首 页用数据安全“摄像头”夯实网络与数据安全保障
医疗行业数据安全行动规划
我国网络安全建设随着等级保护的贯彻执行已经取得相关成效,但是在数据安全方面还存在较大问题。2021年先后发布和施行了多部关于数据安全的法律法规:《中华人民共和国数据安全法》自2021年9 月1日起施行,《中华人民共和国个人信息保护法》自2021年11月1日起施行。
“十四五”时期是全民健康信息化建设创新引领卫生健康事业高质量发展的重要机遇期,也是以数字化、网络化、智能化转型推动卫生健康工作实现质量变革、效率变革、动力变革的关键窗口期。
2022年11月7日,国家卫生健康委、国家中医药局、国家疾控局为贯彻落实党中央、国务院的决策部署,统筹推动全民健康信息化建设,根据全民健康信息化工作面临的新形势新任务,坚持“统筹集约、共建共享,服务导向、业务驱动,开放融合、创新发展,规范有序、安全可控”的基本原则,以引领支撑卫生健康事业高质量发展为主题,编制印发《“十四五”全民健康信息化规划》(国卫规划发〔2022〕30号),在网络安全与数据安全方面提出主要任务和优先行动,关键内容分解如下:
夯实网络与数据安全保障体系任务:
在医疗行业中特别是医院要全面落实网络安全和数据安全相关法规标准,特别是补充数据安全相关标准的落实。
医疗行业特别是综合性医院中存在大量的敏感医疗数据,在信息化建设上补充完善网络安全和数据安全责任体系、管理制度和通报机制,完善数据安全管理制度。
基于医疗行业各单位二级或三级等级保护相关安全技术手段建设情况,增强网络安全和数据安全应急响应能力,在出现风险事件特别是数据风险事件时具备追溯能力。
打造并增加适用的网络安全与数据安全技术手段,提升网络安全和数据安全管理能力。
数据安全能力提升优先行动:
医疗行业的数据保护从严格核心数据管控、加强重要数据保护、规范一般数据管理出发,分清业务数据的类型和等级,按等级进行管理。
医疗数据特别是大量的临床研究数据,对跨区域流通的过程进行识别和管理,加强重要数据和个人信息出境安全评估、监测和检查,及时发现安全隐患,防止数据违规出境。
补充医疗单位网络安全监控体系,建设数据安全态势感知平台,丰富技术检查监测手段。打通数据安全监控和网络安全监控的壁垒,数据安全基于网络安全管理,是有机结合的状态。
使用相关技术手段对业务系统形成保护能力,做好个人信息安全保护,重点保护大规模个人信息和敏感个人信息。让患者的隐私得到最大的保护,让患者的数据在最小的范围内进行受控访问。
以医院为代表的数据安全现状
医疗行业关系社会民生,涉及大量个人隐私信息,而以医院为主的机构信息安全防护水平有限,导致医疗卫生行业成为勒索病毒、数据泄密的重灾区。中国信息通信研究院发布的《2020 数字医疗:疫情防控期间网络安全风险研究报告》显示,受调查的医疗单位中近三成存在数据资产泄露风险,有7080家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的 44.39%,数据泄露事件与勒索病毒攻击事件成为医疗行业突出且迫切需要解决的问题。另外,从中国医院协会信息专业委员会(CHIMA)发布的《2019-2020年度中国医院信息化状况调查报告》中可以看到在1017家医院单位的信息化应用软件上,产品标准依从性差(58.51%),产品功能落后(40.81%),产品稳定性不够、运行风险较大(34.41%),产品采用的技术已经过时、跟不上技术发展(30.09%),不存在问题的仅占2.26%,能够看出医院信息化系统建设内容以业务为中心,应用软件在安全保护方面的功能设计较少,为数据安全事件的发生提供了“条件”。
以典型的就医过程为参考,一般患者就医到门诊登记,系统录入个人身份信息,重症患者办理住院,各类信息录入到电子病历系统。这些数据具备高敏感性以及医学价值等特性,医疗数据从采集到交换使用面临着诸多的数据安全风险,这些风险主要是数据违规交换风险、未知数据泄露风险、业务连续性风险以及数据库脆弱性风险等。
(一)数据滥用
医疗数据随着网络和应用互联互通,在远程医疗、临床研究、器械维护、商保等医疗等应用场景中数据交换频繁,涉及多类数据和大量角色和人员。院方技术人员无法有效的监测数据资产流转过程,无法有效地识别数据交互活动参与人员的异常行为。
(二)数据泄露
医院有较多的专业医疗器械和配套软件由国际公司或者其代理服务商提供,这些软件、系统和器械在日常业务中采集并处理大量的医疗数据。设备因监控维护需要往往连接互联网。技术人员无法识别设备与互联网的通讯数据,可能出现数据外发、甚至未经审批出境。
(三)系统脆弱
三甲医院一般拥有包括医院信息系统(HIS)、实验室信息管理系统(LIS)、医学影像存档与通信系统(PACS)等在内的超过一百套的医疗业务系统。在技术人员有限的情况下,以业务可用为首要目标,大部分数据库无法及时更新或不能更新安全补丁,无法对访问账户进行数据层面的控制,系统中存在较多的弱口令,上百套业务系统的API数据接口缺乏安全检查,部分在线业务接口数据交互无安全验证,这使得业务系统和业务数据库安全风险很高。
医院数据安全治理与建设探索
医院数据安全风险除了常见的数据泄露、数据滥用,还可能存在数据篡改、违规传输、非法访问、流量异常、其他数据暴露风险等。
出现数据泄露的原因可能是内部主观行为,也可能因网络黑客攻击而导致。
出现数据滥用的原因可能是内部人员对数据超范围、超用途、超时间使用。
出现数据非法访问可能的原因是数据管理权限分配错误、内部攻击或者外部黑客攻击。
出现违规传输数据可能的原因是内部人员忽视了数据管理要求,未按照有关规定擅自跨网络传输敏感数据。
出现数据篡改、流量异常可能的原因是网络攻击或者病毒扩散,出现不受控的设备数据流量规模异常、流量内容异常。
以上场景的数据风险不论是内部还是外部因素,对于管理员来讲目前只能够通过已经实施的网络安全系统来发现一些和网络攻击有关的告警,无法真正的弄清数据层面的交互情况,也就是面对溯源数据泄露、数据滥用等风险问题时涉及的具体数据是什么、数据量有多少、行为人是谁无能为力。
结合这种行业现状,国家《“十四五”全民健康信息化规划》以标准、制度、体系、机制为纲领,以管理能力、应急响应能力为目标,以规范数据、评估出境、检查监测、保护信息为具体措施给出了明确的建设路线。医院的数据安全保护和建设同网络安全一样需要在管理层面和技术层面双管齐下并行规划。
在技术上,常见的数据保护措施有备份、加密、脱敏、数据库审计、数据防泄漏,这些技术在医院中应用比较多的是备份和数据库审计,随着医院各类业务系统国密改造的实施,有一部分业务数据会应用加密技术进行保护。这几类数据保护技术能起到其特定的作用,但是当出现数据安全风险事件时依旧无法使管理员能够看清出问题的数据和问题过程,本质原因是对数据和数据交互过程不能实现清晰的检查和监测,即无法对各业务系统交互的数据、用户账户、访问权限实施清晰的活动过程溯源。如果有一套技术手段能够像摄像头一样可以回放数据交互、回放数据活动风险,以上问题将迎刃而解。比如应用端与网络的数据采集与集中分析,完成以数据为中心的所有交互用户、设备、应用等四维关系画像,可以呈现动态数据的流转可视化。
在数据管理上,通常建立制度落实责任人,这种管理是比较笼统的。有一项关键的管理措施是要从数据层面落实核心数据、重要数据、一般数据的分级分类。分级分类大部分是静态方式,即应用表格统计的方式将系统的数据进行分级分类规整。静态规整不利于数据安全分析,所以需要从静态规整方式转变为动态实时数据分类管理。这种转化是要用到技术手段可以从实时交互的数据中把数据和分级分类进行关联结合来达到动态数据分级分类管理效果。
数据既有实时的分级分类,也有深度的数据和访问关系全息画像,分析和解决数据安全风险将变得有解,这是开展数据安全治理和落实数据保护措施的有效手段。
元溯“数据摄像头”夯实数据安全管理
(一)感知医院内部网络与互联网边界交互流动的数据
对医院内网网络与互联网边界交互流转的数据内容进行监测分析,实现流动数据的可视呈现,这可以使医院数据的使用过程变得可见。
识别医院网络中承载数据交互的协议,主要识别:
对数据内容识别过程是分析人与数据的网络活动,密切关注其中的数据流向流动,对其数据内容进行还原和进一步内容分析,依据关键数据内容对数据进行分类分级,从而把网络中流转数据和网络活动的关键信息进行关联并记录下来,并以数据为中心关联起所有和这个数据有关的人员交互,这样可以为以后的数据安全事件溯源提供详细的可视化分析能力。2-8层数据关联分析如下:
(二)健康医疗数据分类分级标签化管理
健康医疗数据分类分级在实操过程中可以参考《信息安全技术 健康医疗数据安全指南》GB/T 39725-2020标准对其业务数据按六个类别进行分类处理,具体分类为;个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。数据可以依据使用范围按五个级别进行划分,具体划分为:第一级:完全公开使用;第二级:在较大范围使用;第三级:在中等范围使用;第四级:在较小范围使用;第五级:在极小范围使用。
基于医院业务数据还原与数据内容识别能力,结合国家标准完成对医疗数据进行级别定义、类别定义、数据元素定义,建立数据的整体归类识别策略,对数据实时扫描分析,按照业务系统、文件类型、内容匹配进行行业数据资产的管理。扫描过程可以基于内容扫描和数据特征扫描,实现准确的医院数据分级分类管理:
识别和实现自动化流动数据的标签化管理是一方面,另一方面建立以多维数据标签为手段,以数据为中心的管理手段。实现以数据识别策略、数据内容、类型、相关关联属性来进行数据资产管理,实现以多种关键指标来辅助数据安全分析管理。医院自动化分级分类数据标签管理示例如下:
(三)敏感性数据传输监测,感知数据散播范围,感知数据出境
根据健康医疗数据分类分级标签化管理的一些要求,对多种敏感数据制定预警策略,这些数据可以是文档类,表单类,API交互类,数据库语言类等等,分析数据跨网流转,特别是业务敏感数据信息流转,从而为管理者解决敏感数据在网络空间中分布和流动可视的问题。
对网络中流转的数据进行分析并把还原的数据按数据分类分级策略进行扫描、根据数据标签决定数据的敏感性,进一步结合数据信息的网络地址特征,展示这些敏感文件、可疑出网数据的传输动态,网络流传路径。
对医院数据出境活动进行监控和过程审计,依据数据分布、种类分布、地区分布、出境应用、出境用户等对出境数据与出境交互的过程进行可视化展示。
在出境数据交互活动中,提取和聚合所有出境数据文件的文件名称、类型、大小、数据级别、数据类别、活动、用户数、设备数、应用数、最近活动时间等信息。这样管理员对于一个数据违规出境行为事件可以实现清晰化的线条过程分析,这是网络安全产品所不具备的技术能力,出网数据综合监控如下图:
(四)数据安全风险管理,感知越权访问、数据泄露
流动数据的管控和风险管理是医院网络管理员最头疼的问题,往往只能通过网络手段来规范其数据流向,没有手段可以真正的从数据层面看清这种流动。一种推荐的思路是在业务数据使用前,进行数据访问的路径规划和规则保护。在数据使用中考虑进行安全行为监控和违规预警。在数据使用后,进行数据活动的留痕和审计。结合这种可回溯思路,我们解决了数据与人员、数据与设备、数据与业务系统的关系关联分析,解决了数据深度关系分析,是谁(用户)、在什么设备上、通过什么手段(协议及应用)、把数据信息从什么地方(源IP)、依什么身份(应用登录ID)、送到了什么地方(目的IP),使数据在复杂的交互过程中清晰化、线条化,简化了数据安全事件追溯分析。
我们从数据、用户、访问可视的角度,识别数据交互中用户、应用、业务敏感性、设备、IP 地址、时间、地点等关联信息。识别特定文件、邮件、业务系统的用户追踪,位置追踪,活动追踪。追踪特定文件、邮件、业务系统在网络中的流转路径,每个路径节点涉及到的用户、地理位置,网络活动过程,形成完整数据线条记录。
我们从数据、用户、设备和应用4个维度持续的进行数据行为挖掘,对用户和实体行为分析,将从流量采集中提取的各个层面的信息进行2-7层面关系分析,识别和关联业务ID,用户实体信息,IP地址,MAC地址,主机名,应用类型,文件名称、类型、HASH值,识别策略,关键字信息,形成“数据-用户-设备-应用” 四维全息图,达到数据溯源分析目标。
数据风险分析的过程是对数据安全事件溯源的过程,通过完整数据交互线条分析技术使管理员解决数据不易溯源的问题。让管理员可以通过正文内容、数据类别、数据级别、识别策略、用户数、设备数、应用数等多种数据分析维度实现数据风险管理。以数据为中心,以时间为线条的数据追溯过程如下:
(五)数据安全违规与风险事件的自动化响应和处置管理
数据安全事件往往很难主动被发现,所以出现数据安全违规或者泄露等风险事件时安全响应通常是滞后的,数据损失已经不可挽回。信息传递都是通过网络进行的,出现风险事件时有效的阻止手段是立即实施网络策略封堵,使其数据包无法进行传输。
从数据识别、数据分级分类、敏感数据活动监测、数据风险行为预警等维度可以为医院建立起一套数据安全技术检查监测手段,利用这种监测手段可以实现数据安全应急响应,把数据安全和网络安全结合起来,在出现数据安全风险时通过网络安全手段进行处置,即通过网络安全策略管控实施封堵。帮助管理员实现数据安全预警管理到网络安全处置管理的跨安全系统的管理,让数据安全监测手段成为网络安全保障体系的一部分,弥补数据安全能力的短板。基于敏感数据或行为的告警触发如下:
此时,医院的管理员在应对数据活动中各种违规的行为,数据泄露、脱敏违规、数据滥用、违规流转等风险时,实现了监测识别与告警,实现了网络安全策略封堵管理,实现了数据安全最小化影响,实现了数据安全事件的完整溯源分析。
最后我们发现,用元溯“数据摄像头”的技术手段实现了数据安全可视化管理,可以落实和完成《“十四五”全民健康信息化规划》中关于网络与数据安全方面提出主要任务和优先行动:实现增强网络安全和数据安全应急响应能力;实现提升网络安全和数据安全管理能力;实现严格核心数据管控,加强重要数据保护,规范一般数据管理;实现加强重要数据和个人信息出境安全评估、监测和检查,及时发现安全隐患,防止数据违规出境;实现建设数据安全态势感知,丰富技术检查监测手段;实现做好个人信息安全保护,重点保护大规模个人信息和敏感个人信息。
(本文由安博通供稿)
