信息來(lái)源：FreeBuf

基于醫(yī)療大數(shù)據(jù)的AI助理

熟讀萬(wàn)卷書(shū)，翻閱千萬(wàn)病例資料的醫(yī)學(xué)專家能有多少，即便如此面對(duì)龐大的醫(yī)療數(shù)據(jù)，人為所能接觸到的依然全球醫(yī)療數(shù)據(jù)中零星。醫(yī)生需要一個(gè)好的助手，能夠源源不斷吸收、提供有價(jià)值病例的數(shù)據(jù)庫(kù)。頂尖的醫(yī)師不足以分配到各線城市醫(yī)院，但這個(gè)虛擬的助手醫(yī)師可以。

醫(yī)療大數(shù)據(jù)（或者說(shuō)健康大數(shù)據(jù)），早已經(jīng)不是什么新鮮概念。其并非單純指醫(yī)療數(shù)據(jù)量龐大，而是強(qiáng)調(diào)一種對(duì)這些健康數(shù)據(jù)進(jìn)行專業(yè)化處理和再利用的手段。通常，醫(yī)療數(shù)據(jù)可以源于患者就醫(yī)、臨床科研、生命制藥以及可穿戴設(shè)備等幾個(gè)方面；精準(zhǔn)利用醫(yī)療大數(shù)據(jù)能夠在用藥分析、病因分析、移動(dòng)醫(yī)療、基因組學(xué)以及疾病預(yù)防等多個(gè)領(lǐng)域發(fā)揮重大價(jià)值。

簡(jiǎn)單來(lái)說(shuō)，傳統(tǒng)的醫(yī)生憑借過(guò)往經(jīng)驗(yàn)來(lái)診斷，而醫(yī)療大數(shù)據(jù)則可以為醫(yī)生提供海量的數(shù)據(jù)支持，就像是把無(wú)數(shù)醫(yī)師的診斷病歷資料全部搬到你面前供你參考，這是一個(gè)從“經(jīng)驗(yàn)決策”到“數(shù)據(jù)輔助決策”的過(guò)程。

醫(yī)療大數(shù)據(jù)，就可以很好的承擔(dān)前面提到的虛擬助手醫(yī)師的角色。通過(guò)大數(shù)據(jù)支持，能夠有效改善醫(yī)療水平參差不齊的現(xiàn)狀，尤其是在應(yīng)對(duì)疑難病癥的診斷上。

目前，美國(guó)擁有完整的醫(yī)療健康大數(shù)據(jù)庫(kù)，建成覆蓋本土的12個(gè)區(qū)域電子病歷數(shù)據(jù)中心、9個(gè)醫(yī)療知識(shí)中心、8個(gè)醫(yī)學(xué)影像與生物信息數(shù)據(jù)中心。相較之下，國(guó)內(nèi)醫(yī)療大數(shù)據(jù)起步較晚，同時(shí)在醫(yī)療領(lǐng)域也缺乏高素質(zhì)水平的技術(shù)人才隊(duì)伍。

直至近些年，人工智能、大數(shù)據(jù)等技術(shù)熱點(diǎn)得到越來(lái)越多的關(guān)注，開(kāi)始出現(xiàn)部分企業(yè)投身到醫(yī)療大數(shù)據(jù)領(lǐng)域，以第三方技術(shù)服務(wù)者的身份提供支持，一定程度上緩解了這方面的專業(yè)人才缺失，也讓國(guó)內(nèi)大數(shù)據(jù)醫(yī)療在不斷摸索中前進(jìn)著。

零氪算是這批先行者之一，成立于2014年，專注于醫(yī)療大數(shù)據(jù)及人工智能的研發(fā)應(yīng)用，以數(shù)字化、網(wǎng)絡(luò)化、智能化作為工具和引擎，為醫(yī)療機(jī)構(gòu)、行業(yè)監(jiān)管部門、各級(jí)政府以及醫(yī)藥產(chǎn)業(yè)、保險(xiǎn)機(jī)構(gòu)等提供大數(shù)據(jù)和人工智能整體解決方案。

腫瘤大數(shù)據(jù)研究就是零氪科技的第一個(gè)切入點(diǎn)，零氪與國(guó)內(nèi)數(shù)百家家綜合及?？迫揍t(yī)院合作，深度分析幾百萬(wàn)分腫瘤病例，處理醫(yī)學(xué)影像數(shù)據(jù)量超千萬(wàn)份，協(xié)助3萬(wàn)多名臨床醫(yī)生診斷。而在2016年開(kāi)始，零氪Hubble智能隨訪系統(tǒng)對(duì)40萬(wàn)腫瘤患者開(kāi)展全流程管理，對(duì)于患者的康復(fù)質(zhì)量及術(shù)后生存率有顯著提高。

醫(yī)療大數(shù)據(jù)的發(fā)展基礎(chǔ)是要做到信息共享。北大腫瘤醫(yī)院信息部主任衡反修曾指出：“在數(shù)據(jù)共享開(kāi)放過(guò)程中，技術(shù)、標(biāo)準(zhǔn)、機(jī)制、體制突破仍存在較大的障礙，造成各部門在推動(dòng)過(guò)程當(dāng)中‘不會(huì)’做。核心是數(shù)據(jù)能否做到安全可控，讓醫(yī)院放心。”

信息安全共享，保障數(shù)據(jù)安全當(dāng)成為技術(shù)發(fā)展的前提。除了要保證數(shù)據(jù)不外泄，更要保證信息不被入侵者篡改，不論哪一種風(fēng)險(xiǎn)都可能給患者帶來(lái)風(fēng)險(xiǎn)，甚至是威脅生命。

張坤認(rèn)為，如果核心業(yè)務(wù)是西天取經(jīng)，業(yè)務(wù)主體是唐僧，那么安全保障體系就是三位徒弟，各司其職，各有千秋！

而在醫(yī)療大數(shù)據(jù)的這批先行者當(dāng)中，零氪科技可以說(shuō)是為數(shù)不多的在信息安全上做足了功夫。零氪科技在提到醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展時(shí)曾多次強(qiáng)調(diào)：數(shù)據(jù)安全是這一切的基礎(chǔ)。在數(shù)據(jù)的應(yīng)用過(guò)程中更要嚴(yán)格遵守?cái)?shù)據(jù)物理隔絕、訪問(wèn)權(quán)限控制、應(yīng)用數(shù)據(jù)分層管理、患者知情授權(quán)等規(guī)范化路徑。

FreeBuf 在對(duì)零氪安全團(tuán)隊(duì)進(jìn)行采訪的時(shí)間點(diǎn)，恰逢零氪科技以90多分的成績(jī)和“優(yōu)”的評(píng)級(jí)順利通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0測(cè)評(píng)（以下簡(jiǎn)稱等保2.0），據(jù)了解等保2.0要順利通過(guò)并獲得“優(yōu)”評(píng)級(jí)可謂是難上加難，不僅要求企業(yè)得分不得少于90分，且231項(xiàng)測(cè)評(píng)內(nèi)容不得有中高危風(fēng)險(xiǎn)方可獲得“優(yōu)”評(píng)級(jí)（分四級(jí)優(yōu)良中差）。

醫(yī)療安全現(xiàn)狀及企業(yè)內(nèi)部安全建設(shè)

醫(yī)療數(shù)據(jù)的價(jià)值不言而喻，但這也讓其成為了黑客的主要目標(biāo)之一。根據(jù)美國(guó)衛(wèi)生與人類服務(wù)部（HHS）一份報(bào)告估計(jì)，醫(yī)療數(shù)據(jù)在暗網(wǎng)上的平均售價(jià)高達(dá)250美元，最高可接近1000美元，遠(yuǎn)遠(yuǎn)高于信用卡在暗網(wǎng)的價(jià)值。

需要注意的是，黑客竊取醫(yī)療數(shù)據(jù)并非僅僅出于商業(yè)利益。2018年中，新加坡150萬(wàn)人醫(yī)療信息被盜，其中黑客重復(fù)訪問(wèn)了新加坡總理李顯龍的個(gè)人資料和開(kāi)藥記錄，顯然這不是一次普通目的的網(wǎng)絡(luò)攻擊行動(dòng)。

醫(yī)療機(jī)構(gòu)頻繁成為黑客攻擊的目標(biāo)，這在近幾年愈發(fā)明顯，一定程度上也是因?yàn)獒t(yī)療行業(yè)安全建設(shè)整體水平偏低。整體來(lái)看，安全風(fēng)險(xiǎn)主要包含以下幾類：

1.醫(yī)院信息系統(tǒng)互聯(lián)互通，面臨來(lái)自外部的威脅；

2.醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦；

3.安全事件造成的損失以及醫(yī)院信息系統(tǒng)恢復(fù)的成本激增；

4.缺乏安全技術(shù)人員以及安全管理制度；

5.面對(duì)外部網(wǎng)絡(luò)威脅的恐慌，導(dǎo)致了醫(yī)院信息化發(fā)展的裹足不前；

6.醫(yī)改對(duì)醫(yī)院信息共享、遠(yuǎn)程醫(yī)療協(xié)助的政策導(dǎo)向，延伸出的信息安全風(fēng)險(xiǎn)點(diǎn)；

7.安全意識(shí)的淡薄以及管理制度的不完善，面臨著來(lái)自內(nèi)部的人為失誤或蓄意破壞、信息竊取。

8.僵木蠕等問(wèn)題嚴(yán)峻,勒索病毒威脅嚴(yán)重；數(shù)據(jù)泄露事件高發(fā)，應(yīng)用服務(wù)存在隱患；網(wǎng)站篡改手法多變,隱式植入非法信息。

頻繁發(fā)生的安全事件，終于敲響了各行業(yè)的安全警鐘，也得到了各行各業(yè)對(duì)安全的重視。醫(yī)療機(jī)構(gòu)開(kāi)始重視安全基礎(chǔ)建設(shè)，接納現(xiàn)有的安全服務(wù)、安全產(chǎn)品，也向安全市場(chǎng)發(fā)起了行業(yè)的安全挑戰(zhàn)。尤其是在《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0等法律法規(guī)的發(fā)布，進(jìn)一步督促各機(jī)構(gòu)提升網(wǎng)絡(luò)安全水平。

1、醫(yī)療機(jī)構(gòu)安全建設(shè)存在一定的復(fù)雜性，信息系統(tǒng)的封閉性、應(yīng)用間交互性、數(shù)據(jù)的多樣性、導(dǎo)致健康醫(yī)療機(jī)構(gòu)IT資產(chǎn)混亂；

2、其次，應(yīng)用架構(gòu)龐大、數(shù)據(jù)龐雜，相關(guān)人員無(wú)法系統(tǒng)的了解應(yīng)用的架構(gòu)、數(shù)據(jù)的類型、數(shù)據(jù)的級(jí)別和相對(duì)應(yīng)的策略，系統(tǒng)間交互沒(méi)有較好的權(quán)限控制和管理。

3、另一方面，人員安全意識(shí)較低、缺少安全隊(duì)伍，缺少行業(yè)規(guī)范，國(guó)家法律法規(guī)也相對(duì)薄弱，導(dǎo)致安全能力和系統(tǒng)應(yīng)用的能力不匹配。

然而，由于醫(yī)療機(jī)構(gòu)數(shù)據(jù)有著自身行業(yè)的特性，量級(jí)大且涉及信息維度較多，國(guó)內(nèi)并沒(méi)有較為完善、符合行業(yè)特性和我國(guó)國(guó)情的規(guī)范、法律，業(yè)內(nèi)僅有的參考標(biāo)準(zhǔn)是美國(guó)在1996年頒布的HIPAA法案。在此基礎(chǔ)上，結(jié)合與多家醫(yī)院合作的經(jīng)驗(yàn)， 摸索出了一條符合國(guó)內(nèi)醫(yī)療系統(tǒng)現(xiàn)狀的安全體系。

記得跟張坤約這次采訪，幾乎是一拍即合。他坦言，國(guó)內(nèi)網(wǎng)絡(luò)安全發(fā)展進(jìn)程才剛剛開(kāi)始，在醫(yī)療領(lǐng)域更加的落后。而零氪這幾年探索，在企業(yè)安全建設(shè)以及數(shù)據(jù)保護(hù)等重點(diǎn)方向積累了不少實(shí)踐經(jīng)驗(yàn)，與其自己保留，不如分享出來(lái)給大家做參考。踩過(guò)的坑盡量避免，做得好的地方可以借鑒，也希望能夠和更多伙伴一起交流，這樣才能讓醫(yī)療大數(shù)據(jù)盡可能發(fā)揮更大正面價(jià)值。

說(shuō)到企業(yè)安全建設(shè)，零氪安全團(tuán)隊(duì)對(duì)自研文件管理平臺(tái)、自研風(fēng)控平臺(tái)、自研API鑒權(quán)管控平臺(tái)等各類型管控措施、EDR、VDI、WAF、企業(yè)反病毒等基礎(chǔ)防護(hù)能力如數(shù)家珍，據(jù)張坤介紹，零氪公司采取從上至下的安全建設(shè)模式，從團(tuán)隊(duì)組建、安全框架、技術(shù)及合規(guī)等方面逐一實(shí)施：

1、安全團(tuán)隊(duì)：精兵悍將的原則，在精不在多，多位來(lái)自金融等行業(yè)具有十年+的安全從業(yè)經(jīng)驗(yàn)的人員打造了零氪的安全團(tuán)隊(duì)。

2、安全框架：由安全策略方針、安全組織架構(gòu)、安全技術(shù)體系、安全合規(guī)體系、數(shù)據(jù)安全體系、人員安全管理、外部安全管理等方面構(gòu)成。

3、技術(shù)方向：了解健康醫(yī)療行業(yè)的特性，建設(shè)一套符合醫(yī)療行業(yè)特性的安全技術(shù)體系，并了解最新安全技術(shù)和安全風(fēng)險(xiǎn)，為技術(shù)體系的進(jìn)化提供能量。

4、安全合規(guī)：已取得網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)認(rèn)證資質(zhì)、ISO9001、ISO27001、ISO20000-1等，并定期進(jìn)行外部審計(jì)。在此基礎(chǔ)上持續(xù)關(guān)注國(guó)內(nèi)外法律法規(guī)和安全規(guī)范例如網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0、云安全、app安全、個(gè)人隱私保護(hù)規(guī)定等。

數(shù)據(jù)安全管理體系建設(shè)

作為一家以醫(yī)療大數(shù)據(jù)為核心的企業(yè)，數(shù)據(jù)安全則是重中之重。醫(yī)療數(shù)據(jù)在傳輸、訪問(wèn)以及存儲(chǔ)等各個(gè)方面都可能存在安全隱患，HIPAA對(duì)此也做了非常嚴(yán)格的要求。據(jù)了解，零氪建立了完整的安全培訓(xùn)體系，包含新員工安全培訓(xùn)、全員安全意識(shí)培訓(xùn)、技術(shù)人員安全技能培訓(xùn)和專項(xiàng)安全培訓(xùn)，而學(xué)習(xí)HIPAA法案，這是每一個(gè)新員工必學(xué)、必考、必過(guò)課程。

提升員工的整體的安全意識(shí)，這是零氪科技在構(gòu)建信息系統(tǒng)和管理流程的第一步。在參考HIPAA的基礎(chǔ)上，建立一套完善的數(shù)據(jù)安全生命周期管理體系，保護(hù)數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)訪問(wèn)安全、數(shù)據(jù)備份和恢復(fù)管理、協(xié)作共享安全。

任何安全建設(shè)都需要長(zhǎng)期的優(yōu)化過(guò)程以適應(yīng)多變的實(shí)踐環(huán)境，隨著網(wǎng)絡(luò)安全法、GDPR、等保2.0等國(guó)內(nèi)外相關(guān)法律的逐漸推進(jìn)，零氪內(nèi)部會(huì)首先對(duì)可行性、適用性進(jìn)行調(diào)研，拿等保2.0來(lái)說(shuō)，零氪科技內(nèi)部進(jìn)行多次測(cè)評(píng)項(xiàng)的調(diào)研，梳理測(cè)評(píng)內(nèi)容和企業(yè)現(xiàn)狀，率先進(jìn)行內(nèi)容的改善和建設(shè)。

通過(guò)對(duì)比等保1.0和等保2.0的差異化，對(duì)等保2.0提出的邊界防護(hù)、可信驗(yàn)證、訪問(wèn)控制、身份鑒別、入侵防范、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)脫敏、數(shù)據(jù)備份恢復(fù)、個(gè)人信息保護(hù)、數(shù)據(jù)保密性以及安全審計(jì)、安全管理、安全策略和集中管控、審計(jì)管理等安全通用要求進(jìn)行學(xué)習(xí)、調(diào)研和優(yōu)化建設(shè)，并對(duì)等保2.0提出的云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、工控系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)的安全擴(kuò)展要求進(jìn)行學(xué)習(xí)，經(jīng)過(guò)公司各部門同事一起努力，最終零氪成為國(guó)內(nèi)首批獲得“優(yōu)”評(píng)級(jí)并獲得九十多分的高分的企業(yè)

零氪科技的實(shí)踐除了賦能自身業(yè)務(wù)的健康開(kāi)展，也得到了行業(yè)內(nèi)的認(rèn)可。2018年底，聯(lián)合清華大學(xué)等多家高校及醫(yī)療機(jī)構(gòu)推進(jìn)了《信息安全技術(shù) 健康醫(yī)療信息安全指南》的制定，對(duì)個(gè)人健康醫(yī)療信息在常見(jiàn)應(yīng)用場(chǎng)景中的保護(hù)，提出了可參考可實(shí)現(xiàn)的安全措施。

而在人工智能、5G、云計(jì)算等技術(shù)的飛速發(fā)展，對(duì)于未來(lái)趨勢(shì)的關(guān)注是任何一個(gè)安全負(fù)責(zé)人都在考慮的問(wèn)題。張坤透露，AI安全等已經(jīng)在內(nèi)部進(jìn)行調(diào)研、測(cè)試；與此同時(shí)，在保證合規(guī)、可行的前提下也會(huì)嘗試使用UEBA、零信任等架構(gòu)來(lái)提升對(duì)抗細(xì)粒度和準(zhǔn)確性，同時(shí)會(huì)探索大數(shù)據(jù)、AI為安全能力賦能的實(shí)現(xiàn)，來(lái)提升自身安全能力。

結(jié)語(yǔ)

零氪科技技術(shù)總監(jiān)楊浩說(shuō)：“我們打造了零氪的安全技術(shù)體系，探索了行業(yè)最佳實(shí)踐，在此基礎(chǔ)上，我們總結(jié)出了一套行之有效的適合醫(yī)療行業(yè)的安全體系。這樣的安全能力和保障體系，不僅用在企業(yè)內(nèi)部，也會(huì)對(duì)行業(yè)賦能。 為醫(yī)院、制藥工業(yè)企業(yè)及健康醫(yī)療行業(yè)輸出我們的安全能力，為需要高水平的信息安全保障體系的合作伙伴奉獻(xiàn)我們的能力和價(jià)值，也是我們心中的使命和責(zé)任。”

正是在這種觀點(diǎn)影響下，現(xiàn)在零氪安全團(tuán)隊(duì)愿意與業(yè)界分享關(guān)于零氪醫(yī)療大數(shù)據(jù)領(lǐng)域信息安全的見(jiàn)解、經(jīng)驗(yàn)和成績(jī)，希望能夠?yàn)檫@個(gè)領(lǐng)域的發(fā)展貢獻(xiàn)一些綿薄之力?！傲汶吹氖姑羌せ顢?shù)據(jù)智能，讓人人皆可享有精準(zhǔn)的醫(yī)療服務(wù)。我們所負(fù)責(zé)的信息安全工作，就是關(guān)乎到生命的。對(duì)此，我們心懷敬畏，不敢不努力，沒(méi)法不竭盡全力。 ”

張坤坦言，進(jìn)入零氪所在的醫(yī)療領(lǐng)域，他經(jīng)歷了很多：從金融到醫(yī)療，信息安全行業(yè)十年的磨煉，除了技術(shù)能力和專業(yè)見(jiàn)識(shí)，更重要的是使命感越來(lái)越強(qiáng)烈地驅(qū)動(dòng)他前行。希望衡量安全工作價(jià)值的不只是漏洞修復(fù)率、攻擊識(shí)別和抵抗率，安全事件數(shù)量、監(jiān)管通報(bào)、甚至黑市相關(guān)信息價(jià)格的浮動(dòng)。

信息安全永遠(yuǎn)沒(méi)有100%的事情，所以他永遠(yuǎn)都會(huì)探索可以做更好、做更多的前進(jìn)方向。Care Data ，Care Life是零氪肩負(fù)的使命和追求的目標(biāo) ，對(duì)安全團(tuán)隊(duì)而言職責(zé)和使命就是用More Care Security，去保障從care data到care life的實(shí)踐之路，安全無(wú)虞。