沈剑欢，瞿怀荣

    (连云港市第一人民医院信息部，江苏 连云港 222000)

    目前，医院虽然在竭尽所能的确保患者的个人信息不被泄露，但医疗信息泄露事件一再发生。包括患者在医院就诊时的信息，如姓名、手机号、身份证号等常见隐私数据，以及就诊科室、就诊时间和次数等特殊敏感的医疗信息泄露事件。究其原因主要是医院信息系统保护能力不强，漏洞防护不够全面，患者隐私被轻而易举地窃取[1]。为遵循患者信息保护的义务，切实筑牢个人信息安全防线，有效保护患者个人隐私[2]，某医院从核心业务数据库患者数据脱敏、数据平台患者健康档案数据脱敏、智慧服务就诊过程中患者隐私保护等维度，形成一整套个人信息保护方案。传统的数据脱敏通过识别SQL 语句中的敏感字段内容并改写SQL，在数据库实现脱敏处理，并返回结果[3]。本文从患者隐私保护的角度重点介绍了新型数据库动态脱敏技术和患者智慧就诊的功能及应用效果。

    1 核心数据库数据脱敏和数据平台患者健康档案脱敏系统

    数据库脱敏和健康档案脱敏系统充分考虑用户数据库安全管理需求，采用全新的技术架构及理念，从数据库虚拟化、安全准入、访问控制、数据脱敏、全面审计多维度全方位保护数据安全，有效抵御口令入侵、特权提升、漏洞入侵、SQL 注入、窃取备份、勒索病毒、脱库等数据库攻击手段，满足数据库安全管理，符合运维安全内部控制和法规法令的要求，有效保障患者重要敏感信息的安全[4]。

    1.1 设计理念 数据脱敏系统支持多个平台数据库，医院核心数据库采用Oracle 12C，数据平台数据库采用SQL Server 2012，系统可以直接对原数据库脱敏，通过数据库虚拟化技术和数据库引擎管理，采用数据水印、敏感信息替换和访问控制的手段，加上访问日志审计、SQL 语句审计、终端身份识别等功能，达到了数据脱敏、防脱库和防统方的目的。安全性方面，系统设计有防火墙、数据传输加密和SQL 注入防护，通过建立黑白名单来限制访问用户，数据传输的加密方式防止数据窃取，根据SQL 注入的特征智能检测、识别及阻断，防止通过应用系统的SQL 注入入侵数据库[5]。针对高危操作的管理，系统建立审批流程，通过系统自动生成或者手动提交申请单方式，管理者对定义的高危操作进行审批，审批通过后才能执行，真正做到管理者和使用者的职权分离，防止敏感信息的泄露(图1)。

    1.2 实现数据库安全管理 针对开发、运维、系统管理过程中账号管理混乱、操作不透明等一系列不合规现象造成的数据泄漏事件，系统通过多因素认证、细粒度的权限控制和细粒度的数据对象授权管理 ......