2017年4月，某部委医疗服务系统、某省扶贫网站被黑，7亿多条个人信息泄露；

2017年5月，20多万条新生婴儿信息自某市疾病预防控制中心泄露，被用于电话推销新生儿保健品；

2017年11月，某高校附属妇产医院发生主管医师非法统方案件，相关涉案人员因非法获取计算机信息系统数据罪被法院判处有期徒刑2至3年不等……

更加令人担忧的是，类似上述安全事件正呈现上升趋势，患者隐私信息泄露和非法“统方”已成为当前医疗行业的两大重灾区！

一、形势严峻

1、“互联网+”医疗让环境变复杂

随着我国互联网化的快速推进以及“互联网+”等新兴业态的不断涌现，互联网现已渗透至医疗领域的各个环节，客观上导致原本相对封闭的使用环境被逐渐打破，信息聚集更加便捷，医疗行业在获得高速发展的同时也面临着新的挑战。 

2、网络黑灰产业来势汹汹

新业务的开展和新应用的部署，让大量业务信息与公民个人信息暴露在互联网上。其中，与百姓健康息息相关的医疗卫生数据越来越受到黑客关注，以营利为目窃取个人隐私数据的黑产发展迅速，黑客能够非常精准地获取数据，继而进行精确诈骗,数据泄漏已成全民公害、防不胜防。 

3、非法“统方”

统方，是医院对医生“用药量”信息的统计。统方活动，是医院为了解医生用药情况而必须采取的活动；然而，因商业目的开展的非法统方可能导致患者利益受到损害，是滋生医药回扣黑链的重要一环，也是数据安全隐患的突出表现，现已成为国家和媒体关注的重要社会焦点问题。

二、问题分析

1、传统安全误区

对数据安全领域没有足够认知或产生错误分析，往往会导致设计出无效的安全解决方案，下面是几种最普遍的安全性误区 

误区1：黑客是大部分安全事件的主因。事实上，80%的数据丢失来自内部；

误区2：网络防火墙可以保证数据安全。事实上，尽管安装了防火墙,高达40%的网络入侵仍会发生；

误区3：加密可以保证数据安全。事实上，加密仅仅是保护数据安全的一种途径,此外还需要考虑访问控制、数据完整性、系统可用性以及审计等方面。

2、数据安全风险

（1）数据管控风险：虽然医疗组织正在逐渐增强数据安全意识，但关于数据管控尚未建立统一管理机制，制度的完善相对滞后；

（2）外部攻击风险：医疗行业数据价值高，很容易引发来自互联网的攻击行为，漏洞如果无法及时修复，自然会为外部攻击提供途径，因此要采取有效措施应对外部攻击风险；

（3）数据交换风险：为了规避数据交换风险，需要建立科学的对外数据交换标准，提高数据安全要求；同时强化对病患敏感数据的脱敏处理能力；

（4）数据泄露风险：内部人员的权限管控制度如不完善，非权限人员便可随意访问病患隐私信息，数据泄露风险很大；加之内部人员监管手段不足，引发取证难等更多问题。

3、非法“统方”场景分析

（1）医疗系统使用者非法“统方”；

（2）开发人员、维护人员非法“统方”；

（3）黑客入侵医疗系统非法“统方”。

三、应对思路

安华金和经过在医疗行业丰富的安全实践积累，提出以下应对思路：

1、加强医疗数据管理

对现有医疗核心系统，如医院的HIS系统、LIS系统、PACS系统，以及卫计委的区域卫生工作平台、社区卫生公共服务平台等系统的数据库资产和数据资产进行全方位梳理，及时发现包含患者隐私信息的数据库用户分布及权限详情，深度挖掘僵尸库以及病患敏感数据的分布（包括患者的姓名、联系方式、身份证号等）；对包含患者敏感数据的表、模式、库进行敏感度评分，并进一步对医疗数据进行分类分级；对医疗核心数据资产进行周期性动态分析，实时动态掌握数据资产变化及使用趋势，做到对医疗数据的风险预估和异常评测。

2、加强数据库安全防护

（1）综合评估数据库“弱点”

建议通过专业度及成熟度较高的数据库“弱点”评估技术，对现有医疗核心数据库的运行状态进行周期性监控和综合风险评估，评估范围覆盖医疗DBMS漏洞、管理员维护漏洞、程序代码漏洞和高危敏感医疗数据检测四个方面；充分暴露并证明数据库自身的安全漏洞、弱配置项、缺省配置项、弱口令、缺省口令、易受攻击代码、程序后门、权限宽泛等安全风险，继而根据修复建议，有针对性的对数据库进行安全加固。

（2）让攻击“进不来”

医疗行业的业务系统环境复杂，普通三级医院便可具备一百套以上的医疗系统，数据库为这些医疗系统开放了繁杂的接口，而医院因考虑到业务稳定性，无法及时更新或不能更新数据库补丁，因此需要在各类医疗系统的数据库外围创建一个安全防护层，即虚拟补丁，并通过虚拟补丁对CVE上已公开的数据库漏洞进行全方位攻击特征拦截。漏洞分类涵盖缓冲区溢出、权限提升、拒绝服务攻击等，从而实现在数据库不打补丁的情况下也能完成数据库漏洞防护的目的。

（3）让数据“拿不走”

为了防止黑客或内部高权限用户整体拖库，造成大批量明文数据泄露，需对数据库中存储的敏感数据进行加密。通过多级权限控制体系，按角色、IP地址、时间范围对密文进行访问控制，并通过对应用程序或系统进行摘要值和连接随机种子的判定，保证应用身份标识不可伪造，合法连接不可重放，实现医疗数据被盗后无法查看明文的目的。

（4）事后追溯

对医生、护士、his系统的维护、DBA、外包等人员的数据库操作行为进行全量记录，记录信息需包含应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范畴等20多类元素。对于外部发起的数据库漏洞攻击、恶意SQL注入行为、非法业务登录、高危SQL操作和批量医疗数据下载，及时发现并告警。

3、加强第三方数据交换管理

对于各类医疗系统的开发测试以及医疗数据分析人员或第三方医疗疾病大数据分析公司需要使用数据的情况，建议通过专业技术对敏感数据进行自动识别和统一管理，针对共享数据中包含的患者个人隐私数据，采用脱敏算法将敏感数据转化为虚构数据，隐藏真正的患者敏感信息，防止各机构内部对隐私数据的滥用。

对于医院上报给第三方医疗机构，如卫健委、疾控中心等的医疗数据，其中若包含患者隐私信息或其他敏感处方信息，建议对数据行为进行流程化管理，对医疗数据外发行为进行事前数据发现梳理、申请审批、事中添加数据标记、自动生成水印、外发行为审计、数据源追溯等，避免内部人员外发数据泄露无法进行追溯。

4、加强数据访问管理

对于医生、护士、医院外包服务人员、院方内部运维人员、医疗数据分析人员、医院各类系统的研发和测试团队需要访问数据的情况，建议在不影响其正常工作的前提下，通过相关技术准确识别敏感数据访问行为，采用多级权限管控手段，针对其访问过程中接触的用户隐私信息及其他敏感信息，在数据库通讯协议层面，通过SQL代理技术实现完全透明的、实时的动态遮蔽；根据不同业务用户身份、不同业务功能模块进行遮蔽配置，以适应复杂环境下的敏感数据使用需求。 

通过“用户+操作+对象+时间”的控制策略，防止大规模医疗数据泄露或篡改，防止批量数据查询和下载，以及敏感表非法访问。对于内部高权限用户的高危操作，针对应用系统初始建模和高危SQL语句定义，捕获所有应用访问SQL语句，形成语法抽象，用户根据风险确定黑名单或白名单，一旦触发黑名单则对其进行拦截，如果特殊场景下必须执行高危命令，则需要进行申请，审批通过后方可执行。

5、做到真正意义上的防“统方”

（1）对于需要进行合法统方工作的药房管理人员/药剂师的统方行为进行敏感数据遮蔽；

（2）对运维侧的医生姓名/编号、药品数量等字段进行脱敏，对其他一切无需统方人员的统方行为进行“拦截+告警”；

（3）对于黑客入侵数据库实施的统方行为进行“拦截+告警”，并对药品编号、数量等进行加密。