很多人覺得醫(yī)院是最安全的地方，因為這里安保嚴密、秩序井然。實際上，這里偏偏特別容易招“小偷”。他們專偷醫(yī)院數(shù)據(jù)，時常在眾目睽睽下來個“回首，掏”便輕松得手。

醫(yī)院資料數(shù)據(jù)中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應俱全，甚至有的數(shù)據(jù)還保存著病人的基因信息，“小偷”企圖在黑市倒賣這些數(shù)據(jù)以此大撈一筆，或者干脆直接威脅醫(yī)院用錢來換。

不信？來看看下面這些真實事件：

2018年，南漳縣人民醫(yī)院便遭受了黑客攻擊。當時，醫(yī)院“三佳醫(yī)療信息系統(tǒng)”遭勒索病毒入侵破壞，主、備服務器同時被侵入感染，無法啟用備用服務器，這也讓電腦系統(tǒng)中的藥價等數(shù)據(jù)及病例憑空消失了。

黑客在植入的“升級版勒索病毒”中注明，要求醫(yī)院支付比特幣才肯恢復系統(tǒng)正常運行。醫(yī)院后向公安部門報警、聯(lián)系相關(guān)廠家和系統(tǒng)工程師修復漏洞，這才算度過危機。

然而，就在事件發(fā)生后一天，湖南一醫(yī)院再度發(fā)生一起黑客攻擊事件。黑客攻擊了湖南省兒童醫(yī)院的系統(tǒng)，并再次向其中注入勒索病毒，該行為最終導致醫(yī)院系統(tǒng)大面積癱瘓，醫(yī)院治療進程無法正常運轉(zhuǎn)。

黑客通過外網(wǎng)攻擊，植入勒索病毒，對醫(yī)院HIS服務器文件進行了加密，最終導致醫(yī)院系統(tǒng)不可用。

后經(jīng)調(diào)查，發(fā)現(xiàn)兩次攻擊黑客使用的勒索病毒是globeimposter家族的變種，其主要以國內(nèi)公共機構(gòu)服務器作為攻擊對象，加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等擴展名，并通過郵件來告知受害者付款方式。

類似的盜竊事件在各大醫(yī)院不斷上演，這也突顯出保障醫(yī)院數(shù)據(jù)安全的重要性所在。

對于盛京醫(yī)院計算機中心主任全宇來說，要想保障醫(yī)院數(shù)據(jù)不被盜，除了要通過監(jiān)管部門的重重考核，更要與潛在攻擊者們斗智斗勇。

因此在他眼里，醫(yī)院就像是一位脆弱的病人，為其預防和診斷病情則需要身懷“十八般武藝”才行。

盛京醫(yī)院計算機中心主任全宇

醫(yī)院“生病”誰來治？

醫(yī)院，救死扶傷之地，用黑客語言來說，就是修復人體漏洞的一群人聚集于此。身為其中一員，全宇認為自己更像是個幕后醫(yī)生，因為，他的“病人”不是人，而是盛京醫(yī)院本身。

這位“病人”可是很難伺候，因為在盛京醫(yī)院，存儲的電子病歷數(shù)據(jù)有至少50T、影像數(shù)據(jù)500T。為了方便管理，醫(yī)院不得不把一個庫分作歷史庫、在線庫兩個分批儲存。

終端無紙化越多，也就意味著醫(yī)療數(shù)據(jù)越多，管理、前移和保護的難度也會隨之增加。

對于醫(yī)院內(nèi)部，在每次進行數(shù)據(jù)庫間的倒換數(shù)據(jù)時，需要付出大量的人力和時間代價。往往一個數(shù)據(jù)庫的信息導入另一個，需要兩天兩夜的時間。

對于防護難度而言，海量數(shù)據(jù)的錄入、讀取和存儲都是一項項“大工程”。曾經(jīng)，醫(yī)院嘗試采用磁盤備份重要的資料數(shù)據(jù)，但時間一長，這些資料會隨著磁條老化而消失，需要時則派不上用場。

對于醫(yī)院外部，醫(yī)院資料數(shù)據(jù)中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應俱全，甚至有的數(shù)據(jù)還保存著病人的基因信息。不少人深知醫(yī)院數(shù)據(jù)有多值錢，因此不知道在醫(yī)院周圍，有多少雙眼睛盯著這里，垂涎欲滴地望著這里。

此外，面對日益增多的醫(yī)療數(shù)據(jù)安全事件，監(jiān)管部門也對各國醫(yī)院采取嚴抓嚴打的措施，一旦觸犯相關(guān)條例，輕則勒令整改，重則行政處罰。

內(nèi)憂外患，這是全宇對目前“戰(zhàn)況”的具體概括。相比前線，這里更像是個相互僵持的冷戰(zhàn)現(xiàn)場，而他要做的，是在每一次突襲來臨前將其扼殺在搖籃里。

談到戰(zhàn)術(shù)，所謂知己知彼才能百戰(zhàn)不殆。要想保全醫(yī)院數(shù)據(jù)，就要甚至這幫“小偷”最可能的攻擊地點和手段并盡早預防。

So，醫(yī)院數(shù)據(jù)安全的痛點最容易被敵人看成是突破口呢？

首先，是安全運維能力有待提升。

醫(yī)院數(shù)據(jù)的安全工作，是一個繁瑣且費時費力的活。正如上述，醫(yī)院信息化越健全，軟硬資源越多，數(shù)據(jù)庫也就越多越大，巡檢任務重、時間間隔長導致難以及時發(fā)現(xiàn)異常。

此外，運維工作總是后知后覺，事態(tài)感知醫(yī)院數(shù)據(jù)安全處在后知后覺的狀態(tài)。唯有出了問題，才能被發(fā)現(xiàn)并啟動故障排查，總是在“救火”和“救火”的路上。

以上問題，是醫(yī)院缺少具體專業(yè)化數(shù)據(jù)安全、信息安全的專業(yè)運維人員所致，這也體現(xiàn)出傳統(tǒng)行業(yè)在安全方面的日常運維能力偏弱。

其次，是數(shù)據(jù)庫管理手段缺失。

院內(nèi)外包人員多，存在共用相同數(shù)據(jù)庫賬號，可訪問、刪除、導出任何數(shù)據(jù)，缺少安全管理。

這主要體現(xiàn)在運維人員大部分使用綠色版數(shù)據(jù)庫運維工具，存在安全漏洞及操作后門，缺少專門的操作行為記錄，事件發(fā)生后難以快速定位實際使用者和負責人，這些給數(shù)據(jù)庫自管理造成極大風險。

最后，是容災問題。

問題最突出的表現(xiàn)，是基于雙活容災（即災備系統(tǒng)中使主生產(chǎn)端數(shù)據(jù)庫和備機端數(shù)據(jù)庫同時在線運行，處于可讀可查詢的狀態(tài)的技術(shù)）的存儲無法解決邏輯錯誤，這也導致Oracle RAC無法實現(xiàn)異域容災。

此外，容災技術(shù)常規(guī)使用的邏輯復制難以解決大字段問題，再加上業(yè)務系統(tǒng)故障可視化程度較低，加劇了安全隱患的存在。

這些安全隱患作為醫(yī)院數(shù)據(jù)安全的大“Bug”，成為了攻擊者的突破口。可實際上，眾多醫(yī)院面臨著徹底克服轉(zhuǎn)型難、整頓難、保護難的三大難題。

這時候，第三方安全廠商的介入就顯得必不可少。

醫(yī)院眼中的“神助攻”

打過LOL游戲的人都明白，在一場對戰(zhàn)中，助攻、輔助、前鋒、后衛(wèi)各司其職，其各有所長也各有所短，唯有聚到一起時才算是所向披靡。

放在醫(yī)院數(shù)據(jù)安全上，如果說全宇帶領的團隊是盛京醫(yī)院的主力，那么扮演了“神助攻”角色的第三方安全廠商則如多啦A夢一樣，武器、對策一樣不少。

下面，我們來看看“神助攻”給全宇團隊哪些趁手兵器吧！

對策上，從技術(shù)、硬件、戰(zhàn)術(shù)上研究出一整套應對方案：

安全運維上，盛京醫(yī)院使用專門的工具，一方面將數(shù)據(jù)庫、系統(tǒng)、機房等設備全面監(jiān)控，實時監(jiān)控運行情況，這也有效減少了復雜性工作。

另一方面，在出現(xiàn)安全故障時也可以通過中臺直接定位到問題設備，省去排查時間。與此同時，異常出現(xiàn)時平臺將根據(jù)嚴重程度匹配警告方式，包括郵件、短信、緊急電話響應等。

權(quán)限問題上，盛京醫(yī)院為所有運維人員配備了USBkey。這種安全鑰匙人手一枚，各自內(nèi)置了不同的安全密匙，在USBkey得到授權(quán)后，才能對醫(yī)院數(shù)據(jù)庫做進一步訪問。

這就好像胸牌一樣，USBkey+免密登錄的模式為醫(yī)院數(shù)據(jù)庫建起了大門，通過刷卡進“門”、授權(quán)到人的方式防止密碼泄露。

攻擊預防上，往往醫(yī)院端做安全防護比較困難。全宇透露，很多情況下，我們不敢去給相關(guān)的產(chǎn)品打補丁，因為我們不知道這些數(shù)據(jù)庫系統(tǒng)的特性，這很有可能導致整個平臺直接宕機。

況且，醫(yī)院的數(shù)據(jù)庫產(chǎn)品種類繁多，這就像是一個人的人體，隨意哪個部分被更換了，都有可能造成另外一個關(guān)聯(lián)部位的病變。

產(chǎn)品上，采用數(shù)據(jù)庫攻擊預防+虛擬補丁的方式解決問題：

1、對攻

首先，允許該安全平臺訪問數(shù)據(jù)庫的SQL操作，全部解析還原，匹配策略規(guī)則。一旦發(fā)現(xiàn)漏洞，就用虛擬補丁的方式完成修復。

采用虛擬補丁的好處是，不需要為數(shù)據(jù)庫修復漏洞，不影響數(shù)據(jù)庫系統(tǒng)穩(wěn)定性，不需要停止數(shù)據(jù)庫服務以及不需要進行回歸測試。

上述特點，極大程度降低了醫(yī)院數(shù)據(jù)安全保障的成本，避免安全防護期間一些不必要的問題出現(xiàn)。

2、對防

容災問題上，全宇覺得這是給醫(yī)院數(shù)據(jù)上的一道“鎖”。盡管目前為止容災安全的保障措施并未被激發(fā)過，但對于盛京這樣的大醫(yī)院來說，攻擊者是有利可圖的，因此也要做好防護。

災備平臺可以用Oracle的小型機做到日志同步，這可以有效防止存儲級邏輯錯誤。

比如存儲層面的雙活或鏡像，數(shù)據(jù)塊發(fā)生了邏輯錯誤，壞的數(shù)據(jù)無法被檢測到，導致所有的數(shù)據(jù)無效。通過數(shù)據(jù)庫日志同步方式，保障應用級別的數(shù)據(jù)一致性，抵御底層錯誤地傳播。

面對大字段問題，該災備平臺通過采用物理復制的災備技術(shù)手段，盡可能避免這種情況出現(xiàn)，而對于醫(yī)院來說，災備預演的重要性遠比部署安全產(chǎn)品來的重要。

全宇稱，一開始，我們并不理解災備演練這項功能的存在意義，但是，隨著進行過幾次演練后我們發(fā)現(xiàn)，當真實的攻擊事件發(fā)生后，數(shù)據(jù)庫資料的快速備份、恢復和溯源尤為重要。但是，如果它們有問題呢？如果人工操作有誤呢？

因此，災備預演為盛京醫(yī)院搭建了一個檢測、培訓和模擬災情的平臺，這對于非專業(yè)機構(gòu)在關(guān)鍵時刻做出有效的安全防護措施有著至關(guān)重要的作用。

也就是說，容災安全平臺是醫(yī)院數(shù)據(jù)安全的最后一道防線。

上面提到，醫(yī)院內(nèi)部會產(chǎn)生大量的非紙質(zhì)敏感數(shù)據(jù)資料。這些資料的安全存儲、調(diào)用是一大難題。

其解決方案是將信息脫敏技術(shù)運用其中，進而實現(xiàn)在不影響檢索/維護的情況下保障病人隱私。

目前，數(shù)據(jù)脫敏的體系，包括戰(zhàn)略、機制、技術(shù)支撐三個領域，從上到下的指導，從下到上的推進，形成多層次、多維度、多視角的全方位體系架構(gòu)，確保數(shù)據(jù)脫敏工作有序的執(zhí)行：

找準數(shù)據(jù)脫敏體系的目標，數(shù)據(jù)脫目標包括數(shù)據(jù)脫敏目的（國家、監(jiān)管部門、企業(yè)），數(shù)據(jù)脫敏后使用場景，滿足哪些業(yè)務要求。滿足法律法規(guī)、政策標準規(guī)范，數(shù)據(jù)安全管控分類分級，數(shù)據(jù)使用部門職責劃分等，保證體系安全，協(xié)調(diào)數(shù)據(jù)提供方和數(shù)據(jù)使用方，提高體系運轉(zhuǎn)。

規(guī)范數(shù)據(jù)脫敏體系的制度，按照2017年6月發(fā)布的《網(wǎng)絡安全法》《電子商務法》《個人信息保護規(guī)范》，制定數(shù)據(jù)脫敏政策，數(shù)據(jù)脫敏制度，數(shù)據(jù)脫敏細則，數(shù)據(jù)脫敏規(guī)范的規(guī)章制度，做事前事后的數(shù)據(jù)準備、數(shù)據(jù)執(zhí)行，同時，保證整個業(yè)務過程安全可控，當發(fā)現(xiàn)問題時，進行審計追蹤，及時解決。

針對醫(yī)院數(shù)據(jù)安全防護的特征，將靜態(tài)數(shù)據(jù)脫敏主要運用到開發(fā)/測試類，開發(fā)/測試類，提取/上報類，建立關(guān)系型數(shù)據(jù)庫。將動態(tài)數(shù)據(jù)脫敏用于數(shù)據(jù)共享交換和運維管理。

數(shù)據(jù)共享交換分兩種，一種是通過文本或表格數(shù)據(jù)去交換，另一種是Kafka、數(shù)據(jù)請求API（XML/JSON）。運維管理的身份鑒別有，根據(jù)數(shù)據(jù)庫用戶名、運維客戶端、主機名、MAC地址、IP地址、訪問時間以及數(shù)字證書、U-key等多維身份驗證。運維訪問敏感數(shù)據(jù)實時脫敏，對數(shù)據(jù)庫中返回的數(shù)據(jù)配置放行、屏蔽、加密、隱藏以及返回記錄數(shù)等多種脫敏策略。

為了降低敏感度，保證信息安全，還要根據(jù)不同行業(yè)，不同的場景，結(jié)合脫敏技術(shù)的應用，力求達到用戶數(shù)據(jù)使用的要求，進行規(guī)范化的操作。

“輔助”在這呢

主力、助攻都有了，輔助哪去了？

隨著發(fā)展，數(shù)據(jù)時代的到來意味著越來越多的行業(yè)單位開始走入“數(shù)字化”轉(zhuǎn)型的階段。為了與時俱進，近年來各項法律條例的設立成為醫(yī)院和企業(yè)的強有力靠山。

刑法修正案（九）（2015年11月1日施行）、中華人民共和國網(wǎng)絡安全法（2017年6月1日施行）中都提網(wǎng)絡服務提供者需依法履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務。其中，明確提及對泄漏患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應承擔法律責任。

對于醫(yī)院來說，傳統(tǒng)的安全保障體系已經(jīng)不夠用，隨著互聯(lián)網(wǎng)、新型行業(yè)的發(fā)展，醫(yī)院數(shù)據(jù)安全成為保障病人安全的重中之重。

“這種情況下，如何界定科技向善？如何通過引入新的安防技術(shù)以確保醫(yī)院不成為災禍的引發(fā)地？這是我，更是整個醫(yī)療行業(yè)都需要不斷思考的問題?！比钫f道。

雷鋒網(wǎng)注：該文章內(nèi)容出自美創(chuàng)科技舉辦的中國數(shù)據(jù)安全和治理高峰論壇，盛京醫(yī)院計算機中心主任全宇的主題演講。雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。