从医院的五个数据域解剖安全风险

从数据的角度看医院的数据域分布和流动，医院数据基本可以分为以下5个数据域：以患者服务为中心的生产数据域、以诊断治疗改善为中心的数据利用域、以运营管理改善为中心的数据利用域、以测试开发为中心的数据利用域、以交换和共享（互联互通）为中心的数据流动域，以及以流程管控为中心的管理领域，比如HRP、OA、采购、库存、财务等。

01以患者服务为中心的生产数据域

生产数据域围绕患者的就诊过程展开，以 HIS 系统和电子病历系统为核心，患者通过预约、挂号、入院、等号、检查、医嘱、领药、治疗、手术等全过程和不同的医院业务系统打交道，包括：HIS、EMR、LIS、RIS、PACS，心电，护理、查房、会诊、体检、临床路径、输液、手术麻醉、感染、病案等各种系统。每个系统管理着患者就诊过程中的一个环节，系统之间具有先天的信任关系，这些系统都围绕着患者生产各自的原始数据，患者信息则是在系统之间不断的实时交互和流动。患者就诊过程中产生的大部分数据都具有一经生成就不允许修改的基本特征，如果需要修改则需要患者充分授权。原则上，生产中的患者数据需要经过患者授权才可以访问。但是，为了方便医生工作和患者体验，大部分生产系统事实上都没有完全遵循患者授权原则，而是在某些已知的情况下可以查询和处理任意患者病案的信息。这种处理在带来方便性的同时，也带来了巨大的数据访问越权风险。

02以诊断治疗改善为中心的数据利用域

如何提高医生诊疗水平，几乎是每一家医院的核心命题。教育培训、科研平台和 CDR 等系统本质上都是为了提高医生的诊疗水平。生产域的数据通过不同的抽取方式集成到教育培训、科研平台和 CDR 中。由于这些数据已经脱离了患者就诊过程，在业务上已经脱离了患者控制，可以不经过患者允许访问任意患者数据。此外，由于数据利用方式的灵活性，诊疗数据的利用更多是采用各种灵活工具进行访问，使业务访问具备开放性和多边性，因此，将给数据安全带来灾难性后果，安全保护措施会变得异常艰难，保护成本也会快速恶化。在以诊疗改善为中心的数据利用域，医生事实上根本不关心患者是谁，仅仅关心疾病本身的相关信息和一些人口统计学信息。基于这个特点，我们可以通过降低教育培训、科研平台和 CDR 中的数据敏感性来降低数据安全保护的需求。

03以运营管理和改善为中心的数据利用域

医疗线的各级领导大部分都是医而优则仕，而非管理专业科班出身。从管理学而言，知识越多越反动是个不灭的真理。一般而言，员工知识越多，能力越强，其管理的难度就越大。向数据要管理收益，是一个技术型领导的自然选择。运营中心和 CDR 一样，采用各种灵活工具进行访问，具有开放性和多边性，给数据安全带来很大的问题。运营管理和改善中心的数据从生产域进入运营域，不需要患者个体化的隐私标识信息。我们可以通过源头控制来降低运营中心的安全需要，也就是说禁止隐私标识信息进入运营管理中心，自然也就可以让运营中心数据安全地被各级人员所利用。