医疗行业数据安全的主要风险和应对分析

作者: 柳遵梁

依据Verizon数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析,医疗行业数据安全的主要风险包括如下几个方面:

  一、人的安全风险和对策

  1.人的安全风险是医疗数据安全的最大风险

  从Verizon报告可以看出医疗行业数据安全的特殊性:医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业,内部威胁占比60%,外部威胁占43%。总体来看,各行业平均攻击类型是:70%为外部威胁,30%为内部威胁。下图就数据泄露的几个主要行业做了对比,包括:医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。

  由于缺乏医疗行业的独立数据,我们以全行业数据来看威胁的构成。从全行业来看,在外部人员导致的泄漏事件中,62%都来自有组织的犯罪团伙;在内部威胁中,25.9%都跟企业系统管理员有关,终端用户占22.3%,医生或护士占11.5%,开发人员占5%。从这里可以看到很亮的数据:医生或者护士占11.5%。医生和护士只有在医疗行业才存在,也就是说,医生或护士造成的内部数据泄露事件在全行业中占据了11.5%的比例。

  2.人具有复杂的情绪变化特征

  在数字化的今天,当我们谈及数据,都会对其充满期待和憧憬。数据是永不生锈的资产,是新经济时代的原油,是黄金和财富,是一切生产的生产资料。当其成为重要资产、巨额财富的时候,现实生活中一切关于资产安全、财富安全的管理措施都可以成为数据安全领域的参照。

  数据安全的本质是人的安全,只要人人都遵守规则和约束去访问数据,数据自然就安全了,但这只能是乌托邦色彩的梦想。我们每家机构和企业都制定了一系列的安全生产规章制度,这些规章制度无论针对人或者财物,最终都会作用在人身上。如果没有适当的技术实施手段,仅依赖于教育和培训,很难使流程和制度落地,数据安全最终也就会落空。

  人既有复杂情绪变化的非理性,又有利益得失计算的理性。这种理性和非理性的交错让人的安全充满着巨大挑战。

  3.医疗行业所面临的“人的风险”

  众所周知,医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口:

  (1)系统管理员和DBA

  几乎在所有行业中,系统管理员和DBA(数据库管理员)都是内部数据的主要威胁,在医疗行业中也不例外。从Verizon报告中可以看出,在全行业调查中,高达26%的内部威胁是由于系统管理员和DBA造成的。而在国内医疗界,信息科也一直是漩涡之地,每次医疗数据泄露事件发生时,信息科总是会成为第一个怀疑对象。

  (2)医生或者护士

  从Verizon数据泄露调查报告来看,来自医生及护士的威胁可能远超于系统管理员。由于医疗数据的个体价值巨大,医生或者护士只需简单地获得权限之内的数据就可以获得巨大收益。但目前由于病案数据的交叉特征,几乎没有医院的业务系统可以实现基于患者授权查询病案数据的机制,因此医生及护士可以遍历所有患者数据。

  (3)软件开发商和维护人员

  在医疗行业,软件开发商的力量过于强大,甚至会让院方觉得医院数据不是自己的,而是归软件开发商所有。即使是一些顶级医院,医疗系统和数据的命脉都掌控在开发商手中。

  (4)驻场服务人员

  驻场服务人员的权限等同于DBA和系统管理员,同时因其不受医院管理和约束,更易受到外部诱惑而铤而走险。

  (5)集体的无意识

  相对来说,当前医院对于患者隐私保护的意识相对淡漠,这从核心隐私机密的纸质病案和处方可以被任意重新利用这个环节就可以看出。换句话说,有心人只要不断地在医院收集各种纸质垃圾,就可以获得想要的医疗数据。

  4.如何防范人的安全风险

  防范人的安全风险,本质上是保护好我们的员工和伙伴,降低他们接受诱惑的可能性,以避免其犯错。防范人的安全风险需要从两个方面加以努力:机制保证和技术保证。

  (1)机制保证

  机制保证的核心在于降低受到诱惑的机会,降低可能产生的侥幸心理。机制保证主要体现在两点:一是隔离诱惑,可以在很大程度上避免被动犯错,也可以大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点:最小权限和三权分立。特别是当涉及到高敏感数据和高风险操作访问时,建议建立工作流多级审批机制。

  二是责任到人,模糊和共享会导致责任不清,从而助长侥幸心理。当机制可以确保任何行为都可以追溯到个人的时候,事件审计就可以产生巨大的威慑力,降低侥幸心理。

  (2)技术保证

  大部分机构都具有清晰的安全生产制度,但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性,需要在日常操作中进行技术规范。

  · 确认人是真实的人,不是被盗用、伪造、共享的身份。只要可以确认访问数据的人是真实的,就为数据安全奠定了最为坚实的基础。为了确认人是真实的人,需要映射计算机身份和真实身份,并确保这种映射是不可假冒的。双因素或者多因素是确认人是真实的人的基本技术措施。

  · 确认所做的事情是真实意愿的表达,不是被胁迫的。真实意愿的表达检测需要依赖于当事人日常行为特征的检测。

  · 确认所作的事情是合乎规范的、已被授权的而非越权、合乎流程和控制。合乎规范可以从两个层面加以约束:被允许的操作以及正确的上下文环境。

  · 确认风险操作或者所有操作是可审计和可追踪的,风险操作或者所有操作留痕是技术保证的一个基本措施,是增强威慑力和降低侥幸心理的基本技术保障。

  二、开放网络环境风险和对策

  医院网络具有开放网络的基本特征,具有很大的安全风险。开放网络使心怀叵测的人可以轻易接触和到达,就如同互联网一样,是一个不设防或者低设防的网络环境。

  1.开放网络:可以轻易接触和到达的网络

  医院提供的任何网络服务,我们都是可以轻易到达的。如:医生或者护士的工作终端、开放的自助服务工作终端、开放的互联网服务、开放的医院无线网络。总之,医院网络是存在太多接触点的开放网络,相对比较脆弱。

  2.终端管控:让开放网络具有可识别身份

  医院是相对开放的网络,就如同互联网是开放网络一样,是一种客观的存在。数据安全工作需要在这个客观的前提下进行。互联网如果不具备安全措施,就等于不设防的金库。医院网络如果不具备安全措施,就如同不具备任何安全措施的互联网。

  医院网络终端不同于互联网网络终端,绝大部分互联网网络终端是独占的、非共享的,安全自我保障。而绝大部分医院网络终端则是共享的、非独占的、安全他人负责的。也就是说,终端工作者并不会关注安全问题,甚至会厌恶安全问题,这种场景必然导致的结果就是终端是不安全的。而在传统网络中,我们总是假设终端是安全的。医院开放网络的终端不安全性和传统网络终端安全的假设存在巨大裂缝,使医院网络安全面临巨大威胁。

  终端管控是实现开放网络安全的有效手段,从安全的角度来看,主要实现两个目标:一是实现脱离于非安全终端的可识别身份和凭证,由于终端是不可信任的,这个时候网络和数据,特别是数据需要可信任的身份作为访问凭证。由于终端的不可信赖,这个凭证需要在终端之外提供,比如密码,指纹,key或者离线验证码等。

  二是防止关键应用被注入和假冒。可通过应用程序访问终端数据,如果应用程序不可信赖,那数据就会处于非常危险的境地。

  三、勒索病毒的威胁和对策

  1.勒索病毒的威胁

  勒索病毒是医疗安全的主要威胁。Verizon数据威胁报告显示,在医疗行业,高达85%的恶意软件面临勒索病毒威胁。Verizon报告特别强调,为了获得更多的收益,勒索者越来越倾向于企业级服务器,特别是数据库服务器,是核心勒索目标。基于Verizon报告我们可认为,只要成功防御了勒索病毒威胁,医疗数据外部安全风险就获得了相对安全。

  勒索病毒对于医疗行业的威胁是全方位的:

  (1)工作终端和自助服务终端,互联网接入和开放网络使医院工作终端极其容易受到勒索病毒的侵袭。

  (2)数据库服务器,高价值的数据库服务器是勒索病毒威胁的主要目标,导致数据和业务的双重损失。

  (3)应用服务器,它是勒索病毒威胁的主要入口之一,应用服务器被勒索可以导致医疗业务完全中断。

  2.勒索病毒威胁的对策

  勒索病毒可以从以下不同层次防御,但需要强调的是,由于勒索病毒的巨大威胁性,仅仅做常规性防御会置医疗机构于巨大的不可预测风险之中,在实践中不建议。执行系统防御和主动防御是防御勒索病毒威胁的必须组成部分,特别是主动防御。

  (1)常规防御,并不只针对勒索病毒,其实是针对所有恶意软件的常规性安全措施。主要包括:

  · 及时更新系统补丁,防止攻击者通过已知漏洞入侵系统;

  · 弱口令检测和弱口令的定期变更,使用复杂密码;

  · 关闭不必要的端口,比如445、139、3389等高危端口;

  · 安装部署杀毒软件,检测和防御已知勒索病毒威胁;

  · 安全教育,不上可疑网站,不接受可疑邮件,不随意接受社交文件;

  · 安全教育,不用未经审核的应用和工具;

  · 做好备份,特别注意备份不能与源文件存储在相同终端,最好是备份在不同操作系统之中,避免被勒索病毒一锅端。

  (2)系统防御,围绕着勒索病毒和恶意软件的特点,依据入侵生命周期做系统化的常规性防御。

  · 服务:关闭不必要的服务,关闭不必要的账户;

  · 端口:禁止缺省端口,使服务端口区别于缺省端口;

  · 账户:关闭缺省账户,不要设置共享账户;

  · 密码:不追求密码复杂性,限定密码最小长度不小于16位;

  · 诱饵:设置不可能被想到的密码,设置无法破解的密码,设置诱饵文件和数据;

  · 漏洞:及时修复已知漏洞,特别是无需认证的漏洞;

  · 溯源:禁止运行来自不可靠源头的应用程序,如需运行,必须经过明确许可;

  · 底线:做好备份,特别注意备份不能存储在相同终端上,最好是备份在不同操作系统之中,避免被勒索病毒一锅端。

  (3)主动防御,针对勒索病毒防御,最有效的还是部署专用的防勒索软件。当医疗行业85%的恶意软件攻击来自于勒索病毒的时候,针对性的主动防护应该成为必选项。主动防御不仅更加有效帮助用户达成防御目标,而且比常规防御和系统防御更加省心省力。

  四、互联网和云医疗风险和对策

  1.互联网和云医疗风险

  云和互联网几乎是任何一家医疗机构都不可回避的话题,云和互联网的安全自然也就成为医疗机构的热门话题。对于医疗机构来说,云运营商会进行云上网络安全的服务覆盖,不需要过于忧虑。但是数据安全,对于云上医疗或者互联网医疗则是一个不可回避的核心命题。

  在云医疗中,数据安全风险众多,我们主要考虑以下两个核心点:

  (1)如何在不受信任和管控的基础设施中存储敏感数据?

  (2)如何让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?

  2.云医疗的数据安全对策

  (1)如何在不受信任和管控的基础设施中存储敏感数据?

  答案只有两个:加密或者不存储敏感数据。原则上要求存储在云环境中的任何数据都需要进行加密存储和加密传输,任何需要进行开放式流转处理的数据都需要进行脱敏存储和传输。

  (2)如何让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?

  存储级加密解决了在云环境中存储敏感数据的风险,但是依然无法隔离上帝之手接触和窥视业务数据。需要提供一种机制,禁止超级权限的DBA访问业务数据,从而保证云上数据安全性。

  五、数据流动的风险和对策

  1.数据畅流是数据价值的核心体现

  数据作为和资金、原油、资产相似的生产资料,只有不断被使用才会产生价值,只有不断地流动才会让更多的人使用,只有让数据流动到可以产生更大价值的地方才能发挥数据的价值。医疗数据作为生活中最具价值的基础数据之一,具有不可避免的数据流动趋势。

  不断流动的数据带来巨大价值的同时,也给数据安全带来了巨大的挑战。机构和企业对于流动中的数据控制力会越来越弱,不断流动的数据必然会流出数据的安全边界,传统基于静态目标保护的网络安全和数据安全保护措施在此场景下会不断弱化,甚至完全失效。解决好数据流动的安全问题是实现数据价值最大化的巨大挑战和先决条件。

  2.数据流动涉及的主要风险

  (1)敏感数据认知。不知道数据在哪里就不知道如何保护,不知道数据的分级分类就无法施加适当的保护。事实上我们每个用户都希望可以做到敏感数据分级分类,但是数据分级分类的巨大困难和成本总是让人望而却步。在缺乏敏感数据认知的数据安全措施下,具有其天生的脆弱性。

  (2)数据流动到非授权目标,本质上属于一种误操作,在生活中经常发生,比如机密邮件发错了对象、文件发错了微信群等。

  (3)身份盗用、假冒和验证绕过。身份是访问数据的凭证,身份被盗用意味着数据财富面临巨大风险。其中数据库中存在的广泛共享的账户和缺省账户是身份盗用的天然温床。身份盗用手段包括密码猜测和破解、身份伪造、撞库等。

  (4)从非安全区直接访问敏感数据。大多数情况下,数据流动软件在网络边界具有较高的安全脆弱性。这种安全脆弱性很容易给数据流动带来伤害。

  (5)数据流动到弱安全区域或者失控区域,这是数据流动安全的本质所在,是数据流动的自然目标和业务属性。

  (6)运维端流动,是传统数据安全的主要构成部分,也是流动安全的巨大风险之一。

  (7)终端业务包含敏感信息,和运维端流动一样,是传统的数据安全的一部分。

  (8)数据的再次流动。当数据流动到非受控制区域的时候,很容易产生多次流动。而这个数据流动可能并非是数据流动者所期望的。

  (9)数据泄露追踪。当数据泄露事件发生之后,数据提供方需要确定数据是哪个环节出去的,以实现事件追责。

  3.数据流动安全风险的基本对策

  数据流动安全的措施必须建立在两个基本假设之上:数据总是会趋向于流动到弱安全区域、流动的数据最终会失去控制。

  从这两个基本假设出发,提出解决流动数据安全的基本思路:

  (1)源端控制:流动的数据总是被脱敏的,无需关注安全;

  (2)数据内置的安全性:和源断控制一致的,通过加密等手段实现内置安全性;

  (3)建立审计检查机制:数据提供方可对数据利用方进行数据使用审计。

Image placeholder
18535614692
未设置
  81人点赞

没有讨论,发表一下自己的看法吧

推荐文章
全球数据泄露报告:内部威胁成数据安全最大风险!

一份最新报告显示,由现任和离职员工引起的内部威胁使公司容易遭受破坏,并使公司数据面临风险。Code42发布的《2019年全球数据泄露报告》还质疑,是否需要资助和部署正确的数据安全解决方案来阻止内部威胁

海量数据时代,金融行业数据库实践难题如何解决?

随着数字经济时代的到来,大数据、人工智能技术得到了快速发展与应用,可以说,各行各业都已全情投入到这一波数字化转型浪潮中,把握新的发展机遇,获取数字红利。其中,金融行业可以说是走在转型之路最前沿的行业之

重兵投入行业市场,新华三开启信息安全行业元年

4月19日-20日,为期两天的2019领航者峰会在重庆举行,本届峰会主题为“数字领航·智绘未来”。通过本届大会,新华三都向大家传达了哪些信息?关于信息安全新华三又有着哪些新的动作?在数字化时代,一个企

电信行业如何应对大数据挑战?

根据思科的预测,到2022年,移动数据将达到每月77艾字节。虽然大多数人不会考虑他们每天产生的大量数据,但电信公司对此了如指掌。同时,物联网、智能设备和新内容平台也让电信公司面临着数据冲击。为了将数据

Golang语言的主要特性与发展的环境和影响因素

1.2.1影响Go语言发展的早期编程语言 正如“21世纪的C语言”这句话所说,Go语言并不是凭空而造的,而是和C++、Java和C#一样属于C系。不仅如此,设计者们还汲取了其它编程语言的精粹部分融入

vue和react的主要区别是什么?

Vue是一套构建用户界面的渐进式框架。与其他重量级框架不同的是,Vue采用自底向上增量开发的设计,其核心库只关注视图层,并且非常容易学习,也易与其它库或已有项目整合。另一方面,Vue完全有能力驱动采用

面对网络风险 企业应当如何部署安全策略?

有关数据泄露和漏洞的突发层出不穷,这些数据泄露和漏洞对企业的财务和声誉有着非常大的影响。企业高管似乎无法摆脱预警头条的抨击,以及由专家组成的轰炸,这些专家就如何避免这些网络安全攻击提出了一些建议。尽管

和大型企业相比,小企业可能并不是安全的薄弱环节

拥有250名或更少员工的企业通常比规模较大的企业使用更高比例的安全从业人员。小型企业经常因为成为大型企业供应链攻击的门户而声名狼藉。但从一份关于小型企业安全的报告中可以看出,情况可能并非如此。作为(I

如何创建安全的 Node.js GraphQL API?

本文的目标是提供关于如何创建安全的Node.jsGraphQLAPI的快速指南。你可能会想到一些问题:使用GraphQLAPI的目的是什么?什么是GraphQLAPI?什么是GraphQL查询?Gra

盘点 | 物联网未来的9大主要安全挑战

物联网(IoT)是数字转型时代最热门的技术之一,其能够将一切都连接到互联网。它是智能家居、自动驾驶汽车、智能电表和智能城市背后的核心技术。但是物联网(IoT)的未来将面临九个主要的安全挑战。在过去的几

Fortinet的云安全观:上云≠安全 云安全市场或迎“又一春”!

近年来网络攻击事件频繁发生,企业对于网络安全的关注度已经到达前所未有的高度,如何保证业务的正常运转是每个企业最为关注的问题之一。而随着越来越多的企业将业务扩展到云端,云上安全问题也成为企业必谈的话题!

打好网络安全攻坚战 思科年度安全报告系列关注未知安全挑战

当网络攻击愈演愈烈,当勒索软件愈加嚣张,企业对于网络安全的重视程度稳步提升。网络安全在企业中的地位从没像今天这般高涨。但不可否认的是,即便企业提升了对网络安全的防护,但网络安全威胁依旧长期存在且愈加复

当医疗医保数据共享难题遇上区块链

健康医疗大数据是国家重要的基础性战略资源。提升健康医疗服务效率和质量,扩大资源供给,有利于满足人民群众多层次、多样化的健康需求。福布斯发布名为《2019八大医疗保健预测》的报告,预测区块链作为近年来在

未来已来,如何减少人工智能带来的风险?

为了在新时代蓬勃发展,企业安全需要减少人工智能带来的风险,并充分利用它提供的机会。人工智能(AI)正在创造信息安全的新领域。能够独立学习、推理和行动的系统将越来越多地复制人类的行为。就像人类一样,他们

医疗保健案例研究:怎样用深度学习检测疟疾

导言本文中,我们将集中讨论人工智能(AI)与流行的开源工具、技术和框架如何被用于发展和改善医疗行业。俗话说,健康就是财富。在这篇文章中,我们将探讨如何利用人工智能来检测一种致命的疾病–疟疾,以及如何建

传统数据库是否会成为企业数字化转型的障碍?

国外Couchbase公司最近发布的一项调查显示,缺乏灵活性和可扩展性被认为是传统数据库最大的问题。该公司另一份报告显示,尽管数据库存在的问题会降低企业竞争力,但仍有超过半数的的企业和IT业内人士完全

中国企业数据底子薄弱从何处说起?

问10个人关于中国企业数据底子的问题,9个人会告诉你很薄弱,然而薄弱又是一个相对的概念。而且,国内企业数据底子多少年能够打好不好说,但这注定是个多方协作探索的过程。参差不齐的数字底子“说中国企业数据底

龙头企业应该承担起产业数据生态构建的重任

背景:当前,企业的数据积累和数据处理体系已基本完成,各行业关注的重点转向多渠道、多种数据形式的融合,从局域数据融合转向全域数据融合。海量的数据将在“云端”汇聚,并将实现多种业务之间的高度融合。需求在线

兴业数金云数据库应用与实践

摘要:本文主要介绍兴业数金云数据库设计、优化、及运维实践,如何利用云数据库为企业创建核心价值,如何在云时代面对海量MySQL、Oracle、Informix服务的运维挑战。作者:林春编辑:张晓艺林春,

如何应对数字化转型2.0时代?

新技术在产业中融入越来越深入,企业数字化转型进入了新的阶段。IT已经融入到了业务的各个环节。人与人之间的连接、物与物之间的连接越来越广泛,万物互联的时代已然来临,而这也被很多人称为产业互联网时代。在中

谈PaaS平台建设:如何应对企业架构多元异构资源的挑战

据forbes预测,在2020年到来之前,83%的IT资源都会迁移上云。整个云的生态中,PaaS是最具有抽象属性的云形态,落地较晚也迟迟没有形成统一的标准。近几年,随着SaaS层业务的成熟,以及Iaa

如何应对Kubernetes中的存储管理挑战?

Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。对于那些工作负载多样化、不断变化的企业来说,使用Kubernetes是非常有利的。与容器一样,

企业数字化管理平台 “让老树开新花”

在叉车领域,安徽合力(以下简称合力)是一家接近百年的老厂,已成立61年。一般遇到这种“老字号企业”,我们的敬佩之情会油然而生!能在商海沉浮中坚持这么久,这本身就是值得骄傲,说明这家企业一定掌握着某种独

长城汽车张小斌:企业数字化不是选择,而是唯一的出路

长城汽车集团云计算总监张小斌20年IT行业经验。西安交通大学计算机专业毕业,中科院计算所硕士,曾在朗讯贝尔实验室、美国硅谷、HP、赛门铁克、Websense担任架构师、主任工程师、研发经理等职务,负责

调查:企业数字化转型中面临的最大挑战是什么?

数字化转型是将新兴的数字技术集成到企业的各个方面的过程。比如最近的云迁移,其中数据和业务流程由第三方提供商管理。因此,数字化转型被视为利用技术简化运营并保持竞争力的一种方式。但Couchbase周三发