依據Verizon數據泄露報告中對客觀現狀、數據分布和數據流動等方面綜合分析，醫療行業數據安全的主要風險包括如下幾個方面：

一、人的安全風險和對策

1．人的安全風險是醫療數據安全的最大風險

從Verizon報告可以看出醫療行業數據安全的特殊性：醫療行業是所有行業中唯一一個內部威脅大于外部威脅的行業，內部威脅占比60%，外部威脅占43%。總體來看，各行業平均攻擊類型是：70%為外部威脅，30%為內部威脅。下圖就數據泄露的幾個主要行業做了對比，包括：醫療、金融、政府、信息服務、制造業、零售、酒店餐飲。

由于缺乏醫療行業的獨立數據，我們以全行業數據來看威脅的構成。從全行業來看，在外部人員導致的泄漏事件中，62%都來自有組織的犯罪團伙；在內部威脅中，25.9%都跟企業系統管理員有關，終端用戶占22.3%，醫生或護士占11.5%，開發人員占5%。從這里可以看到很亮的數據：醫生或者護士占11.5%。醫生和護士只有在醫療行業才存在，也就是說，醫生或護士造成的內部數據泄露事件在全行業中占據了11.5%的比例。

2．人具有復雜的情緒變化特征

在數字化的今天，當我們談及數據，都會對其充滿期待和憧憬。數據是永不生銹的資產，是新經濟時代的原油，是黃金和財富，是一切生產的生產資料。當其成為重要資產、巨額財富的時候，現實生活中一切關于資產安全、財富安全的管理措施都可以成為數據安全領域的參照。

數據安全的本質是人的安全，只要人人都遵守規則和約束去訪問數據，數據自然就安全了，但這只能是烏托邦色彩的夢想。我們每家機構和企業都制定了一系列的安全生產規章制度，這些規章制度無論針對人或者財物，最終都會作用在人身上。如果沒有適當的技術實施手段，僅依賴于教育和培訓，很難使流程和制度落地，數據安全最終也就會落空。

人既有復雜情緒變化的非理性，又有利益得失計算的理性。這種理性和非理性的交錯讓人的安全充滿著巨大挑戰。

3．醫療行業所面臨的“人的風險”

眾所周知，醫療數據單體價值過大是導致醫療行業內部威脅高達60%的基本因素。下面來看一下醫療行業數據泄露內部威脅的主要敞口：

（1）系統管理員和DBA

幾乎在所有行業中，系統管理員和DBA（數據庫管理員）都是內部數據的主要威脅，在醫療行業中也不例外。從Verizon報告中可以看出，在全行業調查中，高達26%的內部威脅是由于系統管理員和DBA造成的。而在國內醫療界，信息科也一直是漩渦之地，每次醫療數據泄露事件發生時，信息科總是會成為第一個懷疑對象。

（2）醫生或者護士

從Verizon數據泄露調查報告來看，來自醫生及護士的威脅可能遠超于系統管理員。由于醫療數據的個體價值巨大，醫生或者護士只需簡單地獲得權限之內的數據就可以獲得巨大收益。但目前由于病案數據的交叉特征，幾乎沒有醫院的業務系統可以實現基于患者授權查詢病案數據的機制，因此醫生及護士可以遍歷所有患者數據。

（3）軟件開發商和維護人員

在醫療行業，軟件開發商的力量過于強大，甚至會讓院方覺得醫院數據不是自己的，而是歸軟件開發商所有。即使是一些頂級醫院，醫療系統和數據的命脈都掌控在開發商手中。

（4）駐場服務人員

駐場服務人員的權限等同于DBA和系統管理員，同時因其不受醫院管理和約束，更易受到外部誘惑而鋌而走險。

（5）集體的無意識

相對來說，當前醫院對于患者隱私保護的意識相對淡漠，這從核心隱私機密的紙質病案和處方可以被任意重新利用這個環節就可以看出。換句話說，有心人只要不斷地在醫院收集各種紙質垃圾，就可以獲得想要的醫療數據。

4．如何防范人的安全風險

防范人的安全風險，本質上是保護好我們的員工和伙伴，降低他們接受誘惑的可能性，以避免其犯錯。防范人的安全風險需要從兩個方面加以努力：機制保證和技術保證。

（1）機制保證

機制保證的核心在于降低受到誘惑的機會，降低可能產生的僥幸心理。機制保證主要體現在兩點：一是隔離誘惑，可以在很大程度上避免被動犯錯，也可以大幅度提高主動犯錯的難度。隔離誘惑的主要措施在于實現兩點：最小權限和三權分立。特別是當涉及到高敏感數據和高風險操作訪問時，建議建立工作流多級審批機制。

二是責任到人，模糊和共享會導致責任不清，從而助長僥幸心理。當機制可以確保任何行為都可以追溯到個人的時候，事件審計就可以產生巨大的威懾力，降低僥幸心理。

（2）技術保證

大部分機構都具有清晰的安全生產制度，但是能夠在實踐中落地的并不多。安全制度的落地不能依賴于培訓和人的自覺性，需要在日常操作中進行技術規范。

· 確認人是真實的人，不是被盜用、偽造、共享的身份。只要可以確認訪問數據的人是真實的，就為數據安全奠定了最為堅實的基礎。為了確認人是真實的人，需要映射計算機身份和真實身份，并確保這種映射是不可假冒的。雙因素或者多因素是確認人是真實的人的基本技術措施。

· 確認所做的事情是真實意愿的表達，不是被脅迫的。真實意愿的表達檢測需要依賴于當事人日常行為特征的檢測。

· 確認所作的事情是合乎規范的、已被授權的而非越權、合乎流程和控制。合乎規范可以從兩個層面加以約束：被允許的操作以及正確的上下文環境。

· 確認風險操作或者所有操作是可審計和可追蹤的，風險操作或者所有操作留痕是技術保證的一個基本措施，是增強威懾力和降低僥幸心理的基本技術保障。

二、開放網絡環境風險和對策

醫院網絡具有開放網絡的基本特征，具有很大的安全風險。開放網絡使心懷叵測的人可以輕易接觸和到達，就如同互聯網一樣，是一個不設防或者低設防的網絡環境。

1．開放網絡：可以輕易接觸和到達的網絡

醫院提供的任何網絡服務，我們都是可以輕易到達的。如：醫生或者護士的工作終端、開放的自助服務工作終端、開放的互聯網服務、開放的醫院無線網絡。總之，醫院網絡是存在太多接觸點的開放網絡，相對比較脆弱。

2．終端管控：讓開放網絡具有可識別身份

醫院是相對開放的網絡，就如同互聯網是開放網絡一樣，是一種客觀的存在。數據安全工作需要在這個客觀的前提下進行。互聯網如果不具備安全措施，就等于不設防的金庫。醫院網絡如果不具備安全措施，就如同不具備任何安全措施的互聯網。

醫院網絡終端不同于互聯網網絡終端，絕大部分互聯網網絡終端是獨占的、非共享的，安全自我保障。而絕大部分醫院網絡終端則是共享的、非獨占的、安全他人負責的。也就是說，終端工作者并不會關注安全問題，甚至會厭惡安全問題，這種場景必然導致的結果就是終端是不安全的。而在傳統網絡中，我們總是假設終端是安全的。醫院開放網絡的終端不安全性和傳統網絡終端安全的假設存在巨大裂縫，使醫院網絡安全面臨巨大威脅。

終端管控是實現開放網絡安全的有效手段，從安全的角度來看，主要實現兩個目標：一是實現脫離于非安全終端的可識別身份和憑證，由于終端是不可信任的，這個時候網絡和數據，特別是數據需要可信任的身份作為訪問憑證。由于終端的不可信賴，這個憑證需要在終端之外提供，比如密碼，指紋，key或者離線驗證碼等。

二是防止關鍵應用被注入和假冒。可通過應用程序訪問終端數據，如果應用程序不可信賴，那數據就會處于非常危險的境地。

三、勒索病毒的威脅和對策

1．勒索病毒的威脅

勒索病毒是醫療安全的主要威脅。Verizon數據威脅報告顯示，在醫療行業，高達85%的惡意軟件面臨勒索病毒威脅。Verizon報告特別強調，為了獲得更多的收益，勒索者越來越傾向于企業級服務器，特別是數據庫服務器，是核心勒索目標。基于Verizon報告我們可認為，只要成功防御了勒索病毒威脅，醫療數據外部安全風險就獲得了相對安全。

勒索病毒對于醫療行業的威脅是全方位的：

（1）工作終端和自助服務終端，互聯網接入和開放網絡使醫院工作終端極其容易受到勒索病毒的侵襲。

（2）數據庫服務器，高價值的數據庫服務器是勒索病毒威脅的主要目標，導致數據和業務的雙重損失。

（3）應用服務器，它是勒索病毒威脅的主要入口之一，應用服務器被勒索可以導致醫療業務完全中斷。

2．勒索病毒威脅的對策

勒索病毒可以從以下不同層次防御，但需要強調的是，由于勒索病毒的巨大威脅性，僅僅做常規性防御會置醫療機構于巨大的不可預測風險之中，在實踐中不建議。執行系統防御和主動防御是防御勒索病毒威脅的必須組成部分，特別是主動防御。

（1）常規防御，并不只針對勒索病毒，其實是針對所有惡意軟件的常規性安全措施。主要包括：

· 及時更新系統補丁，防止攻擊者通過已知漏洞入侵系統；

· 弱口令檢測和弱口令的定期變更，使用復雜密碼；

· 關閉不必要的端口，比如445、139、3389等高危端口；

· 安裝部署殺毒軟件，檢測和防御已知勒索病毒威脅；

· 安全教育，不上可疑網站，不接受可疑郵件，不隨意接受社交文件；

· 安全教育，不用未經審核的應用和工具；

· 做好備份，特別注意備份不能與源文件存儲在相同終端，最好是備份在不同操作系統之中，避免被勒索病毒一鍋端。

（2）系統防御，圍繞著勒索病毒和惡意軟件的特點，依據入侵生命周期做系統化的常規性防御。

· 服務：關閉不必要的服務，關閉不必要的賬戶；

· 端口：禁止缺省端口，使服務端口區別于缺省端口；

· 賬戶：關閉缺省賬戶，不要設置共享賬戶；

· 密碼：不追求密碼復雜性，限定密碼最小長度不小于16位；

· 誘餌：設置不可能被想到的密碼，設置無法破解的密碼，設置誘餌文件和數據；

· 漏洞：及時修復已知漏洞，特別是無需認證的漏洞；

· 溯源：禁止運行來自不可靠源頭的應用程序，如需運行，必須經過明確許可；

· 底線：做好備份，特別注意備份不能存儲在相同終端上，最好是備份在不同操作系統之中，避免被勒索病毒一鍋端。

（3）主動防御，針對勒索病毒防御，最有效的還是部署專用的防勒索軟件。當醫療行業85%的惡意軟件攻擊來自于勒索病毒的時候，針對性的主動防護應該成為必選項。主動防御不僅更加有效幫助用戶達成防御目標，而且比常規防御和系統防御更加省心省力。

四、互聯網和云醫療風險和對策

1．互聯網和云醫療風險

云和互聯網幾乎是任何一家醫療機構都不可回避的話題，云和互聯網的安全自然也就成為醫療機構的熱門話題。對于醫療機構來說，云運營商會進行云上網絡安全的服務覆蓋，不需要過于憂慮。但是數據安全，對于云上醫療或者互聯網醫療則是一個不可回避的核心命題。

在云醫療中，數據安全風險眾多，我們主要考慮以下兩個核心點：

（1）如何在不受信任和管控的基礎設施中存儲敏感數據？

（2）如何讓無法控制的、擁有超級權限賬戶的云運營商運維人員（上帝之手）隔離業務數據？

2．云醫療的數據安全對策

（1）如何在不受信任和管控的基礎設施中存儲敏感數據？

答案只有兩個：加密或者不存儲敏感數據。原則上要求存儲在云環境中的任何數據都需要進行加密存儲和加密傳輸，任何需要進行開放式流轉處理的數據都需要進行脫敏存儲和傳輸。

（2）如何讓無法控制的、擁有超級權限賬戶的云運營商運維人員（上帝之手）隔離業務數據？

存儲級加密解決了在云環境中存儲敏感數據的風險，但是依然無法隔離上帝之手接觸和窺視業務數據。需要提供一種機制，禁止超級權限的DBA訪問業務數據，從而保證云上數據安全性。

五、數據流動的風險和對策

1．數據暢流是數據價值的核心體現

數據作為和資金、原油、資產相似的生產資料，只有不斷被使用才會產生價值，只有不斷地流動才會讓更多的人使用，只有讓數據流動到可以產生更大價值的地方才能發揮數據的價值。醫療數據作為生活中最具價值的基礎數據之一，具有不可避免的數據流動趨勢。

不斷流動的數據帶來巨大價值的同時，也給數據安全帶來了巨大的挑戰。機構和企業對于流動中的數據控制力會越來越弱，不斷流動的數據必然會流出數據的安全邊界，傳統基于靜態目標保護的網絡安全和數據安全保護措施在此場景下會不斷弱化，甚至完全失效。解決好數據流動的安全問題是實現數據價值最大化的巨大挑戰和先決條件。

2.數據流動涉及的主要風險

（1）敏感數據認知。不知道數據在哪里就不知道如何保護，不知道數據的分級分類就無法施加適當的保護。事實上我們每個用戶都希望可以做到敏感數據分級分類，但是數據分級分類的巨大困難和成本總是讓人望而卻步。在缺乏敏感數據認知的數據安全措施下，具有其天生的脆弱性。

（2）數據流動到非授權目標，本質上屬于一種誤操作，在生活中經常發生，比如機密郵件發錯了對象、文件發錯了微信群等。

（3）身份盜用、假冒和驗證繞過。身份是訪問數據的憑證，身份被盜用意味著數據財富面臨巨大風險。其中數據庫中存在的廣泛共享的賬戶和缺省賬戶是身份盜用的天然溫床。身份盜用手段包括密碼猜測和破解、身份偽造、撞庫等。

（4）從非安全區直接訪問敏感數據。大多數情況下，數據流動軟件在網絡邊界具有較高的安全脆弱性。這種安全脆弱性很容易給數據流動帶來傷害。

（5）數據流動到弱安全區域或者失控區域，這是數據流動安全的本質所在，是數據流動的自然目標和業務屬性。

（6）運維端流動，是傳統數據安全的主要構成部分，也是流動安全的巨大風險之一。

（7）終端業務包含敏感信息，和運維端流動一樣，是傳統的數據安全的一部分。

（8）數據的再次流動。當數據流動到非受控制區域的時候，很容易產生多次流動。而這個數據流動可能并非是數據流動者所期望的。

（9）數據泄露追蹤。當數據泄露事件發生之后，數據提供方需要確定數據是哪個環節出去的，以實現事件追責。

3．數據流動安全風險的基本對策

數據流動安全的措施必須建立在兩個基本假設之上：數據總是會趨向于流動到弱安全區域、流動的數據最終會失去控制。

從這兩個基本假設出發，提出解決流動數據安全的基本思路：

（1）源端控制：流動的數據總是被脫敏的，無需關注安全；

（2）數據內置的安全性：和源斷控制一致的，通過加密等手段實現內置安全性；

（3）建立審計檢查機制：數據提供方可對數據利用方進行數據使用審計。