醫(yī)療行業(yè)數(shù)據(jù)安全的主要風險

依據(jù)Verizon數(shù)據(jù)泄露報告中對客觀現(xiàn)狀、數(shù)據(jù)分布和數(shù)據(jù)流動等方面綜合分析，醫(yī)療行業(yè)數(shù)據(jù)安全的主要風險包括如下幾個方面：

一、人的安全風險和對策

1．人的安全風險是醫(yī)療數(shù)據(jù)安全的最大風險

從Verizon報告可以看出醫(yī)療行業(yè)數(shù)據(jù)安全的特殊性：醫(yī)療行業(yè)是所有行業(yè)中唯一一個內(nèi)部威脅大于外部威脅的行業(yè)，內(nèi)部威脅占比60%，外部威脅占43%?？傮w來看，各行業(yè)平均攻擊類型是：70%為外部威脅，30%為內(nèi)部威脅。下圖就數(shù)據(jù)泄露的幾個主要行業(yè)做了對比，包括：醫(yī)療、金融、政府、信息服務、制造業(yè)、零售、酒店餐飲。

由于缺乏醫(yī)療行業(yè)的獨立數(shù)據(jù)，我們以全行業(yè)數(shù)據(jù)來看威脅的構成。從全行業(yè)來看，在外部人員導致的泄漏事件中，62%都來自有組織的犯罪團伙；在內(nèi)部威脅中，25.9%都跟企業(yè)系統(tǒng)管理員有關，終端用戶占22.3%，醫(yī)生或護士占11.5%，開發(fā)人員占5%。從這里可以看到很亮的數(shù)據(jù)：醫(yī)生或者護士占11.5%。醫(yī)生和護士只有在醫(yī)療行業(yè)才存在，也就是說，醫(yī)生或護士造成的內(nèi)部數(shù)據(jù)泄露事件在全行業(yè)中占據(jù)了11.5%的比例。

2．人具有復雜的情緒變化特征

在數(shù)字化的今天，當我們談及數(shù)據(jù)，都會對其充滿期待和憧憬。數(shù)據(jù)是永不生銹的資產(chǎn)，是新經(jīng)濟時代的原油，是黃金和財富，是一切生產(chǎn)的生產(chǎn)資料。當其成為重要資產(chǎn)、巨額財富的時候，現(xiàn)實生活中一切關于資產(chǎn)安全、財富安全的管理措施都可以成為數(shù)據(jù)安全領域的參照。

數(shù)據(jù)安全的本質是人的安全，只要人人都遵守規(guī)則和約束去訪問數(shù)據(jù)，數(shù)據(jù)自然就安全了，但這只能是烏托邦色彩的夢想。我們每家機構和企業(yè)都制定了一系列的安全生產(chǎn)規(guī)章制度，這些規(guī)章制度無論針對人或者財物，最終都會作用在人身上。如果沒有適當?shù)募夹g實施手段，僅依賴于教育和培訓，很難使流程和制度落地，數(shù)據(jù)安全最終也就會落空。

人既有復雜情緒變化的非理性，又有利益得失計算的理性。這種理性和非理性的交錯讓人的安全充滿著巨大挑戰(zhàn)。

3．醫(yī)療行業(yè)所面臨的“人的風險”

眾所周知，醫(yī)療數(shù)據(jù)單體價值過大是導致醫(yī)療行業(yè)內(nèi)部威脅高達60%的基本因素。下面來看一下醫(yī)療行業(yè)數(shù)據(jù)泄露內(nèi)部威脅的主要敞口：

（1）系統(tǒng)管理員和DBA

幾乎在所有行業(yè)中，系統(tǒng)管理員和DBA（數(shù)據(jù)庫管理員）都是內(nèi)部數(shù)據(jù)的主要威脅，在醫(yī)療行業(yè)中也不例外。從Verizon報告中可以看出，在全行業(yè)調查中，高達26%的內(nèi)部威脅是由于系統(tǒng)管理員和DBA造成的。而在國內(nèi)醫(yī)療界，信息科也一直是漩渦之地，每次醫(yī)療數(shù)據(jù)泄露事件發(fā)生時，信息科總是會成為第一個懷疑對象。

（2）醫(yī)生或者護士

從Verizon數(shù)據(jù)泄露調查報告來看，來自醫(yī)生及護士的威脅可能遠超于系統(tǒng)管理員。由于醫(yī)療數(shù)據(jù)的個體價值巨大，醫(yī)生或者護士只需簡單地獲得權限之內(nèi)的數(shù)據(jù)就可以獲得巨大收益。但目前由于病案數(shù)據(jù)的交叉特征，幾乎沒有醫(yī)院的業(yè)務系統(tǒng)可以實現(xiàn)基于患者授權查詢病案數(shù)據(jù)的機制，因此醫(yī)生及護士可以遍歷所有患者數(shù)據(jù)。

（3）軟件開發(fā)商和維護人員

在醫(yī)療行業(yè)，軟件開發(fā)商的力量過于強大，甚至會讓院方覺得醫(yī)院數(shù)據(jù)不是自己的，而是歸軟件開發(fā)商所有。即使是一些頂級醫(yī)院，醫(yī)療系統(tǒng)和數(shù)據(jù)的命脈都掌控在開發(fā)商手中。

（4）駐場服務人員

駐場服務人員的權限等同于DBA和系統(tǒng)管理員，同時因其不受醫(yī)院管理和約束，更易受到外部誘惑而鋌而走險。

（5）集體的無意識

相對來說，當前醫(yī)院對于患者隱私保護的意識相對淡漠，這從核心隱私機密的紙質病案和處方可以被任意重新利用這個環(huán)節(jié)就可以看出。換句話說，有心人只要不斷地在醫(yī)院收集各種紙質垃圾，就可以獲得想要的醫(yī)療數(shù)據(jù)。

4．如何防范人的安全風險

防范人的安全風險，本質上是保護好我們的員工和伙伴，降低他們接受誘惑的可能性，以避免其犯錯。防范人的安全風險需要從兩個方面加以努力：機制保證和技術保證。

（1）機制保證

機制保證的核心在于降低受到誘惑的機會，降低可能產(chǎn)生的僥幸心理。機制保證主要體現(xiàn)在兩點：一是隔離誘惑，可以在很大程度上避免被動犯錯，也可以大幅度提高主動犯錯的難度。隔離誘惑的主要措施在于實現(xiàn)兩點：最小權限和三權分立。特別是當涉及到高敏感數(shù)據(jù)和高風險操作訪問時，建議建立工作流多級審批機制。

二是責任到人，模糊和共享會導致責任不清，從而助長僥幸心理。當機制可以確保任何行為都可以追溯到個人的時候，事件審計就可以產(chǎn)生巨大的威懾力，降低僥幸心理。

（2）技術保證

大部分機構都具有清晰的安全生產(chǎn)制度，但是能夠在實踐中落地的并不多。安全制度的落地不能依賴于培訓和人的自覺性，需要在日常操作中進行技術規(guī)范。

· 確認人是真實的人，不是被盜用、偽造、共享的身份。只要可以確認訪問數(shù)據(jù)的人是真實的，就為數(shù)據(jù)安全奠定了最為堅實的基礎。為了確認人是真實的人，需要映射計算機身份和真實身份，并確保這種映射是不可假冒的。雙因素或者多因素是確認人是真實的人的基本技術措施。

· 確認所做的事情是真實意愿的表達，不是被脅迫的。真實意愿的表達檢測需要依賴于當事人日常行為特征的檢測。

· 確認所作的事情是合乎規(guī)范的、已被授權的而非越權、合乎流程和控制。合乎規(guī)范可以從兩個層面加以約束：被允許的操作以及正確的上下文環(huán)境。

· 確認風險操作或者所有操作是可審計和可追蹤的，風險操作或者所有操作留痕是技術保證的一個基本措施，是增強威懾力和降低僥幸心理的基本技術保障。

二、開放網(wǎng)絡環(huán)境風險和對策

醫(yī)院網(wǎng)絡具有開放網(wǎng)絡的基本特征，具有很大的安全風險。開放網(wǎng)絡使心懷叵測的人可以輕易接觸和到達，就如同互聯(lián)網(wǎng)一樣，是一個不設防或者低設防的網(wǎng)絡環(huán)境。

1．開放網(wǎng)絡：可以輕易接觸和到達的網(wǎng)絡

醫(yī)院提供的任何網(wǎng)絡服務，我們都是可以輕易到達的。如：醫(yī)生或者護士的工作終端、開放的自助服務工作終端、開放的互聯(lián)網(wǎng)服務、開放的醫(yī)院無線網(wǎng)絡?？傊?，醫(yī)院網(wǎng)絡是存在太多接觸點的開放網(wǎng)絡，相對比較脆弱。

2．終端管控：讓開放網(wǎng)絡具有可識別身份

醫(yī)院是相對開放的網(wǎng)絡，就如同互聯(lián)網(wǎng)是開放網(wǎng)絡一樣，是一種客觀的存在。數(shù)據(jù)安全工作需要在這個客觀的前提下進行?；ヂ?lián)網(wǎng)如果不具備安全措施，就等于不設防的金庫。醫(yī)院網(wǎng)絡如果不具備安全措施，就如同不具備任何安全措施的互聯(lián)網(wǎng)。

醫(yī)院網(wǎng)絡終端不同于互聯(lián)網(wǎng)網(wǎng)絡終端，絕大部分互聯(lián)網(wǎng)網(wǎng)絡終端是獨占的、非共享的，安全自我保障。而絕大部分醫(yī)院網(wǎng)絡終端則是共享的、非獨占的、安全他人負責的。也就是說，終端工作者并不會關注安全問題，甚至會厭惡安全問題，這種場景必然導致的結果就是終端是不安全的。而在傳統(tǒng)網(wǎng)絡中，我們總是假設終端是安全的。醫(yī)院開放網(wǎng)絡的終端不安全性和傳統(tǒng)網(wǎng)絡終端安全的假設存在巨大裂縫，使醫(yī)院網(wǎng)絡安全面臨巨大威脅。

終端管控是實現(xiàn)開放網(wǎng)絡安全的有效手段，從安全的角度來看，主要實現(xiàn)兩個目標：一是實現(xiàn)脫離于非安全終端的可識別身份和憑證，由于終端是不可信任的，這個時候網(wǎng)絡和數(shù)據(jù)，特別是數(shù)據(jù)需要可信任的身份作為訪問憑證。由于終端的不可信賴，這個憑證需要在終端之外提供，比如密碼，指紋，key或者離線驗證碼等。

二是防止關鍵應用被注入和假冒?？赏ㄟ^應用程序訪問終端數(shù)據(jù)，如果應用程序不可信賴，那數(shù)據(jù)就會處于非常危險的境地。

三、勒索病毒的威脅和對策

1．勒索病毒的威脅

勒索病毒是醫(yī)療安全的主要威脅。Verizon數(shù)據(jù)威脅報告顯示，在醫(yī)療行業(yè)，高達85%的惡意軟件面臨勒索病毒威脅。Verizon報告特別強調，為了獲得更多的收益，勒索者越來越傾向于企業(yè)級服務器，特別是數(shù)據(jù)庫服務器，是核心勒索目標?；赩erizon報告我們可認為，只要成功防御了勒索病毒威脅，醫(yī)療數(shù)據(jù)外部安全風險就獲得了相對安全。

勒索病毒對于醫(yī)療行業(yè)的威脅是全方位的：

（1）工作終端和自助服務終端，互聯(lián)網(wǎng)接入和開放網(wǎng)絡使醫(yī)院工作終端極其容易受到勒索病毒的侵襲。

（2）數(shù)據(jù)庫服務器，高價值的數(shù)據(jù)庫服務器是勒索病毒威脅的主要目標，導致數(shù)據(jù)和業(yè)務的雙重損失。

（3）應用服務器，它是勒索病毒威脅的主要入口之一，應用服務器被勒索可以導致醫(yī)療業(yè)務完全中斷。

2．勒索病毒威脅的對策

勒索病毒可以從以下不同層次防御，但需要強調的是，由于勒索病毒的巨大威脅性，僅僅做常規(guī)性防御會置醫(yī)療機構于巨大的不可預測風險之中，在實踐中不建議。執(zhí)行系統(tǒng)防御和主動防御是防御勒索病毒威脅的必須組成部分，特別是主動防御。

（1）常規(guī)防御，并不只針對勒索病毒，其實是針對所有惡意軟件的常規(guī)性安全措施。主要包括：

· 及時更新系統(tǒng)補丁，防止攻擊者通過已知漏洞入侵系統(tǒng)；

· 弱口令檢測和弱口令的定期變更，使用復雜密碼；

· 關閉不必要的端口，比如445、139、3389等高危端口；

· 安裝部署殺毒軟件，檢測和防御已知勒索病毒威脅；

· 安全教育，不上可疑網(wǎng)站，不接受可疑郵件，不隨意接受社交文件；

· 安全教育，不用未經(jīng)審核的應用和工具；

· 做好備份，特別注意備份不能與源文件存儲在相同終端，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（2）系統(tǒng)防御，圍繞著勒索病毒和惡意軟件的特點，依據(jù)入侵生命周期做系統(tǒng)化的常規(guī)性防御。

· 服務：關閉不必要的服務，關閉不必要的賬戶；

· 端口：禁止缺省端口，使服務端口區(qū)別于缺省端口；

· 賬戶：關閉缺省賬戶，不要設置共享賬戶；

· 密碼：不追求密碼復雜性，限定密碼最小長度不小于16位；

· 誘餌：設置不可能被想到的密碼，設置無法破解的密碼，設置誘餌文件和數(shù)據(jù)；

· 漏洞：及時修復已知漏洞，特別是無需認證的漏洞；

· 溯源：禁止運行來自不可靠源頭的應用程序，如需運行，必須經(jīng)過明確許可；

· 底線：做好備份，特別注意備份不能存儲在相同終端上，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（3）主動防御，針對勒索病毒防御，最有效的還是部署專用的防勒索軟件。當醫(yī)療行業(yè)85%的惡意軟件攻擊來自于勒索病毒的時候，針對性的主動防護應該成為必選項。主動防御不僅更加有效幫助用戶達成防御目標，而且比常規(guī)防御和系統(tǒng)防御更加省心省力。

四、互聯(lián)網(wǎng)和云醫(yī)療風險和對策

1．互聯(lián)網(wǎng)和云醫(yī)療風險

云和互聯(lián)網(wǎng)幾乎是任何一家醫(yī)療機構都不可回避的話題，云和互聯(lián)網(wǎng)的安全自然也就成為醫(yī)療機構的熱門話題。對于醫(yī)療機構來說，云運營商會進行云上網(wǎng)絡安全的服務覆蓋，不需要過于憂慮。但是數(shù)據(jù)安全，對于云上醫(yī)療或者互聯(lián)網(wǎng)醫(yī)療則是一個不可回避的核心命題。

在云醫(yī)療中，數(shù)據(jù)安全風險眾多，我們主要考慮以下兩個核心點：

（1）如何在不受信任和管控的基礎設施中存儲敏感數(shù)據(jù)？

（2）如何讓無法控制的、擁有超級權限賬戶的云運營商運維人員（上帝之手）隔離業(yè)務數(shù)據(jù)？

2．云醫(yī)療的數(shù)據(jù)安全對策

（1）如何在不受信任和管控的基礎設施中存儲敏感數(shù)據(jù)？

答案只有兩個：加密或者不存儲敏感數(shù)據(jù)。原則上要求存儲在云環(huán)境中的任何數(shù)據(jù)都需要進行加密存儲和加密傳輸，任何需要進行開放式流轉處理的數(shù)據(jù)都需要進行脫敏存儲和傳輸。

（2）如何讓無法控制的、擁有超級權限賬戶的云運營商運維人員（上帝之手）隔離業(yè)務數(shù)據(jù)？

存儲級加密解決了在云環(huán)境中存儲敏感數(shù)據(jù)的風險，但是依然無法隔離上帝之手接觸和窺視業(yè)務數(shù)據(jù)。需要提供一種機制，禁止超級權限的DBA訪問業(yè)務數(shù)據(jù)，從而保證云上數(shù)據(jù)安全性。

五、數(shù)據(jù)流動的風險和對策

1．數(shù)據(jù)暢流是數(shù)據(jù)價值的核心體現(xiàn)

數(shù)據(jù)作為和資金、原油、資產(chǎn)相似的生產(chǎn)資料，只有不斷被使用才會產(chǎn)生價值，只有不斷地流動才會讓更多的人使用，只有讓數(shù)據(jù)流動到可以產(chǎn)生更大價值的地方才能發(fā)揮數(shù)據(jù)的價值。醫(yī)療數(shù)據(jù)作為生活中最具價值的基礎數(shù)據(jù)之一，具有不可避免的數(shù)據(jù)流動趨勢。

不斷流動的數(shù)據(jù)帶來巨大價值的同時，也給數(shù)據(jù)安全帶來了巨大的挑戰(zhàn)。機構和企業(yè)對于流動中的數(shù)據(jù)控制力會越來越弱，不斷流動的數(shù)據(jù)必然會流出數(shù)據(jù)的安全邊界，傳統(tǒng)基于靜態(tài)目標保護的網(wǎng)絡安全和數(shù)據(jù)安全保護措施在此場景下會不斷弱化，甚至完全失效。解決好數(shù)據(jù)流動的安全問題是實現(xiàn)數(shù)據(jù)價值最大化的巨大挑戰(zhàn)和先決條件。

2.數(shù)據(jù)流動涉及的主要風險

（1）敏感數(shù)據(jù)認知。不知道數(shù)據(jù)在哪里就不知道如何保護，不知道數(shù)據(jù)的分級分類就無法施加適當?shù)谋Ｗo。事實上我們每個用戶都希望可以做到敏感數(shù)據(jù)分級分類，但是數(shù)據(jù)分級分類的巨大困難和成本總是讓人望而卻步。在缺乏敏感數(shù)據(jù)認知的數(shù)據(jù)安全措施下，具有其天生的脆弱性。

（2）數(shù)據(jù)流動到非授權目標，本質上屬于一種誤操作，在生活中經(jīng)常發(fā)生，比如機密郵件發(fā)錯了對象、文件發(fā)錯了微信群等。

（3）身份盜用、假冒和驗證繞過。身份是訪問數(shù)據(jù)的憑證，身份被盜用意味著數(shù)據(jù)財富面臨巨大風險。其中數(shù)據(jù)庫中存在的廣泛共享的賬戶和缺省賬戶是身份盜用的天然溫床。身份盜用手段包括密碼猜測和破解、身份偽造、撞庫等。

（4）從非安全區(qū)直接訪問敏感數(shù)據(jù)。大多數(shù)情況下，數(shù)據(jù)流動軟件在網(wǎng)絡邊界具有較高的安全脆弱性。這種安全脆弱性很容易給數(shù)據(jù)流動帶來傷害。

（5）數(shù)據(jù)流動到弱安全區(qū)域或者失控區(qū)域，這是數(shù)據(jù)流動安全的本質所在，是數(shù)據(jù)流動的自然目標和業(yè)務屬性。

（6）運維端流動，是傳統(tǒng)數(shù)據(jù)安全的主要構成部分，也是流動安全的巨大風險之一。

（7）終端業(yè)務包含敏感信息，和運維端流動一樣，是傳統(tǒng)的數(shù)據(jù)安全的一部分。

（8）數(shù)據(jù)的再次流動。當數(shù)據(jù)流動到非受控制區(qū)域的時候，很容易產(chǎn)生多次流動。而這個數(shù)據(jù)流動可能并非是數(shù)據(jù)流動者所期望的。

（9）數(shù)據(jù)泄露追蹤。當數(shù)據(jù)泄露事件發(fā)生之后，數(shù)據(jù)提供方需要確定數(shù)據(jù)是哪個環(huán)節(jié)出去的，以實現(xiàn)事件追責。

3．數(shù)據(jù)流動安全風險的基本對策

數(shù)據(jù)流動安全的措施必須建立在兩個基本假設之上：數(shù)據(jù)總是會趨向于流動到弱安全區(qū)域、流動的數(shù)據(jù)最終會失去控制。

從這兩個基本假設出發(fā)，提出解決流動數(shù)據(jù)安全的基本思路：

（1）源端控制：流動的數(shù)據(jù)總是被脫敏的，無需關注安全；

（2）數(shù)據(jù)內(nèi)置的安全性：和源斷控制一致的，通過加密等手段實現(xiàn)內(nèi)置安全性；

（3）建立審計檢查機制：數(shù)據(jù)提供方可對數(shù)據(jù)利用方進行數(shù)據(jù)使用審計。