三、人的安全无处不在

　　由于医院患者单体数据的巨大价值，使人的安全成为医院安全的最大问题所在。Verizon报告揭示医疗行业是唯一一个内部威胁远大于外部威胁的行业，内部威胁高达60%，外部威胁只有40%。

　　1.单体数据的巨大价值使医务人员每天都受到诱惑。除了情报之外，很少有数据会像医院一样，单体数据具有巨大的价值，形成了医疗数据的黑市，明码标标价。这使医务人员并不需要太高深的技术就可获得巨大的收益机会，必然会受到诱惑。

　　2.好奇、虚荣心和可以任意查询的医疗数据。由于好奇产生的越权操作问题在医院是广泛存在的客观现实。譬如医生会因为对某种疾病感兴趣，进而查询和阅读非授权病历，DBA会因为碍于情面帮助朋友查询他人隐私数据。

　　3.外部资源依赖。近几年医疗业务发展极为迅速，各种新业务形态不断涌现。为了支持快速业务迭代，医院对于开发商等外部资源的依赖性非常高。这种高依赖性和高昂的数据价值带来了巨大的数据安全风险。

　　4.相对频繁的手工操作。由于业务软件系统无法跟上医疗业务的快速发展，很多时候相关人员需要直接数据库操作来完成相关业务，存在潜在的误操作和越权访问风险。

　　5.部分医院甚至受到开发商要挟。许多开发商把医院数据当作自己的私有财富，甚至医院要使用数据需要获得开发商的许可。显然，这种生态下是很难做到患者数据安全。

　　6.DBA和开发商的超级访问权。DBA（数据库管理员）和开发商的超级访问权限普遍存在于各行业中。但是由于医疗数据较高的单体价值，DBA和开发商会接收到来自各方面的数据获取诉求，更容易受到更多的诱惑，导致其犯错概率大幅增加。

　　7.患者隐私数据的不当泄露。很多医院为了降低成本，会重复利用检查指引、处方单等纸质媒介。这种纸质媒介的重用显然会泄露患者隐私。检查报告的随意处置，让有心人更容易获得相关数据。

　　8.入侵者的乐园。开放的网络环境和相对脆弱的安全防御，使医疗机构成为了入侵者的乐园。入侵者可以轻易进入医院网络，盗取访问凭证，访问和破坏敏感数据并施加勒索。

　　四、敏感数据的流动刚需

　　1.众多的数据交换业务和急剧上升的互联互通需求

　　医院作为一个受到严格管制的行业，需要和众多机构进行数据交换和汇报。

　　（1）医保机构医院和医保机构的数据交换是医院核心业务之一。由于历史原因，医保数据交换可能会出现不必要的敏感数据交换，使敏感数据失控。

　　（2）卫健委和疾控。医院作为一个受监管机构，需要向卫健委、疾控等相关部门汇报相关数据。由于历史原因，相关数据上报可能会存在一些失控的敏感信息。

　　（3）心衰中心等。医院还需将特殊病种相关数据上报到心衰中心等机构。由于历史原因，相关上报数据可能存在着不必要出现的敏感数据。

　　（4）远程医疗的兴起。远程医疗作为一种医疗资源下层的主要手段，正受到医疗主管部门和各大医院的青睐。在远程医疗过程中如何保证患者隐私数据的安全成为其中的一个关键环节。

　　（5）病历携带。病历携带是患者的核心诉求之一。虽然目前基本没有实现，但是在患者服务不断加强的今天，病历携带必然会成为医疗机构之间的核心交换科目。

　　（6）病案交换。一家医疗机构的医疗水平提高，很大程度上依赖于历史病案的积累和质量。医疗机构为了丰富自己的病案库，有足够的动力和同等水平的医疗机构进行病案交换。而卫生主管机构为了提高所有医疗机构的医疗水平，也有足够动力让所有医疗机构共享这些高质量的医疗病案。

　　2.测试、培训以及临床数据中心

　　严格来讲，医生只可以查看自己处理的病历，其他患者隐私数据只有患者授权才可被访问。但是这种原则性安全在实践中很难被贯彻。

　　（1）测试和开发环境。IT系统几乎每天都在日新月异的医疗业务发展中变更。为了软件顺利上线，需要使用生产数据进行测试以提供更好的兼容性。显然，测试开发系统中的生产数据是完全失控的，这是一个最好的数据泄露源头。还有更糟糕的情况，部分医院没有充足的设备来提供开发和测试，软件开发商会把数据带离医院进行测试。

　　（2）培训和教育环境。可以认为，医院的核心产品和服务是高水平的医生。医生和护士是一个高技术职业，需要不断通过学习和培训以提高技术水平。多数情况下，医疗培训和教育会建立在牺牲患者隐私的基础上。另外，培训和教育环境的安全措施不完善使入侵者更易获取医疗隐私数据。

　　（3）CDR(临床数据中心)。向数据索取价值、以数据驱动医疗是所有医院的努力方向。临床数据中心需要为临床提供服务，就需要为所有医生提供访问病例的能力。但如果患者数据没有进行脱敏处理，这种任意访问病例的权利显然会为患者的隐私带来巨大风险。另外由于临床数据中心的灵活使用特征，安全措施难以落实到位，自然就会成为入侵者的宝地。

　　3.终端、人的眼睛和拍照

　　在传统业务之中，敏感信息会不断通过运维和业务程序流动到桌面和人的眼睛，给敏感数据的安全带来巨大挑战。

　　（1）运维访问携带大量的敏感数据。运维账户具有很高的访问权限，如特权账户可进行一系列的越权访问：访问不该访问的数据和访问过多的数据。

　　（2）运维访问下载敏感数据。运维访问获得海量数据并下载到客户端，无论是恶意的还是业务需要，都会给敏感数据流动带来风险。

　　（3）业务访问返回敏感数据。隐私和敏感数据的价值在这几年才得以被重视，需要被严格保护。但历史性的业务应用程序往往没有隐私和敏感的概念，很容易泄露敏感数据，甚至被记录、截屏或者拍照。

　　（4）业务系统缺陷导致非预期大量数据返回。任何业务系统都存在缺陷，缺陷容易被利用，使敏感数据大批量地从安全数据中心流动到缺乏安全性控制的个人终端。

　　（5）业务系统漏洞导致非预期数据获得。医疗各类业务程序的SQL注入漏洞易被利用拖库。

　　五、云端业务不分内外

　　当前国家鼓励“互联网+医疗健康”发展，一方面推动着医疗业务不断互联网化和云化，另一方面也会给云端业务带来特殊的数据安全挑战。

　　1.云环境的非受控性和上帝之手

　　（1）用户没有设备采购和部署权利。在云环境中，用户只能租赁云服务公司的设备，无法改变云环境的网络结构，也无法在云环境中部署硬件设备。这种方式带来了几个困难：

　　（2）云环境是一个不受信任的非安全环境。不同于线下数据中心较为完整的安全措施，云环境具有以下非安全特征：用户在云上拥有最为重要的业务和数据，但机房场地、安保不属于用户，场地、设备和环境运维都不受控制，基础平台也不受控制。本质上说，用户需要把极为重要的数据存储在不受信任的环境之中。

　　（3）上帝之手的挑战和制约。虽然在线下数据中心也存在着具有无限权力的DBA。但是在线下，DBA被医院管理和教育，无限的技术权力在现实中会受到制约。但是在云环境中，云服务商和云服务商的运维员工则完全游离在医院管理之外，是真正意义上的上帝之手。

　　2.云环境的开放性和权力等同性

　　（1）网络安全措施的不同。线下环境中的网络安全机制与云环境不尽相同。譬如部署在线下的防火墙设备可实现恶意入侵检测功能，并可根据需求启用白名单配置功能以完成MAC地址绑定等准入机制，即防火墙还可完成部分内控功能。但是在云环境中，内控机制面临更多挑战，网络安全设备只能完成恶意入侵检测。

　　（2）网络开放度的不同。线下环境中，网络仅向部分人员开放。即使存在互联网接口，也存在受限制的通道。但在云环境中，网络向所有人开放，包括员工、合作伙伴、黑客以及各种不法分子。所有人都可以无限制接触云环境的开放服务。例如：在线下环境中，数据库会放置在网络核心深处，只有少数人可以接触。但是在云环境中，全世界所有人都可以到达你的数据库。

　　（3）用户权力的不同。在云计算环境中，无论是是员工还是入侵者，所有用户的权力是等同的。也就是说，云环境中的人已经没有内外之分。

　　本文来源于HIT专家网news，作者柳遵梁；经亿欧大健康编辑，供行业人士参考。

　　（完）