医疗行业数据安全的主要风险和应对分析（二）

3、医疗行业所面临的“人的风险”

众所周知，医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口：

1. 系统管理员和 DBA
2. 几乎在所有行业中，系统管理员和 DBA（数据库管理员）都是内部数据的主要威胁，在医疗行业中也不例外。从 Verizon 报告中可以看出，在全行业调查中，高达26%的内部威胁是由于系统管理员和 DBA 造成的。而在国内医疗界，信息科也一直是漩涡之地，每次医疗数据泄露事件发生时，信息科总是会成为第一个怀疑对象。

（2）医生或者护士

从 Verizon 数据泄露调查报告来看，来自医生及护士的威胁可能远超于系统管理员。由于医疗数据的个体价值巨大，医生或者护士只需简单地获得权限之内的数据就可以获得巨大收益。但目前由于病案数据的交叉特征，几乎没有医院的业务系统可以实现基于患者授权查询病案数据的机制，因此医生及护士可以遍历所有患者数据。

（3）软件开发商和维护人员

在医疗行业，软件开发商的力量过于强大，甚至会让院方觉得医院数据不是自己的，而是归软件开发商所有。即使是一些顶级医院，医疗系统和数据的命脉都掌控在开发商手中。

（4）驻场服务人员

驻场服务人员的权限等同于 DBA 和系统管理员，同时因其不受医院管理和约束，更易受到外部诱惑而铤而走险。

（5）集体的无意识

相对来说，当前医院对于患者隐私保护的意识相对淡漠，这从核心隐私机密的纸质病案和处方可以被任意重新利用这个环节就可以看出。换句话说，有心人只要不断地在医院收集各种纸质垃圾，就可以获得想要的医疗数据。

4如何防范人的安全风险防范人的安全风险，本质上是保护好我们的员工和伙伴，降低他们接受诱惑的可能性，以避免其犯错。防范人的安全风险需要从两个方面加以努力：机制保证和技术保证。（1）机制保证

机制保证的核心在于降低受到诱惑的机会，降低可能产生的侥幸心理。机制保证主要体现在两点：

一是隔离诱惑，可以在很大程度上避免被动犯错，也可以大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点：最小权限和三权分立。特别是当涉及到高敏感数据和高风险操作访问时，建议建立工作流多级审批机制。

二是责任到人，模糊和共享会导致责任不清，从而助长侥幸心理。当机制可以确保任何行为都可以追溯到个人的时候，事件审计就可以产生巨大的威慑力，降低侥幸心理。

（2）技术保证

大部分机构都具有清晰的安全生产制度，但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性，需要在日常操作中进行技术规范。

• 确认人是真实的人，不是被盗用、伪造、共享的身份。只要可以确认访问数据的人是真实的，就为数据安全奠定了最为坚实的基础。为了确认人是真实的人，需要映射计算机身份和真实身份，并确保这种映射是不可假冒的。双因素或者多因素是确认人是真实的人的基本技术措施。
• 确认所做的事情是真实意愿的表达，不是被胁迫的。真实意愿的表达检测需要依赖于当事人日常行为特征的检测。
• 确认所作的事情是合乎规范的、已被授权的而非越权、合乎流程和控制。合乎规范可以从两个层面加以约束：被允许的操作以及正确的上下文环境。
• 确认风险操作或者所有操作是可审计和可追踪的，风险操作或者所有操作留痕是技术保证的一个基本措施，是增强威慑力和降低侥幸心理的基本技术保障。