依法加密保护已从"可选项"变为"必答题"。
在国家法律和战略层面,《网络安全法》《数据安全法》《个人信息保护法》《密码法》对重要数据保护、个人信息安全与商用密码应用提出了日益明确的刚性要求。医疗健康信息更被《个人信息保护法》列为敏感个人信息,处理须满足更严格的合规条件;"十五五"规划纲要明确"实施数据分类分级管理,提升数据安全保护能力",为数据安全工作划定方向。
在卫生健康行业层面,监管要求进一步具体化、场景化。《医疗卫生机构网络安全管理办法》要求医疗卫生机构落实网络安全等级保护制度,对重要数据和个人信息采取加密等安全保护措施,并推进商用密码应用;《国家健康医疗大数据标准、安全和服务管理办法(试行)》将健康医疗大数据作为国家重要基础性战略资源,要求实施分级分类管理与全流程安全保护;国家标准《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)为健康医疗数据在采集、存储、使用、传输、共享等环节的安全提供了规范指引;《电子病历应用管理规范(试行)》也对电子病历数据的安全保障提出明确要求。与此同时,医院普遍面临网络安全等级保护(等保)测评与商用密码应用安全性评估(密评)的常态化考核,二者均对数据安全与密码应用提出硬性要求。
从数据自身特征看,依法加密的紧迫性尤为突出。门诊住院诊疗信息、电子病历、检验检查记录、医学影像与健康档案等数据敏感程度高、价值密度大;而按《医疗机构病历管理规定》,门诊病历保存不少于15年、住院病历保存不少于30年,敏感数据在生产库与备份中长期留存、持续累积。一旦在存储、访问、传输或共享环节缺少有效保护,极易引发数据泄露、滥用、篡改等风险。这意味着医院安全建设不能只停留在网络边界和基础防护层面,必须把安全能力下沉到数据本身——以商用密码技术为核心支撑,将加密、脱敏、访问控制、审计追溯等多阶能力贯穿数据全生命周期。
二:加密落地面临多重共性挑战
综合性公立医院正在积极推进数据安全建设,但在实际落地中仍面临诸多现实困难,集中体现在以下方面。
一是保护对象面广而散,难以单点覆盖。从门诊、住院、急诊,到检验(LIS)、影像(PACS/RIS)、病理、超声、心电等医技科室,再到手术麻醉、药事、体检、随访与临床科研,几乎所有临床与医技环节都在持续产生敏感数据:既有身份证号、手机号、家庭住址、医保账号等身份与财务信息,也有诊断结论、电子病历、检验检查结果、处方与影像等诊疗信息,还包括传染病、精神卫生、生殖健康等特殊敏感记录。数据类型多、分布散、敏感度参差,难以用单一手段一概而全。
二是系统异构、来源庞杂,统一适配难度大。HIS、EMR、LIS、PACS/RIS、手术麻醉、体检、互联网医院,以及 HRP、物资、OA 等大量外围系统,往往由不同厂商、不同年代建设,开发语言(Java、.NET、C/C++ 等)、数据库(Oracle、SQL Server、MySQL 及达梦、人大金仓等信创库)与部署环境(物理机、虚拟化、容器化混合)差异巨大,系统间接口耦合深;部分老系统已稳定运行多年、与日常诊疗深度绑定。若按传统方式逐套修改应用层源码实现加密,每套系统都要经历需求分析、源码改造、功能回归、联调测试等环节,改造周期、协调成本与上线风险成倍放大,这正是不少医院数据安全建设"启动了、却推不动"的直接原因。
三是存量数据包袱重,容错空间小。建院多年沉淀的海量历史数据已在生产库中持续运行,叠加病历长周期留存要求,存量数据规模庞大。对其实施加密改造,对过程平稳性、数据一致性与系统性能影响均有较高要求,一旦出现数据错乱或性能劣化,影响面大、回退困难,必须以可控、可回滚的方式稳妥推进。
四是高权限账号与数据流动放大风险敞口。一方面,数据库管理员(DBA)、系统管理员、运维及第三方外包人员等高权限角色,可能绕过业务应用直接接触底层数据;若敏感数据长期以明文形式存放于数据库、文件与备份中,仅靠制度约束和账号权限,很难从技术层面堵住非授权的查看、复制与导出。另一方面,跨院区同步、医联体与分级诊疗协作、医保与第三方检验接口调用、互联网医院对外服务、科研用数据共享等场景,使数据不断在系统与主体之间流转——接口认证不强可能被非授权调用,共享文件无加密无管控会在下载转发中扩散,都会形成新的泄露面。
五是业务连续性是硬约束,改造窗口极窄。综合医院 7×24 连续运转,急诊抢救、住院诊疗一刻不能停,难以承受改造带来的停摆风险,留给传统代码级改造的窗口极为有限。
六是多重合规要求叠加,亟需可复用的统一底座。医院普遍需同步满足等保、密评等考核,并涉及电子病历系统应用水平分级评价、互联互通标准化成熟度测评等评估,对数据安全与密码应用提出明确要求。若逐系统、逐场景重复建设,投入大、周期长且难以保证策略一致,客观上需要一套可复用的安全底座统一承接。
三:免改造嵌入数据流转全流程
针对上述难点,方案以炼石免改造技术引擎平台为底座,将安全能力从"应用代码改造"转向"数据流转链路控制"。在数据流动的关键"切面"上重建安全规则、部署安全控制面,以配置级部署、应用无需改动源代码的方式,把加密、脱敏、访问控制、审计追溯等能力嵌入数据处理过程;整体采用"分布式部署、集中式管控"模式,由统一安全管理平台集中管控数据资产、安全策略、密钥体系与操作日志,各安全模块在业务系统节点本地执行保护,兼顾策略一致性、工程适配性与后续扩展能力。经由炼石数据加密系统落地,即可为多个异构系统提供统一的数据加密保护。方案并非简单叠加一项加密功能,而是围绕数据"存储、使用、流转"三个风险面,分别建立有针对性的保护机制,并对应化解前述难点。
(一)面向"存储"风险——字段级透明加密,收敛明文暴露。针对高权限账号绕过应用层直取底层数据的风险,对分散在各科室系统中的身份证号、手机号、医保账号、电子病历、检验检查结果、处方与费用等敏感字段,依据数据分类分级结果,按需实施数据库存储加密,数据在写入时即以密文状态落盘,未经授权难以直接获得可读明文,把"面广而散"的敏感数据统一纳入密文管控。对已上线运行的大量历史数据,支持以灰度、可回滚的方式稳妥实施存量加密,并配套一致性校验机制,尽量借助业务低峰期与既有维护窗口推进,把对业务的影响降到最低,兼顾安全改造与生产系统平稳运行。
(二)面向"使用"风险——动态脱敏与访问控制,管住权限内滥用。结合登录用户身份对返回数据进行动态脱敏,对非必要字段遮蔽处理,使不同岗位"按需可见";对批量导出、异常查询、越权调用等行为实时监测告警;操作全程留痕,支持事后审计追溯,形成"事前管控、事中预警、事后追溯"的闭环,把权限范围内的数据滥用纳入可管可控。
(三)面向"流转"风险——文件与链路加密,配合统一密钥管理。对病历附件、影像报告、科研协作文档等非结构化数据,通过逐文件逐密钥的透明加密实现落盘保护,访问行为全程留痕;面向跨院区传输、医保与第三方接口、互联网医院及科研共享等场景,通过链路加密、接口加密与双向认证保障传输可信,并以授权解密与动态脱敏机制支持数据受控开放,在流通效率与安全管控之间取得平衡。密钥管理内置"根密钥—业务密钥—数据密钥"三层体系,密钥与数据分离存储,根密钥由硬件真随机数发生器产生、由医院自主掌控;数据加密采用 SM4、密钥保护采用 SM2、完整性校验采用 SM3,全面支持国密算法,为医院密码应用规范化落地提供技术支撑。
在工程落地层面,免改造特性直接对应医院"系统多、不能停、要合规"的现实约束。部署效率上,无需修改业务代码即可上线,典型场景下实施周期由数月级压缩至数周级,大幅降低改造与上线风险,最大限度保障7×24业务连续运行;架构适配上,支持插件、代理网关、文件加密、存储加密等多种部署方式,兼容主流开发语言、关系型与非关系型数据库及信创操作系统,较好覆盖医院现有技术架构;性能上,加解密在应用服务器侧完成,减少对数据库计算资源的占用,尽量降低对诊疗响应时间的影响。合规支撑上,作为数据安全与密码应用的共性底座,同一套能力即可复用于等保、密评等多类合规场景,并配套密码技术咨询与测评协同服务,助力医院落实密码应用"同步规划、同步建设、同步运行"与定期评估要求,无需重复建设、减少整改往返成本。
四:业务、经济与合规三重增益
医疗数据安全建设不能停留在单点加固和一次性项目交付层面。随着医疗数据资源持续增长、业务系统持续迭代、医联体协作与"人工智能+医疗"不断拓展数据使用场景,安全能力需要随业务一起演进。免改造国密路径的价值,不只在于完成一次加密部署,更在于把加密、脱敏、访问控制、密钥管理与审计追溯沉淀为可持续运营的基础能力:业务上以低扰动方式守住诊疗连续性,经济上以免改造、可复用降低改造与重复建设成本,合规上为数据安全、个人信息保护与商用密码应用安全性评估预留技术基础,支撑医疗数字化在安全可控的基础上持续推进。
作为以"免改造"为创新特色的国家级专精特新"小巨人"企业,炼石的加密能力已在政府、金融、医疗等多个行业的关键应用系统中实现生产级部署,积累了丰富的工程实践经验,为复杂医疗环境中的从容落地提供根本支撑。