医疗行业数据安全的主要风险和应对分析互联网医疗医院安全

当数据泄露事件发生之后，数据提供方需要确定数据是哪个环节出去的，以实现事件追责。

作者：美创科技CEO柳遵梁

依据Verizon数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析，医疗行数据安全的主要风险包括如下几个方面：

1人的安全风险和对策

（1）人的安全风险是医疗数据安全的最大风险

从Verizon报告可以看出医疗行业数据安全的特殊性：医疗行业是所有行业中唯一一个内威胁大于外部威胁的行业，内部威胁占比60%，外部威胁占43%。总体来看，各行业平均攻类型是：70%为外部威胁，30%为内部威胁。下图就数据泄露的几个主要行业做了对比，包括医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。

由于缺乏医疗行业的独立数据，我们以全行业数据来看威胁的构成。从全行业来看，在外人员导致的泄漏事件中，62%都来自有组织的犯罪团伙；在内部威胁中，25.9%都跟企业系管理员有关，终端用户占22.3%，医生或护士占11.5%，开发人员占5%。从这里可以看到很的数据：医生或者护士占11.5%。医生和护士只有在医疗行业才存在，也就是说，医生或护士成的内部数据泄露事件在全行业中占据了11.5%的比例。

（2）人具有复杂的情绪变化特征

在数字化的今天，当我们谈及数据，都会对其充满期待和憧憬。数据是永不生锈的资产，新经济时代的原油，是黄金和财富，是一切生产的生产资料。当其成为重要资产、巨额财富的时候现实生活中一切关于资产安全、财富安全的管理措施都可以成为数据安全领域的参照。数据安全的本质是人的安全，只要人人都遵守规则和约束去访问数据，数据自然就安全了但这只能是乌托邦色彩的梦想。我们每家机构和企业都制定了一系列的安全生产规章制度，这规章制度无论针对人或者财物，最终都会作用在人身上。如果没有适当的技术实施手段，仅依于教育和培训，很难使流程和制度落地，数据安全最终也就会落空。人既有复杂情绪变化的非理性，又有利益得失计算的理性。这种理性和非理性的交错让人安全充满着巨大挑战。

（3）医疗行业所面临的“人的风险”

众所周知，医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面看一下医疗行业数据泄露内部威胁的主要敞口：

①系统管理员和DBA几乎在所有行业中，系统管理员和DBA（数据库管理员）都是内部数据的主要威胁，在疗行业中也不例外。从Verizon报告中可以看出，在全行业调查中，高达26%的内部威胁是于系统管理员和DBA造成的。而在国内医疗界，信息科也一直是漩涡之地，每次医疗数据泄事件发生时，信息科总是会成为第一个怀疑对象。

③软件开发商和维护人员在医疗行业，软件开发商的力量过于强大，甚至会让院方觉得医院数据不是自己的，而是软件开发商所有。即使是一些顶级医院，医疗系统和数据的命脉都掌控在开发商手中。

④驻场服务人员驻场服务人员的权限等同于DBA和系统管理员，同时因其不受医院管理和约束，更易受外部诱惑而铤而走险。

⑤集体的无意识相对来说，当前医院对于患者隐私保护的意识相对淡漠，这从核心隐私机密的纸质病案和方可以被任意重新利用这个环节就可以看出。换句话说，有心人只要不断地在医院收集各种纸垃圾，就可以获得想要的医疗数据。

（4）如何防范人的安全风险

防范人的安全风险，本质上是保护好我们的员工和伙伴，降低他们接受诱惑的可能性，以免其犯错。防范人的安全风险需要从两个方面加以努力：机制保证和技术保证。机制保证的核心在于降低受到诱惑的机会，降低可能产生的侥幸心理。机制保证主要体现两点：

一是隔离诱惑，可以在很大程度上避免被动犯错，也可以大幅度提高主动犯错的难度。离诱惑的主要措施在于实现两点：最小权限和三权分立。特别是当涉及到高敏感数据和高风险作访问时，建议建立工作流多级审批机制。

二是责任到人，模糊和共享会导致责任不清，从而助长侥幸心理。当机制可以确保任何行都可以追溯到个人的时候，事件审计就可以产生巨大的威慑力，降低侥幸心理。大部分机构都具有清晰的安全生产制度，但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性，需要在日常操作中进行技术规范。

2开放网络环境风险和对策

（1）开放网络：可以轻易接触和到达的网络医院提供的任何网络服务，我们都是可以轻易到达的。如：医生或者护士的工作终端、开的自助服务工作终端、开放的互联网服务、开放的医院无线网络。总之，医院网络是存在太多触点的开放网络，相对比较脆弱。

（2）终端管控：让开放网络具有可识别身份医院是相对开放的网络，就如同互联网是开放网络一样，是一种客观的存在。数据安全工需要在这个客观的前提下进行。互联网如果不具备安全措施，就等于不设防的金库。医院网络果不具备安全措施，就如同不具备任何安全措施的互联网。

终端管控是实现开放网络安全的有效手段，从安全的角度来看，主要实现两个目标：

一是实现脱离于非安全终端的可识别身份和凭证，由于终端是不可信任的，这个时候网络和数据，特别是数据需要可信任的身份作为访问凭证。由于终端的不可信赖，这个凭证需要在终端之外提供，比如密码，指纹，key或者离线验证码等。

二是防止关键应用被注入和假冒。可通过应用程序访问终端数据，如果应用程序不可信赖，那数据就会处于非常危险的境地。

3勒索病毒的威胁和对策

（1）勒索病毒的威胁

勒索病毒是医疗安全的主要威胁。Verizon数据威胁报告显示，在医疗行业，高达85%的恶意软件面临勒索病毒威胁。Verizon报告特别强调，为了获得更多的收益，勒索者越来越倾向于企业级服务器，特别是数据库服务器，是核心勒索目标。基于Verizon报告我们可认为，只要成功防御了勒索病毒威胁，医疗数据外部安全风险就获得了相对安全。

勒索病毒对于医疗行业的威胁是全方位的：

①工作终端和自助服务终端互联网接入和开放网络使医院工作终端极其容易受到勒索病毒的侵袭。

②数据库服务器高价值的数据库服务器是勒索病毒威胁的主要目标，导致数据和业务的双重损失。

③应用服务器它是勒索病毒威胁的主要入口之一，应用服务器被勒索可以导致医疗业务完全中断。

（2）勒索病毒威胁的对策勒索病毒可以从以下不同层次防御，但需要强调的是，由于勒索病毒的巨大威胁性，仅仅做常规性防御会置医疗机构于巨大的不可预测风险之中，在实践中不建议。执行系统防御和主动防御是防御勒索病毒威胁的必须组成部分，特别是主动防御。

①常规防御

并不只针对勒索病毒，其实是针对所有恶意软件的常规性安全措施。主要包括：及时更新系统补丁，防止攻击者通过已知漏洞入侵系统；弱口令检测和弱口令的定期变更，使用复杂密码；关闭不必要的端口，比如445、139、3389等高危端口；安装部署杀毒软件，检测和防御已知勒索病毒威胁；安全教育，不上可疑网站，不接受可疑邮件，不随意接受社交文件；安全教育，不用未经审核的应用和工具；做好备份，特别注意备份不能与源文件存储在相同终端，最好是备份在不同操作系统之中，避免被勒索病毒一锅端。

②系统防御

围绕着勒索病毒和恶意软件的特点，依据入侵生命周期做系统化的常规性防御。服务：关闭不必要的服务，关闭不必要的账户；端口：禁止缺省端口，使服务端口区别于缺省端口；账户：关闭缺省账户，不要设置共享账户；密码：不追求密码复杂性，限定密码最小长度不小于16位；诱饵：设置不可能被想到的密码，设置无法破解的密码，设置诱饵文件和数据；漏洞：及时修复已知漏洞，特别是无需认证的漏洞；溯源：禁止运行来自不可靠源头的应用程序，如需运行，必须经过明确许可；底线：做好备份，特别注意备份不能存储在相同终端上，最好是备份在不同操作系统之中，避免被勒索病毒一锅端。

③主动防御

主动防御，针对勒索病毒防御，最有效的还是部署专用的防勒索软件。当医疗行业85%的恶意软件攻击来自于勒索病毒的时候，针对性的主动防护应该成为必选项。主动防御不仅更加有效帮助用户达成防御目标，而且比常规防御和系统防御更加省心省力。

4互联网和云医疗风险和对策

（1）互联网和云医疗风险

在云医疗中，数据安全风险众多，我们主要考虑以下两个核心点：

如何在不受信任和管控的基础设施中存储敏感数据？如何让无法控制的、拥有超级权限账户的云运营商运维人员（上帝之手）隔离业务数据？

（2）云医疗的数据安全对策

①如何在不受信任和管控的基础设施中存储敏感数据？

答案只有两个：加密或者不存储敏感数据。原则上要求存储在云环境中的任何数据都需要进行加密存储和加密传输，任何需要进行开放式流转处理的数据都需要进行脱敏存储和传输。

②如何让无法控制的、拥有超级权限账户的云运营商运维人员（上帝之手）隔离业务数据？

存储级加密解决了在云环境中存储敏感数据的风险，但是依然无法隔离上帝之手接触和窥视业务数据。需要提供一种机制，禁止超级权限的DBA访问业务数据，从而保证云上数据安全性。

5数据流动的风险和对策

（1）数据畅流是数据价值的核心体现

数据作为和资金、原油、资产相似的生产资料，只有不断被使用才会产生价值，只有不断地流动才会让更多的人使用，只有让数据流动到可以产生更大价值的地方才能发挥数据的价值。医疗数据作为生活中最具价值的基础数据之一，具有不可避免的数据流动趋势。

不断流动的数据带来巨大价值的同时，也给数据安全带来了巨大的挑战。机构和企业对于流动中的数据控制力会越来越弱，不断流动的数据必然会流出数据的安全边界，传统基于静态目标保护的网络安全和数据安全保护措施在此场景下会不断弱化，甚至完全失效。解决好数据流动的安全问题是实现数据价值最大化的巨大挑战和先决条件。

（2）数据流动涉及的主要风险

①敏感数据认知

不知道数据在哪里就不知道如何保护，不知道数据的分级分类就无法施加适当的保护。事实上我们每个用户都希望可以做到敏感数据分级分类，但是数据分级分类的巨大困难和成本总是让人望而却步。在缺乏敏感数据认知的数据安全措施下，具有其天生的脆弱性。

③身份盗用、假冒和验证绕过

身份是访问数据的凭证，身份被盗用意味着数据财富面临巨大风险。其中数据库中存在的广泛共享的账户和缺省账户是身份盗用的天然温床。身份盗用手段包括密码猜测和破解、身份伪造、撞库等。

④从非安全区直接访问敏感数据

大多数情况下，数据流动软件在网络边界具有较高的安全脆弱性。这种安全脆弱性很容易给数据流动带来伤害。

⑤数据流动到弱安全区域或者失控区域

运维账户具有很高的访问权限，如特权账户可进行一系列的越权访问：访问不该访问的数据和访问过多的数据。

⑥运维端流动是传统数据安全的主要构成部分，也是流动安全的巨大风险之一。

⑦终端业务包含敏感信息和运维端流动一样，是传统的数据安全的一部分。

⑧数据的再次流动当数据流动到非受控制区域的时候，很容易产生多次流动。而这个数据流动可能并非是数据流动者所期望的。

⑨数据泄露追踪

（3）数据流动安全风险的基本对策数据流动安全的措施必须建立在两个基本假设之上：数据总是会趋向于流动到弱安全区域、流动的数据最终会失去控制。

从这两个基本假设出发，提出解决流动数据安全的基本思路：

②数据内置的安全性和源断控制一致的，通过加密等手段实现内置安全性；

③建立审计检查机制数据提供方可对数据利用方进行数据使用审计。

不感兴趣

看过了

取消

人点赞

人收藏

打赏

我有话说

0/500

同步到新浪微博

进群即领

扫码加入

扫码进群

您的申请提交成功

意见反馈

下载APP

健康界APP

了解更多

返回顶部

您已认证成功，可享专属会员优惠，买1年送3个月！开通会员，资料、课程、直播、报告等海量内容免费看！