【案例】有50T病歷、500T影像的盛京醫院如何保護數據

很多人覺得醫院是最安全的地方，因為這里安保嚴密、秩序井然。實際上，這里偏偏特別容易招“小偷”。他們專偷醫院數據，時常在眾目睽睽下來個“回首，掏”便輕松得手。

醫院資料數據中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應俱全，甚至有的數據還保存著病人的基因信息，“小偷”企圖在黑市倒賣這些數據以此大撈一筆，或者干脆直接威脅醫院用錢來換。

不信？來看看下面這些真實事件：

2018年，南漳縣人民醫院便遭受了黑客攻擊。當時，醫院“三佳醫療信息系統”遭勒索病毒入侵破壞，主、備服務器同時被侵入感染，無法啟用備用服務器，這也讓電腦系統中的藥價等數據及病例憑空消失了。

黑客在植入的“升級版勒索病毒”中注明，要求醫院支付比特幣才肯恢復系統正常運行。醫院后向公安部門報警、聯系相關廠家和系統工程師修復漏洞，這才算度過危機。

然而，就在事件發生后一天，湖南一醫院再度發生一起黑客攻擊事件。黑客攻擊了湖南省兒童醫院的系統，并再次向其中注入勒索病毒，該行為最終導致醫院系統大面積癱瘓，醫院治療進程無法正常運轉。

黑客通過外網攻擊，植入勒索病毒，對醫院HIS服務器文件進行了加密，最終導致醫院系統不可用。

后經調查，發現兩次攻擊黑客使用的勒索病毒是globeimposter家族的變種，其主要以國內公共機構服務器作為攻擊對象，加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等擴展名，并通過郵件來告知受害者付款方式。

類似的盜竊事件在各大醫院不斷上演，這也突顯出保障醫院數據安全的重要性所在。

對于盛京醫院計算機中心主任全宇來說，要想保障醫院數據不被盜，除了要通過監管部門的重重考核，更要與潛在攻擊者們斗智斗勇。

因此在他眼里，醫院就像是一位脆弱的病人，為其預防和診斷病情則需要身懷“十八般武藝”才行。

盛京醫院計算機中心主任全宇

醫院“生病”誰來治？

醫院，救死扶傷之地，用黑客語言來說，就是修復人體漏洞的一群人聚集于此。身為其中一員，全宇認為自己更像是個幕后醫生，因為，他的“病人”不是人，而是盛京醫院本身。

這位“病人”可是很難伺候，因為在盛京醫院，存儲的電子病歷數據有至少50T、影像數據500T。為了方便管理，醫院不得不把一個庫分作歷史庫、在線庫兩個分批儲存。

終端無紙化越多，也就意味著醫療數據越多，管理、前移和保護的難度也會隨之增加。

對于醫院內部，在每次進行數據庫間的倒換數據時，需要付出大量的人力和時間代價。往往一個數據庫的信息導入另一個，需要兩天兩夜的時間。

對于防護難度而言，海量數據的錄入、讀取和存儲都是一項項“大工程”。曾經，醫院嘗試采用磁盤備份重要的資料數據，但時間一長，這些資料會隨著磁條老化而消失，需要時則派不上用場。

對于醫院外部，醫院資料數據中包含全部病人的病例，其中姓名、病情、住址、電話等信息一應俱全，甚至有的數據還保存著病人的基因信息。不少人深知醫院數據有多值錢，因此不知道在醫院周圍，有多少雙眼睛盯著這里，垂涎欲滴地望著這里。

此外，面對日益增多的醫療數據安全事件，監管部門也對各國醫院采取嚴抓嚴打的措施，一旦觸犯相關條例，輕則勒令整改，重則行政處罰。

內憂外患，這是全宇對目前“戰況”的具體概括。相比前線，這里更像是個相互僵持的冷戰現場，而他要做的，是在每一次突襲來臨前將其扼殺在搖籃里。

談到戰術，所謂知己知彼才能百戰不殆。要想保全醫院數據，就要甚至這幫“小偷”最可能的攻擊地點和手段并盡早預防。

So，醫院數據安全的痛點最容易被敵人看成是突破口呢？

首先，是安全運維能力有待提升。

醫院數據的安全工作，是一個繁瑣且費時費力的活。正如上述，醫院信息化越健全，軟硬資源越多，數據庫也就越多越大，巡檢任務重、時間間隔長導致難以及時發現異常。

此外，運維工作總是后知后覺，事態感知醫院數據安全處在后知后覺的狀態。唯有出了問題，才能被發現并啟動故障排查，總是在“救火”和“救火”的路上。

以上問題，是醫院缺少具體專業化數據安全、信息安全的專業運維人員所致，這也體現出傳統行業在安全方面的日常運維能力偏弱。

其次，是數據庫管理手段缺失。

院內外包人員多，存在共用相同數據庫賬號，可訪問、刪除、導出任何數據，缺少安全管理。

這主要體現在運維人員大部分使用綠色版數據庫運維工具，存在安全漏洞及操作后門，缺少專門的操作行為記錄，事件發生后難以快速定位實際使用者和負責人，這些給數據庫自管理造成極大風險。

最后，是容災問題。

問題最突出的表現，是基于雙活容災（即災備系統中使主生產端數據庫和備機端數據庫同時在線運行，處于可讀可查詢的狀態的技術）的存儲無法解決邏輯錯誤，這也導致Oracle RAC無法實現異域容災。

此外，容災技術常規使用的邏輯復制難以解決大字段問題，再加上業務系統故障可視化程度較低，加劇了安全隱患的存在。

這些安全隱患作為醫院數據安全的大“Bug”，成為了攻擊者的突破口。可實際上，眾多醫院面臨著徹底克服轉型難、整頓難、保護難的三大難題。

這時候，第三方安全廠商的介入就顯得必不可少。

醫院眼中的“神助攻”

打過LOL游戲的人都明白，在一場對戰中，助攻、輔助、前鋒、后衛各司其職，其各有所長也各有所短，唯有聚到一起時才算是所向披靡。

放在醫院數據安全上，如果說全宇帶領的團隊是盛京醫院的主力，那么扮演了“神助攻”角色的第三方安全廠商則如多啦A夢一樣，武器、對策一樣不少。

下面，我們來看看“神助攻”給全宇團隊哪些趁手兵器吧！

對策上，從技術、硬件、戰術上研究出一整套應對方案：

安全運維上，盛京醫院使用專門的工具，一方面將數據庫、系統、機房等設備全面監控，實時監控運行情況，這也有效減少了復雜性工作。

另一方面，在出現安全故障時也可以通過中臺直接定位到問題設備，省去排查時間。與此同時，異常出現時平臺將根據嚴重程度匹配警告方式，包括郵件、短信、緊急電話響應等。

權限問題上，盛京醫院為所有運維人員配備了USBkey。這種安全鑰匙人手一枚，各自內置了不同的安全密匙，在USBkey得到授權后，才能對醫院數據庫做進一步訪問。

這就好像胸牌一樣，USBkey+免密登錄的模式為醫院數據庫建起了大門，通過刷卡進“門”、授權到人的方式防止密碼泄露。

攻擊預防上，往往醫院端做安全防護比較困難。全宇透露，很多情況下，我們不敢去給相關的產品打補丁，因為我們不知道這些數據庫系統的特性，這很有可能導致整個平臺直接宕機。

況且，醫院的數據庫產品種類繁多，這就像是一個人的人體，隨意哪個部分被更換了，都有可能造成另外一個關聯部位的病變。

產品上，采用數據庫攻擊預防+虛擬補丁的方式解決問題：

1、對攻

首先，允許該安全平臺訪問數據庫的SQL操作，全部解析還原，匹配策略規則。一旦發現漏洞，就用虛擬補丁的方式完成修復。

采用虛擬補丁的好處是，不需要為數據庫修復漏洞，不影響數據庫系統穩定性，不需要停止數據庫服務以及不需要進行回歸測試。

上述特點，極大程度降低了醫院數據安全保障的成本，避免安全防護期間一些不必要的問題出現。

2、對防

容災問題上，全宇覺得這是給醫院數據上的一道“鎖”。盡管目前為止容災安全的保障措施并未被激發過，但對于盛京這樣的大醫院來說，攻擊者是有利可圖的，因此也要做好防護。

災備平臺可以用Oracle的小型機做到日志同步，這可以有效防止存儲級邏輯錯誤。

比如存儲層面的雙活或鏡像，數據塊發生了邏輯錯誤，壞的數據無法被檢測到，導致所有的數據無效。通過數據庫日志同步方式，保障應用級別的數據一致性，抵御底層錯誤地傳播。

面對大字段問題，該災備平臺通過采用物理復制的災備技術手段，盡可能避免這種情況出現，而對于醫院來說，災備預演的重要性遠比部署安全產品來的重要。

全宇稱，一開始，我們并不理解災備演練這項功能的存在意義，但是，隨著進行過幾次演練后我們發現，當真實的攻擊事件發生后，數據庫資料的快速備份、恢復和溯源尤為重要。但是，如果它們有問題呢？如果人工操作有誤呢？

因此，災備預演為盛京醫院搭建了一個檢測、培訓和模擬災情的平臺，這對于非專業機構在關鍵時刻做出有效的安全防護措施有著至關重要的作用。

也就是說，容災安全平臺是醫院數據安全的最后一道防線。

上面提到，醫院內部會產生大量的非紙質敏感數據資料。這些資料的安全存儲、調用是一大難題。

其解決方案是將信息脫敏技術運用其中，進而實現在不影響檢索/維護的情況下保障病人隱私。

目前，數據脫敏的體系，包括戰略、機制、技術支撐三個領域，從上到下的指導，從下到上的推進，形成多層次、多維度、多視角的全方位體系架構，確保數據脫敏工作有序的執行：

找準數據脫敏體系的目標，數據脫目標包括數據脫敏目的（國家、監管部門、企業），數據脫敏后使用場景，滿足哪些業務要求。滿足法律法規、政策標準規范，數據安全管控分類分級，數據使用部門職責劃分等，保證體系安全，協調數據提供方和數據使用方，提高體系運轉。

規范數據脫敏體系的制度，按照2017年6月發布的《網絡安全法》《電子商務法》《個人信息保護規范》，制定數據脫敏政策，數據脫敏制度，數據脫敏細則，數據脫敏規范的規章制度，做事前事后的數據準備、數據執行，同時，保證整個業務過程安全可控，當發現問題時，進行審計追蹤，及時解決。

針對醫院數據安全防護的特征，將靜態數據脫敏主要運用到開發/測試類，開發/測試類，提取/上報類，建立關系型數據庫。將動態數據脫敏用于數據共享交換和運維管理。

數據共享交換分兩種，一種是通過文本或表格數據去交換，另一種是Kafka、數據請求API（XML/JSON）。運維管理的身份鑒別有，根據數據庫用戶名、運維客戶端、主機名、MAC地址、IP地址、訪問時間以及數字證書、U-key等多維身份驗證。運維訪問敏感數據實時脫敏，對數據庫中返回的數據配置放行、屏蔽、加密、隱藏以及返回記錄數等多種脫敏策略。

為了降低敏感度，保證信息安全，還要根據不同行業，不同的場景，結合脫敏技術的應用，力求達到用戶數據使用的要求，進行規范化的操作。

“輔助”在這呢

主力、助攻都有了，輔助哪去了？

隨著發展，數據時代的到來意味著越來越多的行業單位開始走入“數字化”轉型的階段。為了與時俱進，近年來各項法律條例的設立成為醫院和企業的強有力靠山。

刑法修正案（九）（2015年11月1日施行）、中華人民共和國網絡安全法（2017年6月1日施行）中都提網絡服務提供者需依法履行法律、行政法規規定的信息網絡安全管理義務。其中，明確提及對泄漏患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應承擔法律責任。

對于醫院來說，傳統的安全保障體系已經不夠用，隨著互聯網、新型行業的發展，醫院數據安全成為保障病人安全的重中之重。

“這種情況下，如何界定科技向善？如何通過引入新的安防技術以確保醫院不成為災禍的引發地？這是我，更是整個醫療行業都需要不斷思考的問題。”全宇說道。

雷鋒網注：該文章內容出自美創科技舉辦的中國數據安全和治理高峰論壇，盛京醫院計算機中心主任全宇的主題演講。雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。