医疗行业数据安全的主要风险和应对分析

  • 时间:
  • 浏览:2

  措施Verizon数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析,医疗行业数据安全的主要风险包括如下2个方面:

  一、人的安全风险和对策

  1.人的安全风险是医疗数据安全的最大风险

  从Verizon报告都并能看出医疗行业数据安全的特殊性:医疗行业是所有行业中唯一一个外部威胁大于外部威胁的行业,外部威胁占比80%,外部威胁占43%。总体来看,各行业平均攻击类型是:70%为外部威胁,80%为外部威胁。下图就数据泄露的2个主要行业做了对比,包括:医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。

  肯能缺乏医疗行业的独立数据,让让我们让让我们以全行业数据来看威胁的构成。从全行业来看,在外部人员因为的泄漏事件中,62%都来自有组织的犯罪团伙;在外部威胁中,25.9%都跟企业系统管理员有关,终端用户占22.3%,医生或护士占11.5%,开发人员占5%。从这里都并能看了很亮的数据:医生肯能护士占11.5%。医生和护士必须在医疗行业才地处,也某些 说,医生或护士造成的外部数据泄露事件在全行业中地处了11.5%的比例。

  2.人具有错综复杂的情绪变化特性

  在数字化的今天,让让我们让让我们谈及数据,时会对其充满期待和憧憬。数据是永不生锈的资产,是新经济时代的原油,是黄金和财富,是一切生产的生产资料。当其成为重要资产、巨额财富的但是,现实生活中一切关于资产安全、财富安全的管理措施都都并能成为数据安全领域的参照。

  数据安全的本质是人的安全,假如人人都遵守规则和约束去访问数据,数据自然就安全了,但这必须是乌托邦色彩的梦想。让让我们让让我们每家机构和企业都制定了一系列的安全生产规章制度,某些规章制度无论针对人肯能财物,最终时会作用在人身上。肯能没有 适当的技术实施手段,仅依赖于教育和培训,没有使流程和制度落地,数据安全最终也就会落空。

  人既有错综复杂情绪变化的非理性,又有利益得失计算的理性。某些理性和非理性的交错你还还能否的安全充满着巨大挑战。

  3.医疗行业所面临的“人的风险”

  众所周知,医疗数据单体价值过大是因为医疗行业外部威胁高达80%的基本因素。下面来看一下医疗行业数据泄露外部威胁的主要敞口:

  (1)系统管理员和DBA

  几乎在所有行业中,系统管理员和DBA(数据库管理员)时会外部数据的主要威胁,在医疗行业中某些 例外。从Verizon报告中都并能看出,在全行业调查中,高达26%的外部威胁是肯能系统管理员和DBA造成的。而在国内医疗界,信息科也老会 是漩涡之地,每次医疗数据泄露事件地处时,信息科老会 会成为第一一个怀疑对象。

  (2)医生肯能护士

  从Verizon数据泄露调查报告来看,来自医生及护士的威胁肯能远超于系统管理员。肯能医疗数据的个体价值巨大,医生肯能护士只需简单地获得权限之内的数据就都并能获得巨大收益。但目前肯能病案数据的交叉特性,几乎没有 医院的业务系统都并能实现基于患者授权查询病案数据的机制,某些医生及护士都并能遍历所有患者数据。

  (3)软件开发商和维护人员

  在医疗行业,软件开发商的力量过于强大,甚至会让院方嘴笨 医院数据时会自己的,某些 归软件开发商所有。即使是某些顶级医院,医疗系统和数据的命脉都掌控在开发商身后。

  (4)驻场服务人员

  驻场服务人员的权限等同于DBA和系统管理员,一同因其不受医院管理和约束,更易受到外部诱惑而铤而走险。

  (5)集体的无意识

  相对来说,当前医院对于患者隐私保护的意识相对淡漠,这从核心隐私机密的纸质病案和处方都并能被任意重新利用某些环节就都并能看出。换句话说,有心人假如不断地在医院分类分类整理各种纸质垃圾,就都并能获得你还还能否的医疗数据。

  4.怎么防范人的安全风险

  防范人的安全风险,本质上是保护好让让我们让让我们的员工和伙伴,降低让让我们让让我们接受诱惑的肯能性,以处理其犯错。防范人的安全风险必须从一一个方面加以努力:机制保证和技术保证。

  (1)机制保证

  机制保证的核心在于降低受到诱惑的肯能,降低肯能产生的侥幸心理。机制保证主要体现在两点:一是隔离诱惑,都并能在很大程度上处理被动犯错,也都并能大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点:最小权限和三权分立。不得劲是当涉及到高敏感数据和高风险操作访问时,建议建立工作流多级审批机制。

  二是责任到人,模糊和共享会因为责任不清,从而助长侥幸心理。当机制都并能确保任何行为都都并能追溯到自己的但是,事件审计就都并能产生巨大的威慑力,降低侥幸心理。

  (2)技术保证

  大部分机构都具有清晰的安全生产制度,某些并能在实践中落地的无须多。安全制度的落地必须依赖于培训和人的自觉性,必须在日常操作中进行技术规范。

  · 确认人是真实的人,时会被盗用、伪造、共享的身份。假如都并能确认访问数据的人是真实的,就为数据安全奠定了最为坚实的基础。为了确认人是真实的人,必须映射计算机身份和真实身份,并确保某些映射是不可假冒的。双因素肯能多因素是确认人是真实的人的基本技术措施。

  · 确认所做的事情是真实意愿的表达,时会被胁迫的。真实意愿的表达检测必须依赖于自己日常行为特性的检测。

  · 确认所作的事情是合乎规范的、已被授权的而非越权、合乎流程和控制。合乎规范都并能从一一个层面加以约束:被允许的操作以及正确的上下文环境。

  · 确认风险操作肯能所有操作是可审计和可追踪的,风险操作肯能所有操作留痕是技术保证的一一个基本措施,是增强威慑力和降低侥幸心理的基本技术保障。

  二、开放网络环境风险和对策

  医院网络具有开放网络的基本特性,具有很大的安全风险。开放网络使心怀叵测的人都并能轻易接触和到达,就如同互联网一样,是一一个不设防肯能低设防的网络环境。

  1.开放网络:都并能轻易接触和到达的网络

  医院提供的任何网络服务,让让我们让让我们时会都并能轻易到达的。如:医生肯能护士的工作终端、开放的自助服务工作终端、开放的互联网服务、开放的医院无线网络。总之,医院网络是地处不必 接触点的开放网络,相对比较脆弱。

  2.终端管控:让开放网络具有可识别身份

  医院是相对开放的网络,就如同互联网是开放网络一样,是一种生活 客观的地处。数据安全工作必须在某些客观的前提下进行。互联网肯能不具备安全措施,就等于不设防的金库。医院网络肯能不具备安全措施,就如同不具备任何安全措施的互联网。

  医院网络终端不同于互联网网络终端,绝大部分互联网网络终端是独占的、非共享的,安全自我保障。而绝大部分医院网络终端则是共享的、非独占的、安全他人负责的。也某些 说,终端工作者无须会关注安全现象,甚至会厌恶安全现象,某些场景必然因为的结果某些 终端是不安全的。而在传统网络中,让让我们让让我们老会 假设终端是安全的。医院开放网络的终端不安全性和传统网络终端安全的假设地处巨大裂缝,使医院网络安全面临巨大威胁。

  终端管控是实现开放网络安全的有效手段,从安全的层厚来看,主要实现一一个目标:一是实现脱离于非安全终端的可识别身份和凭证,肯能终端是不可信任的,某些但是网络和数据,不得劲是数据必须可信任的身份作为访问凭证。肯能终端的不可信赖,某些凭证必须在终端之外提供,比如密码,指纹,key肯能离线验证码等。

  二是处理关键应用被注入和假冒。可通过应用多多tcp连接 访问终端数据,肯能应用多多tcp连接 不可信赖,那数据就会地处非常危险的境地。

  三、勒索病毒的威胁和对策

  1.勒索病毒的威胁

  勒索病毒是医疗安全的主要威胁。Verizon数据威胁报告显示,在医疗行业,高达85%的恶意软件面临勒索病毒威胁。Verizon报告不得劲强调,为了获得更多的收益,勒索者没有 倾向于企业级服务器,不得劲是数据库服务器,是核心勒索目标。基于Verizon报告让让我们让让我们可认为,假如成功防御了勒索病毒威胁,医疗数据外部安全风险就获得了相对安全。

  勒索病毒对于医疗行业的威胁是全方位的:

  (1)工作终端和自助服务终端,互联网接入和开放网络使医院工作终端极其容易受到勒索病毒的侵袭。

  (2)数据库服务器,高价值的数据库服务器是勒索病毒威胁的主要目标,因为数据和业务的双重损失。

  (3)应用服务器,它是勒索病毒威胁的主要入口之一,应用服务器被勒索都并能因为医疗业务详细中断。

  2.勒索病毒威胁的对策

  勒索病毒都并能从以下不同层次防御,但必须强调的是,肯能勒索病毒的巨大威胁性,仅仅做常规性防御会置医疗机构于巨大的不可预测风险之中,在实践中不建议。执行系统防御和主动防御是防御勒索病毒威胁的必须组成部分,不得劲是主动防御。

  (1)常规防御,无须只针对勒索病毒,嘴笨 是针对所有恶意软件的常规性安全措施。主要包括:

  · 及时更新系统补丁,处理攻击者通过已知漏洞入侵系统;

  · 弱口令检测和弱口令的定期变更,使用错综复杂密码;

  · 关闭无必须的端口,比如445、139、3389等高危端口;

  · 安装部署杀毒软件,检测和防御已知勒索病毒威胁;

  · 安全教育,不上可疑网站,不接受可疑邮件,不随意接受社交文件;

  · 安全教育,不必未经审核的应用和工具;

  · 做好备份,不得劲注意备份必须与源文件存储在相同终端,最好是备份在不同操作系统之中,处理被勒索病毒一锅端。

  (2)系统防御,围绕着勒索病毒和恶意软件的特点,措施入侵生命周期做系统化的常规性防御。

  · 服务:关闭无必须的服务,关闭无必须的账户;

  · 端口:禁止缺省端口,使服务端口区别于缺省端口;

  · 账户:关闭缺省账户,无须设置共享账户;

  · 密码:不追求密码错综错综复杂,限定密码最小长度不小于16位;

  · 诱饵:设置不肯能被想到的密码,设置无法破解的密码,设置诱饵文件和数据;

  · 漏洞:及时修复已知漏洞,不得劲是不必认证的漏洞;

  · 溯源:禁止运行来自不可靠源头的应用多多tcp连接 ,如需运行,必须经过明确许可;

  · 底线:做好备份,不得劲注意备份必须存储在相同终端上,最好是备份在不同操作系统之中,处理被勒索病毒一锅端。

  (3)主动防御,针对勒索病毒防御,最有效的还是部署专用的防勒索软件。当医疗行业85%的恶意软件攻击来自于勒索病毒的但是,针对性的主动防护应该成为必选项。主动防御不仅更加有效帮助用户达成防御目标,某些比常规防御和系统防御更加省心省力。

  四、互联网和云医疗风险和对策

  1.互联网和云医疗风险

  云和互联网几乎是任何一家医疗机构时会可回避搞笑的话题,云和互联网的安全自然也就成为医疗机构的热门话题。对于医疗机构来说,云运营商会进行云上网络安全的服务覆盖,不必须过于忧虑。某些数据安全,对于云上医疗肯能互联网医疗则是一一个不可回避的核心命题。

  在云医疗中,数据安全风险众多,让让我们让让我们主要考虑以下一一个核心点:

  (1)怎么在不受信任和管控的基础设施中存储敏感数据?

  (2)怎么让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?

  2.云医疗的数据安全对策

  (1)怎么在不受信任和管控的基础设施中存储敏感数据?

  答案必须一一个:加密肯能不存储敏感数据。原则上要求存储在云环境中的任何数据都必须进行加密存储和加密传输,任何必须进行开放式流转处理的数据都必须进行脱敏存储和传输。

  (2)怎么让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?

  存储级加密处理了在云环境中存储敏感数据的风险,某些依然无法隔离上帝之手接触和窥视业务数据。必须提供一种生活 机制,禁止超级权限的DBA访问业务数据,从而保证云上数据安全性。

  五、数据流动的风险和对策

  1.数据畅流是数据价值的核心体现

  数据作为和资金、原油、资产类式的生产资料,必须不断被使用才会产生价值,必须不断地流动才会让更多的人使用,必须让数据流动到都并能产生更大价值的地方并能发挥数据的价值。医疗数据作为生活中最具价值的基础数据之一,具有不可处理的数据流动趋势。

  不断流动的数据带来巨大价值的一同,也给数据安全带来了巨大的挑战。机构和企业对于流动中的数据控制力会没有 弱,不断流动的数据必然会流出数据的安全边界,传统基于静态目标保护的网络安全和数据安全保护措施在此场景下会不断弱化,甚至详细失效。处理好数据流动的安全现象是实现数据价值最大化的巨大挑战和先决条件。

  2.数据流动涉及的主要风险

  (1)敏感数据认知。我都没有乎 数据在哪里就我都没有乎 怎么保护,我都没有乎 数据的分级分类就无法施加适当的保护。事实上让让我们让让我们每个用户都希望都并能做到敏感数据分级分类,某些数据分级分类的巨大困难和成本老会 你还还能否望而却步。在缺乏敏感数据认知的数据安全措施下,具有其天生的脆弱性。

  (2)数据流动到非授权目标,本质上属于一种生活 误操作,在生活中老会 地处,比如机密邮件发错了对象、文件发错了微信群等。

  (3)身份盗用、假冒和验证绕过。身份是访问数据的凭证,身份被盗用因为数据财富面临巨大风险。其中数据库中地处的广泛共享的账户和缺省账户是身份盗用的火山岩石石温床。身份盗用手段包括密码猜测和破解、身份伪造、撞库等。

  (4)从非安全区直接访问敏感数据。大多数情形下,数据流动软件在网络边界具有较高的安全脆弱性。某些安全脆弱性很容易给数据流动带来伤害。

  (5)数据流动到弱安全区域肯能失控区域,这是数据流动安全的本质所在,是数据流动的自然目标和业务属性。

  (6)运维端流动,是传统数据安全的主要构成部分,也是流动安全的巨大风险之一。

  (7)终端业务中有 敏感信息,和运维端流动一样,是传统的数据安全的一部分。

  (8)数据的再次流动。当数据流动到非受控制区域的但是,很容易产生多次流动。而某些数据流动肯能无须是数据流动者所期望的。

  (9)数据泄露追踪。当数据泄露事件地处但是,数据提供方必须选择数据是哪个环节出去的,以实现事件追责。

  3.数据流动安全风险的基本对策

  数据流动安全的措施必须建立在一一个基本假设之上:数据老会 会趋向于流动到弱安全区域、流动的数据最终会失去控制。

  从某些一个基本假设出发,提出处理流动数据安全的基本思路:

  (1)源端控制:流动的数据老会 被脱敏的,不必关注安全;

  (2)数据内置的安全性:和源断控制一致的,通过加密等手段实现内置安全性;

  (3)建立审计检查机制:数据提供方可对数据利用方进行数据使用审计。