[商业信息]五大维度透视医疗数据安全-百家商业周刊

在当今日益开放的网络环境下，医疗行业的数据安全问题日益突出。本文将从数据价值、网络环境、人类安全、数据流和云驱动五个方面进行深入分析。

一、医学数据的特殊价值

1。高度敏感数据的披露带来了巨大的个人、家庭和社会影响

健康信息的全方位渗透，决定了健康数据的使用非常广泛，使用不当会严重影响人们的生活、工作、家庭乃至社会政治。其广泛的社会影响力使得个人健康信息(phi)成为人们的核心隐私内容。Phi泄露有两个典型特征:单一病历对个人和家庭的巨大影响，海量信息的巨大社会影响，很容易变成巨大的财富。那么，有哪些高度敏感的数据泄露场景呢？

[商业信息]五大维度透视医疗数据安全

(1)恶性肿瘤、尿毒症、糖尿病等慢性病。这类患者未来的支付能力很可能急剧恶化，信用水平会迅速下降。因此，保险、银行和所有金融机构都渴望获得此类信息，以提高风险控制水平。

【/h/】与此同时，这些患者也是各种诈骗组织的主要目标，假药、假保健品不断地向这些患者投放。绝望的恶性肿瘤患者只要眼前有一线希望，就会毫不犹豫的去抓住，结果就是赔钱赔人。即使你不需要金融服务，没有被诈骗，也会给你的生活和工作带来极大的不便，阻碍你的社交。

(2)ed，性冷淡，尿失禁，吸毒等涉及人格尊严的疾病。这种病让人丧失一些基本能力，无疑让人自卑。这些私人信息的泄露会极大地影响个人的工作和生活。所以，由于身体和精神上的打击，这类人特别容易受到各种骗子的诱惑。

【/h/】( 3)性病、艾滋病等传染病。这样的病属于绝对隐私。除了因赶去医院而造成的巨大财产损失和身体损失外，家庭和社会关系的破坏也难以幸免。此外，由于这种疾病的绝对隐私，患者很容易被勒索。

(4)传染病、中毒、血铅等社会疾病。这样的区域性疾病或者突发的健康事件，配合社会谣言，很容易导致社会混乱。特别是一旦涉密期间的重大卫生事件被泄露，相关政府机构将极为被动。

(5)老年人、孕妇、婴儿和儿童等弱势群体。这类群体由于心理和防范相对薄弱，很容易受到诱惑。

(6)重要社会人物、公众人物的病历。比如《希拉里事件》，准确地展示了患者的疾病是如何影响政治生态的。国家主要领导人的病历属于国家安全的范畴。一旦泄露，显然会影响政治生态，甚至直接结束政治生涯。公众人物在某种程度上是相似的，健康和隐私的不当披露可能会直接终止公众人物的职业生涯。

(7)待推敲的治疗方案和高误诊率。医学诊断本质上属于经验科学，缺乏准确性。即使在美国，误诊率也一直很高。所以治疗方案只有合理的说法，没有正确的说法。如果一些要审查的治疗方案泄露出去，被别有用心的人利用，可能会诱发更多的医患纠纷，最终给医院带来巨大的损失。

(8)个人信息，准确性高。医疗机构个人信息具有较高的准确性和社会关系属性。比如:姓名、身份证、社保卡、电话、地址、职业、亲属关系。因为患者对医疗机构的期望，个人信息往往比任何其他机构都要准确。医疗个人信息，即使是普通信息，在黑市上的价格仍然很高，是普通信用卡信息价格的10倍以上。更不要说准确的专业信息，它可以成倍的增加个人信息的价值。

[商业信息]五大维度透视医疗数据安全

(9)医嘱、处方、检查结果的巨大价值。除了医生水平的不断增长，医院持续经营的核心成就是医嘱、处方等病例信息的不断积累。大型医院多年积累的重大疾病的病历、医嘱、处方价值往往以百万计。除了学习和成长的巨大价值之外，药物供应商也渴望这些数据和基于真实案例的完整临床试验。

(10)处方药和管制药物。处方药，尤其是麻醉剂等管制药物，只有持有处方才能购买。任何获得许可的商品和服务都会在市场上有很大的价值，但入侵者窃取这些处方，从市场上“合法”购买处方药，然后出售牟利，从而扰乱了药品管制市场。

(11)数据统一。数据统一是医疗回扣腐败案件的核心环节之一，也是实现医疗回扣的关键媒介和凭证。医疗腐败关系到每个公民的生活，具有广泛的社会影响。

2。对高精度的要求已经上升到生命安全的水平

医院里的医嘱、处方、医疗器械，都是把人当做对象。医疗数据更新不当可能危及患者生命安全，生命安全是生命中最高的安全级别。

(1)医嘱和处方数据的变更。医生的医嘱和处方是医生根据自己积累的知识和经验做出的最好的判断，始终平衡着疗效和危害。由于大部分药物的副作用和某些药物的禁忌，医嘱和方便成了某些别有用心的人“用刀杀人”的最佳工具。电影中甚至现实生活中有很多案例，提醒我们这种危险。黑客远程控制医疗设备的不断展示生动地提醒了生命安全的脆弱性。不管什么样的伤害，本质上只需要修改数据，程序和交通违章没有区别。

[商业信息]五大维度透视医疗数据安全

(2)归档病历的变更。在医疗纠纷案件中，如果备案的病历发生变化，就意味着医院无法证明自己的清白，在医疗纠纷中处于劣势。

(3)控制药品采购。高危毒品，如麻醉品、鸦片、大麻等。，只能在医院合法购买，这样在市场上自由流通就有很高的价值。当然也会对社会产生巨大的影响。入侵者可以通过处方修改获得合法购买管制药品的权利。

(4)出生医学证明。出生医学证明是黑人家庭洗白的关键证明。内外勾结或者窃取出生证明是出生医学证明地下黑产链中的关键环节。

(5)勒索威胁。勒索病毒是医疗行业最严重的外部威胁之一，已知的外部威胁中高达85%是由勒索病毒引起的。开放的网络环境和相对脆弱的安全措施是ransomware爆发的温床。

II .不安全的网络环境

1。开放或半开放的网络环境

开放或半开放的网络环境是医疗行业的典型特征，很少有行业像医疗行业那样不安全和开放。开放的网络环境使得入侵者很容易进入医院网络进行物理攻击。

(1)医生开放的工作环境。门诊患者和住院患者的工作电脑几乎都在一个开放的环境中，每个人都可以访问。入侵者更容易合法进入医生的工作场所，与医生“亲切”沟通，接近医生和医生的工作终端，甚至假装医院It人员拥有操作医院电脑的完全权限。

(2)大量不安全的自助设备。自助设备是医院为患者服务的主要工具之一。大量的自助设备不仅给患者带来了方便，也给了入侵者一个机会。他们可以轻松访问医院网络，也可以以维护的名义在自助终端上执行任何操作。

(3)广泛使用的无线网络。移动终端的广泛使用是医院信息化发展的主要方向。当无线网络缺乏严格的安全控制时，意味着入侵者可以随时进入医院网络。

2。相对混乱的互联网接入服务

除了自助终端，互联网接入是目前医院努力的主要方向。为了赶上互联网医疗快车，只有少数医院独立建设互联网医院，更多的医院使用外部服务接入连接互联网。事实上，大多数医院在接入互联网服务时，已经将主动权交给了互联网服务提供商，缺乏统一的业务和安全计划。

(1)互联网服务授权过大。在大多数医院的互联网服务建设过程中，互联网服务提供商整理医疗数据，自主获取服务所需的数据。医院缺乏统一的互联网服务网关，使得医疗数据处于极其危险的境地。

(2)数据安全考虑相对欠缺。互联网服务的重点是提供相应的服务，不会过多考虑数据安全。由于缺乏有效的验证和隔离措施，入侵者很容易通过互联网服务网络进入医疗网络。

三.人的安全无处不在

【/h/】由于医院患者数据的巨大价值，人的安全已经成为医院安全的最大问题。威瑞森报告显示，医疗行业是唯一内部威胁远远大于外部威胁的行业，内部威胁高达60%，外部威胁仅为40%。

1。单个数据的巨大价值让医护人员天天动心。除了情报，很少有医院这样的数据。单一数据价值巨大，形成了医疗数据黑市，明码标价。这使得医护人员在没有太先进技术的情况下获得巨大的盈利机会，难免会动心。

2。好奇心，虚荣心，可以随意查询的医学数据。好奇心导致的越权操作问题是医院普遍存在的客观现实。比如医生会因为对某一种疾病感兴趣而查询阅读未经授权的病历，dba会因为不厚道而帮朋友查询别人的隐私数据。

3。对外部资源的依赖。为了支持快速的业务迭代，医院高度依赖外部资源，比如开发人员。这种高依赖性和高数据价值带来了巨大的数据安全风险。

4。相对频繁的手工操作。由于业务软件系统跟不上医疗服务的快速发展，很多情况下需要相关人员直接进行数据库操作来完成相关服务，存在误操作和未授权访问的潜在风险。

5。有的医院甚至受到开发商的威胁。很多开发商把医院数据当成自己的私有财富，甚至医院使用数据都需要开发商的许可。显然，在这种生态下很难保护患者数据。

6。DBA和开发人员的超级访问权限。dba(数据库管理员)和开发人员的超级访问权限在各个行业都很常见。但由于医疗数据的单值较高，DBA和开发者会收到来自各方面的数据采集需求，会更加动心，导致出错概率显著增加。

7。患者隐私数据的不当披露。为了降低成本，很多医院会重复使用检查指南、处方等纸质媒体。纸质媒体的这种再利用，显然会暴露患者的隐私。检验报告的随机处理，让你更容易获得相关数据。

8。入侵者的天堂。开放的网络环境和相对脆弱的安全防御使医疗机构成为入侵者的天堂。入侵者可以轻松进入医院网络，窃取访问凭证，访问和破坏敏感数据，并实施勒索。

第四，敏感数据的流动只需要

1。众多的数据交换服务和急剧增长的互联需求

【/h/】作为一个严格监管的行业，医院需要和很多机构交换和上报数据。

【/h/】( 1)医保机构、医院、医保机构之间的数据交换是医院的核心业务之一。由于历史原因，医保数据交换中可能会出现不必要的敏感数据交换，使敏感数据失控。

(2)卫生和健康委员会与疾病控制。医院作为受监管机构，需要向卫健委、疾控等相关部门报告相关数据。由于历史原因，相关数据报告中可能存在一些失控的敏感信息。

【/h/】( 3)心力衰竭中心等。医院还需要向心力衰竭中心等机构报告特殊疾病的相关数据。由于历史原因，相关报告数据中可能存在不必要的敏感数据。

(4)远程医疗的兴起。远程医疗作为降低医疗资源的主要手段，正受到医疗当局和各大医院的青睐。如何保证患者隐私数据的安全成为远程医疗过程中的一个关键环节。

(5)携带病历。携带病历是患者的核心需求之一。虽然目前还没有实现，但随着患者服务的不断加强，病案携带将不可避免地成为医疗机构之间的核心交换主体。

(6)病历交换。医疗机构为了丰富自己的病案数据库，有足够的动力与同级医疗机构交换病案。为了提高所有医疗机构的医疗水平，卫生部门也有足够的动力让所有医疗机构共享这些高质量的病历。

2。测试、培训和临床数据中心

【/h/】严格来说，医生只能查看自己的病历，其他患者隐私数据只有在患者授权的情况下才能访问。然而，这种有原则的安全很难在实践中实施。

(1)测试和开发环境。在医疗服务的快速发展中，It系统几乎每天都在发生变化。为了使软件顺利上线，需要使用生产数据进行测试，以提供更好的兼容性。显然，测试开发系统中的生产数据完全失控了。更糟糕的是，一些医院没有足够的设备来提供开发和测试，软件开发人员会从医院拿走数据进行测试。

(2)培训和教育环境。可以认为医院的核心产品和服务是高水平的医生。医生和护士都是高科技职业，需要不断的学习和培训来提高自己的技术水平。在大多数情况下，医学培训和教育将基于牺牲患者的隐私。此外，培训教育环境中不完善的安全措施使得入侵者更容易获取医疗隐私数据。

(3)cdr(临床数据中心)。从数据中索取价值，用数据带动医疗，是所有医院的方向。临床数据中心需要提供临床服务，所以需要为所有医生提供访问病例的能力。但如果不脱敏患者资料，这种随意查阅病例的权利显然会给患者的隐私带来很大的风险。另外，由于临床数据中心使用灵活，安全措施难以到位，自然会成为入侵者的宝。

[商业信息]五大维度透视医疗数据安全

3。终端、人的眼睛和照片

【/h/】在传统业务中，敏感信息会通过运维程序不断流向桌面和人们的眼睛，给敏感数据的安全带来极大的挑战。

(1)运维接入承载了大量敏感数据。操作和维护帐户具有高访问权限。例如，特权帐户可以有一系列未经授权的访问:访问不应访问的数据和访问过多的数据。

(2)在运行和维护期间访问和下载敏感数据。运维访问获取海量数据并下载到客户端。无论是恶意还是业务需求，都会给敏感数据的流动带来风险。

(3)业务访问返回敏感数据。隐私和敏感数据的价值只是近几年才受到重视，需要严格保护。而历史业务应用往往没有隐私和敏感的概念，敏感数据容易泄露，甚至被记录、筛选或拍照。

(4)由于业务系统缺陷导致意外的海量数据返回。任何业务系统都存在缺陷，这些缺陷很容易被利用，因此敏感数据可以从安全的数据中心大量流向缺乏安全控制的个人终端。

(5)业务系统漏洞导致意外的数据获取。各种医疗业务程序的Sql注入漏洞很容易被人利用并拖到库中。

V .云业务是内部和外部的

【/h/】目前，中国鼓励发展“互联网+医疗卫生”，一方面推动医疗服务的持续网络化、云化，另一方面也给云服务带来特殊的数据安全挑战。

1。不受控制的云环境和上帝之手

(1)用户无权购买和部署设备。在云环境中，用户只能租用云服务公司的设备，不能改变云环境的网络结构，也不能在云环境中部署硬件设备。这种方法带来了几个困难:

a .用户必须通过软件部署，而不是通过硬件

[/h b .没有云服务提供商的配合，无法进行网络引流

[/h c .无法改变网络结构意味着不能使用透明桥、透明代理等部署方式

(2)云环境是不可信、不安全的环境。用户拥有云上最重要的业务和数据，但是机房的站点和安全不属于用户，站点、设备和环境的运维不受控制，基础平台也不受控制。本质上，用户需要在不受信任的环境中存储极其重要的数据。

(3)上帝之手的挑战与约束。虽然离线数据中心有无限权力的DBA。但在网上，dba是由医院管理和教育的，无限的技术力量在现实中会受到限制。但是在云环境下，云服务提供商和云服务提供商运维人员完全脱离医院管理，这才是真神之手。

2。云环境的开放性和权力平等

(1)不同的网络安全措施。离线环境下的网络安全机制不同于云环境下的网络安全机制。比如离线部署的防火墙设备可以实现恶意入侵检测功能，根据需求启用白名单配置功能完成mac地址绑定等访问机制，即防火墙也可以完成一些内部控制功能。然而，在云环境下，内部控制机制面临更多挑战，网络安全设备只能完成恶意入侵检测。

[商业信息]五大维度透视医疗数据安全