安華金和為行業(yè)數(shù)據(jù)安全把脈，嚴防醫(yī)療數(shù)據(jù)泄密

21日，安華金和參加了2016醫(yī)療衛(wèi)生信息化發(fā)展與創(chuàng)新高峰論壇。該論壇圍繞“‘互聯(lián)網(wǎng)+醫(yī)療’的新時代——創(chuàng)新與管理”展開主題探討。會上，安華金和數(shù)據(jù)庫安全方案總監(jiān)宣淦淼先生發(fā)表了《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》的主題演講。安華金和結(jié)合醫(yī)療衛(wèi)生行業(yè)近兩年的數(shù)據(jù)泄露事件以及這些事件所引發(fā)的嚴重影響，引導(dǎo)大家關(guān)注醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀，立足當前數(shù)據(jù)安全威脅的來源，給出數(shù)據(jù)庫安全防護清晰的解決思路。

《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》PPT下載：http://www.dbsec.cn/operations/download.html

安華金和數(shù)據(jù)庫安全方案總監(jiān)宣淦淼發(fā)表演講

隨著信息化的不斷發(fā)展，醫(yī)療行業(yè)近幾年也開始不斷突破傳統(tǒng)發(fā)展道路。借助互聯(lián)網(wǎng)、醫(yī)療軟件等信息手段，建立智能的醫(yī)療體系，但隨著醫(yī)療行業(yè)信息化發(fā)展進程加快，醫(yī)療數(shù)據(jù)安全現(xiàn)狀引發(fā)關(guān)注。2015年因各種原因?qū)е碌尼t(yī)療信息泄露事件累計影響達到了驚人的1.1億人，是之前五年泄露人數(shù)總和的2.7倍，相當于三分之一的美國人的醫(yī)療信息出現(xiàn)了安全問題。2016年前三個月，已經(jīng)發(fā)生了51起泄露事件，牽扯人數(shù)達到347萬。

和其他行業(yè)數(shù)據(jù)泄露的原因大致相同，醫(yī)療行業(yè)數(shù)據(jù)泄露原因主要分以下五大類：黑客入侵、使用者處置不當、非法登陸、丟失和被竊。近兩年以來，黑客入侵和非法登陸事件次數(shù)明顯增多，已經(jīng)取代了被竊成為最主要的泄露原因。從泄露的人數(shù)上來看，黑客入侵也在近兩年內(nèi)泄露人數(shù)快速增長的主要原因。

雖然美國醫(yī)療信息化軟件代表著當前一流水平，但是由于醫(yī)療機構(gòu)內(nèi)和醫(yī)療機構(gòu)之間，軟件“碎片化”嚴重。多數(shù)軟件在設(shè)計之初，并沒與完全考慮到未來互聯(lián)互通時可能存在的安全問題，留下了很多安全隱患漏洞。據(jù)調(diào)查，美國41%的醫(yī)療機構(gòu)沒有對醫(yī)療數(shù)據(jù)進行加密處理，一半的醫(yī)療機構(gòu)無法有效預(yù)防和應(yīng)對信息安全泄露。美國尚且如此，其他國家醫(yī)療行業(yè)的數(shù)據(jù)安全狀況更加不容樂觀。

隨著醫(yī)療信息化發(fā)展進程加快，老問題卻一直存在：數(shù)據(jù)庫自身安全性堪憂

老問題1：傳統(tǒng)安全架構(gòu)局限性，統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品缺陷

老問題2：安全狀況未知——數(shù)據(jù)庫脆弱性

數(shù)據(jù)庫系統(tǒng)本身就存在諸多漏洞，由于業(yè)務(wù)不能中斷，導(dǎo)致數(shù)據(jù)庫需要保持長時間穩(wěn)定的運行，那么就無法實時的更新補丁。

目前CVE上公布的數(shù)據(jù)庫漏洞就多達2000多個，潛在威脅大。

黑客就利用了這些漏洞，對數(shù)據(jù)庫進行攻擊，從而竊取數(shù)據(jù)庫信息。

老問題3：內(nèi)部人員權(quán)限被嚴重忽略

內(nèi)部缺少管理手段，缺乏有效的控制：無返回數(shù)量控制、超級用戶不受限、SQL注入語句控制、高危SQL控制。

隨著“互聯(lián)網(wǎng)+醫(yī)療”興起，新問題也暴露了出來——云架構(gòu)對于數(shù)據(jù)庫安全的各種沖擊

新問題1 ：云等保要求合規(guī)性

GB/T22239.2《網(wǎng)絡(luò)安全等保護基本要求第二部分：云計算擴展要求》中明確指出：

“應(yīng)確保云服務(wù)方或第三方只有在云租戶授權(quán)下才可以對云租戶數(shù)據(jù)庫資源進行訪問、使用和管理”。

“提供或支持云租戶部署滿足國家密碼管理規(guī)定的數(shù)據(jù)加密方案，確保云租戶的數(shù)據(jù)在云計算平臺以密文形式存儲”。

“應(yīng)根據(jù)云服務(wù)方和云租戶的職責劃分，實現(xiàn)各自控制部分的集中審計”。

新問題2 ：

互聯(lián)網(wǎng)+醫(yī)療創(chuàng)新帶來前所未有新風(fēng)險

網(wǎng)上掛號、醫(yī)療APP、移動醫(yī)療打通醫(yī)療與外界網(wǎng)絡(luò)壁壘

醫(yī)療機構(gòu)與政府、銀行、保險等行業(yè)互聯(lián)互通

業(yè)務(wù)的訪問直達數(shù)據(jù)庫，缺少安全防護

當前，現(xiàn)在大家都在做互聯(lián)網(wǎng)創(chuàng)新，手機APP 網(wǎng)銀app 與等等的連接全部打開，任一一個訪問都直達生產(chǎn)庫。一旦前端出現(xiàn)安全問題，后端數(shù)據(jù)將面臨巨大風(fēng)險。

新問題3 ：“我”的數(shù)據(jù) ，“云”卻做了主

傳統(tǒng)環(huán)境下，數(shù)據(jù)分庫存儲，云環(huán)境下，數(shù)據(jù)處于集中，如何有效加密，并對不同業(yè)務(wù)部門密鑰分級管理，防止失泄密風(fēng)險。

本著專業(yè)、務(wù)實的態(tài)度，出現(xiàn)問題我們迎難而上，針對醫(yī)療行業(yè)當前數(shù)據(jù)安全方面存在的數(shù)據(jù)泄露威脅，安華金和給出一個解決思路——建立主動防泄密體系。該體系包含了三大核心和四大防線，具體思路如下：

三大核心：DBMS、訪問路徑、核心數(shù)據(jù)

四道防線：形成“檢查預(yù)警、主動預(yù)防、底線防守、事后監(jiān)管”專業(yè)數(shù)據(jù)庫防護理念。

1、檢查預(yù)警

第一道防線——檢查預(yù)警

2、主動防御

第二道防線——主動防御

建立運維審批流程-讓管理者睡個踏實覺。

構(gòu)建醫(yī)療防控模型-配合管理制度。

應(yīng)用側(cè)防護——抵御外部黑客行為。

運維側(cè)防護——控制外包和服務(wù)人員權(quán)限。

3、底線防守

第三道防線——底線防守

數(shù)據(jù)脫敏——醫(yī)療數(shù)據(jù)去隱私化。

醫(yī)患信息數(shù)據(jù)加密——防止整庫泄露、防脫庫。

閥值管控——對大批量醫(yī)療泄密告警控管。

4、事后追查

對醫(yī)療行業(yè)數(shù)據(jù)庫加以審計：以“第三方”的角度觀察，“全、準、快、省”記錄網(wǎng)絡(luò)中對數(shù)據(jù)庫的訪問行為，有效追責、定責。

第四道防線——事后追查黑客和內(nèi)鬼

數(shù)據(jù)庫整體安全防護總結(jié)

今天的北京，室外是能見度僅僅數(shù)米的霧霾天，朋友圈充斥著讓人啼笑皆非的霧霾段子，路人行人面色凝重、步履匆匆，一頂頂白花花的口罩下面藏起了一張張渴望大口呼吸的嘴巴，人們對健康的擔憂也隨著霧霾紅色預(yù)警襲來而越發(fā)高漲。清理霧霾，還祖國一片藍天是關(guān)乎全民生存健康的大事，需要聯(lián)動社會各方力量一起去努力。

人類的健康依賴好的生態(tài)環(huán)境和發(fā)達的醫(yī)療水平，正如霧霾威脅人類的健康，數(shù)據(jù)泄露同樣會對醫(yī)療信息化健康發(fā)展造成威脅。我們希望國家政府能夠下定決心，以舉國之力來清理霧霾，還城市以藍天，還百姓以健康和笑臉。我們同樣希望醫(yī)療行業(yè)重視數(shù)據(jù)庫安全，堵住數(shù)據(jù)泄露的源頭，還醫(yī)療行業(yè)信息數(shù)據(jù)生態(tài)以健康。

相關(guān)資料：

《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》PPT下載：http://www.dbsec.cn/operations/download.html

安華金和醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)庫安全解決方案：http://www.dbsec.cn/solutions/yl.html

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。