醫(yī)療行業(yè)數(shù)據(jù)安全的主要風(fēng)險

依據(jù)Verizon數(shù)據(jù)泄露報告中對客觀現(xiàn)狀、數(shù)據(jù)分布和數(shù)據(jù)流動等方面綜合分析，醫(yī)療行業(yè)數(shù)據(jù)安全的主要風(fēng)險包括如下幾個方面：

一、人的安全風(fēng)險和對策

1．人的安全風(fēng)險是醫(yī)療數(shù)據(jù)安全的最大風(fēng)險

從Verizon報告可以看出醫(yī)療行業(yè)數(shù)據(jù)安全的特殊性：醫(yī)療行業(yè)是所有行業(yè)中唯一一個內(nèi)部威脅大于外部威脅的行業(yè)，內(nèi)部威脅占比60%，外部威脅占43%。總體來看，各行業(yè)平均攻擊類型是：70%為外部威脅，30%為內(nèi)部威脅。下圖就數(shù)據(jù)泄露的幾個主要行業(yè)做了對比，包括：醫(yī)療、金融、政府、信息服務(wù)、制造業(yè)、零售、酒店餐飲。

由于缺乏醫(yī)療行業(yè)的獨(dú)立數(shù)據(jù)，我們以全行業(yè)數(shù)據(jù)來看威脅的構(gòu)成。從全行業(yè)來看，在外部人員導(dǎo)致的泄漏事件中，62%都來自有組織的犯罪團(tuán)伙；在內(nèi)部威脅中，25.9%都跟企業(yè)系統(tǒng)管理員有關(guān)，終端用戶占22.3%，醫(yī)生或護(hù)士占11.5%，開發(fā)人員占5%。從這里可以看到很亮的數(shù)據(jù)：醫(yī)生或者護(hù)士占11.5%。醫(yī)生和護(hù)士只有在醫(yī)療行業(yè)才存在，也就是說，醫(yī)生或護(hù)士造成的內(nèi)部數(shù)據(jù)泄露事件在全行業(yè)中占據(jù)了11.5%的比例。

2．人具有復(fù)雜的情緒變化特征

在數(shù)字化的今天，當(dāng)我們談及數(shù)據(jù)，都會對其充滿期待和憧憬。數(shù)據(jù)是永不生銹的資產(chǎn)，是新經(jīng)濟(jì)時代的原油，是黃金和財(cái)富，是一切生產(chǎn)的生產(chǎn)資料。當(dāng)其成為重要資產(chǎn)、巨額財(cái)富的時候，現(xiàn)實(shí)生活中一切關(guān)于資產(chǎn)安全、財(cái)富安全的管理措施都可以成為數(shù)據(jù)安全領(lǐng)域的參照。

數(shù)據(jù)安全的本質(zhì)是人的安全，只要人人都遵守規(guī)則和約束去訪問數(shù)據(jù)，數(shù)據(jù)自然就安全了，但這只能是烏托邦色彩的夢想。我們每家機(jī)構(gòu)和企業(yè)都制定了一系列的安全生產(chǎn)規(guī)章制度，這些規(guī)章制度無論針對人或者財(cái)物，最終都會作用在人身上。如果沒有適當(dāng)?shù)募夹g(shù)實(shí)施手段，僅依賴于教育和培訓(xùn)，很難使流程和制度落地，數(shù)據(jù)安全最終也就會落空。

人既有復(fù)雜情緒變化的非理性，又有利益得失計(jì)算的理性。這種理性和非理性的交錯讓人的安全充滿著巨大挑戰(zhàn)。

3．醫(yī)療行業(yè)所面臨的“人的風(fēng)險”

眾所周知，醫(yī)療數(shù)據(jù)單體價值過大是導(dǎo)致醫(yī)療行業(yè)內(nèi)部威脅高達(dá)60%的基本因素。下面來看一下醫(yī)療行業(yè)數(shù)據(jù)泄露內(nèi)部威脅的主要敞口：

（1）系統(tǒng)管理員和DBA

幾乎在所有行業(yè)中，系統(tǒng)管理員和DBA（數(shù)據(jù)庫管理員）都是內(nèi)部數(shù)據(jù)的主要威脅，在醫(yī)療行業(yè)中也不例外。從Verizon報告中可以看出，在全行業(yè)調(diào)查中，高達(dá)26%的內(nèi)部威脅是由于系統(tǒng)管理員和DBA造成的。而在國內(nèi)醫(yī)療界，信息科也一直是漩渦之地，每次醫(yī)療數(shù)據(jù)泄露事件發(fā)生時，信息科總是會成為第一個懷疑對象。

（2）醫(yī)生或者護(hù)士

從Verizon數(shù)據(jù)泄露調(diào)查報告來看，來自醫(yī)生及護(hù)士的威脅可能遠(yuǎn)超于系統(tǒng)管理員。由于醫(yī)療數(shù)據(jù)的個體價值巨大，醫(yī)生或者護(hù)士只需簡單地獲得權(quán)限之內(nèi)的數(shù)據(jù)就可以獲得巨大收益。但目前由于病案數(shù)據(jù)的交叉特征，幾乎沒有醫(yī)院的業(yè)務(wù)系統(tǒng)可以實(shí)現(xiàn)基于患者授權(quán)查詢病案數(shù)據(jù)的機(jī)制，因此醫(yī)生及護(hù)士可以遍歷所有患者數(shù)據(jù)。

（3）軟件開發(fā)商和維護(hù)人員

在醫(yī)療行業(yè)，軟件開發(fā)商的力量過于強(qiáng)大，甚至?xí)屧悍接X得醫(yī)院數(shù)據(jù)不是自己的，而是歸軟件開發(fā)商所有。即使是一些頂級醫(yī)院，醫(yī)療系統(tǒng)和數(shù)據(jù)的命脈都掌控在開發(fā)商手中。

（4）駐場服務(wù)人員

駐場服務(wù)人員的權(quán)限等同于DBA和系統(tǒng)管理員，同時因其不受醫(yī)院管理和約束，更易受到外部誘惑而鋌而走險。

（5）集體的無意識

相對來說，當(dāng)前醫(yī)院對于患者隱私保護(hù)的意識相對淡漠，這從核心隱私機(jī)密的紙質(zhì)病案和處方可以被任意重新利用這個環(huán)節(jié)就可以看出。換句話說，有心人只要不斷地在醫(yī)院收集各種紙質(zhì)垃圾，就可以獲得想要的醫(yī)療數(shù)據(jù)。

4．如何防范人的安全風(fēng)險

防范人的安全風(fēng)險，本質(zhì)上是保護(hù)好我們的員工和伙伴，降低他們接受誘惑的可能性，以避免其犯錯。防范人的安全風(fēng)險需要從兩個方面加以努力：機(jī)制保證和技術(shù)保證。

（1）機(jī)制保證

機(jī)制保證的核心在于降低受到誘惑的機(jī)會，降低可能產(chǎn)生的僥幸心理。機(jī)制保證主要體現(xiàn)在兩點(diǎn)：一是隔離誘惑，可以在很大程度上避免被動犯錯，也可以大幅度提高主動犯錯的難度。隔離誘惑的主要措施在于實(shí)現(xiàn)兩點(diǎn)：最小權(quán)限和三權(quán)分立。特別是當(dāng)涉及到高敏感數(shù)據(jù)和高風(fēng)險操作訪問時，建議建立工作流多級審批機(jī)制。

二是責(zé)任到人，模糊和共享會導(dǎo)致責(zé)任不清，從而助長僥幸心理。當(dāng)機(jī)制可以確保任何行為都可以追溯到個人的時候，事件審計(jì)就可以產(chǎn)生巨大的威懾力，降低僥幸心理。

（2）技術(shù)保證

大部分機(jī)構(gòu)都具有清晰的安全生產(chǎn)制度，但是能夠在實(shí)踐中落地的并不多。安全制度的落地不能依賴于培訓(xùn)和人的自覺性，需要在日常操作中進(jìn)行技術(shù)規(guī)范。

· 確認(rèn)人是真實(shí)的人，不是被盜用、偽造、共享的身份。只要可以確認(rèn)訪問數(shù)據(jù)的人是真實(shí)的，就為數(shù)據(jù)安全奠定了最為堅(jiān)實(shí)的基礎(chǔ)。為了確認(rèn)人是真實(shí)的人，需要映射計(jì)算機(jī)身份和真實(shí)身份，并確保這種映射是不可假冒的。雙因素或者多因素是確認(rèn)人是真實(shí)的人的基本技術(shù)措施。

· 確認(rèn)所做的事情是真實(shí)意愿的表達(dá)，不是被脅迫的。真實(shí)意愿的表達(dá)檢測需要依賴于當(dāng)事人日常行為特征的檢測。

· 確認(rèn)所作的事情是合乎規(guī)范的、已被授權(quán)的而非越權(quán)、合乎流程和控制。合乎規(guī)范可以從兩個層面加以約束：被允許的操作以及正確的上下文環(huán)境。

· 確認(rèn)風(fēng)險操作或者所有操作是可審計(jì)和可追蹤的，風(fēng)險操作或者所有操作留痕是技術(shù)保證的一個基本措施，是增強(qiáng)威懾力和降低僥幸心理的基本技術(shù)保障。

二、開放網(wǎng)絡(luò)環(huán)境風(fēng)險和對策

醫(yī)院網(wǎng)絡(luò)具有開放網(wǎng)絡(luò)的基本特征，具有很大的安全風(fēng)險。開放網(wǎng)絡(luò)使心懷叵測的人可以輕易接觸和到達(dá)，就如同互聯(lián)網(wǎng)一樣，是一個不設(shè)防或者低設(shè)防的網(wǎng)絡(luò)環(huán)境。

1．開放網(wǎng)絡(luò)：可以輕易接觸和到達(dá)的網(wǎng)絡(luò)

醫(yī)院提供的任何網(wǎng)絡(luò)服務(wù)，我們都是可以輕易到達(dá)的。如：醫(yī)生或者護(hù)士的工作終端、開放的自助服務(wù)工作終端、開放的互聯(lián)網(wǎng)服務(wù)、開放的醫(yī)院無線網(wǎng)絡(luò)。總之，醫(yī)院網(wǎng)絡(luò)是存在太多接觸點(diǎn)的開放網(wǎng)絡(luò)，相對比較脆弱。

2．終端管控：讓開放網(wǎng)絡(luò)具有可識別身份

醫(yī)院是相對開放的網(wǎng)絡(luò)，就如同互聯(lián)網(wǎng)是開放網(wǎng)絡(luò)一樣，是一種客觀的存在。數(shù)據(jù)安全工作需要在這個客觀的前提下進(jìn)行?；ヂ?lián)網(wǎng)如果不具備安全措施，就等于不設(shè)防的金庫。醫(yī)院網(wǎng)絡(luò)如果不具備安全措施，就如同不具備任何安全措施的互聯(lián)網(wǎng)。

醫(yī)院網(wǎng)絡(luò)終端不同于互聯(lián)網(wǎng)網(wǎng)絡(luò)終端，絕大部分互聯(lián)網(wǎng)網(wǎng)絡(luò)終端是獨(dú)占的、非共享的，安全自我保障。而絕大部分醫(yī)院網(wǎng)絡(luò)終端則是共享的、非獨(dú)占的、安全他人負(fù)責(zé)的。也就是說，終端工作者并不會關(guān)注安全問題，甚至?xí)拹喊踩珕栴}，這種場景必然導(dǎo)致的結(jié)果就是終端是不安全的。而在傳統(tǒng)網(wǎng)絡(luò)中，我們總是假設(shè)終端是安全的。醫(yī)院開放網(wǎng)絡(luò)的終端不安全性和傳統(tǒng)網(wǎng)絡(luò)終端安全的假設(shè)存在巨大裂縫，使醫(yī)院網(wǎng)絡(luò)安全面臨巨大威脅。

終端管控是實(shí)現(xiàn)開放網(wǎng)絡(luò)安全的有效手段，從安全的角度來看，主要實(shí)現(xiàn)兩個目標(biāo)：一是實(shí)現(xiàn)脫離于非安全終端的可識別身份和憑證，由于終端是不可信任的，這個時候網(wǎng)絡(luò)和數(shù)據(jù)，特別是數(shù)據(jù)需要可信任的身份作為訪問憑證。由于終端的不可信賴，這個憑證需要在終端之外提供，比如密碼，指紋，key或者離線驗(yàn)證碼等。

二是防止關(guān)鍵應(yīng)用被注入和假冒?？赏ㄟ^應(yīng)用程序訪問終端數(shù)據(jù)，如果應(yīng)用程序不可信賴，那數(shù)據(jù)就會處于非常危險的境地。

三、勒索病毒的威脅和對策

1．勒索病毒的威脅

勒索病毒是醫(yī)療安全的主要威脅。Verizon數(shù)據(jù)威脅報告顯示，在醫(yī)療行業(yè)，高達(dá)85%的惡意軟件面臨勒索病毒威脅。Verizon報告特別強(qiáng)調(diào)，為了獲得更多的收益，勒索者越來越傾向于企業(yè)級服務(wù)器，特別是數(shù)據(jù)庫服務(wù)器，是核心勒索目標(biāo)。基于Verizon報告我們可認(rèn)為，只要成功防御了勒索病毒威脅，醫(yī)療數(shù)據(jù)外部安全風(fēng)險就獲得了相對安全。

勒索病毒對于醫(yī)療行業(yè)的威脅是全方位的：

（1）工作終端和自助服務(wù)終端，互聯(lián)網(wǎng)接入和開放網(wǎng)絡(luò)使醫(yī)院工作終端極其容易受到勒索病毒的侵襲。

（2）數(shù)據(jù)庫服務(wù)器，高價值的數(shù)據(jù)庫服務(wù)器是勒索病毒威脅的主要目標(biāo)，導(dǎo)致數(shù)據(jù)和業(yè)務(wù)的雙重?fù)p失。

（3）應(yīng)用服務(wù)器，它是勒索病毒威脅的主要入口之一，應(yīng)用服務(wù)器被勒索可以導(dǎo)致醫(yī)療業(yè)務(wù)完全中斷。

2．勒索病毒威脅的對策

勒索病毒可以從以下不同層次防御，但需要強(qiáng)調(diào)的是，由于勒索病毒的巨大威脅性，僅僅做常規(guī)性防御會置醫(yī)療機(jī)構(gòu)于巨大的不可預(yù)測風(fēng)險之中，在實(shí)踐中不建議。執(zhí)行系統(tǒng)防御和主動防御是防御勒索病毒威脅的必須組成部分，特別是主動防御。

（1）常規(guī)防御，并不只針對勒索病毒，其實(shí)是針對所有惡意軟件的常規(guī)性安全措施。主要包括：

· 及時更新系統(tǒng)補(bǔ)丁，防止攻擊者通過已知漏洞入侵系統(tǒng)；

· 弱口令檢測和弱口令的定期變更，使用復(fù)雜密碼；

· 關(guān)閉不必要的端口，比如445、139、3389等高危端口；

· 安裝部署殺毒軟件，檢測和防御已知勒索病毒威脅；

· 安全教育，不上可疑網(wǎng)站，不接受可疑郵件，不隨意接受社交文件；

· 安全教育，不用未經(jīng)審核的應(yīng)用和工具；

· 做好備份，特別注意備份不能與源文件存儲在相同終端，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（2）系統(tǒng)防御，圍繞著勒索病毒和惡意軟件的特點(diǎn)，依據(jù)入侵生命周期做系統(tǒng)化的常規(guī)性防御。

· 服務(wù)：關(guān)閉不必要的服務(wù)，關(guān)閉不必要的賬戶；

· 端口：禁止缺省端口，使服務(wù)端口區(qū)別于缺省端口；

· 賬戶：關(guān)閉缺省賬戶，不要設(shè)置共享賬戶；

· 密碼：不追求密碼復(fù)雜性，限定密碼最小長度不小于16位；

· 誘餌：設(shè)置不可能被想到的密碼，設(shè)置無法破解的密碼，設(shè)置誘餌文件和數(shù)據(jù)；

· 漏洞：及時修復(fù)已知漏洞，特別是無需認(rèn)證的漏洞；

· 溯源：禁止運(yùn)行來自不可靠源頭的應(yīng)用程序，如需運(yùn)行，必須經(jīng)過明確許可；

· 底線：做好備份，特別注意備份不能存儲在相同終端上，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（3）主動防御，針對勒索病毒防御，最有效的還是部署專用的防勒索軟件。當(dāng)醫(yī)療行業(yè)85%的惡意軟件攻擊來自于勒索病毒的時候，針對性的主動防護(hù)應(yīng)該成為必選項(xiàng)。主動防御不僅更加有效幫助用戶達(dá)成防御目標(biāo)，而且比常規(guī)防御和系統(tǒng)防御更加省心省力。

四、互聯(lián)網(wǎng)和云醫(yī)療風(fēng)險和對策

1．互聯(lián)網(wǎng)和云醫(yī)療風(fēng)險

云和互聯(lián)網(wǎng)幾乎是任何一家醫(yī)療機(jī)構(gòu)都不可回避的話題，云和互聯(lián)網(wǎng)的安全自然也就成為醫(yī)療機(jī)構(gòu)的熱門話題。對于醫(yī)療機(jī)構(gòu)來說，云運(yùn)營商會進(jìn)行云上網(wǎng)絡(luò)安全的服務(wù)覆蓋，不需要過于憂慮。但是數(shù)據(jù)安全，對于云上醫(yī)療或者互聯(lián)網(wǎng)醫(yī)療則是一個不可回避的核心命題。

在云醫(yī)療中，數(shù)據(jù)安全風(fēng)險眾多，我們主要考慮以下兩個核心點(diǎn)：

（1）如何在不受信任和管控的基礎(chǔ)設(shè)施中存儲敏感數(shù)據(jù)？

（2）如何讓無法控制的、擁有超級權(quán)限賬戶的云運(yùn)營商運(yùn)維人員（上帝之手）隔離業(yè)務(wù)數(shù)據(jù)？

2．云醫(yī)療的數(shù)據(jù)安全對策

（1）如何在不受信任和管控的基礎(chǔ)設(shè)施中存儲敏感數(shù)據(jù)？

答案只有兩個：加密或者不存儲敏感數(shù)據(jù)。原則上要求存儲在云環(huán)境中的任何數(shù)據(jù)都需要進(jìn)行加密存儲和加密傳輸，任何需要進(jìn)行開放式流轉(zhuǎn)處理的數(shù)據(jù)都需要進(jìn)行脫敏存儲和傳輸。

（2）如何讓無法控制的、擁有超級權(quán)限賬戶的云運(yùn)營商運(yùn)維人員（上帝之手）隔離業(yè)務(wù)數(shù)據(jù)？

存儲級加密解決了在云環(huán)境中存儲敏感數(shù)據(jù)的風(fēng)險，但是依然無法隔離上帝之手接觸和窺視業(yè)務(wù)數(shù)據(jù)。需要提供一種機(jī)制，禁止超級權(quán)限的DBA訪問業(yè)務(wù)數(shù)據(jù)，從而保證云上數(shù)據(jù)安全性。

五、數(shù)據(jù)流動的風(fēng)險和對策

1．?dāng)?shù)據(jù)暢流是數(shù)據(jù)價值的核心體現(xiàn)

數(shù)據(jù)作為和資金、原油、資產(chǎn)相似的生產(chǎn)資料，只有不斷被使用才會產(chǎn)生價值，只有不斷地流動才會讓更多的人使用，只有讓數(shù)據(jù)流動到可以產(chǎn)生更大價值的地方才能發(fā)揮數(shù)據(jù)的價值。醫(yī)療數(shù)據(jù)作為生活中最具價值的基礎(chǔ)數(shù)據(jù)之一，具有不可避免的數(shù)據(jù)流動趨勢。

不斷流動的數(shù)據(jù)帶來巨大價值的同時，也給數(shù)據(jù)安全帶來了巨大的挑戰(zhàn)。機(jī)構(gòu)和企業(yè)對于流動中的數(shù)據(jù)控制力會越來越弱，不斷流動的數(shù)據(jù)必然會流出數(shù)據(jù)的安全邊界，傳統(tǒng)基于靜態(tài)目標(biāo)保護(hù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)措施在此場景下會不斷弱化，甚至完全失效。解決好數(shù)據(jù)流動的安全問題是實(shí)現(xiàn)數(shù)據(jù)價值最大化的巨大挑戰(zhàn)和先決條件。

2.數(shù)據(jù)流動涉及的主要風(fēng)險

（1）敏感數(shù)據(jù)認(rèn)知。不知道數(shù)據(jù)在哪里就不知道如何保護(hù)，不知道數(shù)據(jù)的分級分類就無法施加適當(dāng)?shù)谋Ｗo(hù)。事實(shí)上我們每個用戶都希望可以做到敏感數(shù)據(jù)分級分類，但是數(shù)據(jù)分級分類的巨大困難和成本總是讓人望而卻步。在缺乏敏感數(shù)據(jù)認(rèn)知的數(shù)據(jù)安全措施下，具有其天生的脆弱性。

（2）數(shù)據(jù)流動到非授權(quán)目標(biāo)，本質(zhì)上屬于一種誤操作，在生活中經(jīng)常發(fā)生，比如機(jī)密郵件發(fā)錯了對象、文件發(fā)錯了微信群等。

（3）身份盜用、假冒和驗(yàn)證繞過。身份是訪問數(shù)據(jù)的憑證，身份被盜用意味著數(shù)據(jù)財(cái)富面臨巨大風(fēng)險。其中數(shù)據(jù)庫中存在的廣泛共享的賬戶和缺省賬戶是身份盜用的天然溫床。身份盜用手段包括密碼猜測和破解、身份偽造、撞庫等。

（4）從非安全區(qū)直接訪問敏感數(shù)據(jù)。大多數(shù)情況下，數(shù)據(jù)流動軟件在網(wǎng)絡(luò)邊界具有較高的安全脆弱性。這種安全脆弱性很容易給數(shù)據(jù)流動帶來傷害。

（5）數(shù)據(jù)流動到弱安全區(qū)域或者失控區(qū)域，這是數(shù)據(jù)流動安全的本質(zhì)所在，是數(shù)據(jù)流動的自然目標(biāo)和業(yè)務(wù)屬性。

（6）運(yùn)維端流動，是傳統(tǒng)數(shù)據(jù)安全的主要構(gòu)成部分，也是流動安全的巨大風(fēng)險之一。

（7）終端業(yè)務(wù)包含敏感信息，和運(yùn)維端流動一樣，是傳統(tǒng)的數(shù)據(jù)安全的一部分。

（8）數(shù)據(jù)的再次流動。當(dāng)數(shù)據(jù)流動到非受控制區(qū)域的時候，很容易產(chǎn)生多次流動。而這個數(shù)據(jù)流動可能并非是數(shù)據(jù)流動者所期望的。

（9）數(shù)據(jù)泄露追蹤。當(dāng)數(shù)據(jù)泄露事件發(fā)生之后，數(shù)據(jù)提供方需要確定數(shù)據(jù)是哪個環(huán)節(jié)出去的，以實(shí)現(xiàn)事件追責(zé)。

3．?dāng)?shù)據(jù)流動安全風(fēng)險的基本對策

數(shù)據(jù)流動安全的措施必須建立在兩個基本假設(shè)之上：數(shù)據(jù)總是會趨向于流動到弱安全區(qū)域、流動的數(shù)據(jù)最終會失去控制。

從這兩個基本假設(shè)出發(fā)，提出解決流動數(shù)據(jù)安全的基本思路：

（1）源端控制：流動的數(shù)據(jù)總是被脫敏的，無需關(guān)注安全；

（2）數(shù)據(jù)內(nèi)置的安全性：和源斷控制一致的，通過加密等手段實(shí)現(xiàn)內(nèi)置安全性；

（3）建立審計(jì)檢查機(jī)制：數(shù)據(jù)提供方可對數(shù)據(jù)利用方進(jìn)行數(shù)據(jù)使用審計(jì)。