医疗行业数据安全的主要风险和应对分析

依据 Verizon 数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析，医疗行业数据安全的主要风险包括如下几个方面：

一、人的安全风险和对策

1

人的安全风险是医疗数据安全的最大风险

从 Verizon 报告可以看出医疗行业数据安全的特殊性：医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业，内部威胁占比60%，外部威胁占43%。总体来看，各行业平均攻击类型是：70%为外部威胁，30%为内部威胁。下图就数据泄露的几个主要行业做了对比，包括：医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。

由于缺乏医疗行业的独立数据，我们以全行业数据来看威胁的构成。从全行业来看，在外部人员导致的泄漏事件中，62%都来自有组织的犯罪团伙；在内部威胁中，25.9%都跟企业系统管理员有关，终端用户占22.3%，医生或护士占11.5%，开发人员占5%。从这里可以看到很亮的数据： 医生或者护士占11.5% 。医生和护士只有在医疗行业才存在，也就是说，医生或护士造成的内部数据泄露事件在全行业中占据了11.5%的比例。

2

人具有复杂的情绪变化特征

在数字化的今天，当我们谈及数据，都会对其充满期待和憧憬。数据是永不生锈的资产，是新经济时代的原油，是黄金和财富，是一切生产的生产资料。当其成为重要资产、巨额财富的时候，现实生活中一切关于资产安全、财富安全的管理措施都可以成为数据安全领域的参照。

数据安全的本质是人的安全，只要人人都遵守规则和约束去访问数据，数据自然就安全了，但这只能是乌托邦色彩的梦想。我们每家机构和企业都制定了一系列的安全生产规章制度，这些规章制度无论针对人或者财物，最终都会作用在人身上。如果没有适当的技术实施手段，仅依赖于教育和培训，很难使流程和制度落地，数据安全最终也就会落空。

人既有复杂情绪变化的非理性，又有利益得失计算的理性。这种理性和非理性的交错让人的安全充满着巨大挑战。

3

医疗行业所面临的“人的风险”

众所周知，医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口：

4

如何防范人的安全风险

防范人的安全风险，本质上是保护好我们的员工和伙伴，降低他们接受诱惑的可能性，以避免其犯错。防范人的安全风险需要从两个方面加以努力：机制保证和技术保证。

（1） 机制保证

机制保证的核心在于降低受到诱惑的机会，降低可能产生的侥幸心理。机制保证主要体现在两点：

一是隔离诱惑，可以在很大程度上避免被动犯错，也可以大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点：最小权限和三权分立。特别是当涉及到高敏感数据和高风险操作访问时，建议建立工作流多级审批机制。

二是责任到人，模糊和共享会导致责任不清，从而助长侥幸心理。当机制可以确保任何行为都可以追溯到个人的时候，事件审计就可以产生巨大的威慑力，降低侥幸心理。

（2） 技术保证

大部分机构都具有清晰的安全生产制度，但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性，需要在日常操作中进行技术规范。

• 确认人是真实的人 ，不是被盗用、伪造、共享的身份。只要可以确认访问数据的人是真实的，就为数据安全奠定了最为坚实的基础。为了确认人是真实的人，需要映射计算机身份和真实身份，并确保这种映射是不可假冒的。双因素或者多因素是确认人是真实的人的基本技术措施。
• 确认所做的事情是真实意愿的表达 ，不是被胁迫的。真实意愿的表达检测需要依赖于当事人日常行为特征的检测。
• 确认所作的事情是合乎规范的 、已被授权的而非越权、合乎流程和控制。合乎规范可以从两个层面加以约束：被允许的操作以及正确的上下文环境。
• 确认风险操作或者所有操作是可审计和可追踪的 ，风险操作或者所有操作留痕是技术保证的一个基本措施，是增强威慑力和降低侥幸心理的基本技术保障。

二、开放网络环境风险和对策

医院网络具有开放网络的基本特征，具有很大的安全风险。开放网络使心怀叵测的人可以轻易接触和到达，就如同互联网一样，是一个不设防或者低设防的网络环境。

1

开放网络：可以轻易接触和到达的网络

医院提供的任何网络服务，我们都是可以轻易到达的。如：医生或者护士的工作终端、开放的自助服务工作终端、开放的互联网服务、开放的医院无线网络。总之，医院网络是存在太多接触点的开放网络，相对比较脆弱。

2

终端管控：让开放网络具有可识别身份

医院是相对开放的网络，就如同互联网是开放网络一样，是一种客观的存在。数据安全工作需要在这个客观的前提下进行。互联网如果不具备安全措施，就等于不设防的金库。医院网络如果不具备安全措施，就如同不具备任何安全措施的互联网。

医院网络终端不同于互联网网络终端，绝大部分互联网网络终端是独占的、非共享的，安全自我保障。而绝大部分医院网络终端则是共享的、非独占的、安全他人负责的。也就是说，终端工作者并不会关注安全问题，甚至会厌恶安全问题，这种场景必然导致的结果就是终端是不安全的。而在传统网络中，我们总是假设终端是安全的。医院开放网络的终端不安全性和传统网络终端安全的假设存在巨大裂缝，使医院网络安全面临巨大威胁。

终端管控是实现开放网络安全的有效手段，从安全的角度来看，主要实现两个目标：

一是实现脱离于非安全终端的可识别身份和凭证，由于终端是不可信任的，这个时候网络和数据，特别是数据需要可信任的身份作为访问凭证。由于终端的不可信赖，这个凭证需要在终端之外提供，比如密码，指纹，key或者离线验证码等。

二是防止关键应用被注入和假冒。可通过应用程序访问终端数据，如果应用程序不可信赖，那数据就会处于非常危险的境地。

三、勒索病毒的威胁和对策

1

勒索病毒的威胁

勒索病毒是医疗安全的主要威胁。Verizon 数据威胁报告显示，在医疗行业，高达85%的恶意软件面临勒索病毒威胁。Verizon 报告特别强调，为了获得更多的收益，勒索者越来越倾向于企业级服务器，特别是数据库服务器，是核心勒索目标。基于 Verizon 报告我们可认为，只要成功防御了勒索病毒威胁，医疗数据外部安全风险就获得了相对安全。

勒索病毒对于医疗行业的威胁是全方位的：

2

勒索病毒威胁的对策

• 及时更新系统补丁，防止攻击者通过已知漏洞入侵系统；
• 弱口令检测和弱口令的定期变更，使用复杂密码；
• 关闭不必要的端口，比如445、139、3389等高危端口；
• 安装部署杀毒软件，检测和防御已知勒索病毒威胁；
• 安全教育，不上可疑网站，不接受可疑邮件，不随意接受社交文件；
• 安全教育，不用未经审核的应用和工具；
• 做好备份，特别注意备份不能与源文件存储在相同终端，最好是备份在不同操作系统之中，避免被勒索病毒一锅端。

（2） 系统防御 ，围绕着勒索病毒和恶意软件的特点，依据入侵生命周期做系统化的常规性防御。

• 服务：关闭不必要的服务，关闭不必要的账户；
• 端口：禁止缺省端口，使服务端口区别于缺省端口；
• 账户：关闭缺省账户，不要设置共享账户；
• 密码：不追求密码复杂性，限定密码最小长度不小于16位；
• 诱饵：设置不可能被想到的密码，设置无法破解的密码，设置诱饵文件和数据；
• 漏洞：及时修复已知漏洞，特别是无需认证的漏洞；
• 溯源：禁止运行来自不可靠源头的应用程序，如需运行，必须经过明确许可；
• 底线：做好备份，特别注意备份不能存储在相同终端上，最好是备份在不同操作系统之中，避免被勒索病毒一锅端。

（3） 主动防御 ，针对勒索病毒防御，最有效的还是部署专用的防勒索软件。当医疗行业85%的恶意软件攻击来自于勒索病毒的时候，针对性的主动防护应该成为必选项。主动防御不仅更加有效帮助用户达成防御目标，而且比常规防御和系统防御更加省心省力。

四、互联网和云医疗风险和对策

1

互联网和云医疗风险

云和互联网几乎是任何一家医疗机构都不可回避的话题，云和互联网的安全自然也就成为医疗机构的热门话题。对于医疗机构来说，云运营商会进行云上网络安全的服务覆盖，不需要过于忧虑。但是数据安全，对于云上医疗或者互联网医疗则是一个不可回避的核心命题。

在云医疗中，数据安全风险众多，我们主要考虑以下两个核心点：

（1）如何在不受信任和管控的基础设施中存储敏感数据？

（2）如何让无法控制的、拥有超级权限账户的云运营商运维人员（上帝之手）隔离业务数据？

2

云医疗的数据安全对策

五、数据流动的风险和对策

1

数据畅流是数据价值的核心体现

不断流动的数据带来巨大价值的同时，也给数据安全带来了巨大的挑战。机构和企业对于流动中的数据控制力会越来越弱，不断流动的数据必然会流出数据的安全边界，传统基于静态目标保护的网络安全和数据安全保护措施在此场景下会不断弱化，甚至完全失效。解决好数据流动的安全问题是实现数据价值最大化的巨大挑战和先决条件。

2

数据流动涉及的主要风险

3

数据流动安全风险的基本对策