6月19日�,由寧波市委網信辦指導,寧波市計算機信息網絡安全協(xié)會���、寧波市互聯(lián)網發(fā)展聯(lián)合會主辦的“2019寧波市信息網絡安全高峰論壇”圓滿召開!
一�、2019寧波市信息網絡安全高峰論壇主論壇
會議現(xiàn)場
寧波市委、網信辦�����、公安局主管領導�����,金融、醫(yī)療����、教育、電力相關重要行業(yè)信息化負責人��,行業(yè)專家學者����,安全廠商代表和“2019寧波市第二屆網絡安全大賽”獲獎選手共500余人到場參會。安華金和作為“2019寧波市第二屆網絡安全大賽”的贊助支持單位受邀出席高峰論壇并做主題分享��。
論壇旨在全面貫徹落實習近平總書記關于網絡強國的戰(zhàn)略思想�����,圍繞“數(shù)字經濟與數(shù)據(jù)安全”這一主題��,為我國的信息化建設以及寧波未來網絡安全防護與數(shù)字經濟發(fā)展出謀劃策�����。
二��、“智慧醫(yī)療 安全護航”分論壇
安華金和華東區(qū)技術總監(jiān)林鷺出席“智慧醫(yī)療 安全護航”分論壇并做《醫(yī)療行業(yè)數(shù)據(jù)安全解決方案》內容分享:
一����、危機四伏
根據(jù)對2018年上半年數(shù)據(jù)泄露事件的統(tǒng)計���,醫(yī)療保健行業(yè)以27%的占比“遙遙領先”——“互聯(lián)網+”醫(yī)療、網絡黑產�、非法統(tǒng)方等問題令醫(yī)療行業(yè)成為數(shù)據(jù)泄露的重災區(qū):
1、當醫(yī)療遇見互聯(lián)網后
如今��,日新月異的互聯(lián)網已滲透到醫(yī)療行業(yè)的各個環(huán)節(jié)���,醫(yī)院等機構相對封閉的數(shù)據(jù)使用環(huán)境被逐漸打破���,信息在高速生產、傳輸�����、使用��、存儲的過程中���,面臨著前所未有的安全風險。
2���、當醫(yī)療數(shù)據(jù)遇見黑客
大數(shù)據(jù)時代下���,數(shù)據(jù)的價值正在不斷攀升��,其中與百姓生命健康緊密相關的醫(yī)療衛(wèi)生數(shù)據(jù)成為黑客眼中的“金礦”����,以營利為目的竊取個人隱私數(shù)據(jù)的攻擊行為層出不窮���,且數(shù)據(jù)泄露后多被用于精準詐騙��、隱私勒索和誘導式推銷等極具危害性的不法行為���。
3、當“統(tǒng)方”的目的不純
統(tǒng)方���,原本是醫(yī)院為了解醫(yī)生用藥情況而進行的一項工作���,如今卻成了醫(yī)藥回扣黑鏈的代名詞。這種不法行為不僅會帶來數(shù)據(jù)安全問題���,更可能導致無辜病患的切身利益受到損害�。
二、難點眾多
隨著《網絡安全法》����、等保2.0以及《全國醫(yī)院信息化建設標準與規(guī)范(試行)》等法律規(guī)范、制度標準的相繼發(fā)布�����,國家對醫(yī)療行業(yè)數(shù)據(jù)安全保護的重視和要求進一步明確�����。新時期��、新環(huán)境下��,醫(yī)療行業(yè)想要真正做到滿足合規(guī)與發(fā)展的協(xié)調統(tǒng)一����,有待解決的難點還很多:
1、各醫(yī)療系統(tǒng)繁雜��,不清楚數(shù)據(jù)資產在哪����?怎么治理?又在流向何方���?
2���、智慧醫(yī)療下的數(shù)據(jù)流動更加活躍而廣泛,逐漸為網絡攻擊打開口子��?
3�����、醫(yī)療數(shù)據(jù)明文存儲��,可直接接觸者眾多���,該如何規(guī)范核心數(shù)據(jù)訪問����?
4���、因第三方導致數(shù)據(jù)泄露的事件頻出��,該如何規(guī)范數(shù)據(jù)的共享和使用����?
5、非法統(tǒng)方長期暗地滋生難于治理���,如何真正實現(xiàn)對統(tǒng)方行為的管控�?
三����、解決方案
安華金和依托多年來在醫(yī)療行業(yè)豐富的數(shù)據(jù)安全治理實踐經驗積累,提出如下方案思路:
1����、全面自檢梳理
對現(xiàn)有醫(yī)療核心系統(tǒng)的數(shù)據(jù)庫及數(shù)據(jù)資產進行全方位梳理,及時發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫用戶分布及權限詳情���,深度挖掘僵尸庫和病患敏感數(shù)據(jù)情況�;對包含患者敏感數(shù)據(jù)的表�����、模式�����、庫進行敏感度評分,并進一步對醫(yī)療數(shù)據(jù)進行分類分級��;同時��,對醫(yī)療核心數(shù)據(jù)資產進行周期性動態(tài)分析和異常評測�����,實時掌握其變化及使用趨勢����,實現(xiàn)對風險的預估����。
2、內外威脅防護
通過專業(yè)度及成熟度較高的數(shù)據(jù)庫“弱點”評估技術��,對現(xiàn)有醫(yī)療核心數(shù)據(jù)庫的運行狀態(tài)進行周期性監(jiān)控和綜合風險評估����,充分暴露并證明數(shù)據(jù)庫自身的安全漏洞、弱配置項���、缺省配置項��、弱口令����、缺省口令、易受攻擊代碼����、程序后門、權限寬泛等安全風險����,從而對數(shù)據(jù)庫進行有針對性的安全加固。
3�、規(guī)范數(shù)據(jù)訪問
采用多級權限管控手段,在不影響人員正常工作的前提下����,通過相關技術準確識別敏感數(shù)據(jù)訪問行為。對業(yè)務展示層中普通患者或特殊身份患者(如國家高干�、明星)等身份信息進行脫敏處理;對運維側的患者敏感信息進行脫敏處理�����,防止運維側大批量數(shù)據(jù)泄露。
4��、規(guī)范數(shù)據(jù)使用
根據(jù)各類醫(yī)療系統(tǒng)的開發(fā)測試���,以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況��,通過專業(yè)技術對敏感數(shù)據(jù)進行自動識別和統(tǒng)一管理,針對共享數(shù)據(jù)中包含的患者個人隱私數(shù)據(jù)���,采用脫敏算法將敏感數(shù)據(jù)轉化為虛構數(shù)據(jù)���,隱藏真正的患者敏感信息,防止各機構內部對隱私數(shù)據(jù)的濫用����。
5、加強統(tǒng)方治理
對于需要進行合法統(tǒng)方工作的藥房管理人員和藥劑師的統(tǒng)方行為進行敏感數(shù)據(jù)遮蔽�;對運維側的醫(yī)生姓名、編號�、藥品數(shù)量等字段進行脫敏;對其他一切無需統(tǒng)方人員的統(tǒng)方行為進行“攔截+告警”���;對于黑客入侵數(shù)據(jù)庫實施的統(tǒng)方行為進行“攔截+告警”�����,同時對藥品編號�����、數(shù)量等信息進行加密�����。
三��、 圓桌論壇
在本次高峰論壇的最后一個重要環(huán)節(jié)中��,安華金和區(qū)域銷售總監(jiān)范正宇和寧波市委網信辦葉子偉處長�����,寧波市衛(wèi)生信息中心�����、寧波市健康醫(yī)療大數(shù)據(jù)研究中心朱春倫處長等一同出席圓桌論壇對話交流�����。期間,幾位代表針對在當前網絡安全檢查及等保2.0等合規(guī)檢查過程中經常出現(xiàn)的數(shù)據(jù)庫漏洞修復難點�,以及數(shù)據(jù)庫防火墻在接入網絡后怎樣既能確保安全防護,又不會誤攔截合法請求等熱門話題進行了深入探討��。
在談及數(shù)據(jù)庫漏洞修復問題時���,范正宇表示:這是當前很多用戶遇到的現(xiàn)實問題��,建議用戶使用數(shù)據(jù)庫漏洞“虛擬補丁”技術來解決���?����!疤摂M補丁”技術可以通過前置防護的方式����,將防護規(guī)則啟用在數(shù)據(jù)庫前端的數(shù)據(jù)庫防火墻類設備上,從而有效攔截針對數(shù)據(jù)庫漏洞的攻擊以及對數(shù)據(jù)庫進行惡意掃描的行為����。此外,通過對“虛擬補丁”規(guī)則庫的定期更新���,還可以讓后端的數(shù)據(jù)庫系統(tǒng)獲得持續(xù)性安全保護�����。因此���,只有選擇具備專業(yè)數(shù)據(jù)庫漏洞挖掘與研究能力的安全團隊及其產品和服務�����,才能夠保證在第一時間獲得最新的數(shù)據(jù)庫漏洞防御能力����。
中國現(xiàn)已邁入網絡安全保護的嶄新階段�,各行各業(yè)均需順應數(shù)字經濟發(fā)展趨勢。作為中國數(shù)據(jù)安全治理的提出者和踐行者���,安華金和將持續(xù)深入技術研發(fā)���,不斷優(yōu)化提升產品和服務水平,為廣大客戶提供行業(yè)領先的��、高效可靠的數(shù)據(jù)安全解決方案!
產品咨詢:4000 258 365 
