隨著醫(yī)療數(shù)字化的不斷發(fā)展,醫(yī)療數(shù)據(jù)的采集���、加工和應(yīng)用已經(jīng)越來越普遍�����,醫(yī)療數(shù)據(jù)的價值也得到了極大的發(fā)掘與顯現(xiàn)���,這在促進(jìn)醫(yī)療進(jìn)步的同時,也促進(jìn)了醫(yī)療數(shù)據(jù)黑產(chǎn)的不斷發(fā)展��,醫(yī)療數(shù)據(jù)泄露時有發(fā)生�����,進(jìn)而帶來患者隱私的泄露���。醫(yī)療數(shù)據(jù)泄露會危及患者個人隱私��,如孕婦個人信息的泄露�,可能帶來的一系列推銷���、詐騙等問題。
針對醫(yī)療數(shù)據(jù)面臨的數(shù)據(jù)安全威脅,安華金和提出:“構(gòu)建醫(yī)療行業(yè)數(shù)據(jù)安全主動防御體系”�。
一. 檢查預(yù)警:數(shù)據(jù)庫“弱點(diǎn)”綜合評估
數(shù)據(jù)庫自身會存在一些風(fēng)險,比如安全漏洞���、弱配置項(xiàng)�����、缺省配置項(xiàng)����、弱口令���、缺省口令���、程序后門、權(quán)限寬泛等����,這些風(fēng)險的存在是醫(yī)療行業(yè)中數(shù)據(jù)泄露的一大因素。安華金和利用專業(yè)�、成熟的數(shù)據(jù)庫“弱點(diǎn)”評估技術(shù),可以實(shí)現(xiàn)對現(xiàn)有醫(yī)療機(jī)構(gòu)核心數(shù)據(jù)庫的運(yùn)行狀態(tài)進(jìn)行周期性監(jiān)控和綜合風(fēng)險評估���,評估范圍覆蓋醫(yī)療DBMS漏洞���、管理員維護(hù)漏洞�、程序代碼漏洞和高危敏感醫(yī)療數(shù)據(jù)檢測四個方面���,并給出詳細(xì)的安全評估報告與修復(fù)建議�����,從而醫(yī)療機(jī)構(gòu)可以根據(jù)修復(fù)建議有針對性的對數(shù)據(jù)庫進(jìn)行安全加固�����。
二. 主動防御:讓黑客“進(jìn)不來”
醫(yī)療行業(yè)的業(yè)務(wù)系統(tǒng)環(huán)境復(fù)雜�,普通三級醫(yī)院通常具備的醫(yī)療系統(tǒng)會在百套以上����,數(shù)據(jù)庫為這些醫(yī)療系統(tǒng)開放了繁雜的接口,而醫(yī)院出于業(yè)務(wù)穩(wěn)定性的考慮�,無法及時更新數(shù)據(jù)庫補(bǔ)丁或不能更新數(shù)據(jù)庫補(bǔ)丁。針對此類情況�����,需要在各類醫(yī)療機(jī)構(gòu)的數(shù)據(jù)庫外圍創(chuàng)建一個安全防護(hù)層�,即數(shù)據(jù)庫防火墻的虛擬補(bǔ)丁。安華金和數(shù)據(jù)庫防火墻系統(tǒng)通過虛擬補(bǔ)丁技術(shù)對CVE上已公開的數(shù)據(jù)庫漏洞進(jìn)行全方位攻擊特征攔截�����,漏洞分類涵蓋緩沖區(qū)溢處����、權(quán)限提升、拒絕服務(wù)攻擊等��,以達(dá)到即使在數(shù)據(jù)庫不打補(bǔ)丁的情況下也能夠完成數(shù)據(jù)庫漏洞防護(hù)的目的���。
三. 底線防守:真實(shí)數(shù)據(jù)“拿不走”
如果數(shù)據(jù)以明文形式存儲����,在外部黑客或內(nèi)部高權(quán)限用戶突破邊界防護(hù)對數(shù)據(jù)庫整體拖庫的情況下�����,會造成數(shù)據(jù)庫中存儲的明文數(shù)據(jù)泄露����,數(shù)據(jù)庫加密產(chǎn)品可以有效避免由于脫庫和內(nèi)部高權(quán)限用戶造成的數(shù)據(jù)泄露事件�����。安華金和數(shù)據(jù)庫加密系統(tǒng)通過多級權(quán)限控制體系����,并通過對應(yīng)用程序或者系統(tǒng)進(jìn)行摘要值和鏈接隨機(jī)種子的判定���,保證應(yīng)用身份標(biāo)識不可偽造���,合法的鏈接不可重放,從而做到即便被脫庫也無法查看密文數(shù)據(jù)����。
四. 事后追查:追溯事件的“利器”
數(shù)據(jù)庫審計產(chǎn)品可以記錄所有的數(shù)據(jù)庫訪問行為,從而為數(shù)據(jù)安全事件發(fā)生后的追責(zé)定責(zé)提供依據(jù)�����。安華金和數(shù)據(jù)庫審計會針對醫(yī)護(hù)人員��、his系統(tǒng)的維護(hù)人員���、DBA�、外包人員等的數(shù)據(jù)庫操作行為進(jìn)行全量記錄,記錄信息包含應(yīng)用信息��、客戶端信息�����、訪問工具�����、操作行為��、執(zhí)行對象����、應(yīng)答結(jié)果��、影響范疇等20多類元素���。對于外部攻擊發(fā)起的數(shù)據(jù)庫漏洞攻擊�����、惡意的SQL注入行為��、非法的業(yè)務(wù)登錄�、高危的SQL操作和批量的醫(yī)療數(shù)據(jù)下載,進(jìn)行及時發(fā)現(xiàn)及時告警��。
安華金和長期專注于數(shù)據(jù)庫安全領(lǐng)域�����,是中國專業(yè)的數(shù)據(jù)安全產(chǎn)品及解決方案提供商��,針對醫(yī)療行業(yè)有大量的案例并涉及各級醫(yī)院����,安華金和以“讓數(shù)據(jù)使用更安全”為最高使命,愿意為醫(yī)療行業(yè)的數(shù)據(jù)安全建設(shè)貢獻(xiàn)自己的力量�。
產(chǎn)品咨詢:4000 258 365 
