数据安全法视角下医院备份与保护策略探究

关键词：数据容灾；医院网络安全；数据安全；数据保护；数据恢复

0 引言

2021年9月1日起国家正式施行数据安全法。在此背景下，医疗行业数据安全的重要性愈加凸显。医疗行业数据的价值主要体现在通过挖掘医疗行业各种类型的数据，经过数据分析后，可以为患者提供个性化诊疗措施，预测和预防疾病，促进药品研发和临床试验，为管理职能科室提供医疗管理和辅助决策支持，甚至为政府部门提供公共卫生政策支持。在互联网时代，医院在建设智慧医院或互联网医院的过程中，大量建设微信小程序、Web应用程序等信息系统，通过集成平台实现了院内外各应用系统之间的数据互联互通。这在为医院和患者带来便利的同时，也带来了各类外部数据安全风险。一旦医疗行业因网络入侵或医院内部管理不善发生数据泄漏，对医院各方面的损失都是不可估量的，甚至可能侵犯患者的个人隐私信息，对患者的生命财产安全造成严重威胁[1]。因此，有必要在建设数字化智慧型医院的同时，从医院层面保障数据安全，保护院方和患者的权益。

1 医疗数据安全总体方案

强大的硬件设施与软件层面的设置措施是保障数据安全的基石。本文从物理层面（包括服务器、本地备份策略、数据库容灾）和系统软件层面（包括数据库审计、患者隐私保护）出发，对现有数据安全保护进行梳理，整体架构如图1所示。

2 医疗行业物理层面保障数据安全

2.1 服务器

2.1.1 服务器冗余

在服务器运行过程中，可能会因机房断电等外部环境因素变化导致物理服务器发生故障宕机，重要服务器过去单一节点运行模式显然无法满足医院24小时救死扶伤的职责。因此，承载重要业务的服务器和交换机需要实现双机热备模式。在双机热备系统中，所有站点的数据直接从中央存储设备读取和存储，用户的数据存放在共享磁盘阵列中。双机热备系统之间使用“心跳”来保证主服务器和备服务器之间的通信，主备系统之间每间隔一定的时间发送通信信号来确保主备系统之间处于正常运行的状态。当两台服务器中任何一台服务器发生故障时，“心跳”通信信号会异常，业务可以快速切换到另一台正常运行的备用服务器，保证业务整体的平稳运行，如图2所示。对于无法实现双机热备模式的重要服务器，可采用冷备模式来应对故障。即在两台服务器正常运行时，主服务器会定时将数据同步到备用服务器。一旦主服务器发生故障，备用服务器不会自动接管，需要人工手动切换线路，将冷备服务器转变为主服务器，从而保证业务的连续性。

随着互联网的快速发展，传统的IT基础设施显然已无法满足智慧型医院的发展需求。超融合技术通过集成计算、存储、网络和虚拟化等功能，将多个服务器、存储设备、网络设备等资源集成到一个统一的管理平台上。通常将系统应用服务器通过虚拟化技术建立在超融合集群上。当超融合集群中的某一节点发生故障时，该故障节点上承载业务的虚拟机会自动迁移到超融合集群的其他节点上，保证业务在集群的其他节点上正常运行。此外，机房应当准备物理服务器、网线、光纤等常用备件，为保障业务服务器正常稳定地运作做准备。

2.1.2 存储层双活

使用两台存储服务器做成双活模式，将两套存储阵列组成跨站点集群，实现数据的实时镜像和同步。两端阵列的数据能够实时同步，两台存储服务器可以同时为生产数据库服务器提供读写服务，从存储层上实现负载均衡。当任意一台存储磁盘阵列出现故障时，业务可以无缝自动切换到对端存储访问，保证业务不中断。

2.1.3 数据库层集群双活

Oracle数据库RAC架构通过集群互联可以让多个实例之间互传协调信息，实现多个节点共用一个磁盘来存储和共享数据[2]。通过RAC体系，可以大幅增加数据库整体的并行度和并行操作，从而显著增加联机事务处理系统中终端连接用户的数量。当客户端远程连接到服务器时，RAC架构会根据服务器上两个实例分别持有的会话总数，将新会话自动连接到会话数量较少的数据库实例上，减轻会话数量较多的服务器的负载，实现数据库服务器的负载均衡。数据库双活模式将不同的节点分布在两台物理服务器上，当某一节点发生故障时，虚拟IP会自动游浮到业务正常的节点上，保证虚拟IP继续提供服务，实现生产数据库的高可用性。

2.2 本地数据库备份

2.2.1 备份策略

物理备份是指将数据库的所有物理文件（包括数据文件、归档日志和控制文件）完整地拷贝到备份位置的过程，具有高效性和快速恢复的特点。一般情况下，每周进行一次0级备份，每日进行一次1级备份。逻辑备份是物理备份的补充方式，主要通过导出数据的逻辑结构和逻辑对象进行备份，适用于部分数据的备份和恢复、数据迁移。备份过程不可避免地会占用服务器资源，因此通常在夜间业务量较少时，在服务器后台每日定时自动备份，以确保业务数据丢失不超过一天。对于依赖操作系统较高的服务器，可以采用虚拟机整机备份的方式，将虚拟机整体备份，以降低后续部署新环境的时间等待。

2.2.2 数据恢复验证

数据库备份之后，有必要定期对数据库备份策略的有效性、备份文件的可用性以及备份文件数据恢复后的一致性进行校验检查。为保证数据恢复时不影响主业务，通常按照医院电子病历五级评审要求，每季度将数据库的逻辑备份文件或物理备份文件迁移到异机进行数据恢复验证，以提高医院信息科数据库工程师的业务能力和应变能力。

2.2.3 数据库容灾

现代医院的医疗秩序越来越依赖信息系统，系统灾难发生时，如何快速恢复业务、保证业务的连续性已成为医院信息化的关键因素[3-4]。在数据恢复过程中，常使用两个指标来衡量恢复效果：恢复时间目标（Recovery Point Objective， RPO） 指系统灾难发生后最多可能丢失的数据时长；恢复点目标（Recovery TimeObjective， RTO） 指系统灾难发生后医院能容忍业务系统停止服务的最长时间。医院须根据信息系统的业务风险和灾难发生后对整体的影响进行综合分析，制定合理的保护方案。根据《全国医院信息化建设标准与规范》的三级甲等要求，对于关键业务信息系统的数据恢复标准，本地数据恢复RTO≤15min，RPO≤10min，异地数据恢复RTO≤60min，RPO≤30min；关键业务信息系统应用容灾标准为，本地应用恢复RTO≤15min，RPO≤10min[5]。

数据库容灾系统能够更加安全地存储用户数据，避免数据丢失，已成为医院信息化的重要手段。容灾系统通常建立在异地机房，以保证当主机房的数据库服务器因断电等物理环境因素导致故障时，容灾机房可以提供正常服务。在生产库业务正常运行时，容灾库只能读取数据，不能写入数据。生产库可以实时同步数据至容灾库，用户可以在容灾库进行数据抽取等高读写操作，从而降低生产库的负载。当生产库发生系统灾难时，可快速将生产库的服务切换到容灾平台，此时容灾库转变为可读可写状态，并且虚拟IP指向容灾库，从而确保关键信息基础设施的业务连续性。在生产库恢复故障后，容灾库可以将新增数据自动同步至生产库，以保证生产库数据的一致性。

通过容灾管理平台，可以对容灾业务进行统一管理，并在监控大屏上随时监控医院容灾库的运行状态。出现故障时，系统会及时提醒管理人员进行维护。平时可以通过管理平台进行容灾切换演练，以提升工程师的实战应对能力，并查看相关操作记录；发生故障时，平台可以协助工程师快速完成异地容灾恢复工作。

3 医疗行业软件层面保障数据安全

3.1 数据库审计

由于医疗数据的独特价值，为避免医院内部工作人员出于不良动机统计并提供药品、医用耗材等相关信息给药企，或者为药企提供统计便利，医院建立了防统方系统，对院内工作人员的统方查询行为进行审查[6]。医院信息科将核心交换机上所有访问数据库的流量通过镜像方式接入防统方系统，使用数据库旁路监听生产数据库的各类操作行为，并对数据库的查询SQL语句进行智能分析，实现对统方行为的实时监控，判断院内是否有涉及统方查询的行为。一旦发生类似统方查询的行为，系统会立即锁定操作人的计算机屏幕，并通过手机短信通知院内纪检监察部门进行安全风险排查。院内数据库审计设备可对所有重点数据库用户和查询行为进行审计，一旦发现风险行为可以立即进行处置。

3.2 患者隐私保护

医疗数据包含患者的个人基本信息、病情既往史、用药记录、体检报告等各类信息，如果这些信息不能得到妥善保护，可能导致严重的信息泄露，损害患者的权益。例如，患者的基本信息泄露可能损害其基本权益，用药信息泄露可能导致医药厂家的推销电话，病历泄露可能对患者造成极大的精神伤害和心理压力。因此，有必要对患者的个人隐私进行保护[7]。

在患者端数据保护方面，通过互联网医院端设置隐私保护措施。患者使用互联网医院查看个人检验检查报告时，需要通过手机短信验证才能绑定相关信息。患者复印或拷贝其多年前的历史病历时，需要出具个人身份证明，经医院确认盖章后交由相关部门进行处理。

在院内数据存储方面，数据库中的患者敏感数据存储上采用加密算法对患者的关键信息数据进行加密。在数据传输过程中，利用数据匿名算法对其进行传输保护。院内医护人员查看非自己主管的患者病历数据时，需要经过相关主管科室的审核，审核通过后方可查看患者的基本信息。院内关键系统设置多重防护机制，例如，登录时密码多次输入错误后，系统会自动开启防护措施对账号进行一定时间的锁定，只有管理员能对账号解锁，对重要岗位人员实行手机CA扫码登录。

在院内数据安全保护方面，通过网闸划分医院外网和内网两个区域，内网数据无法传输至外网，保障患者数据不被泄露；外网文件也无法通过U盘拷贝至内网，防止外部病毒进入内网。通过院内数据中心防火墙控制数据访问，并在核心交换机上根据不同的业务划分不同的虚拟局域网（Virtual Local Area Network，VLAN） 区域，不同VLAN区域间网络隔离，提高整体网络的安全性。第三方公司运维人员在服务器运维时，均通过堡垒机操作服务器，院方可对运维人员的行为做到有效监管；通过态势感知平台，对外部入侵风险行为进行预警；通过院内终端管控，确保院内计算机均设置屏保及锁屏，医护人员不在工作岗位时电脑会自动锁屏，避免计算机被外来人员随意操作及泄露患者的个人隐私。在面向患者的业务系统中，如患者叫号时，在显示大屏对患者个人的基本信息做好保护，仅显示患者的叫号号码及姓氏，避免患者个人隐私泄露。

患者隐私数据一旦泄露，精神损伤是不可估量的，而医疗数据一旦丢失，将会影响医生对患者病情的判断。通过软件层面的设置，可以有效避免数据泄露和数据丢失，并通过各类网络安全设备有效提高整体安全性。

4 结束语

数据库故障和数据泄露虽然是小概率事件，但一旦发生，将会带来高风险。因此，对数据进行多种保护措施至关重要。本文从服务器硬件层面入手，通过双机热备、双机冷备、超融合集群、存储层双活等技术，确保单一节点发生故障时，另一节点可以正常提供服务。数据库服务器的物理备份、逻辑备份和实时容灾同步机制，可以确保数据库的数据丢失不超过一天，数据恢复时间不超过两小时。在服务器软件层面，通过防统方系统、数据库审计等方式对数据库行为进行审计，并在信息系统内对患者隐私进行保护。根据国家数据安全法的相关规定，个人隐私、个人信息、商业机密、保密商务信息等数据应当依法予以保密，不得泄露或向他人提供。医院等机构应当确保数据安全，避免数据泄露。本文提出的方法为医院信息化提供了一种保障患者隐私和数据安全的建设思路。