6月19日,由寧波市委網信辦指導�����,寧波市計算機信息網絡安全協(xié)會����、寧波市互聯(lián)網發(fā)展聯(lián)合會主辦的“2019寧波市信息網絡安全高峰論壇”圓滿召開!
一�����、2019寧波市信息網絡安全高峰論壇主論壇
會議現(xiàn)場
寧波市委��、網信辦����、公安局主管領導,金融��、醫(yī)療�����、教育、電力相關重要行業(yè)信息化負責人��,行業(yè)專家學者����,安全廠商代表和“2019寧波市第二屆網絡安全大賽”獲獎選手共500余人到場參會�。安華金和作為“2019寧波市第二屆網絡安全大賽”的贊助支持單位受邀出席高峰論壇并做主題分享。
論壇旨在全面貫徹落實習近平總書記關于網絡強國的戰(zhàn)略思想����,圍繞“數(shù)字經濟與數(shù)據(jù)安全”這一主題,為我國的信息化建設以及寧波未來網絡安全防護與數(shù)字經濟發(fā)展出謀劃策�。
二、“智慧醫(yī)療 安全護航”分論壇
安華金和華東區(qū)技術總監(jiān)林鷺出席“智慧醫(yī)療 安全護航”分論壇并做《醫(yī)療行業(yè)數(shù)據(jù)安全解決方案》內容分享:
一���、危機四伏
根據(jù)對2018年上半年數(shù)據(jù)泄露事件的統(tǒng)計�,醫(yī)療保健行業(yè)以27%的占比“遙遙領先”——“互聯(lián)網+”醫(yī)療�、網絡黑產、非法統(tǒng)方等問題令醫(yī)療行業(yè)成為數(shù)據(jù)泄露的重災區(qū):
1�����、當醫(yī)療遇見互聯(lián)網后
如今,日新月異的互聯(lián)網已滲透到醫(yī)療行業(yè)的各個環(huán)節(jié)�����,醫(yī)院等機構相對封閉的數(shù)據(jù)使用環(huán)境被逐漸打破�����,信息在高速生產����、傳輸、使用�、存儲的過程中,面臨著前所未有的安全風險����。
2、當醫(yī)療數(shù)據(jù)遇見黑客
大數(shù)據(jù)時代下����,數(shù)據(jù)的價值正在不斷攀升,其中與百姓生命健康緊密相關的醫(yī)療衛(wèi)生數(shù)據(jù)成為黑客眼中的“金礦”����,以營利為目的竊取個人隱私數(shù)據(jù)的攻擊行為層出不窮�,且數(shù)據(jù)泄露后多被用于精準詐騙��、隱私勒索和誘導式推銷等極具危害性的不法行為�。
3、當“統(tǒng)方”的目的不純
統(tǒng)方�����,原本是醫(yī)院為了解醫(yī)生用藥情況而進行的一項工作���,如今卻成了醫(yī)藥回扣黑鏈的代名詞。這種不法行為不僅會帶來數(shù)據(jù)安全問題����,更可能導致無辜病患的切身利益受到損害。
二��、難點眾多
隨著《網絡安全法》����、等保2.0以及《全國醫(yī)院信息化建設標準與規(guī)范(試行)》等法律規(guī)范、制度標準的相繼發(fā)布�����,國家對醫(yī)療行業(yè)數(shù)據(jù)安全保護的重視和要求進一步明確。新時期�、新環(huán)境下,醫(yī)療行業(yè)想要真正做到滿足合規(guī)與發(fā)展的協(xié)調統(tǒng)一��,有待解決的難點還很多:
1���、各醫(yī)療系統(tǒng)繁雜�����,不清楚數(shù)據(jù)資產在哪����?怎么治理��?又在流向何方��?
2���、智慧醫(yī)療下的數(shù)據(jù)流動更加活躍而廣泛�,逐漸為網絡攻擊打開口子�?
3、醫(yī)療數(shù)據(jù)明文存儲,可直接接觸者眾多��,該如何規(guī)范核心數(shù)據(jù)訪問��?
4�����、因第三方導致數(shù)據(jù)泄露的事件頻出�,該如何規(guī)范數(shù)據(jù)的共享和使用?
5�、非法統(tǒng)方長期暗地滋生難于治理,如何真正實現(xiàn)對統(tǒng)方行為的管控���?
三、解決方案
安華金和依托多年來在醫(yī)療行業(yè)豐富的數(shù)據(jù)安全治理實踐經驗積累�,提出如下方案思路:
1、全面自檢梳理
對現(xiàn)有醫(yī)療核心系統(tǒng)的數(shù)據(jù)庫及數(shù)據(jù)資產進行全方位梳理�,及時發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫用戶分布及權限詳情,深度挖掘僵尸庫和病患敏感數(shù)據(jù)情況�;對包含患者敏感數(shù)據(jù)的表、模式����、庫進行敏感度評分,并進一步對醫(yī)療數(shù)據(jù)進行分類分級;同時���,對醫(yī)療核心數(shù)據(jù)資產進行周期性動態(tài)分析和異常評測�����,實時掌握其變化及使用趨勢�����,實現(xiàn)對風險的預估���。
2、內外威脅防護
通過專業(yè)度及成熟度較高的數(shù)據(jù)庫“弱點”評估技術��,對現(xiàn)有醫(yī)療核心數(shù)據(jù)庫的運行狀態(tài)進行周期性監(jiān)控和綜合風險評估�,充分暴露并證明數(shù)據(jù)庫自身的安全漏洞、弱配置項���、缺省配置項�����、弱口令����、缺省口令、易受攻擊代碼��、程序后門���、權限寬泛等安全風險����,從而對數(shù)據(jù)庫進行有針對性的安全加固�����。
3�、規(guī)范數(shù)據(jù)訪問
采用多級權限管控手段,在不影響人員正常工作的前提下���,通過相關技術準確識別敏感數(shù)據(jù)訪問行為。對業(yè)務展示層中普通患者或特殊身份患者(如國家高干����、明星)等身份信息進行脫敏處理;對運維側的患者敏感信息進行脫敏處理�����,防止運維側大批量數(shù)據(jù)泄露。
4����、規(guī)范數(shù)據(jù)使用
根據(jù)各類醫(yī)療系統(tǒng)的開發(fā)測試,以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況�����,通過專業(yè)技術對敏感數(shù)據(jù)進行自動識別和統(tǒng)一管理����,針對共享數(shù)據(jù)中包含的患者個人隱私數(shù)據(jù),采用脫敏算法將敏感數(shù)據(jù)轉化為虛構數(shù)據(jù)��,隱藏真正的患者敏感信息���,防止各機構內部對隱私數(shù)據(jù)的濫用�����。
5�����、加強統(tǒng)方治理
對于需要進行合法統(tǒng)方工作的藥房管理人員和藥劑師的統(tǒng)方行為進行敏感數(shù)據(jù)遮蔽���;對運維側的醫(yī)生姓名�����、編號��、藥品數(shù)量等字段進行脫敏�����;對其他一切無需統(tǒng)方人員的統(tǒng)方行為進行“攔截+告警”�;對于黑客入侵數(shù)據(jù)庫實施的統(tǒng)方行為進行“攔截+告警”���,同時對藥品編號�����、數(shù)量等信息進行加密�����。
三��、 圓桌論壇
在本次高峰論壇的最后一個重要環(huán)節(jié)中���,安華金和區(qū)域銷售總監(jiān)范正宇和寧波市委網信辦葉子偉處長,寧波市衛(wèi)生信息中心�、寧波市健康醫(yī)療大數(shù)據(jù)研究中心朱春倫處長等一同出席圓桌論壇對話交流。期間���,幾位代表針對在當前網絡安全檢查及等保2.0等合規(guī)檢查過程中經常出現(xiàn)的數(shù)據(jù)庫漏洞修復難點�,以及數(shù)據(jù)庫防火墻在接入網絡后怎樣既能確保安全防護��,又不會誤攔截合法請求等熱門話題進行了深入探討��。
在談及數(shù)據(jù)庫漏洞修復問題時����,范正宇表示:這是當前很多用戶遇到的現(xiàn)實問題,建議用戶使用數(shù)據(jù)庫漏洞“虛擬補丁”技術來解決���?��!疤摂M補丁”技術可以通過前置防護的方式,將防護規(guī)則啟用在數(shù)據(jù)庫前端的數(shù)據(jù)庫防火墻類設備上���,從而有效攔截針對數(shù)據(jù)庫漏洞的攻擊以及對數(shù)據(jù)庫進行惡意掃描的行為�。此外,通過對“虛擬補丁”規(guī)則庫的定期更新�,還可以讓后端的數(shù)據(jù)庫系統(tǒng)獲得持續(xù)性安全保護。因此��,只有選擇具備專業(yè)數(shù)據(jù)庫漏洞挖掘與研究能力的安全團隊及其產品和服務��,才能夠保證在第一時間獲得最新的數(shù)據(jù)庫漏洞防御能力���。
中國現(xiàn)已邁入網絡安全保護的嶄新階段�,各行各業(yè)均需順應數(shù)字經濟發(fā)展趨勢���。作為中國數(shù)據(jù)安全治理的提出者和踐行者����,安華金和將持續(xù)深入技術研發(fā)��,不斷優(yōu)化提升產品和服務水平����,為廣大客戶提供行業(yè)領先的、高效可靠的數(shù)據(jù)安全解決方案!
產品咨詢:4000 258 365 
