[商业信息]医疗行业数据安全的主要风险和应对分析

作者:刘尊良，美创科技

【/h/】根据verizon数据泄露报告中对客观现状、数据分布、数据流的综合分析，医疗行业数据安全的主要风险包括以下几个方面:【/h/】

一、人类安全风险和对策

1。人体安全风险是医疗数据安全的最大风险

【/h/】从verizon报告中可以看出医疗行业数据安全的特殊性:医疗行业是唯一内部威胁大于外部威胁的行业，内部威胁占60%，外部威胁占43%。总体而言，各行业平均攻击类型为:70%为外部威胁，30%为内部威胁。下图对比了几个有数据泄露的主要行业，包括医疗、金融、政府、信息服务、制造、零售、酒店餐饮。

由于缺乏医疗行业的独立数据，我们用行业范围的数据来看威胁的构成。从整个行业来看，外部人员造成的泄密事件，62%来自有组织犯罪团伙；内部威胁中，25.9%与企业系统管理员有关，终端用户占22.3%，医生或护士占11.5%，开发者占5%。这里可以看到亮眼的数据:医生或护士占11.5%。医生护士只存在于医疗行业，也就是说，医生或护士导致的内部数据泄露事件占整个行业的11.5%。

2。人有复杂的情绪变化

【/h/】在今天的数字世界里，当我们谈论数据的时候，我们对它充满了期待和渴望。数据是永不生锈的资产，新经济时代的原油，黄金和财富，一切生产资料。当它成为重要的资产和巨大的财富时，现实生活中所有关于资产安全和财富安全的管理措施都可以成为数据安全领域的参考。

数据安全的本质是人的安全。只要大家都按照规则和约束去访问数据，数据自然就安全了，但这只能是一个乌托邦式的梦想。我们每个机构和企业都制定了一系列的安全生产规章制度，最终会影响到人，无论是人还是财产。如果没有适当的技术实施手段，仅依靠教育和培训，将难以实施流程和系统，数据安全最终将落到空.身上

【/h/】人既有复杂情绪变化的不合理性，也有损益计算的合理性。这种理性与非理性的交汇，使人的安全充满了巨大的挑战。

3。医疗行业面临的“人类风险”

【/h/】众所周知，医疗数据单值过大是导致医疗行业60%内部威胁的基本因素。让我们来看看医疗行业数据泄露的内部威胁的主要暴露情况:

(1)系统管理员和dba

几乎所有行业，系统管理员和DBA都是内部数据的主要威胁，医疗行业也不例外。从verizon的报告中可以看出，在整个行业调查中，高达26%的内部威胁是由系统管理员和DBa造成的。在国内医疗领域，信息部一直是个漩涡。每次发生医疗数据泄露，信息部门永远是第一嫌疑人。

(2)医生或护士

根据verizon数据泄露调查报告，来自医生和护士的威胁可能远远超过系统管理员。因为医疗数据的个体价值是巨大的，医生或者护士只要简单的获取自己权限内的数据就可以获得暴利。但是由于病历数据的交叉特性，几乎没有医院业务系统能够实现基于患者授权的病历数据查询机制，因此医生和护士可以遍历所有的患者数据。

(3)软件开发人员和维护人员

【/h/】在医疗行业，软件开发商的实力太强，甚至可能让医院觉得医院数据不是自己的，而是软件开发商的。即使在一些顶级医院，医疗系统和数据的命脉也掌握在开发者手中。

(4)现场服务人员

现场服务人员拥有与数据库管理员和系统管理员相同的权限。同时，由于不受医院管理和约束，他们更容易受到外部诱惑和承担风险。

(5)集体无意识

【/h/】目前医院对患者隐私保护相对无动于衷，从纸质病历和有核心隐私秘密的处方可以随意重复使用这一环节就可以看出来。换句话说，只要你在医院里不断收集各种废纸，就能得到想要的医疗数据。

4。如何预防人类安全风险

【/h/】防范人的安全风险，本质上是为了保护我们的员工和合作伙伴，减少他们接受诱惑的可能性，以避免自己犯错。防范人的安全风险，应从机制保障和技术保障两个方面努力。

(1)机制保障

【/h/】机制保障的核心是减少被诱惑的几率和侥幸的可能。机制保障主要体现在两点:一是隔离诱惑可以很大程度上避免被动失误，可以大大提高主动失误的难度。隔离诱惑的主要措施在于实现两点:最小权限和分权。特别是涉及到高敏感数据和高风险操作访问时，建议建立工作流多级审批机制。

第二，责任在人。含糊和分享会导致责任不明，助长侥幸心理。当机制能够保证任何行为都可以追溯到个人时，事件审计就能产生巨大的威慑作用，减少侥幸心理。

(2)技术保证

【/h/】大多数机构都有明确的安全生产制度，但能付诸实施的不多。安全系统的落地不能靠训练和人的意识，需要日常操作中的技术规范。

。确认此人是真人，不是被盗、伪造或共享的身份。只要能确认访问数据的人是真实的，就为数据安全奠定了最坚实的基础。为了确认一个人是不是真人，需要对电脑身份和真实身份进行映射，保证这个映射不是伪造的。两个以上的因素是确认人是真人的基本技术措施。

确认你所做的是真实意愿的表达，而不是强迫。对真实意思表示的检测取决于对当事人日常行为特征的检测。

。确认已经做的是符合标准的，授权的，不是越权的，符合流程和控制的。合规性可以从两个方面限制:允许操作和正确上下文。

【/h/】确认风险作业或所有作业是可审核、可追溯的，风险作业或所有作业留痕迹是技术保证的基本措施，是增强威慑力、减少侥幸心理的基本技术保证。

II .开放网络环境的风险与对策

医院网络具有开放网络的基本特征，具有很大的安全隐患。开放的网络让别有用心的人很容易接触和接触。就像互联网一样，是一个不设防或低设防的网络环境。

1。开放网络:一个易于联系和接触的网络

我们可以轻松到达医院提供的任何网络服务。如:医生或护士工作终端、开放式自助工作终端、开放式互联网服务、开放式医院无线网络。总之，医院网络是一个开放的网络，接触点太多，比较脆弱。

2。终端控制:让开放网络具有可识别的身份

医院是一个相对开放的网络，就像互联网是一个开放的网络，是一个客观存在。数据安全工作需要在这个客观前提下进行。如果互联网没有安全措施，它将是一个不设防的金库。如果医院网络没有安全措施，就像互联网没有任何安全措施一样。

医院网络终端不同于互联网网络终端。大多数互联网网络终端都是独占和非共享的，安全性是自我保证的。大多数医院网络终端是共享的、非独占的、安全的。也就是说，码头工人不重视安全问题，甚至讨厌安全问题。这种场景的必然结果就是终端不安全。在传统网络中，我们总是假设终端是安全的。医院开放网络的终端不安全性与传统网络终端安全的设想存在巨大差距，使得医院网络安全面临巨大威胁。

终端管控是实现开放式网络安全的有效手段。从安全性的角度来看，主要实现了两个目标:一是可以实现非安全终端的可识别身份和凭证。因为终端是不可信的，所以网络和数据，尤其是数据，此时需要可信的身份作为访问凭证。由于终端不可靠，需要在终端外部提供该证书，如密码、指纹、密钥或离线验证码等。

二是防止关键应用被注入和伪造。终端数据可以通过应用程序访问，如果应用程序不可靠，数据就会处于非常危险的境地。

三.软件的威胁与对策

1。赎金的威胁

ransomware是对医疗安全的主要威胁。根据威瑞森数据威胁报告，医疗行业高达85%的恶意软件受到勒索软件的威胁。Verizon报告强调，为了获取更多利润，勒索者越来越倾向于企业服务器，尤其是数据库服务器，这是核心勒索目标。基于verizon的报告，我们可以认为，只要成功防御了ransomware的威胁，医疗数据的外部安全风险就会相对安全。

勒索软件对医疗行业的威胁是全方位的:

(1)工作终端和自助服务终端、互联网接入和开放网络使医院工作终端极易受到勒索软件的攻击。

(2)数据库服务器，高价值数据库服务器是ransomware威胁的主要目标，造成数据和业务的双重损失。

(3)应用服务器，是ransomware威胁的主要切入点之一，可导致医疗服务完全中断。

2。应对盗版威胁的对策

【/h/】ransomware可以从以下不同层面进行防御，但需要强调的是，由于ransomware的威胁极大，只有常规防御才会将医疗机构置于巨大的不可预测的风险之中，实践中并不推荐。实施系统防御和主动防御是防御软件威胁的重要组成部分，尤其是主动防御。

(1)常规防御不仅针对ransomware，也是针对所有恶意软件的常规安全措施。主要包括:

及时更新系统补丁，防止攻击者通过已知漏洞入侵系统；

弱密码检测和弱密码的定期更改，使用复杂密码；

关闭不必要的端口，如445、139、3389等高风险端口；

安装和部署反病毒软件，以检测和防御已知的勒索软件威胁；

【/h/】安全教育，不去可疑网站，不接受可疑邮件，不随意接受社会文件；

安全教育，没有未经审核的应用和工具；

，做好备份，特别注意备份不能和源文件存储在同一个终端，最好备份在不同的操作系统，避免被ransomware。

(2)系统防御，围绕着ransomware和恶意软件的特性，按照入侵生命周期进行系统的、常规的防御。

服务:关闭不必要的服务和不必要的账户；

端口:禁止默认端口使服务端口不同于默认端口；

账户:关闭默认账户，不设置共享账户；

密码:不追求密码复杂度，将密码最小长度限制在不低于16位；

诱饵:设置无法想到的密码，设置无法破解的密码，设置诱饵文件和数据；

漏洞:及时修复已知漏洞，尤其是不需要认证的漏洞；

可追溯性:禁止运行来源不可靠的应用。如果需要运行它们，必须获得明确的权限；

【/h/】底线:做好备份，特别注意备份不能存储在同一个终端，最好备份在不同的操作系统，以免被病毒洗劫。

(3)主动防御，针对ransomware最有效的防御就是部署专门的反ransomware。当医疗行业85%的恶意软件攻击来自于ransomware时，有针对性的主动防护应该是必须的。主动防御不仅在帮助用户实现防御目标上更有效，而且比常规防御和系统防御更省心省力。

IV .互联网和云医疗风险及对策

1。互联网和云医疗风险

云和互联网几乎是任何医疗机构都无法回避的话题，云和互联网的安全性自然成为医疗机构的热门话题。对于医疗机构来说，云运营商会把网络安全的服务覆盖在云上，不用太担心。然而，数据安全是云医疗或互联网医疗不可避免的核心命题。

云医疗有很多数据安全隐患。我们主要考虑以下两个核心点:

(1)如何将敏感数据存储在不受信任和受控制的基础架构中？

(2)不可控的云运营商运维人员(上帝之手)拥有超级权限账号如何隔离业务数据？

2。云医疗的数据安全对策

(1)如何在不受信任和受控制的基础架构中存储敏感数据？

答案只有两个:加密或者不存储敏感数据。原则上要求云环境中存储的任何数据都要加密传输，任何需要开放流处理的数据都要脱敏传输。

(2)不可控云运营商的运维人员(上帝之手)拥有超级权限账号如何隔离业务数据？

存储级加密解决了云环境下存储敏感数据的风险，但仍然无法将业务数据与上帝之手隔离开来。有必要提供一种机制来禁止超级特权的数据库管理员访问业务数据，以确保云上的数据安全。

五、数据流风险及对策

1。流畅的数据流是数据价值的核心体现

数据作为一种类似于资本、原油、资产的生产资料，只有持续使用才会产生价值，只有持续流动才会有更多的人使用。只有当数据流向能够产生更大价值的地方，数据的价值才能发挥出来。医学数据作为生活中最有价值的基础数据之一，有着数据流动的必然趋势。

不断流动的数据不仅带来了巨大的价值，也给数据安全带来了巨大的挑战。机构和企业对流动数据的控制会比较弱，流动数据必然会流出数据安全边界。传统的基于静态目标保护的网络安全和数据安全保护措施在这种情况下会被削弱甚至完全失效。解决数据流的安全问题是实现数据价值最大化的巨大挑战和前提。

2。数据流中涉及的主要风险

(1)敏感数据意识。如果不知道数据在哪里，就不知道如何保护。如果你不知道数据的分类，你就不能进行适当的保护。事实上，每个用户都想对敏感数据进行分类，但数据分类的巨大难度和成本总是令人望而却步。在没有敏感数据安全措施的情况下，它有其固有的脆弱性。

(2)流向未授权目标的数据本质上是一种误操作，在生活中经常发生，比如向错误的对象发送机密邮件，向错误的微信群发送文件。

(3)身份盗窃、伪造和认证旁路。身份是访问数据的凭证，身份被盗意味着数据财富面临巨大风险。数据库中广泛共享的账户和默认账户是身份盗窃的天然温床。身份盗窃手段包括密码猜测和破解、身份伪造、数据库碰撞等。

(4)直接从不安全区域访问敏感数据。在大多数情况下，数据流软件在网络边界有很高的安全漏洞。这个安全漏洞很容易给数据流带来危害。

(5)数据流流向安全薄弱区域或失控区域，这是数据流安全的本质，是数据流的自然目标和业务属性。

(6)运维流程是传统数据安全的主要组成部分，也是流程安全的重大风险之一。

(7)终端服务包含敏感信息，与运维端流程一样，是传统数据安全的一部分。

(8)再次数据流。当数据流向不受控制的区域时，很容易产生多个流。而且这个数据流可能不是数据流所期望的。

(9)数据泄漏跟踪。数据泄漏事件发生后，数据提供者需要确定数据是从哪个环节流出的，以实现事件责任。

3。数据流安全风险的基本对策

数据流安全措施必须基于两个基本假设:数据总是倾向于流向安全薄弱的区域，流动的数据最终会失控。

基于这两个基本假设，本文提出了解决移动数据安全的基本思路:

(1)源码控制:流动的数据总是脱敏，不需要注意安全；

(2)数据内置安全性:与源中断控制一致，内置安全性通过加密等手段实现；

(3)建立审核检查机制:数据提供者可以审核数据用户的数据使用情况。

[作者简介] [/s2/]

【/h/】杭州美创科技有限公司创始人兼总经理刘尊良，毕业于解放军信息工程大学，中国(中关村)网络与信息安全产业联盟理事，中国信息协会信息安全委员会数据安全工作组组长。他拥有20年的数据管理和信息安全经验，在通信、社保、医疗、金融等民生行业积累了大量的实践经验。有长远的战略眼光，准确把握技术发展趋势，不断创新，带领公司完成运维、服务、产品等诸多转型，都取得了成功。目前，公司已完成全国布局，成为中国重要的数据安全管理综合供应商。个人写了《oracle数据库性能优化的方法和最佳实践》一书，发表了很多学术文章。