醫(yī)療行業(yè)數(shù)據(jù)安全的主要風(fēng)險(xiǎn)

依據(jù)Verizon數(shù)據(jù)泄露報(bào)告中對(duì)客觀現(xiàn)狀、數(shù)據(jù)分布和數(shù)據(jù)流動(dòng)等方面綜合分析，醫(yī)療行業(yè)數(shù)據(jù)安全的主要風(fēng)險(xiǎn)包括如下幾個(gè)方面：

一、人的安全風(fēng)險(xiǎn)和對(duì)策

1．人的安全風(fēng)險(xiǎn)是醫(yī)療數(shù)據(jù)安全的最大風(fēng)險(xiǎn)

從Verizon報(bào)告可以看出醫(yī)療行業(yè)數(shù)據(jù)安全的特殊性：醫(yī)療行業(yè)是所有行業(yè)中唯一一個(gè)內(nèi)部威脅大于外部威脅的行業(yè)，內(nèi)部威脅占比60%，外部威脅占43%?？傮w來看，各行業(yè)平均攻擊類型是：70%為外部威脅，30%為內(nèi)部威脅。下圖就數(shù)據(jù)泄露的幾個(gè)主要行業(yè)做了對(duì)比，包括：醫(yī)療、金融、政府、信息服務(wù)、制造業(yè)、零售、酒店餐飲。

由于缺乏醫(yī)療行業(yè)的獨(dú)立數(shù)據(jù)，我們以全行業(yè)數(shù)據(jù)來看威脅的構(gòu)成。從全行業(yè)來看，在外部人員導(dǎo)致的泄漏事件中，62%都來自有組織的犯罪團(tuán)伙；在內(nèi)部威脅中，25.9%都跟企業(yè)系統(tǒng)管理員有關(guān)，終端用戶占22.3%，醫(yī)生或護(hù)士占11.5%，開發(fā)人員占5%。從這里可以看到很亮的數(shù)據(jù)：醫(yī)生或者護(hù)士占11.5%。醫(yī)生和護(hù)士只有在醫(yī)療行業(yè)才存在，也就是說，醫(yī)生或護(hù)士造成的內(nèi)部數(shù)據(jù)泄露事件在全行業(yè)中占據(jù)了11.5%的比例。

2．人具有復(fù)雜的情緒變化特征

在數(shù)字化的今天，當(dāng)我們談及數(shù)據(jù)，都會(huì)對(duì)其充滿期待和憧憬。數(shù)據(jù)是永不生銹的資產(chǎn)，是新經(jīng)濟(jì)時(shí)代的原油，是黃金和財(cái)富，是一切生產(chǎn)的生產(chǎn)資料。當(dāng)其成為重要資產(chǎn)、巨額財(cái)富的時(shí)候，現(xiàn)實(shí)生活中一切關(guān)于資產(chǎn)安全、財(cái)富安全的管理措施都可以成為數(shù)據(jù)安全領(lǐng)域的參照。

數(shù)據(jù)安全的本質(zhì)是人的安全，只要人人都遵守規(guī)則和約束去訪問數(shù)據(jù)，數(shù)據(jù)自然就安全了，但這只能是烏托邦色彩的夢(mèng)想。我們每家機(jī)構(gòu)和企業(yè)都制定了一系列的安全生產(chǎn)規(guī)章制度，這些規(guī)章制度無論針對(duì)人或者財(cái)物，最終都會(huì)作用在人身上。如果沒有適當(dāng)?shù)募夹g(shù)實(shí)施手段，僅依賴于教育和培訓(xùn)，很難使流程和制度落地，數(shù)據(jù)安全最終也就會(huì)落空。

人既有復(fù)雜情緒變化的非理性，又有利益得失計(jì)算的理性。這種理性和非理性的交錯(cuò)讓人的安全充滿著巨大挑戰(zhàn)。

3．醫(yī)療行業(yè)所面臨的“人的風(fēng)險(xiǎn)”

眾所周知，醫(yī)療數(shù)據(jù)單體價(jià)值過大是導(dǎo)致醫(yī)療行業(yè)內(nèi)部威脅高達(dá)60%的基本因素。下面來看一下醫(yī)療行業(yè)數(shù)據(jù)泄露內(nèi)部威脅的主要敞口：

（1）系統(tǒng)管理員和DBA

幾乎在所有行業(yè)中，系統(tǒng)管理員和DBA（數(shù)據(jù)庫管理員）都是內(nèi)部數(shù)據(jù)的主要威脅，在醫(yī)療行業(yè)中也不例外。從Verizon報(bào)告中可以看出，在全行業(yè)調(diào)查中，高達(dá)26%的內(nèi)部威脅是由于系統(tǒng)管理員和DBA造成的。而在國內(nèi)醫(yī)療界，信息科也一直是漩渦之地，每次醫(yī)療數(shù)據(jù)泄露事件發(fā)生時(shí)，信息科總是會(huì)成為第一個(gè)懷疑對(duì)象。

（2）醫(yī)生或者護(hù)士

從Verizon數(shù)據(jù)泄露調(diào)查報(bào)告來看，來自醫(yī)生及護(hù)士的威脅可能遠(yuǎn)超于系統(tǒng)管理員。由于醫(yī)療數(shù)據(jù)的個(gè)體價(jià)值巨大，醫(yī)生或者護(hù)士只需簡(jiǎn)單地獲得權(quán)限之內(nèi)的數(shù)據(jù)就可以獲得巨大收益。但目前由于病案數(shù)據(jù)的交叉特征，幾乎沒有醫(yī)院的業(yè)務(wù)系統(tǒng)可以實(shí)現(xiàn)基于患者授權(quán)查詢病案數(shù)據(jù)的機(jī)制，因此醫(yī)生及護(hù)士可以遍歷所有患者數(shù)據(jù)。

（3）軟件開發(fā)商和維護(hù)人員

在醫(yī)療行業(yè)，軟件開發(fā)商的力量過于強(qiáng)大，甚至?xí)屧悍接X得醫(yī)院數(shù)據(jù)不是自己的，而是歸軟件開發(fā)商所有。即使是一些頂級(jí)醫(yī)院，醫(yī)療系統(tǒng)和數(shù)據(jù)的命脈都掌控在開發(fā)商手中。

（4）駐場(chǎng)服務(wù)人員

駐場(chǎng)服務(wù)人員的權(quán)限等同于DBA和系統(tǒng)管理員，同時(shí)因其不受醫(yī)院管理和約束，更易受到外部誘惑而鋌而走險(xiǎn)。

（5）集體的無意識(shí)

相對(duì)來說，當(dāng)前醫(yī)院對(duì)于患者隱私保護(hù)的意識(shí)相對(duì)淡漠，這從核心隱私機(jī)密的紙質(zhì)病案和處方可以被任意重新利用這個(gè)環(huán)節(jié)就可以看出。換句話說，有心人只要不斷地在醫(yī)院收集各種紙質(zhì)垃圾，就可以獲得想要的醫(yī)療數(shù)據(jù)。

4．如何防范人的安全風(fēng)險(xiǎn)

防范人的安全風(fēng)險(xiǎn)，本質(zhì)上是保護(hù)好我們的員工和伙伴，降低他們接受誘惑的可能性，以避免其犯錯(cuò)。防范人的安全風(fēng)險(xiǎn)需要從兩個(gè)方面加以努力：機(jī)制保證和技術(shù)保證。

（1）機(jī)制保證

機(jī)制保證的核心在于降低受到誘惑的機(jī)會(huì)，降低可能產(chǎn)生的僥幸心理。機(jī)制保證主要體現(xiàn)在兩點(diǎn)：一是隔離誘惑，可以在很大程度上避免被動(dòng)犯錯(cuò)，也可以大幅度提高主動(dòng)犯錯(cuò)的難度。隔離誘惑的主要措施在于實(shí)現(xiàn)兩點(diǎn)：最小權(quán)限和三權(quán)分立。特別是當(dāng)涉及到高敏感數(shù)據(jù)和高風(fēng)險(xiǎn)操作訪問時(shí)，建議建立工作流多級(jí)審批機(jī)制。

二是責(zé)任到人，模糊和共享會(huì)導(dǎo)致責(zé)任不清，從而助長(zhǎng)僥幸心理。當(dāng)機(jī)制可以確保任何行為都可以追溯到個(gè)人的時(shí)候，事件審計(jì)就可以產(chǎn)生巨大的威懾力，降低僥幸心理。

（2）技術(shù)保證

大部分機(jī)構(gòu)都具有清晰的安全生產(chǎn)制度，但是能夠在實(shí)踐中落地的并不多。安全制度的落地不能依賴于培訓(xùn)和人的自覺性，需要在日常操作中進(jìn)行技術(shù)規(guī)范。

· 確認(rèn)人是真實(shí)的人，不是被盜用、偽造、共享的身份。只要可以確認(rèn)訪問數(shù)據(jù)的人是真實(shí)的，就為數(shù)據(jù)安全奠定了最為堅(jiān)實(shí)的基礎(chǔ)。為了確認(rèn)人是真實(shí)的人，需要映射計(jì)算機(jī)身份和真實(shí)身份，并確保這種映射是不可假冒的。雙因素或者多因素是確認(rèn)人是真實(shí)的人的基本技術(shù)措施。

· 確認(rèn)所做的事情是真實(shí)意愿的表達(dá)，不是被脅迫的。真實(shí)意愿的表達(dá)檢測(cè)需要依賴于當(dāng)事人日常行為特征的檢測(cè)。

· 確認(rèn)所作的事情是合乎規(guī)范的、已被授權(quán)的而非越權(quán)、合乎流程和控制。合乎規(guī)范可以從兩個(gè)層面加以約束：被允許的操作以及正確的上下文環(huán)境。

· 確認(rèn)風(fēng)險(xiǎn)操作或者所有操作是可審計(jì)和可追蹤的，風(fēng)險(xiǎn)操作或者所有操作留痕是技術(shù)保證的一個(gè)基本措施，是增強(qiáng)威懾力和降低僥幸心理的基本技術(shù)保障。

二、開放網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)和對(duì)策

醫(yī)院網(wǎng)絡(luò)具有開放網(wǎng)絡(luò)的基本特征，具有很大的安全風(fēng)險(xiǎn)。開放網(wǎng)絡(luò)使心懷叵測(cè)的人可以輕易接觸和到達(dá)，就如同互聯(lián)網(wǎng)一樣，是一個(gè)不設(shè)防或者低設(shè)防的網(wǎng)絡(luò)環(huán)境。

1．開放網(wǎng)絡(luò)：可以輕易接觸和到達(dá)的網(wǎng)絡(luò)

醫(yī)院提供的任何網(wǎng)絡(luò)服務(wù)，我們都是可以輕易到達(dá)的。如：醫(yī)生或者護(hù)士的工作終端、開放的自助服務(wù)工作終端、開放的互聯(lián)網(wǎng)服務(wù)、開放的醫(yī)院無線網(wǎng)絡(luò)。總之，醫(yī)院網(wǎng)絡(luò)是存在太多接觸點(diǎn)的開放網(wǎng)絡(luò)，相對(duì)比較脆弱。

2．終端管控：讓開放網(wǎng)絡(luò)具有可識(shí)別身份

醫(yī)院是相對(duì)開放的網(wǎng)絡(luò)，就如同互聯(lián)網(wǎng)是開放網(wǎng)絡(luò)一樣，是一種客觀的存在。數(shù)據(jù)安全工作需要在這個(gè)客觀的前提下進(jìn)行。互聯(lián)網(wǎng)如果不具備安全措施，就等于不設(shè)防的金庫。醫(yī)院網(wǎng)絡(luò)如果不具備安全措施，就如同不具備任何安全措施的互聯(lián)網(wǎng)。

醫(yī)院網(wǎng)絡(luò)終端不同于互聯(lián)網(wǎng)網(wǎng)絡(luò)終端，絕大部分互聯(lián)網(wǎng)網(wǎng)絡(luò)終端是獨(dú)占的、非共享的，安全自我保障。而絕大部分醫(yī)院網(wǎng)絡(luò)終端則是共享的、非獨(dú)占的、安全他人負(fù)責(zé)的。也就是說，終端工作者并不會(huì)關(guān)注安全問題，甚至?xí)拹喊踩珕栴}，這種場(chǎng)景必然導(dǎo)致的結(jié)果就是終端是不安全的。而在傳統(tǒng)網(wǎng)絡(luò)中，我們總是假設(shè)終端是安全的。醫(yī)院開放網(wǎng)絡(luò)的終端不安全性和傳統(tǒng)網(wǎng)絡(luò)終端安全的假設(shè)存在巨大裂縫，使醫(yī)院網(wǎng)絡(luò)安全面臨巨大威脅。

終端管控是實(shí)現(xiàn)開放網(wǎng)絡(luò)安全的有效手段，從安全的角度來看，主要實(shí)現(xiàn)兩個(gè)目標(biāo)：一是實(shí)現(xiàn)脫離于非安全終端的可識(shí)別身份和憑證，由于終端是不可信任的，這個(gè)時(shí)候網(wǎng)絡(luò)和數(shù)據(jù)，特別是數(shù)據(jù)需要可信任的身份作為訪問憑證。由于終端的不可信賴，這個(gè)憑證需要在終端之外提供，比如密碼，指紋，key或者離線驗(yàn)證碼等。

二是防止關(guān)鍵應(yīng)用被注入和假冒?？赏ㄟ^應(yīng)用程序訪問終端數(shù)據(jù)，如果應(yīng)用程序不可信賴，那數(shù)據(jù)就會(huì)處于非常危險(xiǎn)的境地。

三、勒索病毒的威脅和對(duì)策

1．勒索病毒的威脅

勒索病毒是醫(yī)療安全的主要威脅。Verizon數(shù)據(jù)威脅報(bào)告顯示，在醫(yī)療行業(yè)，高達(dá)85%的惡意軟件面臨勒索病毒威脅。Verizon報(bào)告特別強(qiáng)調(diào)，為了獲得更多的收益，勒索者越來越傾向于企業(yè)級(jí)服務(wù)器，特別是數(shù)據(jù)庫服務(wù)器，是核心勒索目標(biāo)。基于Verizon報(bào)告我們可認(rèn)為，只要成功防御了勒索病毒威脅，醫(yī)療數(shù)據(jù)外部安全風(fēng)險(xiǎn)就獲得了相對(duì)安全。

勒索病毒對(duì)于醫(yī)療行業(yè)的威脅是全方位的：

（1）工作終端和自助服務(wù)終端，互聯(lián)網(wǎng)接入和開放網(wǎng)絡(luò)使醫(yī)院工作終端極其容易受到勒索病毒的侵襲。

（2）數(shù)據(jù)庫服務(wù)器，高價(jià)值的數(shù)據(jù)庫服務(wù)器是勒索病毒威脅的主要目標(biāo)，導(dǎo)致數(shù)據(jù)和業(yè)務(wù)的雙重?fù)p失。

（3）應(yīng)用服務(wù)器，它是勒索病毒威脅的主要入口之一，應(yīng)用服務(wù)器被勒索可以導(dǎo)致醫(yī)療業(yè)務(wù)完全中斷。

2．勒索病毒威脅的對(duì)策

勒索病毒可以從以下不同層次防御，但需要強(qiáng)調(diào)的是，由于勒索病毒的巨大威脅性，僅僅做常規(guī)性防御會(huì)置醫(yī)療機(jī)構(gòu)于巨大的不可預(yù)測(cè)風(fēng)險(xiǎn)之中，在實(shí)踐中不建議。執(zhí)行系統(tǒng)防御和主動(dòng)防御是防御勒索病毒威脅的必須組成部分，特別是主動(dòng)防御。

（1）常規(guī)防御，并不只針對(duì)勒索病毒，其實(shí)是針對(duì)所有惡意軟件的常規(guī)性安全措施。主要包括：

· 及時(shí)更新系統(tǒng)補(bǔ)丁，防止攻擊者通過已知漏洞入侵系統(tǒng)；

· 弱口令檢測(cè)和弱口令的定期變更，使用復(fù)雜密碼；

· 關(guān)閉不必要的端口，比如445、139、3389等高危端口；

· 安裝部署殺毒軟件，檢測(cè)和防御已知勒索病毒威脅；

· 安全教育，不上可疑網(wǎng)站，不接受可疑郵件，不隨意接受社交文件；

· 安全教育，不用未經(jīng)審核的應(yīng)用和工具；

· 做好備份，特別注意備份不能與源文件存儲(chǔ)在相同終端，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（2）系統(tǒng)防御，圍繞著勒索病毒和惡意軟件的特點(diǎn)，依據(jù)入侵生命周期做系統(tǒng)化的常規(guī)性防御。

· 服務(wù)：關(guān)閉不必要的服務(wù)，關(guān)閉不必要的賬戶；

· 端口：禁止缺省端口，使服務(wù)端口區(qū)別于缺省端口；

· 賬戶：關(guān)閉缺省賬戶，不要設(shè)置共享賬戶；

· 密碼：不追求密碼復(fù)雜性，限定密碼最小長(zhǎng)度不小于16位；

· 誘餌：設(shè)置不可能被想到的密碼，設(shè)置無法破解的密碼，設(shè)置誘餌文件和數(shù)據(jù)；

· 漏洞：及時(shí)修復(fù)已知漏洞，特別是無需認(rèn)證的漏洞；

· 溯源：禁止運(yùn)行來自不可靠源頭的應(yīng)用程序，如需運(yùn)行，必須經(jīng)過明確許可；

· 底線：做好備份，特別注意備份不能存儲(chǔ)在相同終端上，最好是備份在不同操作系統(tǒng)之中，避免被勒索病毒一鍋端。

（3）主動(dòng)防御，針對(duì)勒索病毒防御，最有效的還是部署專用的防勒索軟件。當(dāng)醫(yī)療行業(yè)85%的惡意軟件攻擊來自于勒索病毒的時(shí)候，針對(duì)性的主動(dòng)防護(hù)應(yīng)該成為必選項(xiàng)。主動(dòng)防御不僅更加有效幫助用戶達(dá)成防御目標(biāo)，而且比常規(guī)防御和系統(tǒng)防御更加省心省力。

四、互聯(lián)網(wǎng)和云醫(yī)療風(fēng)險(xiǎn)和對(duì)策

1．互聯(lián)網(wǎng)和云醫(yī)療風(fēng)險(xiǎn)

云和互聯(lián)網(wǎng)幾乎是任何一家醫(yī)療機(jī)構(gòu)都不可回避的話題，云和互聯(lián)網(wǎng)的安全自然也就成為醫(yī)療機(jī)構(gòu)的熱門話題。對(duì)于醫(yī)療機(jī)構(gòu)來說，云運(yùn)營(yíng)商會(huì)進(jìn)行云上網(wǎng)絡(luò)安全的服務(wù)覆蓋，不需要過于憂慮。但是數(shù)據(jù)安全，對(duì)于云上醫(yī)療或者互聯(lián)網(wǎng)醫(yī)療則是一個(gè)不可回避的核心命題。

在云醫(yī)療中，數(shù)據(jù)安全風(fēng)險(xiǎn)眾多，我們主要考慮以下兩個(gè)核心點(diǎn)：

（1）如何在不受信任和管控的基礎(chǔ)設(shè)施中存儲(chǔ)敏感數(shù)據(jù)？

（2）如何讓無法控制的、擁有超級(jí)權(quán)限賬戶的云運(yùn)營(yíng)商運(yùn)維人員（上帝之手）隔離業(yè)務(wù)數(shù)據(jù)？

2．云醫(yī)療的數(shù)據(jù)安全對(duì)策

（1）如何在不受信任和管控的基礎(chǔ)設(shè)施中存儲(chǔ)敏感數(shù)據(jù)？

答案只有兩個(gè)：加密或者不存儲(chǔ)敏感數(shù)據(jù)。原則上要求存儲(chǔ)在云環(huán)境中的任何數(shù)據(jù)都需要進(jìn)行加密存儲(chǔ)和加密傳輸，任何需要進(jìn)行開放式流轉(zhuǎn)處理的數(shù)據(jù)都需要進(jìn)行脫敏存儲(chǔ)和傳輸。

（2）如何讓無法控制的、擁有超級(jí)權(quán)限賬戶的云運(yùn)營(yíng)商運(yùn)維人員（上帝之手）隔離業(yè)務(wù)數(shù)據(jù)？

存儲(chǔ)級(jí)加密解決了在云環(huán)境中存儲(chǔ)敏感數(shù)據(jù)的風(fēng)險(xiǎn)，但是依然無法隔離上帝之手接觸和窺視業(yè)務(wù)數(shù)據(jù)。需要提供一種機(jī)制，禁止超級(jí)權(quán)限的DBA訪問業(yè)務(wù)數(shù)據(jù)，從而保證云上數(shù)據(jù)安全性。

五、數(shù)據(jù)流動(dòng)的風(fēng)險(xiǎn)和對(duì)策

1．?dāng)?shù)據(jù)暢流是數(shù)據(jù)價(jià)值的核心體現(xiàn)

數(shù)據(jù)作為和資金、原油、資產(chǎn)相似的生產(chǎn)資料，只有不斷被使用才會(huì)產(chǎn)生價(jià)值，只有不斷地流動(dòng)才會(huì)讓更多的人使用，只有讓數(shù)據(jù)流動(dòng)到可以產(chǎn)生更大價(jià)值的地方才能發(fā)揮數(shù)據(jù)的價(jià)值。醫(yī)療數(shù)據(jù)作為生活中最具價(jià)值的基礎(chǔ)數(shù)據(jù)之一，具有不可避免的數(shù)據(jù)流動(dòng)趨勢(shì)。

不斷流動(dòng)的數(shù)據(jù)帶來巨大價(jià)值的同時(shí)，也給數(shù)據(jù)安全帶來了巨大的挑戰(zhàn)。機(jī)構(gòu)和企業(yè)對(duì)于流動(dòng)中的數(shù)據(jù)控制力會(huì)越來越弱，不斷流動(dòng)的數(shù)據(jù)必然會(huì)流出數(shù)據(jù)的安全邊界，傳統(tǒng)基于靜態(tài)目標(biāo)保護(hù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)措施在此場(chǎng)景下會(huì)不斷弱化，甚至完全失效。解決好數(shù)據(jù)流動(dòng)的安全問題是實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化的巨大挑戰(zhàn)和先決條件。

2.數(shù)據(jù)流動(dòng)涉及的主要風(fēng)險(xiǎn)

（1）敏感數(shù)據(jù)認(rèn)知。不知道數(shù)據(jù)在哪里就不知道如何保護(hù)，不知道數(shù)據(jù)的分級(jí)分類就無法施加適當(dāng)?shù)谋Ｗo(hù)。事實(shí)上我們每個(gè)用戶都希望可以做到敏感數(shù)據(jù)分級(jí)分類，但是數(shù)據(jù)分級(jí)分類的巨大困難和成本總是讓人望而卻步。在缺乏敏感數(shù)據(jù)認(rèn)知的數(shù)據(jù)安全措施下，具有其天生的脆弱性。

（2）數(shù)據(jù)流動(dòng)到非授權(quán)目標(biāo)，本質(zhì)上屬于一種誤操作，在生活中經(jīng)常發(fā)生，比如機(jī)密郵件發(fā)錯(cuò)了對(duì)象、文件發(fā)錯(cuò)了微信群等。

（3）身份盜用、假冒和驗(yàn)證繞過。身份是訪問數(shù)據(jù)的憑證，身份被盜用意味著數(shù)據(jù)財(cái)富面臨巨大風(fēng)險(xiǎn)。其中數(shù)據(jù)庫中存在的廣泛共享的賬戶和缺省賬戶是身份盜用的天然溫床。身份盜用手段包括密碼猜測(cè)和破解、身份偽造、撞庫等。

（4）從非安全區(qū)直接訪問敏感數(shù)據(jù)。大多數(shù)情況下，數(shù)據(jù)流動(dòng)軟件在網(wǎng)絡(luò)邊界具有較高的安全脆弱性。這種安全脆弱性很容易給數(shù)據(jù)流動(dòng)帶來傷害。

（5）數(shù)據(jù)流動(dòng)到弱安全區(qū)域或者失控區(qū)域，這是數(shù)據(jù)流動(dòng)安全的本質(zhì)所在，是數(shù)據(jù)流動(dòng)的自然目標(biāo)和業(yè)務(wù)屬性。

（6）運(yùn)維端流動(dòng)，是傳統(tǒng)數(shù)據(jù)安全的主要構(gòu)成部分，也是流動(dòng)安全的巨大風(fēng)險(xiǎn)之一。

（7）終端業(yè)務(wù)包含敏感信息，和運(yùn)維端流動(dòng)一樣，是傳統(tǒng)的數(shù)據(jù)安全的一部分。

（8）數(shù)據(jù)的再次流動(dòng)。當(dāng)數(shù)據(jù)流動(dòng)到非受控制區(qū)域的時(shí)候，很容易產(chǎn)生多次流動(dòng)。而這個(gè)數(shù)據(jù)流動(dòng)可能并非是數(shù)據(jù)流動(dòng)者所期望的。

（9）數(shù)據(jù)泄露追蹤。當(dāng)數(shù)據(jù)泄露事件發(fā)生之后，數(shù)據(jù)提供方需要確定數(shù)據(jù)是哪個(gè)環(huán)節(jié)出去的，以實(shí)現(xiàn)事件追責(zé)。

3．?dāng)?shù)據(jù)流動(dòng)安全風(fēng)險(xiǎn)的基本對(duì)策

數(shù)據(jù)流動(dòng)安全的措施必須建立在兩個(gè)基本假設(shè)之上：數(shù)據(jù)總是會(huì)趨向于流動(dòng)到弱安全區(qū)域、流動(dòng)的數(shù)據(jù)最終會(huì)失去控制。

從這兩個(gè)基本假設(shè)出發(fā)，提出解決流動(dòng)數(shù)據(jù)安全的基本思路：

（1）源端控制：流動(dòng)的數(shù)據(jù)總是被脫敏的，無需關(guān)注安全；

（2）數(shù)據(jù)內(nèi)置的安全性：和源斷控制一致的，通過加密等手段實(shí)現(xiàn)內(nèi)置安全性；

（3）建立審計(jì)檢查機(jī)制：數(shù)據(jù)提供方可對(duì)數(shù)據(jù)利用方進(jìn)行數(shù)據(jù)使用審計(jì)。