很多人覺(jué)得醫(yī)院是最安全的地方，因?yàn)檫@里安保嚴(yán)密、秩序井然。實(shí)際上，這里偏偏特別容易招“小偷”。他們專(zhuān)偷醫(yī)院數(shù)據(jù)，時(shí)常在眾目睽睽下來(lái)個(gè)“回首，掏”便輕松得手。

醫(yī)院資料數(shù)據(jù)中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應(yīng)俱全，甚至有的數(shù)據(jù)還保存著病人的基因信息，“小偷”企圖在黑市倒賣(mài)這些數(shù)據(jù)以此大撈一筆，或者干脆直接威脅醫(yī)院用錢(qián)來(lái)?yè)Q。

不信？來(lái)看看下面這些真實(shí)事件：

2018年，南漳縣人民醫(yī)院便遭受了黑客攻擊。當(dāng)時(shí)，醫(yī)院“三佳醫(yī)療信息系統(tǒng)”遭勒索病毒入侵破壞，主、備服務(wù)器同時(shí)被侵入感染，無(wú)法啟用備用服務(wù)器，這也讓電腦系統(tǒng)中的藥價(jià)等數(shù)據(jù)及病例憑空消失了。

黑客在植入的“升級(jí)版勒索病毒”中注明，要求醫(yī)院支付比特幣才肯恢復(fù)系統(tǒng)正常運(yùn)行。醫(yī)院后向公安部門(mén)報(bào)警、聯(lián)系相關(guān)廠家和系統(tǒng)工程師修復(fù)漏洞，這才算度過(guò)危機(jī)。

然而，就在事件發(fā)生后一天，湖南一醫(yī)院再度發(fā)生一起黑客攻擊事件。黑客攻擊了湖南省兒童醫(yī)院的系統(tǒng)，并再次向其中注入勒索病毒，該行為最終導(dǎo)致醫(yī)院系統(tǒng)大面積癱瘓，醫(yī)院治療進(jìn)程無(wú)法正常運(yùn)轉(zhuǎn)。

黑客通過(guò)外網(wǎng)攻擊，植入勒索病毒，對(duì)醫(yī)院HIS服務(wù)器文件進(jìn)行了加密，最終導(dǎo)致醫(yī)院系統(tǒng)不可用。

后經(jīng)調(diào)查，發(fā)現(xiàn)兩次攻擊黑客使用的勒索病毒是globeimposter家族的變種，其主要以國(guó)內(nèi)公共機(jī)構(gòu)服務(wù)器作為攻擊對(duì)象，加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等擴(kuò)展名，并通過(guò)郵件來(lái)告知受害者付款方式。

類(lèi)似的盜竊事件在各大醫(yī)院不斷上演，這也突顯出保障醫(yī)院數(shù)據(jù)安全的重要性所在。

對(duì)于盛京醫(yī)院計(jì)算機(jī)中心主任全宇來(lái)說(shuō)，要想保障醫(yī)院數(shù)據(jù)不被盜，除了要通過(guò)監(jiān)管部門(mén)的重重考核，更要與潛在攻擊者們斗智斗勇。

因此在他眼里，醫(yī)院就像是一位脆弱的病人，為其預(yù)防和診斷病情則需要身懷“十八般武藝”才行。

盛京醫(yī)院計(jì)算機(jī)中心主任全宇

醫(yī)院“生病”誰(shuí)來(lái)治？

醫(yī)院，救死扶傷之地，用黑客語(yǔ)言來(lái)說(shuō)，就是修復(fù)人體漏洞的一群人聚集于此。身為其中一員，全宇認(rèn)為自己更像是個(gè)幕后醫(yī)生，因?yàn)?，他的“病人”不是人，而是盛京醫(yī)院本身。

這位“病人”可是很難伺候，因?yàn)樵谑⒕┽t(yī)院，存儲(chǔ)的電子病歷數(shù)據(jù)有至少50T、影像數(shù)據(jù)500T。為了方便管理，醫(yī)院不得不把一個(gè)庫(kù)分作歷史庫(kù)、在線庫(kù)兩個(gè)分批儲(chǔ)存。

終端無(wú)紙化越多，也就意味著醫(yī)療數(shù)據(jù)越多，管理、前移和保護(hù)的難度也會(huì)隨之增加。

對(duì)于醫(yī)院內(nèi)部，在每次進(jìn)行數(shù)據(jù)庫(kù)間的倒換數(shù)據(jù)時(shí)，需要付出大量的人力和時(shí)間代價(jià)。往往一個(gè)數(shù)據(jù)庫(kù)的信息導(dǎo)入另一個(gè)，需要兩天兩夜的時(shí)間。

對(duì)于防護(hù)難度而言，海量數(shù)據(jù)的錄入、讀取和存儲(chǔ)都是一項(xiàng)項(xiàng)“大工程”。曾經(jīng)，醫(yī)院嘗試采用磁盤(pán)備份重要的資料數(shù)據(jù)，但時(shí)間一長(zhǎng)，這些資料會(huì)隨著磁條老化而消失，需要時(shí)則派不上用場(chǎng)。

對(duì)于醫(yī)院外部，醫(yī)院資料數(shù)據(jù)中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應(yīng)俱全，甚至有的數(shù)據(jù)還保存著病人的基因信息。不少人深知醫(yī)院數(shù)據(jù)有多值錢(qián)，因此不知道在醫(yī)院周?chē)?，有多少雙眼睛盯著這里，垂涎欲滴地望著這里。

此外，面對(duì)日益增多的醫(yī)療數(shù)據(jù)安全事件，監(jiān)管部門(mén)也對(duì)各國(guó)醫(yī)院采取嚴(yán)抓嚴(yán)打的措施，一旦觸犯相關(guān)條例，輕則勒令整改，重則行政處罰。

內(nèi)憂外患，這是全宇對(duì)目前“戰(zhàn)況”的具體概括。相比前線，這里更像是個(gè)相互僵持的冷戰(zhàn)現(xiàn)場(chǎng)，而他要做的，是在每一次突襲來(lái)臨前將其扼殺在搖籃里。

談到戰(zhàn)術(shù)，所謂知己知彼才能百戰(zhàn)不殆。要想保全醫(yī)院數(shù)據(jù)，就要甚至這幫“小偷”最可能的攻擊地點(diǎn)和手段并盡早預(yù)防。

So，醫(yī)院數(shù)據(jù)安全的痛點(diǎn)最容易被敵人看成是突破口呢？

首先，是安全運(yùn)維能力有待提升。

醫(yī)院數(shù)據(jù)的安全工作，是一個(gè)繁瑣且費(fèi)時(shí)費(fèi)力的活。正如上述，醫(yī)院信息化越健全，軟硬資源越多，數(shù)據(jù)庫(kù)也就越多越大，巡檢任務(wù)重、時(shí)間間隔長(zhǎng)導(dǎo)致難以及時(shí)發(fā)現(xiàn)異常。

此外，運(yùn)維工作總是后知后覺(jué)，事態(tài)感知醫(yī)院數(shù)據(jù)安全處在后知后覺(jué)的狀態(tài)。唯有出了問(wèn)題，才能被發(fā)現(xiàn)并啟動(dòng)故障排查，總是在“救火”和“救火”的路上。

以上問(wèn)題，是醫(yī)院缺少具體專(zhuān)業(yè)化數(shù)據(jù)安全、信息安全的專(zhuān)業(yè)運(yùn)維人員所致，這也體現(xiàn)出傳統(tǒng)行業(yè)在安全方面的日常運(yùn)維能力偏弱。

其次，是數(shù)據(jù)庫(kù)管理手段缺失。

院內(nèi)外包人員多，存在共用相同數(shù)據(jù)庫(kù)賬號(hào)，可訪問(wèn)、刪除、導(dǎo)出任何數(shù)據(jù)，缺少安全管理。

這主要體現(xiàn)在運(yùn)維人員大部分使用綠色版數(shù)據(jù)庫(kù)運(yùn)維工具，存在安全漏洞及操作后門(mén)，缺少專(zhuān)門(mén)的操作行為記錄，事件發(fā)生后難以快速定位實(shí)際使用者和負(fù)責(zé)人，這些給數(shù)據(jù)庫(kù)自管理造成極大風(fēng)險(xiǎn)。

最后，是容災(zāi)問(wèn)題。

問(wèn)題最突出的表現(xiàn)，是基于雙活容災(zāi)（即災(zāi)備系統(tǒng)中使主生產(chǎn)端數(shù)據(jù)庫(kù)和備機(jī)端數(shù)據(jù)庫(kù)同時(shí)在線運(yùn)行，處于可讀可查詢(xún)的狀態(tài)的技術(shù)）的存儲(chǔ)無(wú)法解決邏輯錯(cuò)誤，這也導(dǎo)致Oracle RAC無(wú)法實(shí)現(xiàn)異域容災(zāi)。

此外，容災(zāi)技術(shù)常規(guī)使用的邏輯復(fù)制難以解決大字段問(wèn)題，再加上業(yè)務(wù)系統(tǒng)故障可視化程度較低，加劇了安全隱患的存在。

這些安全隱患作為醫(yī)院數(shù)據(jù)安全的大“Bug”，成為了攻擊者的突破口?？蓪?shí)際上，眾多醫(yī)院面臨著徹底克服轉(zhuǎn)型難、整頓難、保護(hù)難的三大難題。

這時(shí)候，第三方安全廠商的介入就顯得必不可少。

醫(yī)院眼中的“神助攻”

打過(guò)LOL游戲的人都明白，在一場(chǎng)對(duì)戰(zhàn)中，助攻、輔助、前鋒、后衛(wèi)各司其職，其各有所長(zhǎng)也各有所短，唯有聚到一起時(shí)才算是所向披靡。

放在醫(yī)院數(shù)據(jù)安全上，如果說(shuō)全宇帶領(lǐng)的團(tuán)隊(duì)是盛京醫(yī)院的主力，那么扮演了“神助攻”角色的第三方安全廠商則如多啦A夢(mèng)一樣，武器、對(duì)策一樣不少。

下面，我們來(lái)看看“神助攻”給全宇團(tuán)隊(duì)哪些趁手兵器吧！

對(duì)策上，從技術(shù)、硬件、戰(zhàn)術(shù)上研究出一整套應(yīng)對(duì)方案：

安全運(yùn)維上，盛京醫(yī)院使用專(zhuān)門(mén)的工具，一方面將數(shù)據(jù)庫(kù)、系統(tǒng)、機(jī)房等設(shè)備全面監(jiān)控，實(shí)時(shí)監(jiān)控運(yùn)行情況，這也有效減少了復(fù)雜性工作。

另一方面，在出現(xiàn)安全故障時(shí)也可以通過(guò)中臺(tái)直接定位到問(wèn)題設(shè)備，省去排查時(shí)間。與此同時(shí)，異常出現(xiàn)時(shí)平臺(tái)將根據(jù)嚴(yán)重程度匹配警告方式，包括郵件、短信、緊急電話響應(yīng)等。

權(quán)限問(wèn)題上，盛京醫(yī)院為所有運(yùn)維人員配備了USBkey。這種安全鑰匙人手一枚，各自?xún)?nèi)置了不同的安全密匙，在USBkey得到授權(quán)后，才能對(duì)醫(yī)院數(shù)據(jù)庫(kù)做進(jìn)一步訪問(wèn)。

這就好像胸牌一樣，USBkey+免密登錄的模式為醫(yī)院數(shù)據(jù)庫(kù)建起了大門(mén)，通過(guò)刷卡進(jìn)“門(mén)”、授權(quán)到人的方式防止密碼泄露。

攻擊預(yù)防上，往往醫(yī)院端做安全防護(hù)比較困難。全宇透露，很多情況下，我們不敢去給相關(guān)的產(chǎn)品打補(bǔ)丁，因?yàn)槲覀儾恢肋@些數(shù)據(jù)庫(kù)系統(tǒng)的特性，這很有可能導(dǎo)致整個(gè)平臺(tái)直接宕機(jī)。

況且，醫(yī)院的數(shù)據(jù)庫(kù)產(chǎn)品種類(lèi)繁多，這就像是一個(gè)人的人體，隨意哪個(gè)部分被更換了，都有可能造成另外一個(gè)關(guān)聯(lián)部位的病變。

產(chǎn)品上，采用數(shù)據(jù)庫(kù)攻擊預(yù)防+虛擬補(bǔ)丁的方式解決問(wèn)題：

1、對(duì)攻

首先，允許該安全平臺(tái)訪問(wèn)數(shù)據(jù)庫(kù)的SQL操作，全部解析還原，匹配策略規(guī)則。一旦發(fā)現(xiàn)漏洞，就用虛擬補(bǔ)丁的方式完成修復(fù)。

采用虛擬補(bǔ)丁的好處是，不需要為數(shù)據(jù)庫(kù)修復(fù)漏洞，不影響數(shù)據(jù)庫(kù)系統(tǒng)穩(wěn)定性，不需要停止數(shù)據(jù)庫(kù)服務(wù)以及不需要進(jìn)行回歸測(cè)試。

上述特點(diǎn)，極大程度降低了醫(yī)院數(shù)據(jù)安全保障的成本，避免安全防護(hù)期間一些不必要的問(wèn)題出現(xiàn)。

2、對(duì)防

容災(zāi)問(wèn)題上，全宇覺(jué)得這是給醫(yī)院數(shù)據(jù)上的一道“鎖”。盡管目前為止容災(zāi)安全的保障措施并未被激發(fā)過(guò)，但對(duì)于盛京這樣的大醫(yī)院來(lái)說(shuō)，攻擊者是有利可圖的，因此也要做好防護(hù)。

災(zāi)備平臺(tái)可以用Oracle的小型機(jī)做到日志同步，這可以有效防止存儲(chǔ)級(jí)邏輯錯(cuò)誤。

比如存儲(chǔ)層面的雙活或鏡像，數(shù)據(jù)塊發(fā)生了邏輯錯(cuò)誤，壞的數(shù)據(jù)無(wú)法被檢測(cè)到，導(dǎo)致所有的數(shù)據(jù)無(wú)效。通過(guò)數(shù)據(jù)庫(kù)日志同步方式，保障應(yīng)用級(jí)別的數(shù)據(jù)一致性，抵御底層錯(cuò)誤地傳播。

面對(duì)大字段問(wèn)題，該災(zāi)備平臺(tái)通過(guò)采用物理復(fù)制的災(zāi)備技術(shù)手段，盡可能避免這種情況出現(xiàn)，而對(duì)于醫(yī)院來(lái)說(shuō)，災(zāi)備預(yù)演的重要性遠(yuǎn)比部署安全產(chǎn)品來(lái)的重要。

全宇稱(chēng)，一開(kāi)始，我們并不理解災(zāi)備演練這項(xiàng)功能的存在意義，但是，隨著進(jìn)行過(guò)幾次演練后我們發(fā)現(xiàn)，當(dāng)真實(shí)的攻擊事件發(fā)生后，數(shù)據(jù)庫(kù)資料的快速備份、恢復(fù)和溯源尤為重要。但是，如果它們有問(wèn)題呢？如果人工操作有誤呢？

因此，災(zāi)備預(yù)演為盛京醫(yī)院搭建了一個(gè)檢測(cè)、培訓(xùn)和模擬災(zāi)情的平臺(tái)，這對(duì)于非專(zhuān)業(yè)機(jī)構(gòu)在關(guān)鍵時(shí)刻做出有效的安全防護(hù)措施有著至關(guān)重要的作用。

也就是說(shuō)，容災(zāi)安全平臺(tái)是醫(yī)院數(shù)據(jù)安全的最后一道防線。

上面提到，醫(yī)院內(nèi)部會(huì)產(chǎn)生大量的非紙質(zhì)敏感數(shù)據(jù)資料。這些資料的安全存儲(chǔ)、調(diào)用是一大難題。

其解決方案是將信息脫敏技術(shù)運(yùn)用其中，進(jìn)而實(shí)現(xiàn)在不影響檢索/維護(hù)的情況下保障病人隱私。

目前，數(shù)據(jù)脫敏的體系，包括戰(zhàn)略、機(jī)制、技術(shù)支撐三個(gè)領(lǐng)域，從上到下的指導(dǎo)，從下到上的推進(jìn)，形成多層次、多維度、多視角的全方位體系架構(gòu)，確保數(shù)據(jù)脫敏工作有序的執(zhí)行：

找準(zhǔn)數(shù)據(jù)脫敏體系的目標(biāo)，數(shù)據(jù)脫目標(biāo)包括數(shù)據(jù)脫敏目的（國(guó)家、監(jiān)管部門(mén)、企業(yè)），數(shù)據(jù)脫敏后使用場(chǎng)景，滿(mǎn)足哪些業(yè)務(wù)要求。滿(mǎn)足法律法規(guī)、政策標(biāo)準(zhǔn)規(guī)范，數(shù)據(jù)安全管控分類(lèi)分級(jí)，數(shù)據(jù)使用部門(mén)職責(zé)劃分等，保證體系安全，協(xié)調(diào)數(shù)據(jù)提供方和數(shù)據(jù)使用方，提高體系運(yùn)轉(zhuǎn)。

規(guī)范數(shù)據(jù)脫敏體系的制度，按照2017年6月發(fā)布的《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個(gè)人信息保護(hù)規(guī)范》，制定數(shù)據(jù)脫敏政策，數(shù)據(jù)脫敏制度，數(shù)據(jù)脫敏細(xì)則，數(shù)據(jù)脫敏規(guī)范的規(guī)章制度，做事前事后的數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)執(zhí)行，同時(shí)，保證整個(gè)業(yè)務(wù)過(guò)程安全可控，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，進(jìn)行審計(jì)追蹤，及時(shí)解決。

針對(duì)醫(yī)院數(shù)據(jù)安全防護(hù)的特征，將靜態(tài)數(shù)據(jù)脫敏主要運(yùn)用到開(kāi)發(fā)/測(cè)試類(lèi)，開(kāi)發(fā)/測(cè)試類(lèi)，提取/上報(bào)類(lèi)，建立關(guān)系型數(shù)據(jù)庫(kù)。將動(dòng)態(tài)數(shù)據(jù)脫敏用于數(shù)據(jù)共享交換和運(yùn)維管理。

數(shù)據(jù)共享交換分兩種，一種是通過(guò)文本或表格數(shù)據(jù)去交換，另一種是Kafka、數(shù)據(jù)請(qǐng)求API（XML/JSON）。運(yùn)維管理的身份鑒別有，根據(jù)數(shù)據(jù)庫(kù)用戶(hù)名、運(yùn)維客戶(hù)端、主機(jī)名、MAC地址、IP地址、訪問(wèn)時(shí)間以及數(shù)字證書(shū)、U-key等多維身份驗(yàn)證。運(yùn)維訪問(wèn)敏感數(shù)據(jù)實(shí)時(shí)脫敏，對(duì)數(shù)據(jù)庫(kù)中返回的數(shù)據(jù)配置放行、屏蔽、加密、隱藏以及返回記錄數(shù)等多種脫敏策略。

為了降低敏感度，保證信息安全，還要根據(jù)不同行業(yè)，不同的場(chǎng)景，結(jié)合脫敏技術(shù)的應(yīng)用，力求達(dá)到用戶(hù)數(shù)據(jù)使用的要求，進(jìn)行規(guī)范化的操作。

“輔助”在這呢

主力、助攻都有了，輔助哪去了？

隨著發(fā)展，數(shù)據(jù)時(shí)代的到來(lái)意味著越來(lái)越多的行業(yè)單位開(kāi)始走入“數(shù)字化”轉(zhuǎn)型的階段。為了與時(shí)俱進(jìn)，近年來(lái)各項(xiàng)法律條例的設(shè)立成為醫(yī)院和企業(yè)的強(qiáng)有力靠山。

刑法修正案（九）（2015年11月1日施行）、中華人民共和國(guó)網(wǎng)絡(luò)安全法（2017年6月1日施行）中都提網(wǎng)絡(luò)服務(wù)提供者需依法履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)。其中，明確提及對(duì)泄漏患者隱私或者未經(jīng)患者同意公開(kāi)其病歷資料，造成患者損害的，應(yīng)承擔(dān)法律責(zé)任。

對(duì)于醫(yī)院來(lái)說(shuō)，傳統(tǒng)的安全保障體系已經(jīng)不夠用，隨著互聯(lián)網(wǎng)、新型行業(yè)的發(fā)展，醫(yī)院數(shù)據(jù)安全成為保障病人安全的重中之重。

“這種情況下，如何界定科技向善？如何通過(guò)引入新的安防技術(shù)以確保醫(yī)院不成為災(zāi)禍的引發(fā)地？這是我，更是整個(gè)醫(yī)療行業(yè)都需要不斷思考的問(wèn)題?！比钫f(shuō)道。

雷鋒網(wǎng)注：該文章內(nèi)容出自美創(chuàng)科技舉辦的中國(guó)數(shù)據(jù)安全和治理高峰論壇，盛京醫(yī)院計(jì)算機(jī)中心主任全宇的主題演講。雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。