背景
近年來(lái),數(shù)據(jù)安全成為國(guó)家社會(huì)發(fā)展面臨的重要議題,在十四五規(guī)劃下,《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》等法律法規(guī)也陸續(xù)出臺(tái),從國(guó)家層面制度法規(guī)明確提出了衛(wèi)生健康主管部門(mén)承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。完善醫(yī)療衛(wèi)生行業(yè)相關(guān)數(shù)據(jù)安全指標(biāo)體系和評(píng)價(jià)機(jī)制,加強(qiáng)人員培訓(xùn)、新技術(shù)適配與管理制度落地,確保所涉及的各類醫(yī)療健康數(shù)據(jù)遵循法律規(guī)定,符合數(shù)據(jù)全生命周期安全管理要求,讓醫(yī)療健康數(shù)據(jù)全流程可感知、可管控、可溯源已是迫在眉睫。
隨著智慧醫(yī)療快速發(fā)展,網(wǎng)上掛號(hào)、在線問(wèn)診、電子病歷、AI影像等移動(dòng)醫(yī)療為我們帶來(lái)了諸多便利,沉淀了大量敏感數(shù)據(jù)的同時(shí),也加劇了醫(yī)療數(shù)據(jù)泄漏風(fēng)險(xiǎn)。尤其是新冠疫情暴發(fā)以來(lái),國(guó)家對(duì)全面健康醫(yī)療的重視,進(jìn)一步促進(jìn)了新業(yè)態(tài)的發(fā)展,醫(yī)療數(shù)據(jù)逐步實(shí)現(xiàn)互聯(lián)互通,數(shù)據(jù)的流動(dòng)性也得到了空前的提高,同時(shí)醫(yī)療機(jī)構(gòu)也在面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。
安全現(xiàn)狀
1.勒索病毒攻擊日漸頻繁
據(jù)了解,自2016年勒索病毒開(kāi)始在全球蔓延,到2017年WannaCry勒索事件,勒索病毒逐漸成為全球范圍內(nèi)主流的網(wǎng)絡(luò)安全威脅。2021年5月,根據(jù)對(duì)全球30個(gè)國(guó)家/地區(qū)中型組織中的328名醫(yī)療機(jī)構(gòu)的信息化部門(mén)負(fù)責(zé)人的調(diào)查結(jié)果顯示,2020年約有34%的醫(yī)療機(jī)構(gòu)受到勒索軟件的攻擊。醫(yī)療數(shù)據(jù)中的患者信息高度個(gè)人化且敏感,具有很高的商業(yè)價(jià)值,這對(duì)黑客具有相當(dāng)大的吸引力,黑客往往通過(guò)加密或泄漏這些數(shù)據(jù)來(lái)向醫(yī)療機(jī)構(gòu)及患者個(gè)人進(jìn)行雙重勒索。隨著醫(yī)療行業(yè)數(shù)字化程度不斷在提高,醫(yī)療行業(yè)數(shù)據(jù)安全防護(hù)能力卻普遍不足,導(dǎo)致醫(yī)療行業(yè)成為受勒索病毒威脅為嚴(yán)重的行業(yè)之一。
2.個(gè)人信息泄漏頻發(fā)不止
在個(gè)人信息安全方面,中國(guó)信息通信研究院發(fā)布的《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》顯示,受調(diào)查的醫(yī)療單位中近三成存在數(shù)據(jù)資產(chǎn)泄漏風(fēng)險(xiǎn),有7080家單位使用存在公開(kāi)漏洞的低版本組件服務(wù),占全部觀測(cè)對(duì)象的44.39%。由此可以看出目前不少醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全意識(shí)和保護(hù)措施還很薄弱,由于智慧醫(yī)院醫(yī)院及互聯(lián)互通的普及促使醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)走向公共互聯(lián)網(wǎng),越來(lái)越多的醫(yī)療機(jī)構(gòu)通過(guò)移動(dòng)終端或互聯(lián)網(wǎng)提供醫(yī)療健康服務(wù),但移動(dòng)應(yīng)用和業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全保障機(jī)制不足,導(dǎo)致醫(yī)療機(jī)構(gòu)的應(yīng)用數(shù)據(jù)易受到黑客攻擊,從而引發(fā)醫(yī)療數(shù)據(jù)泄漏的安全事件頻發(fā)不止。
醫(yī)療數(shù)據(jù)安全治理痛點(diǎn)
信息化建設(shè)推進(jìn)過(guò)程需要高度重視數(shù)據(jù)安全的建設(shè),按數(shù)據(jù)能力成熟度模型進(jìn)行建設(shè),同時(shí)在數(shù)據(jù)安全生命周期各階段也需采取相應(yīng)措施。
1.數(shù)據(jù)接口資產(chǎn)理不清
在數(shù)據(jù)安全治理實(shí)踐中首先面對(duì)的就是要知道治理對(duì)象“是誰(shuí)”“有多少”的問(wèn)題,由于醫(yī)療機(jī)構(gòu)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)接口資產(chǎn)的數(shù)量多而且增長(zhǎng)快,導(dǎo)致很多醫(yī)院都不清楚自己擁有多少個(gè)數(shù)據(jù)接口,以及數(shù)據(jù)接口處于什么樣的狀態(tài)。在數(shù)據(jù)治理初期遇到業(yè)務(wù)系統(tǒng)歸屬部門(mén)多,與外部對(duì)接錯(cuò)綜復(fù)雜,導(dǎo)致數(shù)據(jù)接口資產(chǎn)梳理極其困難的問(wèn)題。在大量的數(shù)據(jù)接口未梳理的情況下,數(shù)據(jù)接口資產(chǎn)不清,安全責(zé)任就無(wú)法劃分實(shí)施,也就不能有效的對(duì)數(shù)據(jù)接口資產(chǎn)的生命安全周期進(jìn)行管理。
2.數(shù)據(jù)接口安全業(yè)務(wù)狀況不明確
智慧醫(yī)院必然擁有著數(shù)量眾多的在線業(yè)務(wù)系統(tǒng),而在實(shí)際的業(yè)務(wù)系統(tǒng)中,數(shù)據(jù)接口是獲得各種高價(jià)值服務(wù)和敏感數(shù)據(jù)的重要途徑。有些數(shù)據(jù)接口的流量雖然很低,卻是業(yè)務(wù)的核心部分,并且這些類型的數(shù)據(jù)接口很可能攜帶著敏感數(shù)據(jù),但是相關(guān)從業(yè)人員卻不能及時(shí)有效的監(jiān)測(cè)數(shù)據(jù)傳輸過(guò)程中的安全風(fēng)險(xiǎn),不清楚業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口是否應(yīng)該攜帶這些敏感數(shù)據(jù),其數(shù)據(jù)處理方式是否合法以及涉敏數(shù)據(jù)是否被惡意使用。
3.數(shù)據(jù)接口安全暴露面廣,被攻擊風(fēng)險(xiǎn)大
隨著醫(yī)療行業(yè)云化的不斷推進(jìn),醫(yī)療機(jī)構(gòu)數(shù)據(jù)接口需要整合大量系統(tǒng)來(lái)實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互,越來(lái)越多的個(gè)人數(shù)據(jù)以及敏感數(shù)據(jù)將存儲(chǔ)在云上、使用在云上,根據(jù)智慧醫(yī)院建設(shè)標(biāo)準(zhǔn),需要實(shí)現(xiàn)互聯(lián)互通,這也意味著更多的數(shù)據(jù)接口將暴露到互聯(lián)網(wǎng)中,相對(duì)于傳統(tǒng)數(shù)據(jù)中心的單點(diǎn)調(diào)用,東西向和南北向都可能成為數(shù)據(jù)接口的攻擊面。另外,研發(fā)人員常常會(huì)因?yàn)闇y(cè)試需要、啟用第三方開(kāi)發(fā)人員訪問(wèn)以及為合作伙伴演示等不經(jīng)意原因向外部公開(kāi)數(shù)據(jù)接口,其中不安全的數(shù)據(jù)接口會(huì)持續(xù)擴(kuò)大應(yīng)用程序攻擊面,讓黑客更容易進(jìn)行偵察、收集配置信息以及策劃網(wǎng)絡(luò)攻擊。
4.傳統(tǒng)安全防御部分失效
回過(guò)頭來(lái)我們?cè)倏磦鹘y(tǒng)意義上安全工具,如傳統(tǒng)防火墻以及Web應(yīng)用防火墻(WAF)缺乏針對(duì)數(shù)據(jù)接口脆弱性的有效治理方法,目前均不能對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確感知和防御。傳統(tǒng)安全防御工具實(shí)現(xiàn)方式是基于已知特征和規(guī)則進(jìn)行風(fēng)險(xiǎn)審計(jì),在這種技術(shù)路徑下的缺陷在于行為特征規(guī)則越復(fù)雜,規(guī)則的可依賴性就越低。由于業(yè)務(wù)的不確定性和持續(xù)迭代特點(diǎn),會(huì)讓行為特征本身的可依賴性降低,這使得無(wú)法直接判定風(fēng)險(xiǎn),且會(huì)產(chǎn)生較高的誤判率。
解決思路
面對(duì)數(shù)據(jù)安全治理痛點(diǎn)及挑戰(zhàn),需分別從管理制度和技術(shù)防護(hù)兩個(gè)層面進(jìn)行治理。在技術(shù)防護(hù)層面,結(jié)合實(shí)際情況與業(yè)務(wù)流程、合規(guī)要求,可通過(guò)旁路獲取解析醫(yī)院網(wǎng)絡(luò)出入口動(dòng)態(tài)鏡像流量,在不影響業(yè)務(wù)的前提下,無(wú)侵入地對(duì)網(wǎng)絡(luò)會(huì)話進(jìn)行實(shí)時(shí)的管控。通過(guò)對(duì)內(nèi)部數(shù)據(jù)進(jìn)行自定義分類分級(jí),劃分出“醫(yī)患敏感信息”等數(shù)據(jù)類型,有效檢測(cè)數(shù)據(jù)傳輸過(guò)程中的安全風(fēng)險(xiǎn),識(shí)別敏感數(shù)據(jù)類型,監(jiān)控并審計(jì)相關(guān)數(shù)據(jù)使用情況,并展示醫(yī)院相關(guān)數(shù)據(jù)接口信息,以“一個(gè)中心、四個(gè)引擎”的工作模式實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)可視化、威脅事件監(jiān)測(cè)、數(shù)據(jù)安全漏洞評(píng)估、敏感數(shù)據(jù)發(fā)現(xiàn)等引擎。在管理制度層面,建立數(shù)據(jù)安全治理專業(yè)團(tuán)隊(duì),常態(tài)化開(kāi)展健康醫(yī)療數(shù)據(jù)安全攻防演練、應(yīng)急演練。提升數(shù)據(jù)安全管理、技術(shù)、合規(guī)能力,加強(qiáng)醫(yī)護(hù)數(shù)據(jù)安全意識(shí),實(shí)現(xiàn)健康醫(yī)療數(shù)據(jù)安全運(yùn)營(yíng)的可視、可控、可持續(xù)。
1.數(shù)據(jù)資產(chǎn)梳理
醫(yī)院信息系統(tǒng)中數(shù)據(jù)量巨大,數(shù)據(jù)關(guān)系復(fù)雜,需要與眾多機(jī)構(gòu)進(jìn)行數(shù)據(jù)交換,跨科室業(yè)務(wù)數(shù)據(jù)對(duì)接共享,跨單位數(shù)據(jù)對(duì)接共享以及開(kāi)放給互聯(lián)網(wǎng)平臺(tái)等。只有掌握系統(tǒng)中數(shù)據(jù)的具體情況、流轉(zhuǎn)狀態(tài),才能為數(shù)據(jù)安全治理打下基礎(chǔ)。
在數(shù)據(jù)接口安全治理過(guò)程中通過(guò)實(shí)現(xiàn)自動(dòng)化識(shí)別、自定義數(shù)據(jù)標(biāo)簽、手工注冊(cè)等多種方式導(dǎo)入本院的現(xiàn)有業(yè)務(wù)系統(tǒng)數(shù)據(jù)接口,形成醫(yī)院統(tǒng)一數(shù)據(jù)接口資產(chǎn)圖譜。對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行細(xì)致的梳理,使得我們能夠清晰地掌握數(shù)據(jù)資產(chǎn)存儲(chǔ)在哪里,敏感數(shù)據(jù)分布在哪里,有哪些類型的數(shù)據(jù),這些數(shù)據(jù)哪些人有權(quán)限可操作。只有清楚的知道數(shù)據(jù)的使用情況和分布情況,才能知道需要實(shí)現(xiàn)怎樣的管控措施。
2.數(shù)據(jù)分類分級(jí)
在數(shù)據(jù)資產(chǎn)梳理的基礎(chǔ)上還需要對(duì)醫(yī)院信息系統(tǒng)中的數(shù)據(jù)進(jìn)行合理的分類分級(jí),在數(shù)據(jù)接口安全治理實(shí)踐過(guò)程中利用數(shù)據(jù)識(shí)別探測(cè)引擎,構(gòu)造了醫(yī)療行業(yè)數(shù)據(jù)分類分級(jí)規(guī)范以及目錄,完成了例如:個(gè)人健康醫(yī)療數(shù)據(jù)、支付及醫(yī)保數(shù)據(jù)等數(shù)據(jù)的分類,包括診斷結(jié)果、用藥信息、醫(yī)生用藥選擇、用戶支付記錄等信息,滿足安全合規(guī)要求,通過(guò)該實(shí)踐完成了對(duì)數(shù)據(jù)的分類分級(jí)指導(dǎo),實(shí)現(xiàn)對(duì)不同類型和不同級(jí)別的數(shù)據(jù)的針對(duì)性管控措施。
3.數(shù)據(jù)安全評(píng)估
建立安全特征庫(kù)與業(yè)務(wù)規(guī)則庫(kù),對(duì)應(yīng)用接口進(jìn)行安全態(tài)勢(shì)監(jiān)測(cè),同時(shí)對(duì)在線業(yè)務(wù)與即將上線業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估?;诰W(wǎng)絡(luò)資產(chǎn)指紋在自身的設(shè)備漏洞庫(kù)中尋找相匹配的漏洞。除了第一時(shí)間補(bǔ)充互聯(lián)網(wǎng)上爆發(fā)的漏洞信息外,還包含了大量醫(yī)院內(nèi)部安全人員發(fā)現(xiàn)的漏洞信息,例如大量的主機(jī)漏洞、網(wǎng)站漏洞、組件漏洞、組件、其他漏洞等各類型的漏洞,包括文件讀取、信息泄漏、遠(yuǎn)程代碼執(zhí)行、緩沖區(qū)溢出等。在授權(quán)的情況下對(duì)目標(biāo)網(wǎng)站的應(yīng)用和框架進(jìn)行檢測(cè)分析,確認(rèn)目標(biāo)組件后,以組件為依據(jù),從安全能力庫(kù)中尋找與該組件相匹配的PoC(漏洞驗(yàn)證程序)并對(duì)目標(biāo)應(yīng)用進(jìn)行無(wú)感知的威脅檢測(cè)。
4.數(shù)據(jù)安全防護(hù)
目前數(shù)據(jù)安全防御性產(chǎn)品,多數(shù)采用串聯(lián)式部署,且存在一定的誤報(bào)率,這對(duì)智慧醫(yī)院追求時(shí)效性安全性帶來(lái)一定障礙,在數(shù)據(jù)防護(hù)方面可考慮采取以下措施:
(1)實(shí)時(shí)監(jiān)測(cè)流量中的威脅攻擊;(2)用旁路流量分析技術(shù),不影響正常業(yè)務(wù)運(yùn)行;(3)對(duì)敏感數(shù)據(jù)訪問(wèn)行為管控,防止非授權(quán)人員的數(shù)據(jù)濫用行為。
總結(jié)
通過(guò)對(duì)數(shù)據(jù)資產(chǎn)以及數(shù)據(jù)接口資產(chǎn)的梳理,規(guī)范了管理,實(shí)現(xiàn)了對(duì)業(yè)務(wù)層的資產(chǎn)信息進(jìn)行識(shí)別和動(dòng)態(tài)感知,讓資產(chǎn)清晰可見(jiàn)?;卺t(yī)院動(dòng)態(tài)流量進(jìn)行分析,實(shí)現(xiàn)了對(duì)醫(yī)院全域內(nèi)業(yè)務(wù)系統(tǒng)審計(jì)日志展示、威脅行為告警,確保醫(yī)療數(shù)據(jù)的安全傳輸,降低信息化數(shù)據(jù)安全風(fēng)險(xiǎn),有效保障智慧醫(yī)院信息安全一體化建設(shè),提高了醫(yī)院數(shù)據(jù)接口安全治理效率,滿足智慧醫(yī)院信息化的長(zhǎng)遠(yuǎn)發(fā)展要求。
在數(shù)據(jù)治理落地實(shí)踐過(guò)程中,遇到的問(wèn)題具有一定的特性,大部分具有共性,因此具有一定的推廣示范的價(jià)值;此實(shí)踐思路可以幫助類似的醫(yī)療機(jī)構(gòu)從業(yè)務(wù)層面對(duì)應(yīng)用系統(tǒng)以及數(shù)據(jù)接口進(jìn)行識(shí)別和動(dòng)態(tài)感知,實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)清晰可見(jiàn);從數(shù)據(jù)傳輸層面實(shí)現(xiàn)數(shù)據(jù)的自定義分類分級(jí),監(jiān)控并識(shí)別數(shù)據(jù)傳輸過(guò)程中的敏感數(shù)據(jù),實(shí)現(xiàn)數(shù)據(jù)的安全治理;及時(shí)發(fā)現(xiàn)各種威脅事件,并能夠提供深入詳細(xì)的入侵分析和響應(yīng)手段,從而讓醫(yī)療機(jī)構(gòu)有效地解決數(shù)據(jù)接口問(wèn)題。通過(guò)安全評(píng)估引擎分析潛在安全漏洞,提前發(fā)現(xiàn)隱患。
數(shù)據(jù)治理是有效管理數(shù)據(jù)的重要舉措,是實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的必經(jīng)之路,對(duì)提升醫(yī)療行業(yè)業(yè)務(wù)運(yùn)營(yíng)效率和數(shù)字化轉(zhuǎn)型具有重要意義,此次實(shí)踐有助于醫(yī)療行業(yè)把控?cái)?shù)據(jù)接口資產(chǎn)態(tài)勢(shì),提高數(shù)據(jù)傳輸管理效率。持續(xù)性風(fēng)險(xiǎn)監(jiān)控,實(shí)現(xiàn)醫(yī)院數(shù)據(jù)傳輸風(fēng)險(xiǎn)可視化,對(duì)數(shù)據(jù)進(jìn)行深度分析,通過(guò)對(duì)入侵時(shí)間快速定位取證,有效解決傳統(tǒng)防御手段的被動(dòng)處境。醫(yī)院應(yīng)建立持續(xù)的數(shù)據(jù)安全監(jiān)測(cè)體系,讓醫(yī)院時(shí)刻掌控當(dāng)前數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì),第一時(shí)間響應(yīng)和解決數(shù)據(jù)安全高危風(fēng)險(xiǎn)行為,為數(shù)據(jù)流動(dòng)保駕護(hù)航。