#后疫情时代的新思考#数据安全隐患仍是医疗行业的“老大难”问题丨数据猿公益策划...

“本文是由作者蔡毅独家投递数据猿，并参与数据猿推出的《寻找新冠战“疫”，中国数据智能产业先锋力量》的公益主题策划活动的征文部分。

大数据产业创新服务媒体

——聚焦数据 · 改变商业

---

信息化新技术的不断发展，云计算、大数据的不断深化应用，使得医疗信息化快速发展。此次疫情的爆发更是推动了远程诊疗、移动诊疗、医疗物联网等拓展场景的使用和互联网医院的开展。

随着实体医院将诊疗活动延伸至互联网端，数据共享和流通成为刚性业务需求，静态的隔离保护措施难以控制数据在流动中的风险，关乎患者隐私、种类繁多的医疗数据价值快速提升，迎来愈加严峻的安全挑战。医疗行业需要通过动态变化的视角分析和判断数据安全风险。

医疗行业的“老大难”问题

医疗数据安全问题，一直是医疗行业的“老大难”。近年来医疗行业成为了黑色产业关注的主要对象，据腾讯安全联合中国信通院发布的《2019健康医疗行业网络安全观测报告》显示，勒索病毒、数据泄漏、网站篡改是医疗行业网络与数据安全风险的三个主要方面。疫情期间，一些黑客组织以“新冠肺炎”话题为诱饵，通过钓鱼软件、恶意链接等方式对医疗机构、医护人员的电脑发起网络攻击，从而达到勒索、窃取信息等目的。

过去一年，美创科技接收并处理了近百家遭受勒索病毒软件攻击的医疗机构的求助，勒索病毒频发，已是医疗行业的主流威胁之一。目前来看，定向攻击植入勒索病毒的事件逐渐增多，且勒索软件新变种不断产生，通过清除杀毒软件相关进程，甚至自我混淆加密，传统基于特征码的防护方式效用大减。针对以上问题，我建议医疗机构在加强弱口令、漏洞、文件共享和远程桌面管理等自身信息安全管理能力的基础上，改变防御思路，采取更加主动的防御机制，对勒索病毒攻击的重点目标，如：数据库、核心文档、哑终端等进行主动式防御。

在面临各类外部威胁的同时，医疗行业也面临着各类内部风险管理问题：

1、技术人员不足

在当前的建设条件下，各个医院的信息化设备一般都采取机房集中式托管的模式。在实际应用中，往往是数十台至几百台服务器的机房，却只能配备1-2名技术人员，显然，人员需求是不足的。

2、管理手段需要强化

在设备的日常管理和维护方面，大多数操作都是直接远程登录操作管理，或者派人员去机房对所需设备外接显示器进行操作。对于这些操作过程的记录和可追溯性不足，不满足相关法规要求。

3、安全建设意识薄弱

安全建设一直处于一种“重建设、轻管理”的状态，通常也只是在网络安全层面部署安全产品，如网络层面的内外隔离、防止底层的网络攻击等。

随着IT技术的不断深入发展，面临的安全危险也越来越多，传统的网络安全界限也逐渐模糊化。对于实际的日常工作中遇到的最核心的数据层面的安全问题，缺乏有效的建设防护。

针对内部风险，我们一直建议医疗行业在敏感数据安全保护方面，不仅要加强流程、制度的约定，更要以技术手段做相应的管控，建立健全的敏感数据分级分类机制，对内部人员权限进行细化和鉴权并加强事后追责溯源。做好制度和技术的双重保障。

新技术新应用也在引发新的数据安全隐患

在整个疫情防护过程中，医疗大数据分析可谓功不可没，但伴随着大数据的采集、存储和应用增长，涉及到医疗信息数据流转使用各个层面的数据安全问题不容忽视。我认为医疗单位需要全面考虑到数据的防攻击、防泄露和防窃取，做到数据全生命周期安全保护。尤其在数据存储、传输、使用过程中，应充分应用先进的数据保护技术，如脱敏技术及加密技术，对医疗敏感数据进行持续性的保护，避免数据在共享交换过程中的泄漏。

无论是包括勒索病毒在内的外部威胁，还是内部人员非法窃取，医疗数据安全备受关注离不开其独特的地位和价值。当前，数据这一要素的重要性已经提升到与土地、劳动力、资本、技术同等地位的高度，基于国家健康医疗大数据战略，医疗数据资源整合、互联互通持续加强，数据快速流动，安全问题也将在数据生态体系的互动中进一步放大。

如何解决内忧外患？首当其冲的是安全架构，当传统的网络边界模糊失效的时候，我们需要基于新视角对安全架构做演进。首先我们定义了一个明确的保护目标即数据，从资产、入侵、风险三个视角看数据安全并做好数据安全防护。从而解决黑客攻击、勒索软件、社会工程等外患，防范由于软件开发人员、高权限人员等内部因素导致内部数据安全等内忧。

随着数据源的不断增多，数据结构的不断增加，要从海量数据中明确保护的对象，基于安全的数据分类、分级的作用日益凸显。医疗机构需要从认识数据出发，对医疗数据进行梳理，并基于安全角度对数据进行分类分级，将结果运用于医疗数据安全防护以及数据治理的开展，从而提高数据安全防护质量、更有效的发挥数据资产的价值、提升医院信息化建设水平。

2020年，数据安全建设仍将是医疗行业的重要工作内容，医疗机构需要做的是：深入了解数据全生命周期面临的安全风险，并对这些环节的关键风险点进行分析，借助和利用最新的技术、方法，形成完整、行之有效的安全防护能力，从而赢得患者的信任、实现医疗数字化转型下的数据之安。

本文作者·蔡毅：

蔡毅，美创科技解决方案总监，从事数据管理、信息安全及战略咨询工作十余年，是行业信息化建设和数字化转型的资深专家。

—— / END / ——

职位热招中

①【北京】TalkingData

资深银行行业BD-华北/华东JD、资深非银行业BD-华东/华南JD、数据分析师JD丨点击“这里”了解详情

②【北京】金山云云智能解决方案中心大数据团队

大数据架构师、Java架构师丨点击“这里”了解详情

③【上海】数数科技

大数据运维支持工程师、大数据研发工程师、SDK研发工程师、数据分析师、销售经理（上海、北京、深圳）、高级数据产品经理、测试开发工程师丨点击“这里”了解详情

④【杭州+上海+北京+成都】蚂蚁金服大数据部

均为实习生招募—研发类：数据研发工程师、JAVA工程师、前端工程师丨算法类：机器学习算法工程师丨产品类：数据产品经理丨点击“这里”了解详情

⑤【杭州】阿里数据中台品牌团队

均为市场及品牌岗位：数据品牌管理、数据中台整合营销、数据中台内容运营、数据中台渠道策略运营丨点击“这里”了解详情

⑥【杭州】数字浙江

社招：JAVA开发工程师丨校招：数据开发工程师、JAVA开发工程师丨点击“这里”了解详情

⑦【郑州】中原银行三波共33个职位等你来：

了解第一波招聘点“这里”

了解第二波招聘点“这里”

了解第三波招聘点“这里”

提示：如贵公司近期有职位发布需求，可发送内容至数据猿寻求友情扩散[email protected]

2019数据猿年度榜单：

●2019大数据产业趋势人物榜TOP 10

●2019大数据产业创新服务企业榜TOP 15

●2019大数据产业创新服务产品榜TOP 40

数据猿公益策划活动

 

#榜样的力量#

寻找新冠战“疫”，中国数据智能产业先锋力量