安華金和為行業(yè)數(shù)據(jù)安全把脈，嚴(yán)防醫(yī)療數(shù)據(jù)泄密

21日，安華金和參加了2016醫(yī)療衛(wèi)生信息化發(fā)展與創(chuàng)新高峰論壇。該論壇圍繞“‘互聯(lián)網(wǎng)+醫(yī)療’的新時(shí)代——?jiǎng)?chuàng)新與管理”展開(kāi)主題探討。會(huì)上，安華金和數(shù)據(jù)庫(kù)安全方案總監(jiān)宣淦淼先生發(fā)表了《構(gòu)建醫(yī)療數(shù)據(jù)“主動(dòng)”防泄密體系》的主題演講。安華金和結(jié)合醫(yī)療衛(wèi)生行業(yè)近兩年的數(shù)據(jù)泄露事件以及這些事件所引發(fā)的嚴(yán)重影響，引導(dǎo)大家關(guān)注醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀，立足當(dāng)前數(shù)據(jù)安全威脅的來(lái)源，給出數(shù)據(jù)庫(kù)安全防護(hù)清晰的解決思路。

《構(gòu)建醫(yī)療數(shù)據(jù)“主動(dòng)”防泄密體系》PPT下載：http://www.dbsec.cn/operations/download.html

安華金和數(shù)據(jù)庫(kù)安全方案總監(jiān)宣淦淼發(fā)表演講

隨著信息化的不斷發(fā)展，醫(yī)療行業(yè)近幾年也開(kāi)始不斷突破傳統(tǒng)發(fā)展道路。借助互聯(lián)網(wǎng)、醫(yī)療軟件等信息手段，建立智能的醫(yī)療體系，但隨著醫(yī)療行業(yè)信息化發(fā)展進(jìn)程加快，醫(yī)療數(shù)據(jù)安全現(xiàn)狀引發(fā)關(guān)注。2015年因各種原因?qū)е碌尼t(yī)療信息泄露事件累計(jì)影響達(dá)到了驚人的1.1億人，是之前五年泄露人數(shù)總和的2.7倍，相當(dāng)于三分之一的美國(guó)人的醫(yī)療信息出現(xiàn)了安全問(wèn)題。2016年前三個(gè)月，已經(jīng)發(fā)生了51起泄露事件，牽扯人數(shù)達(dá)到347萬(wàn)。

和其他行業(yè)數(shù)據(jù)泄露的原因大致相同，醫(yī)療行業(yè)數(shù)據(jù)泄露原因主要分以下五大類：黑客入侵、使用者處置不當(dāng)、非法登陸、丟失和被竊。近兩年以來(lái)，黑客入侵和非法登陸事件次數(shù)明顯增多，已經(jīng)取代了被竊成為最主要的泄露原因。從泄露的人數(shù)上來(lái)看，黑客入侵也在近兩年內(nèi)泄露人數(shù)快速增長(zhǎng)的主要原因。

雖然美國(guó)醫(yī)療信息化軟件代表著當(dāng)前一流水平，但是由于醫(yī)療機(jī)構(gòu)內(nèi)和醫(yī)療機(jī)構(gòu)之間，軟件“碎片化”嚴(yán)重。多數(shù)軟件在設(shè)計(jì)之初，并沒(méi)與完全考慮到未來(lái)互聯(lián)互通時(shí)可能存在的安全問(wèn)題，留下了很多安全隱患漏洞。據(jù)調(diào)查，美國(guó)41%的醫(yī)療機(jī)構(gòu)沒(méi)有對(duì)醫(yī)療數(shù)據(jù)進(jìn)行加密處理，一半的醫(yī)療機(jī)構(gòu)無(wú)法有效預(yù)防和應(yīng)對(duì)信息安全泄露。美國(guó)尚且如此，其他國(guó)家醫(yī)療行業(yè)的數(shù)據(jù)安全狀況更加不容樂(lè)觀。

隨著醫(yī)療信息化發(fā)展進(jìn)程加快，老問(wèn)題卻一直存在：數(shù)據(jù)庫(kù)自身安全性堪憂

老問(wèn)題1：傳統(tǒng)安全架構(gòu)局限性，統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品缺陷

老問(wèn)題2：安全狀況未知——數(shù)據(jù)庫(kù)脆弱性

數(shù)據(jù)庫(kù)系統(tǒng)本身就存在諸多漏洞，由于業(yè)務(wù)不能中斷，導(dǎo)致數(shù)據(jù)庫(kù)需要保持長(zhǎng)時(shí)間穩(wěn)定的運(yùn)行，那么就無(wú)法實(shí)時(shí)的更新補(bǔ)丁。

目前CVE上公布的數(shù)據(jù)庫(kù)漏洞就多達(dá)2000多個(gè)，潛在威脅大。

黑客就利用了這些漏洞，對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊，從而竊取數(shù)據(jù)庫(kù)信息。

老問(wèn)題3：內(nèi)部人員權(quán)限被嚴(yán)重忽略

內(nèi)部缺少管理手段，缺乏有效的控制：無(wú)返回?cái)?shù)量控制、超級(jí)用戶不受限、SQL注入語(yǔ)句控制、高危SQL控制。

隨著“互聯(lián)網(wǎng)+醫(yī)療”興起，新問(wèn)題也暴露了出來(lái)——云架構(gòu)對(duì)于數(shù)據(jù)庫(kù)安全的各種沖擊

新問(wèn)題1 ：云等保要求合規(guī)性

GB/T22239.2《網(wǎng)絡(luò)安全等保護(hù)基本要求第二部分：云計(jì)算擴(kuò)展要求》中明確指出：

“應(yīng)確保云服務(wù)方或第三方只有在云租戶授權(quán)下才可以對(duì)云租戶數(shù)據(jù)庫(kù)資源進(jìn)行訪問(wèn)、使用和管理”。

“提供或支持云租戶部署滿足國(guó)家密碼管理規(guī)定的數(shù)據(jù)加密方案，確保云租戶的數(shù)據(jù)在云計(jì)算平臺(tái)以密文形式存儲(chǔ)”。

“應(yīng)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實(shí)現(xiàn)各自控制部分的集中審計(jì)”。

新問(wèn)題2 ：

互聯(lián)網(wǎng)+醫(yī)療創(chuàng)新帶來(lái)前所未有新風(fēng)險(xiǎn)

網(wǎng)上掛號(hào)、醫(yī)療APP、移動(dòng)醫(yī)療打通醫(yī)療與外界網(wǎng)絡(luò)壁壘

醫(yī)療機(jī)構(gòu)與政府、銀行、保險(xiǎn)等行業(yè)互聯(lián)互通

業(yè)務(wù)的訪問(wèn)直達(dá)數(shù)據(jù)庫(kù)，缺少安全防護(hù)

當(dāng)前，現(xiàn)在大家都在做互聯(lián)網(wǎng)創(chuàng)新，手機(jī)APP 網(wǎng)銀app 與等等的連接全部打開(kāi)，任一一個(gè)訪問(wèn)都直達(dá)生產(chǎn)庫(kù)。一旦前端出現(xiàn)安全問(wèn)題，后端數(shù)據(jù)將面臨巨大風(fēng)險(xiǎn)。

新問(wèn)題3 ：“我”的數(shù)據(jù) ，“云”卻做了主

傳統(tǒng)環(huán)境下，數(shù)據(jù)分庫(kù)存儲(chǔ)，云環(huán)境下，數(shù)據(jù)處于集中，如何有效加密，并對(duì)不同業(yè)務(wù)部門密鑰分級(jí)管理，防止失泄密風(fēng)險(xiǎn)。

本著專業(yè)、務(wù)實(shí)的態(tài)度，出現(xiàn)問(wèn)題我們迎難而上，針對(duì)醫(yī)療行業(yè)當(dāng)前數(shù)據(jù)安全方面存在的數(shù)據(jù)泄露威脅，安華金和給出一個(gè)解決思路——建立主動(dòng)防泄密體系。該體系包含了三大核心和四大防線，具體思路如下：

三大核心：DBMS、訪問(wèn)路徑、核心數(shù)據(jù)

四道防線：形成“檢查預(yù)警、主動(dòng)預(yù)防、底線防守、事后監(jiān)管”專業(yè)數(shù)據(jù)庫(kù)防護(hù)理念。

1、檢查預(yù)警

第一道防線——檢查預(yù)警

2、主動(dòng)防御

第二道防線——主動(dòng)防御

建立運(yùn)維審批流程-讓管理者睡個(gè)踏實(shí)覺(jué)。

構(gòu)建醫(yī)療防控模型-配合管理制度。

應(yīng)用側(cè)防護(hù)——抵御外部黑客行為。

運(yùn)維側(cè)防護(hù)——控制外包和服務(wù)人員權(quán)限。

3、底線防守

第三道防線——底線防守

數(shù)據(jù)脫敏——醫(yī)療數(shù)據(jù)去隱私化。

醫(yī)患信息數(shù)據(jù)加密——防止整庫(kù)泄露、防脫庫(kù)。

閥值管控——對(duì)大批量醫(yī)療泄密告警控管。

4、事后追查

對(duì)醫(yī)療行業(yè)數(shù)據(jù)庫(kù)加以審計(jì)：以“第三方”的角度觀察，“全、準(zhǔn)、快、省”記錄網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為，有效追責(zé)、定責(zé)。

第四道防線——事后追查黑客和內(nèi)鬼

數(shù)據(jù)庫(kù)整體安全防護(hù)總結(jié)

今天的北京，室外是能見(jiàn)度僅僅數(shù)米的霧霾天，朋友圈充斥著讓人啼笑皆非的霧霾段子，路人行人面色凝重、步履匆匆，一頂頂白花花的口罩下面藏起了一張張渴望大口呼吸的嘴巴，人們對(duì)健康的擔(dān)憂也隨著霧霾紅色預(yù)警襲來(lái)而越發(fā)高漲。清理霧霾，還祖國(guó)一片藍(lán)天是關(guān)乎全民生存健康的大事，需要聯(lián)動(dòng)社會(huì)各方力量一起去努力。

人類的健康依賴好的生態(tài)環(huán)境和發(fā)達(dá)的醫(yī)療水平，正如霧霾威脅人類的健康，數(shù)據(jù)泄露同樣會(huì)對(duì)醫(yī)療信息化健康發(fā)展造成威脅。我們希望國(guó)家政府能夠下定決心，以舉國(guó)之力來(lái)清理霧霾，還城市以藍(lán)天，還百姓以健康和笑臉。我們同樣希望醫(yī)療行業(yè)重視數(shù)據(jù)庫(kù)安全，堵住數(shù)據(jù)泄露的源頭，還醫(yī)療行業(yè)信息數(shù)據(jù)生態(tài)以健康。

相關(guān)資料：

《構(gòu)建醫(yī)療數(shù)據(jù)“主動(dòng)”防泄密體系》PPT下載：http://www.dbsec.cn/operations/download.html

安華金和醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)庫(kù)安全解決方案：http://www.dbsec.cn/solutions/yl.html

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。