用数据安全“摄像头”,洞悉医疗行业网络与数据安全风险
转载自 CHIMA 公众号
阅读提示 | 5350字 5分钟
详细为您介绍数据安全在医疗行业的价值与应用
我国网络安全建设随着等级保护的贯彻执行已经取得了一定成效,但是在数据安全方面依然还处于起步阶段。2021年,国家先后发布实施了多项数据安全法律法规:《数据安全法》自9月1日起施行,《个人信息保护法》自11月1日起施行等。我们正处于信息化、数字化、智能化推动卫生健康工作实现变革的关键时期。
《“十四五”全民健康信息化规划》分解
2022年11月,国家卫生健康委、国家中医药局、国家疾控局编制印发了《“十四五”全民健康信息化规划》,其中网络安全与数据安全方面的关键内容分解如下:
夯实网络安全与数据安全保障体系任务:
1)在医疗行业特别是医院中,全面落实网络安全和数据安全相关法规标准,尤其注意数据安全相关标准的落实。
2)综合性医院中存在大量敏感数据,需要在信息化建设的基础上,补充完善网络安全和数据安全的责任体系、管理制度及通报机制,完善数据安全管理制度。
3)基于医疗行业各单位的等保二级或三级相关安全技术手段的建设情况,增强网络安全和数据安全应急响应能力,在出现风险事件时具备追溯能力。
4)打造并增强适用的网络安全和数据安全技术手段,提升相应管理能力。
数据安全能力提升优先行动:
1)医疗行业的数据保护从严格核心数据管控、加强重要数据保护、规范一般数据管理出发,需要分清业务数据的类型和等级,分级管理。
2)医疗数据特别是大量临床研究数据,需要对跨区域流通过程进行识别和管理,加强重要数据和个人信息出境安全评估、监测和检查,及时发现安全隐患,防止数据违规出境。
3)补充医疗单位网络安全监控体系,建设数据安全态势感知平台,丰富技术检查监测手段。打通数据安全监控和网络安全监控的壁垒,数据安全基于网络安全管理,处于有机结合的状态。
4)使用相关技术手段对业务系统形成保护,做好个人信息安全保护,重点保护大规模个人信息和敏感个人信息,让患者隐私得到最大保护,让患者数据在最小范围内受控访问。
医疗行业数据安全现状
医疗行业关系社会民生,包含大量个人隐私信息,而以医院为主的医疗机构信息安全防护水平尚需提高,这使得医疗卫生行业成为勒索病毒、数据泄密的重灾区。中国信通院发布的《2020数字医疗:疫情防控期间网络安全风险研究报告》显示,受调查的医疗单位中近三成存在数据资产泄露风险,有7080家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的44.39%,数据泄露与勒索病毒攻击已成为医疗行业突出且迫切需要解决的问题。
另外,从中国医院协会信息专业委员会(CHIMA)发布的《2019-2020年度中国医院信息化状况调查报告》中可以看到,在1017家医院单位的信息化应用软件中,存在产品标准依从性差(58.51%)、产品功能落后(40.81%)、产品稳定性不够&运行风险较大(34.41%)、产品采用的技术已过时&跟不上技术发展(30.09%)等问题,不存在问题的仅占2.26%,现有医院信息化系统建设内容以业务为中心,应用软件在安全保护方面的功能设计较少,为数据安全事件的发生提供了“温床”。
以典型的就医过程为例,一般患者就医到门诊登记,系统录入个人身份信息;重症患者办理住院,各类信息录入电子病历系统,这些数据都具备高敏感性及高医学价值等特性,医疗数据从采集到交换、使用都面临着诸多风险。这些风险主要是数据违规交换、未知数据泄露、业务连续性及数据库脆弱性风险等。
数据滥用风险
医疗数据随着网络和应用互联互通,在远程医疗、临床研究、器械维护、商保等应用场景中,数据交换频繁,涉及多类数据和人员角色。技术人员较难监测数据资产的流转过程,无法有效识别数据交互活动参与人员的异常行为。
数据泄露风险
医院有很多专业医疗器械和配套软件是由国际公司或其代理服务商提供的,这些软件、系统和器械在日常业务中采集并处理大量医疗数据,设备因监控维护需要往往连接互联网。技术人员无法识别设备与互联网的通讯数据,可能出现数据外发甚至未经审批出境的情况。
系统脆弱性风险
三甲医院一般拥有包括医院信息系统(HIS)、实验室信息管理系统(LIS)、医学影像存档与通信系统(PACS)等在内的一百多套医疗业务系统。在技术人员有限的情况下,以业务可用为首要目标,大部分数据库无法及时更新或不能更新安全补丁,无法对访问账户进行数据层面的控制,系统中存在较多的弱口令,上百套业务系统的API数据接口缺乏安全检查,部分在线业务接口数据交互无安全验证,这些问题使业务系统和业务数据库存在较高风险。
数据安全治理与建设探索
医院数据安全风险除了数据泄露、数据滥用等,还可能存在数据篡改、违规传输、非法访问、流量异常和其他数据暴露风险。
数据泄露:可能由内部主观行为或网络黑客攻击导致。
数据滥用:可能是内部人员对数据超范围、超用途、超时间使用导致。
数据非法访问:数据管理权限分配错误、内部攻击或外部黑客攻击等造成。
违规传输数据:可能是内部人员忽视了数据管理要求,未按照有关规定,擅自跨网络传输敏感数据。
数据篡改&流量异常:原因包括网络攻击、病毒扩散等,因此出现不受控的设备流量规模异常、流量内容异常。
以上场景的数据风险不论来自内部还是外部,对于管理员来说,目前只能通过已经实施的网络安全系统来发现与网络攻击有关的告警,无法真正弄清数据层面的交互情况。当面对溯源数据泄露、数据滥用等问题时,对于涉及的具体数据是什么、数据量有多少、行为人是谁等问题,现有手段无能为力。
结合医疗行业现状与《“十四五”全民健康信息化规划》,医院机构的数据安全保护与建设,和网络安全一样,需要在管理层面和技术层面并行规划、双管齐下。
在技术层面,常见的数据保护措施有备份、加密、脱敏、数据库审计、数据防泄漏等,在医院机构中应用较多的是备份和数据库审计,随着医院各类业务系统国密改造的实施,部分业务数据会应用加密技术进行保护。这几类数据保护技术能起到其特定作用,但是当出现数据安全事件时,依旧无法帮助管理员看清出现问题的数据和过程,本质原因是对数据本身和交互过程不能清晰地检查监测,即无法对各业务系统的交互数据、用户账户、访问权限实施全面的活动过程溯源。
如果有一套技术手段能够像“摄像头”一样,回放数据交互、数据活动,那么以上问题将迎刃而解。比如应用端与网络的数据采集和集中分析,绘制以数据为中心的所有交互用户、设备、应用等四维关系画像,最终呈现动态数据的流转可视。
在管理层面,通常建立制度落实责任人,这种管理是比较笼统的。一项关键的管理措施是,从数据层面落实核心数据、重要数据、一般数据的分级分类。分级分类大部分是静态方式,即采用表格统计方式对系统数据进行分级分类规整。静态规整不利于数据安全分析,需要从静态规整转变为动态实时分类管理。这种转化需要技术手段,从实时交互的数据中把具体数据与分级分类进行关联,达到动态数据分级分类管理的效果。
数据既有实时分级分类,也有深度数据与访问关系视图,分析和解决数据安全风险将变得有的放矢,这是开展数据安全治理和落实数据保护措施的有效手段。
元溯“数据摄像头”,夯实数据安全管理
一、感知内部网络与互联网边界交互流动的数据
对医院内网与互联网边界交互流转的数据内容进行监测分析,实现流动数据的可视化呈现,让医院数据的使用过程变得可见。
识别医院网络中承载数据交互的协议,主要包括:
对数据内容的识别过程是分析人与数据网络活动的过程,密切关注其中的数据流向,对数据内容进行还原和进一步分析,依据关键内容对数据进行分类分级,从而把网络中的流转数据和网络活动的关键信息记录下来,以数据为中心关联所有与之相关的人员交互,为后续数据安全事件溯源提供详细的可视化分析能力。2-8层数据关联分析如下:
二、健康医疗数据分类分级标签化管理
在实操过程中可以参考《信息安全技术 健康医疗数据安全指南》GB/T 39725-2020标准,其对业务数据按照六个类别进行分类处理,具体分类为:个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。这些数据可以依据使用范围划分为五个级别,分别为:第一级,完全公开使用;第二级,在较大范围使用;第三级,在中等范围使用;第四级,在较小范围使用;第五级,在极小范围使用。
基于医院业务数据还原与内容识别能力,结合国家标准完成对医疗数据的级别定义、类别定义、数据元素定义,建立数据的整体归类识别策略,对数据实时扫描分析,按照业务系统、文件类型、内容匹配进行数据资产的管理。扫描过程可基于内容和数据特征,实现准确的医院数据分级分类管理。
识别和实现流动数据的自动化、标签化管理是一方面,另一方面是建立以多维数据标签为手段、以数据为中心的管理方法。通过数据识别策略、数据内容、数据类型、相关关联属性进行数据资产管理,实现多种关键指标辅助数据安全分析管理。医院自动化分级分类数据标签管理示例如下:
三、敏感数据传输监测,感知散播范围和数据出境
根据健康医疗数据分类分级标签化管理的一些要求,对多种敏感数据制定预警策略。这些数据可以是文档类、表单类、API交互类、数据库语言类等,分析数据特别是业务敏感数据的跨网流转,为管理者解决敏感数据在网络空间中分布和流动可见性的问题。
分析网络中流转的数据,将还原数据按照分类分级策略进行扫描,根据数据标签决定数据的敏感性,进一步结合数据信息的网络地址特征,展示敏感文件和可疑出网数据的传输动态与流转路径。
对医院数据的出境活动进行监控和过程审计,依据数据分布、种类分布、地区分布、出境应用、出境用户等维度,对出境数据和出境交互过程进行可视化展示。
对出境数据交互活动,提取并聚合所有出境数据文件的名称、类型、大小、数据级别、数据类别、活动、用户数、设备数、应用数、最近活动时间等信息。管理员对于单项数据违规出境事件可以实现清晰的线条过程分析,这是网络安全产品不具备的技术能力。出网数据综合监控如下:
四、数据安全风险管理,感知越权访问和数据泄露
流动数据的管控和风险管理是医院网络管理员最头疼的问题,往往只能通过网络手段来规范数据流向,没有办法真正从数据层面看清这种流动。一种解决思路是,在业务数据使用前,进行数据访问的路径规划和规则保护;在数据使用过程中,考虑进行安全行为监控和违规预警;在数据使用后,进行数据活动的留痕和审计。结合这种思路,解决数据与人员、数据与设备、数据与业务系统的关联分析,解决数据深度关系分析,是谁(用户)、在什么设备上、通过什么手段(协议及应用)、把数据信息从什么地方(源IP)、以什么身份(应用登录ID)、送到什么地方(目的IP),使数据的复杂交互过程清晰化、线条化,简化了数据安全事件的追溯分析。
我们从数据、用户、访问可视的角度,识别数据交互过程中用户、应用、业务敏感性、设备、IP地址、时间、地点等关联信息。实现特定文件、邮件、业务系统的用户追踪、位置追踪和活动追踪,追踪其在网络中的流转路径,每个路径节点涉及的用户、地理位置和网络活动过程,形成完整的数据线条记录。
从数据、用户、设备、应用四个维度,持续进行数据行为挖掘,对用户和实体行为进行分析,从采集流量中提取各个层面的信息并进行2-7层关系分析,识别关联业务ID、用户实体信息、IP地址、MAC地址、主机名、应用类型、文件名称、文件类型、HASH值、识别策略、关键字信息,形成“数据-用户-设备-应用”四维视图,达到数据溯源分析的目标。
数据风险分析的过程是对数据安全事件溯源的过程,通过完整数据交互线条分析技术,使管理员解决数据不易溯源的问题,让管理员可以通过正文内容、数据类别、数据级别、识别策略、用户数、设备数、应用数等多种数据分析维度,实现数据风险管理。以数据为中心、以时间为线条的数据追溯过程如下:
五、数据安全违规与风险事件的自动化响应和处置管理
数据安全事件往往很难主动发现,因此数据安全违规或泄露等风险事件的安全响应通常是滞后的,数据损失已经不可挽回。信息传递都是通过网络进行的,出现风险事件时有效的阻止手段是立即实施网络策略封堵,使其数据包无法进行传输。
从数据识别、数据分级分类、敏感数据活动监测、数据风险行为预警等维度,可以为医院建立一套数据安全技术检查监测手段,实现数据安全应急响应,把数据安全和网络安全结合起来,在出现数据安全风险时通过网络安全手段进行处置,即通过网络安全策略管控实施封堵。帮助管理员实现数据安全预警管理到网络安全处置管理的跨安全系统管理,让数据安全监测手段成为网络安全保障体系的一部分,弥补数据安全能力的短板。基于敏感数据或行为的告警触发如下:
此时,医院管理员在应对数据活动中的各种违规行为时,包括数据泄露、脱敏违规、数据滥用、违规流转等,可以实现监测识别与告警、网络安全策略封堵管理、数据安全最小化影响及数据安全事件的完整溯源分析。
定位于数据摸底和数据资产优先级管理,安博通“元溯”数据资产监测与溯源分析平台实现了数据安全可视化管理,协助落实《“十四五”全民健康信息化规划》中关于网络安全和数据安全的主要任务与优先行动。增强网络安全和数据安全的应急响应能力与管理能力,严格核心数据管控、加强重要数据保护、规范一般数据管理;加强重要数据和个人信息的出境安全评估、监测与检查,及时发现安全隐患,防止数据违规出境;建设数据安全态势感知,丰富技术检查监测手段;做好个人信息安全保护,重点保护大规模个人信息和敏感个人信息。