行業(yè)動(dòng)態(tài)

大數(shù)據(jù)醫(yī)療,網(wǎng)絡(luò)安全亦是關(guān)鍵配方

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-11-25    瀏覽次數(shù):
 

信息來源:FreeBuf

基于醫(yī)療大數(shù)據(jù)的AI助理

熟讀萬卷書,翻閱千萬病例資料的醫(yī)學(xué)專家能有多少,即便如此面對龐大的醫(yī)療數(shù)據(jù),人為所能接觸到的依然全球醫(yī)療數(shù)據(jù)中零星。醫(yī)生需要一個(gè)好的助手,能夠源源不斷吸收、提供有價(jià)值病例的數(shù)據(jù)庫。頂尖的醫(yī)師不足以分配到各線城市醫(yī)院,但這個(gè)虛擬的助手醫(yī)師可以。

醫(yī)療大數(shù)據(jù)(或者說健康大數(shù)據(jù)),早已經(jīng)不是什么新鮮概念。其并非單純指醫(yī)療數(shù)據(jù)量龐大,而是強(qiáng)調(diào)一種對這些健康數(shù)據(jù)進(jìn)行專業(yè)化處理和再利用的手段。通常,醫(yī)療數(shù)據(jù)可以源于患者就醫(yī)、臨床科研、生命制藥以及可穿戴設(shè)備等幾個(gè)方面;精準(zhǔn)利用醫(yī)療大數(shù)據(jù)能夠在用藥分析、病因分析、移動(dòng)醫(yī)療、基因組學(xué)以及疾病預(yù)防等多個(gè)領(lǐng)域發(fā)揮重大價(jià)值。

簡單來說,傳統(tǒng)的醫(yī)生憑借過往經(jīng)驗(yàn)來診斷,而醫(yī)療大數(shù)據(jù)則可以為醫(yī)生提供海量的數(shù)據(jù)支持,就像是把無數(shù)醫(yī)師的診斷病歷資料全部搬到你面前供你參考,這是一個(gè)從“經(jīng)驗(yàn)決策”到“數(shù)據(jù)輔助決策”的過程。

醫(yī)療大數(shù)據(jù),就可以很好的承擔(dān)前面提到的虛擬助手醫(yī)師的角色。通過大數(shù)據(jù)支持,能夠有效改善醫(yī)療水平參差不齊的現(xiàn)狀,尤其是在應(yīng)對疑難病癥的診斷上。

目前,美國擁有完整的醫(yī)療健康大數(shù)據(jù)庫,建成覆蓋本土的12個(gè)區(qū)域電子病歷數(shù)據(jù)中心、9個(gè)醫(yī)療知識中心、8個(gè)醫(yī)學(xué)影像與生物信息數(shù)據(jù)中心。相較之下,國內(nèi)醫(yī)療大數(shù)據(jù)起步較晚,同時(shí)在醫(yī)療領(lǐng)域也缺乏高素質(zhì)水平的技術(shù)人才隊(duì)伍。

直至近些年,人工智能、大數(shù)據(jù)等技術(shù)熱點(diǎn)得到越來越多的關(guān)注,開始出現(xiàn)部分企業(yè)投身到醫(yī)療大數(shù)據(jù)領(lǐng)域,以第三方技術(shù)服務(wù)者的身份提供支持,一定程度上緩解了這方面的專業(yè)人才缺失,也讓國內(nèi)大數(shù)據(jù)醫(yī)療在不斷摸索中前進(jìn)著。

零氪算是這批先行者之一,成立于2014年,專注于醫(yī)療大數(shù)據(jù)及人工智能的研發(fā)應(yīng)用,以數(shù)字化、網(wǎng)絡(luò)化、智能化作為工具和引擎,為醫(yī)療機(jī)構(gòu)、行業(yè)監(jiān)管部門、各級政府以及醫(yī)藥產(chǎn)業(yè)、保險(xiǎn)機(jī)構(gòu)等提供大數(shù)據(jù)和人工智能整體解決方案。

腫瘤大數(shù)據(jù)研究就是零氪科技的第一個(gè)切入點(diǎn),零氪與國內(nèi)數(shù)百家家綜合及??迫揍t(yī)院合作,深度分析幾百萬分腫瘤病例,處理醫(yī)學(xué)影像數(shù)據(jù)量超千萬份,協(xié)助3萬多名臨床醫(yī)生診斷。而在2016年開始,零氪Hubble智能隨訪系統(tǒng)對40萬腫瘤患者開展全流程管理,對于患者的康復(fù)質(zhì)量及術(shù)后生存率有顯著提高。

醫(yī)療大數(shù)據(jù)的發(fā)展基礎(chǔ)是要做到信息共享。北大腫瘤醫(yī)院信息部主任衡反修曾指出:“在數(shù)據(jù)共享開放過程中,技術(shù)、標(biāo)準(zhǔn)、機(jī)制、體制突破仍存在較大的障礙,造成各部門在推動(dòng)過程當(dāng)中‘不會’做。核心是數(shù)據(jù)能否做到安全可控,讓醫(yī)院放心?!?

信息安全共享,保障數(shù)據(jù)安全當(dāng)成為技術(shù)發(fā)展的前提。除了要保證數(shù)據(jù)不外泄,更要保證信息不被入侵者篡改,不論哪一種風(fēng)險(xiǎn)都可能給患者帶來風(fēng)險(xiǎn),甚至是威脅生命。

張坤認(rèn)為,如果核心業(yè)務(wù)是西天取經(jīng),業(yè)務(wù)主體是唐僧,那么安全保障體系就是三位徒弟,各司其職,各有千秋!

而在醫(yī)療大數(shù)據(jù)的這批先行者當(dāng)中,零氪科技可以說是為數(shù)不多的在信息安全上做足了功夫。零氪科技在提到醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展時(shí)曾多次強(qiáng)調(diào):數(shù)據(jù)安全是這一切的基礎(chǔ)。在數(shù)據(jù)的應(yīng)用過程中更要嚴(yán)格遵守?cái)?shù)據(jù)物理隔絕、訪問權(quán)限控制、應(yīng)用數(shù)據(jù)分層管理、患者知情授權(quán)等規(guī)范化路徑。

FreeBuf 在對零氪安全團(tuán)隊(duì)進(jìn)行采訪的時(shí)間點(diǎn),恰逢零氪科技以90多分的成績和“優(yōu)”的評級順利通過網(wǎng)絡(luò)安全等級保護(hù)制度2.0測評(以下簡稱等保2.0),據(jù)了解等保2.0要順利通過并獲得“優(yōu)”評級可謂是難上加難,不僅要求企業(yè)得分不得少于90分,且231項(xiàng)測評內(nèi)容不得有中高危風(fēng)險(xiǎn)方可獲得“優(yōu)”評級(分四級優(yōu)良中差)。

醫(yī)療安全現(xiàn)狀及企業(yè)內(nèi)部安全建設(shè)

醫(yī)療數(shù)據(jù)的價(jià)值不言而喻,但這也讓其成為了黑客的主要目標(biāo)之一。根據(jù)美國衛(wèi)生與人類服務(wù)部(HHS)一份報(bào)告估計(jì),醫(yī)療數(shù)據(jù)在暗網(wǎng)上的平均售價(jià)高達(dá)250美元,最高可接近1000美元,遠(yuǎn)遠(yuǎn)高于信用卡在暗網(wǎng)的價(jià)值。

需要注意的是,黑客竊取醫(yī)療數(shù)據(jù)并非僅僅出于商業(yè)利益。2018年中,新加坡150萬人醫(yī)療信息被盜,其中黑客重復(fù)訪問了新加坡總理李顯龍的個(gè)人資料和開藥記錄,顯然這不是一次普通目的的網(wǎng)絡(luò)攻擊行動(dòng)。

醫(yī)療機(jī)構(gòu)頻繁成為黑客攻擊的目標(biāo),這在近幾年愈發(fā)明顯,一定程度上也是因?yàn)獒t(yī)療行業(yè)安全建設(shè)整體水平偏低。整體來看,安全風(fēng)險(xiǎn)主要包含以下幾類:

1.醫(yī)院信息系統(tǒng)互聯(lián)互通,面臨來自外部的威脅;

2.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值,漸漸得到灰色產(chǎn)業(yè)鏈的覬覦;

3.安全事件造成的損失以及醫(yī)院信息系統(tǒng)恢復(fù)的成本激增;

4.缺乏安全技術(shù)人員以及安全管理制度;

5.面對外部網(wǎng)絡(luò)威脅的恐慌,導(dǎo)致了醫(yī)院信息化發(fā)展的裹足不前;

6.醫(yī)改對醫(yī)院信息共享、遠(yuǎn)程醫(yī)療協(xié)助的政策導(dǎo)向,延伸出的信息安全風(fēng)險(xiǎn)點(diǎn);

7.安全意識的淡薄以及管理制度的不完善,面臨著來自內(nèi)部的人為失誤或蓄意破壞、信息竊取。

8.僵木蠕等問題嚴(yán)峻,勒索病毒威脅嚴(yán)重;數(shù)據(jù)泄露事件高發(fā),應(yīng)用服務(wù)存在隱患;網(wǎng)站篡改手法多變,隱式植入非法信息。

頻繁發(fā)生的安全事件,終于敲響了各行業(yè)的安全警鐘,也得到了各行各業(yè)對安全的重視。醫(yī)療機(jī)構(gòu)開始重視安全基礎(chǔ)建設(shè),接納現(xiàn)有的安全服務(wù)、安全產(chǎn)品,也向安全市場發(fā)起了行業(yè)的安全挑戰(zhàn)。尤其是在《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護(hù)制度2.0等法律法規(guī)的發(fā)布,進(jìn)一步督促各機(jī)構(gòu)提升網(wǎng)絡(luò)安全水平。

1、醫(yī)療機(jī)構(gòu)安全建設(shè)存在一定的復(fù)雜性,信息系統(tǒng)的封閉性、應(yīng)用間交互性、數(shù)據(jù)的多樣性、導(dǎo)致健康醫(yī)療機(jī)構(gòu)IT資產(chǎn)混亂;

2、其次,應(yīng)用架構(gòu)龐大、數(shù)據(jù)龐雜,相關(guān)人員無法系統(tǒng)的了解應(yīng)用的架構(gòu)、數(shù)據(jù)的類型、數(shù)據(jù)的級別和相對應(yīng)的策略,系統(tǒng)間交互沒有較好的權(quán)限控制和管理。

3、另一方面,人員安全意識較低、缺少安全隊(duì)伍,缺少行業(yè)規(guī)范,國家法律法規(guī)也相對薄弱,導(dǎo)致安全能力和系統(tǒng)應(yīng)用的能力不匹配。

然而,由于醫(yī)療機(jī)構(gòu)數(shù)據(jù)有著自身行業(yè)的特性,量級大且涉及信息維度較多,國內(nèi)并沒有較為完善、符合行業(yè)特性和我國國情的規(guī)范、法律,業(yè)內(nèi)僅有的參考標(biāo)準(zhǔn)是美國在1996年頒布的HIPAA法案。在此基礎(chǔ)上,結(jié)合與多家醫(yī)院合作的經(jīng)驗(yàn), 摸索出了一條符合國內(nèi)醫(yī)療系統(tǒng)現(xiàn)狀的安全體系。

記得跟張坤約這次采訪,幾乎是一拍即合。他坦言,國內(nèi)網(wǎng)絡(luò)安全發(fā)展進(jìn)程才剛剛開始,在醫(yī)療領(lǐng)域更加的落后。而零氪這幾年探索,在企業(yè)安全建設(shè)以及數(shù)據(jù)保護(hù)等重點(diǎn)方向積累了不少實(shí)踐經(jīng)驗(yàn),與其自己保留,不如分享出來給大家做參考。踩過的坑盡量避免,做得好的地方可以借鑒,也希望能夠和更多伙伴一起交流,這樣才能讓醫(yī)療大數(shù)據(jù)盡可能發(fā)揮更大正面價(jià)值。

說到企業(yè)安全建設(shè),零氪安全團(tuán)隊(duì)對自研文件管理平臺、自研風(fēng)控平臺、自研API鑒權(quán)管控平臺等各類型管控措施、EDR、VDI、WAF、企業(yè)反病毒等基礎(chǔ)防護(hù)能力如數(shù)家珍,據(jù)張坤介紹,零氪公司采取從上至下的安全建設(shè)模式,從團(tuán)隊(duì)組建、安全框架、技術(shù)及合規(guī)等方面逐一實(shí)施:

1、安全團(tuán)隊(duì):精兵悍將的原則,在精不在多,多位來自金融等行業(yè)具有十年+的安全從業(yè)經(jīng)驗(yàn)的人員打造了零氪的安全團(tuán)隊(duì)。

2、安全框架:由安全策略方針、安全組織架構(gòu)、安全技術(shù)體系、安全合規(guī)體系、數(shù)據(jù)安全體系、人員安全管理、外部安全管理等方面構(gòu)成。

3、技術(shù)方向:了解健康醫(yī)療行業(yè)的特性,建設(shè)一套符合醫(yī)療行業(yè)特性的安全技術(shù)體系,并了解最新安全技術(shù)和安全風(fēng)險(xiǎn),為技術(shù)體系的進(jìn)化提供能量。

4、安全合規(guī):已取得網(wǎng)絡(luò)安全等級保護(hù)三級認(rèn)證資質(zhì)、ISO9001、ISO27001、ISO20000-1等,并定期進(jìn)行外部審計(jì)。在此基礎(chǔ)上持續(xù)關(guān)注國內(nèi)外法律法規(guī)和安全規(guī)范例如網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級保護(hù)制度2.0、云安全、app安全、個(gè)人隱私保護(hù)規(guī)定等。

數(shù)據(jù)安全管理體系建設(shè)

作為一家以醫(yī)療大數(shù)據(jù)為核心的企業(yè),數(shù)據(jù)安全則是重中之重。醫(yī)療數(shù)據(jù)在傳輸、訪問以及存儲等各個(gè)方面都可能存在安全隱患,HIPAA對此也做了非常嚴(yán)格的要求。據(jù)了解,零氪建立了完整的安全培訓(xùn)體系,包含新員工安全培訓(xùn)、全員安全意識培訓(xùn)、技術(shù)人員安全技能培訓(xùn)和專項(xiàng)安全培訓(xùn),而學(xué)習(xí)HIPAA法案,這是每一個(gè)新員工必學(xué)、必考、必過課程。

提升員工的整體的安全意識,這是零氪科技在構(gòu)建信息系統(tǒng)和管理流程的第一步。在參考HIPAA的基礎(chǔ)上,建立一套完善的數(shù)據(jù)安全生命周期管理體系,保護(hù)數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)訪問安全、數(shù)據(jù)備份和恢復(fù)管理、協(xié)作共享安全。

任何安全建設(shè)都需要長期的優(yōu)化過程以適應(yīng)多變的實(shí)踐環(huán)境,隨著網(wǎng)絡(luò)安全法、GDPR、等保2.0等國內(nèi)外相關(guān)法律的逐漸推進(jìn),零氪內(nèi)部會首先對可行性、適用性進(jìn)行調(diào)研,拿等保2.0來說,零氪科技內(nèi)部進(jìn)行多次測評項(xiàng)的調(diào)研,梳理測評內(nèi)容和企業(yè)現(xiàn)狀,率先進(jìn)行內(nèi)容的改善和建設(shè)。

通過對比等保1.0和等保2.0的差異化,對等保2.0提出的邊界防護(hù)、可信驗(yàn)證、訪問控制、身份鑒別、入侵防范、數(shù)據(jù)分級分類、數(shù)據(jù)脫敏、數(shù)據(jù)備份恢復(fù)、個(gè)人信息保護(hù)、數(shù)據(jù)保密性以及安全審計(jì)、安全管理、安全策略和集中管控、審計(jì)管理等安全通用要求進(jìn)行學(xué)習(xí)、調(diào)研和優(yōu)化建設(shè),并對等保2.0提出的云計(jì)算平臺、大數(shù)據(jù)平臺、工控系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)的安全擴(kuò)展要求進(jìn)行學(xué)習(xí),經(jīng)過公司各部門同事一起努力,最終零氪成為國內(nèi)首批獲得“優(yōu)”評級并獲得九十多分的高分的企業(yè)

零氪科技的實(shí)踐除了賦能自身業(yè)務(wù)的健康開展,也得到了行業(yè)內(nèi)的認(rèn)可。2018年底,聯(lián)合清華大學(xué)等多家高校及醫(yī)療機(jī)構(gòu)推進(jìn)了《信息安全技術(shù) 健康醫(yī)療信息安全指南》的制定,對個(gè)人健康醫(yī)療信息在常見應(yīng)用場景中的保護(hù),提出了可參考可實(shí)現(xiàn)的安全措施。

而在人工智能、5G、云計(jì)算等技術(shù)的飛速發(fā)展,對于未來趨勢的關(guān)注是任何一個(gè)安全負(fù)責(zé)人都在考慮的問題。張坤透露,AI安全等已經(jīng)在內(nèi)部進(jìn)行調(diào)研、測試;與此同時(shí),在保證合規(guī)、可行的前提下也會嘗試使用UEBA、零信任等架構(gòu)來提升對抗細(xì)粒度和準(zhǔn)確性,同時(shí)會探索大數(shù)據(jù)、AI為安全能力賦能的實(shí)現(xiàn),來提升自身安全能力。

結(jié)語

零氪科技技術(shù)總監(jiān)楊浩說:“我們打造了零氪的安全技術(shù)體系,探索了行業(yè)最佳實(shí)踐,在此基礎(chǔ)上,我們總結(jié)出了一套行之有效的適合醫(yī)療行業(yè)的安全體系。這樣的安全能力和保障體系,不僅用在企業(yè)內(nèi)部,也會對行業(yè)賦能。 為醫(yī)院、制藥工業(yè)企業(yè)及健康醫(yī)療行業(yè)輸出我們的安全能力,為需要高水平的信息安全保障體系的合作伙伴奉獻(xiàn)我們的能力和價(jià)值,也是我們心中的使命和責(zé)任?!?

正是在這種觀點(diǎn)影響下,現(xiàn)在零氪安全團(tuán)隊(duì)愿意與業(yè)界分享關(guān)于零氪醫(yī)療大數(shù)據(jù)領(lǐng)域信息安全的見解、經(jīng)驗(yàn)和成績,希望能夠?yàn)檫@個(gè)領(lǐng)域的發(fā)展貢獻(xiàn)一些綿薄之力?!傲汶吹氖姑羌せ顢?shù)據(jù)智能,讓人人皆可享有精準(zhǔn)的醫(yī)療服務(wù)。我們所負(fù)責(zé)的信息安全工作,就是關(guān)乎到生命的。對此,我們心懷敬畏,不敢不努力,沒法不竭盡全力。 ”

張坤坦言,進(jìn)入零氪所在的醫(yī)療領(lǐng)域,他經(jīng)歷了很多:從金融到醫(yī)療,信息安全行業(yè)十年的磨煉,除了技術(shù)能力和專業(yè)見識,更重要的是使命感越來越強(qiáng)烈地驅(qū)動(dòng)他前行。希望衡量安全工作價(jià)值的不只是漏洞修復(fù)率、攻擊識別和抵抗率,安全事件數(shù)量、監(jiān)管通報(bào)、甚至黑市相關(guān)信息價(jià)格的浮動(dòng)。

信息安全永遠(yuǎn)沒有100%的事情,所以他永遠(yuǎn)都會探索可以做更好、做更多的前進(jìn)方向。Care Data ,Care Life是零氪肩負(fù)的使命和追求的目標(biāo) ,對安全團(tuán)隊(duì)而言職責(zé)和使命就是用More Care Security,去保障從care data到care life的實(shí)踐之路,安全無虞。


 
 

上一篇:企業(yè)組織易受勒索軟件攻擊的10大原因

下一篇:喜報(bào)|聚銘綜合日志審計(jì)分析系統(tǒng)入選《江蘇省重點(diǎn)推廣應(yīng)用新技術(shù)新產(chǎn)品》目錄