【柳遵梁专栏】五大维度透视医疗数据安全

来源：HIT专家网       作者：美创科技创始人、总经理 柳遵梁

接上篇：《从Verizon数据泄露报告看医疗行业数据安全》

        在当今日益开放的网络环境下，医疗行业的数据安全问题日益凸显。本文将从数据价值、网络环境、人的安全、数据流动和云驱动等五个方面进行深入分析。

一、医疗数据的特殊价值

        1.高度敏感的数据泄露带来巨大的个人、家庭和社会影响

        健康信息的全方位渗透决定了健康数据的利用范畴非常广泛，使用不当会严重影响人们的生活、工作、家庭甚至社会和政治。其广泛的社会影响性使得个人健康信息（PHI）成为人们最为核心的隐私内容。PHI泄露具有两大典型特征：单体病案对于个人及家庭的巨大影响和海量信息的巨大社会影响，而且极易转变为巨大的财富。那么，有哪些高度敏感的数据泄露场景呢？

        （1）恶性肿瘤、尿毒症、糖尿病等慢性病。这类患者在未来的支付能力往往很可能会急剧恶化，信用水平会快速降低。因此，保险、银行及所有金融机构都为了提高风控水平而对这类信息趋之若鹜。

        而且，由于相关疾病的震慑作用会给相应的保险销售带来很大的说服力及便利性。部分医院、药店、药厂、保健机构不断瞄准这些患者以获得最大收益，仿佛是“移动的印钞机”。同时，这类病人也是各种诈骗机构的主要目标，假药、假保健品不断地输送给这类患者。处于绝望中的恶行肿瘤患者，只要前方给予了一丝希望就会毫不犹豫地抓住，结果是赔钱又赔人。即使不需要金融服务，也没有被诈骗，也会给生活和工作带来极大不便，社会交往受阻。

        （2）ED、性冷淡、大小便失禁、吸毒等涉及个人尊严的疾病。此类疾病让人丧失了一些基本能力，无疑让人自卑。这些隐私信息的泄露会极大地影响个人工作和生活。所以，出于身心的打击，使得这类人群特别容易受到各路骗子的诱惑。

        （3）性病、艾滋病等传染病。此类疾病属于绝对隐私。除了病急乱投医造成的巨大财产损失和身体损失之外，家庭和社交关系被破坏等几乎无一幸免。另外由于这种疾病的绝对隐私性，导致患者极易被勒索。

        （4）传染病、中毒、血铅等社会性疾病。此类区域性疾病或者突发性卫生事件，配合社会谣言很容易引起社会混乱。特别是处于保密期的重大卫生事件的一旦泄露，会让有关政府机构极为被动。

        （5）老人、孕产妇、婴幼儿、儿童等弱势群体。此类群体由于相对脆弱的心理和防范，非常容易受到诱惑。保险及各种金融机构，以及各种保健机构和诈骗机构也会不断地诱惑和欺骗他们，并给造成极大伤害。

        （6）社会重要人士和公众人物的病案。比如，“希拉里事件”精确地演示了患者疾病如何影响政治生态。国家主要领导的病案属于国家安全范畴，一旦泄露显然会影响政治生态，甚至直接终结政治生涯。公众人物在某种程度也类似，不当的健康隐私泄露可能会直接终止公众人物的职业生涯。

        （7）有待推敲的治疗方案和居高不下的误诊率。医学诊断本质上属于经验科学，缺乏精确性。即便是在美国，误诊率也始终居高不下。因此，治疗方案只有合理性说法而没有正确性说法。倘若一些有待推敲的治疗方案泄露且被别有用心的人利用，可能会诱发更多的医患纠纷，最终导致医院遭受巨大损失。

        （8）具有高精确度的个人信息。医疗机构个人信息拥有极高的精确度和社交关系属性。例如：姓名、身份证、社保卡、电话号码、住址、职业以及亲属关系等。出于患者对于医疗机构的期待，个人信息往往比任何其他机构具有更高的精确性。医疗个人信息即使是普通信息在黑市的价格也居高不下，是普通信用卡信息价格的10倍以上。更不用说精确的职业信息了，它可以使个人信息的价值成倍上升。

        （9）医嘱、处方和检查结果的巨大价值。医院持续运营的核心成果除了医生水平的不断成长之外，就是医嘱和处方等病例信息的不断积累。一家大型医院多年积累的主要病种的病案医嘱和处方内容的价值往往以百万价值计算。除了巨大的学习和成长价值之外，药品供应商对这些数据更是趋之若鹜，完成真实案例之上的临床试验。

        （10）处方药和受管制的药品。处方药，特别是受到管制的药品，比如麻醉药，市民必须持有处方才可进行购买。任何具有许可的物品和服务都会在市场上具有很大的价值，而入侵者通过盗取这些处方，从市场上“合法”地购买处方药品，然后出售以获利，扰乱了药品管控市场。

        （11）数据统方。数据统方是医疗回扣腐败案件的核心环节之一，是实现医疗回扣的关键媒介和凭证。医疗腐败关系到每一位百姓生活，具有广泛的社会影响力。

        2.高度精确性要求已上升到生命安全的级别

        医院的医嘱、处方、医疗器械都把人作为处理对象。医疗数据的不当更新可能会危害患者的生命安全，而生命安全则是生活中的最高安全级别。

        （1）医嘱和处方数据的变更。医嘱和处方是医生按照积累的知识和经验作出的最佳判断，总是在疗效和危害之间进行平衡。由于绝大部分药品的副作用以及部分药品的禁忌性，医嘱和处方便成为某些别有用心的人“借刀杀人”的最佳利器。电影作品乃至现实生活中都存在众多案例提示我们这种危险的存在。而不断演示的黑客远程操控医疗器械则更加活生生地提示着生命安全的脆弱性。无论是何种伤害，本质上只需要修改数据而已，在程序上与交通违章消分没有任何区别。

        （2）归档病案的变更。当一桩医疗纠纷案如果出现了归档病案的变更，则意味着医院无法自证清白，在医疗纠纷中会先天处于不利位置。

        （3）管制药品的购买。麻醉品、鸦片、大麻等各种具有高度危险性的药品只有在医院可以合法购买，以至于在市场上自由流通具有很高的价值。当然也会对社会造成巨大影响，入侵者可以通过处方修改来获得其合法购买管制药品的权利。

        （4）出生医学证明。出生医学证明是黑户洗白的关键凭证。内外勾结或者盗取出生凭证是出生医学证明地下黑产链的关键环节。

        （5）勒索威胁。勒索病毒是医疗行业最为严重的外部威胁之一，在已知的外部威胁中高达85%是由勒索病毒引起的。开放的网络环境和相对脆弱的安全措施是勒索病毒持续发作的温床。

二、不够安全的网络环境

        1.开放或半开放的网络环境

        开放或半开放的网络环境是医疗行业的典型特征，很少有行业像医疗行业一样是一个非安全的开放环境。开放的网络环境使入侵者可以轻易地进入医院网络，轻易地进行物理攻击。

        （1）开放的医生工作环境。无论是门诊医生还是住院医生的工作电脑，几乎都处于人人可以接触的开放环境。入侵者较易合法地进入医生的工作场所、“亲切地”和医生进行沟通、接近医生和医生工作终端，甚至可以很容易假冒医院IT工作者对医院电脑进行全权操作。

        （2）大量不安全的自助服务设备。自助服务设备是医院服务患者的主要工具之一。大量的自助设备在给患者带来便利性的同时，也给入侵者有机可乘。他们可以很容易接触医院网络，也可以假借维修名义对自助服务终端进行任何操作。

        （3）广泛使用的无线网络。移动终端的广泛使用是医院信息化发展的主要方向。当无线网络缺乏严格的安全管控时，意味着入侵者随时可以进入医院网络。

        2.相对混乱的互联网接入服务

        除了自助服务终端之外，互联网接入是当前医院的主要努力方向。为了赶上互联网医疗的快车，只有极少部分医院独立建设互联网医院，更多医院采用外部服务接入的方式来连接互联网。事实上，在接入互联网服务时，大部分医院就已经把主动权交付至互联网服务提供商，缺乏统一的业务和安全规划。

        （1）互联网服务授权过大。大部分医院在互联网服务建设过程中，由互联网服务提供商来整理医疗数据，自主获取服务需要的数据。医院缺乏统一的互联网服务网关，让医疗数据处于极度危险的境地。

        （2）数据安全考虑相对缺乏。互联网服务的焦点目标是提供相应的服务，并不会过多考虑数据安全性。由于缺乏有效的验证和隔离措施，入侵者很容易通过互联网服务网络进入医疗网络。

三、人的安全无处不在

        由于医院患者单体数据的巨大价值，使人的安全成为医院安全的最大问题所在。Verizon报告揭示医疗行业是唯一一个内部威胁远大于外部威胁的行业，内部威胁高达60%，外部威胁只有40%。

        1.单体数据的巨大价值使医务人员每天都受到诱惑。除了情报之外，很少有数据会像医院一样，单体数据具有巨大的价值，形成了医疗数据的黑市，明码标标价。这使医务人员并不需要太高深的技术就可获得巨大的收益机会，必然会受到诱惑。

        2.好奇、虚荣心和可以任意查询的医疗数据。由于好奇产生的越权操作问题在医院是广泛存在的客观现实。譬如医生会因为对某种疾病感兴趣，进而查询和阅读非授权病历，DBA会因为碍于情面帮助朋友查询他人隐私数据。

        3.外部资源依赖。近几年医疗业务发展极为迅速，各种新业务形态不断涌现。为了支持快速业务迭代，医院对于开发商等外部资源的依赖性非常高。这种高依赖性和高昂的数据价值带来了巨大的数据安全风险。

        4.相对频繁的手工操作。由于业务软件系统无法跟上医疗业务的快速发展，很多时候相关人员需要直接数据库操作来完成相关业务，存在潜在的误操作和越权访问风险。

        5.部分医院甚至受到开发商要挟。许多开发商把医院数据当作自己的私有财富，甚至医院要使用数据需要获得开发商的许可。显然，这种生态下是很难做到患者数据安全。

        6.DBA和开发商的超级访问权。DBA（数据库管理员）和开发商的超级访问权限普遍存在于各行业中。但是由于医疗数据较高的单体价值，DBA和开发商会接收到来自各方面的数据获取诉求，更容易受到更多的诱惑，导致其犯错概率大幅增加。

        7.患者隐私数据的不当泄露。很多医院为了降低成本，会重复利用检查指引、处方单等纸质媒介。这种纸质媒介的重用显然会泄露患者隐私。检查报告的随意处置，让有心人更容易获得相关数据。

        8.入侵者的乐园。开放的网络环境和相对脆弱的安全防御，使医疗机构成为了入侵者的乐园。入侵者可以轻易进入医院网络，盗取访问凭证，访问和破坏敏感数据并施加勒索。

四、敏感数据的流动刚需

        1.众多的数据交换业务和急剧上升的互联互通需求

        医院作为一个受到严格管制的行业，需要和众多机构进行数据交换和汇报。

        （1）医保机构医院和医保机构的数据交换是医院核心业务之一。由于历史原因，医保数据交换可能会出现不必要的敏感数据交换，使敏感数据失控。

        （2）卫健委和疾控。医院作为一个受监管机构，需要向卫健委、疾控等相关部门汇报相关数据。由于历史原因，相关数据上报可能会存在一些失控的敏感信息。

        （3）心衰中心等。医院还需将特殊病种相关数据上报到心衰中心等机构。由于历史原因，相关上报数据可能存在着不必要出现的敏感数据。

        （4）远程医疗的兴起。远程医疗作为一种医疗资源下层的主要手段，正受到医疗主管部门和各大医院的青睐。在远程医疗过程中如何保证患者隐私数据的安全成为其中的一个关键环节。

        （5）病历携带。病历携带是患者的核心诉求之一。虽然目前基本没有实现，但是在患者服务不断加强的今天，病历携带必然会成为医疗机构之间的核心交换科目。

        （6）病案交换。一家医疗机构的医疗水平提高，很大程度上依赖于历史病案的积累和质量。医疗机构为了丰富自己的病案库，有足够的动力和同等水平的医疗机构进行病案交换。而卫生主管机构为了提高所有医疗机构的医疗水平，也有足够动力让所有医疗机构共享这些高质量的医疗病案。

        2.测试、培训以及临床数据中心

        严格来讲，医生只可以查看自己处理的病历，其他患者隐私数据只有患者授权才可被访问。但是这种原则性安全在实践中很难被贯彻。

        （1）测试和开发环境。IT系统几乎每天都在日新月异的医疗业务发展中变更。为了软件顺利上线，需要使用生产数据进行测试以提供更好的兼容性。显然，测试开发系统中的生产数据是完全失控的，这是一个最好的数据泄露源头。还有更糟糕的情况，部分医院没有充足的设备来提供开发和测试，软件开发商会把数据带离医院进行测试。

        （2）培训和教育环境。可以认为，医院的核心产品和服务是高水平的医生。医生和护士是一个高技术职业，需要不断通过学习和培训以提高技术水平。多数情况下，医疗培训和教育会建立在牺牲患者隐私的基础上。另外，培训和教育环境的安全措施不完善使入侵者更易获取医疗隐私数据。

        （3）CDR(临床数据中心)。向数据索取价值、以数据驱动医疗是所有医院的努力方向。临床数据中心需要为临床提供服务，就需要为所有医生提供访问病例的能力。但如果患者数据没有进行脱敏处理，这种任意访问病例的权利显然会为患者的隐私带来巨大风险。另外由于临床数据中心的灵活使用特征，安全措施难以落实到位，自然就会成为入侵者的宝地。

        3.终端、人的眼睛和拍照

        在传统业务之中，敏感信息会不断通过运维和业务程序流动到桌面和人的眼睛，给敏感数据的安全带来巨大挑战。

        （1）运维访问携带大量的敏感数据。运维账户具有很高的访问权限，如特权账户可进行一系列的越权访问：访问不该访问的数据和访问过多的数据。

        （2）运维访问下载敏感数据。运维访问获得海量数据并下载到客户端，无论是恶意的还是业务需要，都会给敏感数据流动带来风险。

        （3）业务访问返回敏感数据。隐私和敏感数据的价值在这几年才得以被重视，需要被严格保护。但历史性的业务应用程序往往没有隐私和敏感的概念，很容易泄露敏感数据，甚至被记录、截屏或者拍照。

        （4）业务系统缺陷导致非预期大量数据返回。任何业务系统都存在缺陷，缺陷容易被利用，使敏感数据大批量地从安全数据中心流动到缺乏安全性控制的个人终端。

        （5）业务系统漏洞导致非预期数据获得。医疗各类业务程序的SQL注入漏洞易被利用拖库。

五、云端业务不分内外

        当前国家鼓励“互联网+医疗健康”发展，一方面推动着医疗业务不断互联网化和云化，另一方面也会给云端业务带来特殊的数据安全挑战。

        1.云环境的非受控性和上帝之手

        （1）用户没有设备采购和部署权利。在云环境中，用户只能租赁云服务公司的设备，无法改变云环境的网络结构，也无法在云环境中部署硬件设备。这种方式带来了几个困难：

        （2）云环境是一个不受信任的非安全环境。不同于线下数据中心较为完整的安全措施，云环境具有以下非安全特征：用户在云上拥有最为重要的业务和数据，但机房场地、安保不属于用户，场地、设备和环境运维都不受控制，基础平台也不受控制。本质上说，用户需要把极为重要的数据存储在不受信任的环境之中。

        （3）上帝之手的挑战和制约。虽然在线下数据中心也存在着具有无限权力的DBA。但是在线下，DBA被医院管理和教育，无限的技术权力在现实中会受到制约。但是在云环境中，云服务商和云服务商的运维员工则完全游离在医院管理之外，是真正意义上的上帝之手。

        2.云环境的开放性和权力等同性

        （1）网络安全措施的不同。线下环境中的网络安全机制与云环境不尽相同。譬如部署在线下的防火墙设备可实现恶意入侵检测功能，并可根据需求启用白名单配置功能以完成MAC地址绑定等准入机制，即防火墙还可完成部分内控功能。但是在云环境中，内控机制面临更多挑战，网络安全设备只能完成恶意入侵检测。

        （2）网络开放度的不同。线下环境中，网络仅向部分人员开放。即使存在互联网接口，也存在受限制的通道。但在云环境中，网络向所有人开放，包括员工、合作伙伴、黑客以及各种不法分子。所有人都可以无限制接触云环境的开放服务。例如：在线下环境中，数据库会放置在网络核心深处，只有少数人可以接触。但是在云环境中，全世界所有人都可以到达你的数据库。

        （3）用户权力的不同。在云计算环境中，无论是是员工还是入侵者，所有用户的权力是等同的。也就是说，云环境中的人已经没有内外之分。

【作者简介】

        柳遵梁，杭州美创科技有限公司创始人、总经理。毕业于中国人民解放军信息工程大学，中国（中关村）网络与信息安全产业联盟理事，中国信息协会信息安全专委会数据安全工作组组长。拥有二十年数据管理和信息安全从业经验，在通信、社保、医疗、金融等民生行行业积累了大量实践经验。具备长远战略眼光，准确把握技术发展趋势，持续创新，带领公司完成运维、服务、产品多次转型，均获得成功。目前公司已经完成全国布局，成为国内重要的数据安全管理综合供应商，个人著有《Oracle数据库性能优化方法论和最佳实践》书籍，多次发表学术文章。

想加入HIT专家网专业交流群？请添加“HIT专家网”小助手微信好友后提交你的申请哦

（请注明姓名、单位名称、职务、主管技术或产品领域，以便有针对性加群交流）

【责任编辑：孙鹏】