六度影院鲁鲁片在线看_亚洲av无码乱码国产精品_国产精品一二三入口播放_国产一区二区不卡高清更新

在當今日益開放的網絡環(huán)境下，醫(yī)療行業(yè)的數據安全問題日益凸顯。本文將從數據價值、網絡環(huán)境、人的安全、數據流動和云驅動等五個方面進行深入分析。

一、醫(yī)療數據的特殊價值

1.高度敏感的數據泄露帶來巨大的個人、家庭和社會影響

健康信息的全方位滲透決定了健康數據的利用范疇非常廣泛，使用不當會嚴重影響人們的生活、工作、家庭甚至社會和政治。其廣泛的社會影響性使得個人健康信息（PHI）成為人們最為核心的隱私內容。PHI泄露具有兩大典型特征：單體病案對于個人及家庭的巨大影響和海量信息的巨大社會影響，而且極易轉變?yōu)榫薮蟮呢敻弧Ｄ敲�，有哪些高度敏感的數據泄露場景呢�?/span>

（1）惡性腫瘤、尿毒癥、糖尿病等慢性病。這類患者在未來的支付能力往往很可能會急劇惡化，信用水平會快速降低。因此，保險、銀行及所有金融機構都為了提高風控水平而對這類信息趨之若鶩。

同時，這類病人也是各種詐騙機構的主要目標，假藥、假保健品不斷地輸送給這類患者。處于絕望中的惡行腫瘤患者，只要前方給予了一絲希望就會毫不猶豫地抓住，結果是賠錢又賠人。即使不需要金融服務，也沒有被詐騙，也會給生活和工作帶來極大不便，社會交往受阻。

（2）ED、性冷淡、大小便失禁、吸毒等涉及個人尊嚴的疾病。此類疾病讓人喪失了一些基本能力，無疑讓人自卑。這些隱私信息的泄露會極大地影響個人工作和生活。所以，出于身心的打擊，使得這類人群特別容易受到各路騙子的誘惑。

（3）性病、艾滋病等傳染病。此類疾病屬于絕對隱私。除了病急亂投醫(yī)造成的巨大財產損失和身體損失之外，家庭和社交關系被破壞等幾乎無一幸免。另外由于這種疾病的絕對隱私性，導致患者極易被勒索。

（4）傳染病、中毒、血鉛等社會性疾病。此類區(qū)域性疾病或者突發(fā)性衛(wèi)生事件，配合社會謠言很容易引起社會混亂。特別是處于保密期的重大衛(wèi)生事件的一旦泄露，會讓有關政府機構極為被動。

（5）老人、孕產婦、嬰幼兒、兒童等弱勢群體。此類群體由于相對脆弱的心理和防范，非常容易受到誘惑。

（6）社會重要人士和公眾人物的病案。比如，“希拉里事件”精確地演示了患者疾病如何影響政治生態(tài)。國家主要領導的病案屬于國家安全范疇，一旦泄露顯然會影響政治生態(tài)，甚至直接終結政治生涯。公眾人物在某種程度也類似，不當的健康隱私泄露可能會直接終止公眾人物的職業(yè)生涯。

（7）有待推敲的治療方案和居高不下的誤診率。醫(yī)學診斷本質上屬于經驗科學，缺乏精確性。即便是在美國，誤診率也始終居高不下。因此，治療方案只有合理性說法而沒有正確性說法。倘若一些有待推敲的治療方案泄露且被別有用心的人利用，可能會誘發(fā)更多的醫(yī)患糾紛，最終導致醫(yī)院遭受巨大損失。

（8）具有高精確度的個人信息。醫(yī)療機構個人信息擁有極高的精確度和社交關系屬性。例如：姓名、身份證、社�？ā㈦娫捥柎a、住址、職業(yè)以及親屬關系等。出于患者對于醫(yī)療機構的期待，個人信息往往比任何其他機構具有更高的精確性。醫(yī)療個人信息即使是普通信息在黑市的價格也居高不下，是普通信用卡信息價格的10倍以上。更不用說精確的職業(yè)信息了，它可以使個人信息的價值成倍上升。

（9）醫(yī)囑、處方和檢查結果的巨大價值。醫(yī)院持續(xù)運營的核心成果除了醫(yī)生水平的不斷成長之外，就是醫(yī)囑和處方等病例信息的不斷積累。一家大型醫(yī)院多年積累的主要病種的病案醫(yī)囑和處方內容的價值往往以百萬價值計算。除了巨大的學習和成長價值之外，藥品供應商對這些數據更是趨之若鶩，完成真實案例之上的臨床試驗。

（10）處方藥和受管制的藥品。處方藥，特別是受到管制的藥品，比如麻醉藥，市民必須持有處方才可進行購買。任何具有許可的物品和服務都會在市場上具有很大的價值，而入侵者通過盜取這些處方，從市場上“合法”地購買處方藥品，然后出售以獲利，擾亂了藥品管控市場。

（11）數據統(tǒng)方。數據統(tǒng)方是醫(yī)療回扣腐敗案件的核心環(huán)節(jié)之一，是實現醫(yī)療回扣的關鍵媒介和憑證。醫(yī)療腐敗關系到每一位百姓生活，具有廣泛的社會影響力。

2.高度精確性要求已上升到生命安全的級別

醫(yī)院的醫(yī)囑、處方、醫(yī)療器械都把人作為處理對象。醫(yī)療數據的不當更新可能會危害患者的生命安全，而生命安全則是生活中的最高安全級別。

（1）醫(yī)囑和處方數據的變更。醫(yī)囑和處方是醫(yī)生按照積累的知識和經驗作出的最佳判斷，總是在療效和危害之間進行平衡。由于絕大部分藥品的副作用以及部分藥品的禁忌性，醫(yī)囑和處方便成為某些別有用心的人“借刀殺人”的最佳利器。電影作品乃至現實生活中都存在眾多案例提示我們這種危險的存在。而不斷演示的黑客遠程操控醫(yī)療器械則更加活生生地提示著生命安全的脆弱性。無論是何種傷害，本質上只需要修改數據而已，在程序上與交通違章消分沒有任何區(qū)別。

（2）歸檔病案的變更。當一樁醫(yī)療糾紛案如果出現了歸檔病案的變更，則意味著醫(yī)院無法自證清白，在醫(yī)療糾紛中會先天處于不利位置。

（3）管制藥品的購買。麻醉品、鴉片、大麻等各種具有高度危險性的藥品只有在醫(yī)院可以合法購買，以至于在市場上自由流通具有很高的價值。當然也會對社會造成巨大影響，入侵者可以通過處方修改來獲得其合法購買管制藥品的權利。

（4）出生醫(yī)學證明。出生醫(yī)學證明是黑戶洗白的關鍵憑證。內外勾結或者盜取出生憑證是出生醫(yī)學證明地下黑產鏈的關鍵環(huán)節(jié)。

（5）勒索威脅。勒索病毒是醫(yī)療行業(yè)最為嚴重的外部威脅之一，在已知的外部威脅中高達85%是由勒索病毒引起的。開放的網絡環(huán)境和相對脆弱的安全措施是勒索病毒持續(xù)發(fā)作的溫床。

二、不夠安全的網絡環(huán)境

1.開放或半開放的網絡環(huán)境

開放或半開放的網絡環(huán)境是醫(yī)療行業(yè)的典型特征，很少有行業(yè)像醫(yī)療行業(yè)一樣是一個非安全的開放環(huán)境。開放的網絡環(huán)境使入侵者可以輕易地進入醫(yī)院網絡，輕易地進行物理攻擊。

（1）開放的醫(yī)生工作環(huán)境。無論是門診醫(yī)生還是住院醫(yī)生的工作電腦，幾乎都處于人人可以接觸的開放環(huán)境。入侵者較易合法地進入醫(yī)生的工作場所、“親切地”和醫(yī)生進行溝通、接近醫(yī)生和醫(yī)生工作終端，甚至可以很容易假冒醫(yī)院IT工作者對醫(yī)院電腦進行全權操作。

（2）大量不安全的自助服務設備。自助服務設備是醫(yī)院服務患者的主要工具之一。大量的自助設備在給患者帶來便利性的同時，也給入侵者有機可乘。他們可以很容易接觸醫(yī)院網絡，也可以假借維修名義對自助服務終端進行任何操作。

（3）廣泛使用的無線網絡。移動終端的廣泛使用是醫(yī)院信息化發(fā)展的主要方向。當無線網絡缺乏嚴格的安全管控時，意味著入侵者隨時可以進入醫(yī)院網絡。

2.相對混亂的互聯網接入服務

除了自助服務終端之外，互聯網接入是當前醫(yī)院的主要努力方向。為了趕上互聯網醫(yī)療的快車，只有極少部分醫(yī)院獨立建設互聯網醫(yī)院，更多醫(yī)院采用外部服務接入的方式來連接互聯網。事實上，在接入互聯網服務時，大部分醫(yī)院就已經把主動權交付至互聯網服務提供商，缺乏統(tǒng)一的業(yè)務和安全規(guī)劃。

（1）互聯網服務授權過大。大部分醫(yī)院在互聯網服務建設過程中，由互聯網服務提供商來整理醫(yī)療數據，自主獲取服務需要的數據。醫(yī)院缺乏統(tǒng)一的互聯網服務網關，讓醫(yī)療數據處于極度危險的境地。

（2）數據安全考慮相對缺乏�；ヂ摼W服務的焦點目標是提供相應的服務，并不會過多考慮數據安全性。由于缺乏有效的驗證和隔離措施，入侵者很容易通過互聯網服務網絡進入醫(yī)療網絡。

三、人的安全無處不在

由于醫(yī)院患者單體數據的巨大價值，使人的安全成為醫(yī)院安全的最大問題所在。Verizon報告揭示醫(yī)療行業(yè)是唯一一個內部威脅遠大于外部威脅的行業(yè)，內部威脅高達60%，外部威脅只有40%。

1.單體數據的巨大價值使醫(yī)務人員每天都受到誘惑。除了情報之外，很少有數據會像醫(yī)院一樣，單體數據具有巨大的價值，形成了醫(yī)療數據的黑市，明碼標標價。這使醫(yī)務人員并不需要太高深的技術就可獲得巨大的收益機會，必然會受到誘惑。

2.好奇、虛榮心和可以任意查詢的醫(yī)療數據。由于好奇產生的越權操作問題在醫(yī)院是廣泛存在的客觀現實。譬如醫(yī)生會因為對某種疾病感興趣，進而查詢和閱讀非授權病歷，DBA會因為礙于情面幫助朋友查詢他人隱私數據。

3.外部資源依賴。為了支持快速業(yè)務迭代，醫(yī)院對于開發(fā)商等外部資源的依賴性非常高。這種高依賴性和高昂的數據價值帶來了巨大的數據安全風險。

4.相對頻繁的手工操作。由于業(yè)務軟件系統(tǒng)無法跟上醫(yī)療業(yè)務的快速發(fā)展，很多時候相關人員需要直接數據庫操作來完成相關業(yè)務，存在潛在的誤操作和越權訪問風險。

5.部分醫(yī)院甚至受到開發(fā)商要挾。許多開發(fā)商把醫(yī)院數據當作自己的私有財富，甚至醫(yī)院要使用數據需要獲得開發(fā)商的許可。顯然，這種生態(tài)下很難做到患者數據安全。

6.DBA和開發(fā)商的超級訪問權。DBA（數據庫管理員）和開發(fā)商的超級訪問權限普遍存在于各行業(yè)中。但是由于醫(yī)療數據較高的單體價值，DBA和開發(fā)商會接收到來自各方面的數據獲取訴求，更容易受到更多的誘惑，導致其犯錯概率大幅增加。

7.患者隱私數據的不當泄露。很多醫(yī)院為了降低成本，會重復利用檢查指引、處方單等紙質媒介。這種紙質媒介的重用顯然會泄露患者隱私。檢查報告的隨意處置，讓有心人更容易獲得相關數據。

8.入侵者的樂園。開放的網絡環(huán)境和相對脆弱的安全防御，使醫(yī)療機構成為了入侵者的樂園。入侵者可以輕易進入醫(yī)院網絡，盜取訪問憑證，訪問和破壞敏感數據并施加勒索。

四、敏感數據的流動剛需

1.眾多的數據交換業(yè)務和急劇上升的互聯互通需求

醫(yī)院作為一個受到嚴格管制的行業(yè)，需要和眾多機構進行數據交換和匯報。

（1）醫(yī)保機構醫(yī)院和醫(yī)保機構的數據交換是醫(yī)院核心業(yè)務之一。由于歷史原因，醫(yī)保數據交換可能會出現不必要的敏感數據交換，使敏感數據失控。

（2）衛(wèi)健委和疾控。醫(yī)院作為一個受監(jiān)管機構，需要向衛(wèi)健委、疾控等相關部門匯報相關數據。由于歷史原因，相關數據上報可能會存在一些失控的敏感信息。

（3）心衰中心等。醫(yī)院還需將特殊病種相關數據上報到心衰中心等機構。由于歷史原因，相關上報數據可能存在著不必要出現的敏感數據。

（4）遠程醫(yī)療的興起。遠程醫(yī)療作為一種醫(yī)療資源下層的主要手段，正受到醫(yī)療主管部門和各大醫(yī)院的青睞。在遠程醫(yī)療過程中如何保證患者隱私數據的安全成為其中的一個關鍵環(huán)節(jié)。

（5）病歷攜帶。病歷攜帶是患者的核心訴求之一。雖然目前基本沒有實現，但是在患者服務不斷加強的今天，病歷攜帶必然會成為醫(yī)療機構之間的核心交換科目。

（6）病案交換。醫(yī)療機構為了豐富自己的病案庫，有足夠的動力和同等水平的醫(yī)療機構進行病案交換。而衛(wèi)生主管機構為了提高所有醫(yī)療機構的醫(yī)療水平，也有足夠動力讓所有醫(yī)療機構共享這些高質量的醫(yī)療病案。

2.測試、培訓以及臨床數據中心

嚴格來講，醫(yī)生只可以查看自己處理的病歷，其他患者隱私數據只有患者授權才可被訪問。但是這種原則性安全在實踐中很難被貫徹。

（1）測試和開發(fā)環(huán)境。IT系統(tǒng)幾乎每天都在日新月異的醫(yī)療業(yè)務發(fā)展中變更。為了軟件順利上線，需要使用生產數據進行測試以提供更好的兼容性。顯然，測試開發(fā)系統(tǒng)中的生產數據是完全失控的。還有更糟糕的情況，部分醫(yī)院沒有充足的設備來提供開發(fā)和測試，軟件開發(fā)商會把數據帶離醫(yī)院進行測試。

（2）培訓和教育環(huán)境。可以認為，醫(yī)院的核心產品和服務是高水平的醫(yī)生。醫(yī)生和護士是一個高技術職業(yè)，需要不斷通過學習和培訓以提高技術水平。多數情況下，醫(yī)療培訓和教育會建立在犧牲患者隱私的基礎上。另外，培訓和教育環(huán)境的安全措施不完善使入侵者更易獲取醫(yī)療隱私數據。

（3）CDR(臨床數據中心)。向數據索取價值、以數據驅動醫(yī)療是所有醫(yī)院的努力方向。臨床數據中心需要為臨床提供服務，就需要為所有醫(yī)生提供訪問病例的能力。但如果患者數據沒有進行脫敏處理，這種任意訪問病例的權利顯然會為患者的隱私帶來巨大風險。另外由于臨床數據中心的靈活使用特征，安全措施難以落實到位，自然就會成為入侵者的寶地。

3.終端、人的眼睛和拍照

在傳統(tǒng)業(yè)務之中，敏感信息會不斷通過運維和業(yè)務程序流動到桌面和人的眼睛，給敏感數據的安全帶來巨大挑戰(zhàn)。

（1）運維訪問攜帶大量的敏感數據。運維賬戶具有很高的訪問權限，如特權賬戶可進行一系列的越權訪問：訪問不該訪問的數據和訪問過多的數據。

（2）運維訪問下載敏感數據。運維訪問獲得海量數據并下載到客戶端，無論是惡意的還是業(yè)務需要，都會給敏感數據流動帶來風險。

（3）業(yè)務訪問返回敏感數據。隱私和敏感數據的價值在這幾年才得以被重視，需要被嚴格保護。但歷史性的業(yè)務應用程序往往沒有隱私和敏感的概念，很容易泄露敏感數據，甚至被記錄、截屏或者拍照。

（4）業(yè)務系統(tǒng)缺陷導致非預期大量數據返回。任何業(yè)務系統(tǒng)都存在缺陷，缺陷容易被利用，使敏感數據大批量地從安全數據中心流動到缺乏安全性控制的個人終端。

（5）業(yè)務系統(tǒng)漏洞導致非預期數據獲得。醫(yī)療各類業(yè)務程序的SQL注入漏洞易被利用拖庫。

五、云端業(yè)務不分內外

當前國家鼓勵“互聯網+醫(yī)療健康”發(fā)展，一方面推動著醫(yī)療業(yè)務不斷互聯網化和云化，另一方面也會給云端業(yè)務帶來特殊的數據安全挑戰(zhàn)。

1.云環(huán)境的非受控性和上帝之手

（1）用戶沒有設備采購和部署權利。在云環(huán)境中，用戶只能租賃云服務公司的設備，無法改變云環(huán)境的網絡結構，也無法在云環(huán)境中部署硬件設備。這種方式帶來了幾個困難：

a. 用戶必需采用軟件方案部署，不能采用硬件方式部署

b．如果沒有云服務商配合，無法進行網絡引流

c．由于無法改變網絡結構，意味著無法使用透明網橋、透明代理等部署方式

（2）云環(huán)境是一個不受信任的非安全環(huán)境。用戶在云上擁有最為重要的業(yè)務和數據，但機房場地、安保不屬于用戶，場地、設備和環(huán)境運維都不受控制，基礎平臺也不受控制。本質上說，用戶需要把極為重要的數據存儲在不受信任的環(huán)境之中。

（3）上帝之手的挑戰(zhàn)和制約。雖然在線下數據中心也存在著具有無限權力的DBA。但是在線下，DBA被醫(yī)院管理和教育，無限的技術權力在現實中會受到制約。但是在云環(huán)境中，云服務商和云服務商的運維員工則完全游離在醫(yī)院管理之外，是真正意義上的上帝之手。

2.云環(huán)境的開放性和權力等同性

（1）網絡安全措施的不同。線下環(huán)境中的網絡安全機制與云環(huán)境不盡相同。譬如部署在線下的防火墻設備可實現惡意入侵檢測功能，并可根據需求啟用白名單配置功能以完成MAC地址綁定等準入機制，即防火墻還可完成部分內控功能。但是在云環(huán)境中，內控機制面臨更多挑戰(zhàn)，網絡安全設備只能完成惡意入侵檢測。

（2）網絡開放度的不同。線下環(huán)境中，網絡僅向部分人員開放。即使存在互聯網接口，也存在受限制的通道。但在云環(huán)境中，網絡向所有人開放，包括員工、合作伙伴、黑客以及各種不法分子。所有人都可以無限制接觸云環(huán)境的開放服務。

（3）用戶權力的不同。在云計算環(huán)境中，無論是是員工還是入侵者，所有用戶的權力是等同的。也就是說，云環(huán)境中的人已經沒有內外之分。

（本文作者：美創(chuàng)科技 柳遵梁）