21日�,安華金和參加了2016醫(yī)療衛(wèi)生信息化發(fā)展與創(chuàng)新高峰論壇。該論壇圍繞“‘互聯(lián)網(wǎng)+醫(yī)療’的新時代——創(chuàng)新與管理”展開主題探討�。會上,安華金和數(shù)據(jù)庫安全方案總監(jiān)宣淦淼先生發(fā)表了《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》的主題演講���。安華金和結(jié)合醫(yī)療衛(wèi)生行業(yè)近兩年的數(shù)據(jù)泄露事件以及這些事件所引發(fā)的嚴重影響,引導大家關注醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀����,立足當前數(shù)據(jù)安全威脅的來源����,給出數(shù)據(jù)庫安全防護清晰的解決思路�。
《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》PPT下載:http://m.wallpapic-fi.com/operations/download.html
安華金和數(shù)據(jù)庫安全方案總監(jiān)宣淦淼發(fā)表演講
隨著信息化的不斷發(fā)展�����,醫(yī)療行業(yè)近幾年也開始不斷突破傳統(tǒng)發(fā)展道路�。借助互聯(lián)網(wǎng)、醫(yī)療軟件等信息手段�����,建立智能的醫(yī)療體系����,但隨著醫(yī)療行業(yè)信息化發(fā)展進程加快,醫(yī)療數(shù)據(jù)安全現(xiàn)狀引發(fā)關注���。2015年因各種原因?qū)е碌尼t(yī)療信息泄露事件累計影響達到了驚人的1.1億人�,是之前五年泄露人數(shù)總和的2.7倍,相當于三分之一的美國人的醫(yī)療信息出現(xiàn)了安全問題����。2016年前三個月,已經(jīng)發(fā)生了51起泄露事件����,牽扯人數(shù)達到347萬。
和其他行業(yè)數(shù)據(jù)泄露的原因大致相同����,醫(yī)療行業(yè)數(shù)據(jù)泄露原因主要分以下五大類:黑客入侵、使用者處置不當����、非法登陸、丟失和被竊�。近兩年以來,黑客入侵和非法登陸事件次數(shù)明顯增多�����,已經(jīng)取代了被竊成為最主要的泄露原因�。從泄露的人數(shù)上來看,黑客入侵也在近兩年內(nèi)泄露人數(shù)快速增長的主要原因�。
雖然美國醫(yī)療信息化軟件代表著當前一流水平����,但是由于醫(yī)療機構(gòu)內(nèi)和醫(yī)療機構(gòu)之間�����,軟件“碎片化”嚴重���。多數(shù)軟件在設計之初,并沒與完全考慮到未來互聯(lián)互通時可能存在的安全問題����,留下了很多安全隱患漏洞。據(jù)調(diào)查���,美國41%的醫(yī)療機構(gòu)沒有對醫(yī)療數(shù)據(jù)進行加密處理�,一半的醫(yī)療機構(gòu)無法有效預防和應對信息安全泄露���。美國尚且如此�����,其他國家醫(yī)療行業(yè)的數(shù)據(jù)安全狀況更加不容樂觀���。
隨著醫(yī)療信息化發(fā)展進程加快��,老問題卻一直存在:數(shù)據(jù)庫自身安全性堪憂
老問題1:傳統(tǒng)安全架構(gòu)局限性���,統(tǒng)網(wǎng)絡安全產(chǎn)品缺陷
老問題2:安全狀況未知——數(shù)據(jù)庫脆弱性
數(shù)據(jù)庫系統(tǒng)本身就存在諸多漏洞,由于業(yè)務不能中斷�����,導致數(shù)據(jù)庫需要保持長時間穩(wěn)定的運行�,那么就無法實時的更新補丁。
目前CVE上公布的數(shù)據(jù)庫漏洞就多達2000多個��,潛在威脅大����。
黑客就利用了這些漏洞,對數(shù)據(jù)庫進行攻擊����,從而竊取數(shù)據(jù)庫信息。
老問題3:內(nèi)部人員權限被嚴重忽略
內(nèi)部缺少管理手段�,缺乏有效的控制:無返回數(shù)量控制、超級用戶不受限����、SQL注入語句控制��、高危SQL控制�。
隨著“互聯(lián)網(wǎng)+醫(yī)療”興起��,新問題也暴露了出來——云架構(gòu)對于數(shù)據(jù)庫安全的各種沖擊
新問題1 :云等保要求合規(guī)性
GB/T22239.2《網(wǎng)絡安全等保護基本要求第二部分:云計算擴展要求》中明確指出:
“應確保云服務方或第三方只有在云租戶授權下才可以對云租戶數(shù)據(jù)庫資源進行訪問����、使用和管理”��。
“提供或支持云租戶部署滿足國家密碼管理規(guī)定的數(shù)據(jù)加密方案����,確保云租戶的數(shù)據(jù)在云計算平臺以密文形式存儲”。
“應根據(jù)云服務方和云租戶的職責劃分�,實現(xiàn)各自控制部分的集中審計”。
新問題2 :互聯(lián)網(wǎng)+醫(yī)療創(chuàng)新帶來前所未有新風險
網(wǎng)上掛號�����、醫(yī)療APP���、移動醫(yī)療打通醫(yī)療與外界網(wǎng)絡壁壘
醫(yī)療機構(gòu)與政府���、銀行���、保險等行業(yè)互聯(lián)互通
業(yè)務的訪問直達數(shù)據(jù)庫,缺少安全防護
當前��,現(xiàn)在大家都在做互聯(lián)網(wǎng)創(chuàng)新���,手機APP 網(wǎng)銀app 與等等的連接全部打開�,任一一個訪問都直達生產(chǎn)庫����。一旦前端出現(xiàn)安全問題,后端數(shù)據(jù)將面臨巨大風險�。
新問題3 : “我”的數(shù)據(jù) ,“云”卻做了主
傳統(tǒng)環(huán)境下�,數(shù)據(jù)分庫存儲,云環(huán)境下�,數(shù)據(jù)處于集中,如何有效加密��,并對不同業(yè)務部門密鑰分級管理����,防止失泄密風險����。
本著專業(yè)�����、務實的態(tài)度�,出現(xiàn)問題我們迎難而上,針對醫(yī)療行業(yè)當前數(shù)據(jù)安全方面存在的數(shù)據(jù)泄露威脅���,安華金和給出一個解決思路——建立主動防泄密體系。該體系包含了三大核心和四大防線�����,具體思路如下:
三大核心:DBMS�、訪問路徑、核心數(shù)據(jù)
四道防線:形成“檢查預警���、主動預防�、底線防守�、事后監(jiān)管”專業(yè)數(shù)據(jù)庫防護理念。
1�、檢查預警
第一道防線——檢查預警
2���、主動防御
第二道防線——主動防御
建立運維審批流程-讓管理者睡個踏實覺。
構(gòu)建醫(yī)療防控模型-配合管理制度�����。
應用側(cè)防護——抵御外部黑客行為�����。
運維側(cè)防護——控制外包和服務人員權限�����。
3���、底線防守
第三道防線——底線防守
數(shù)據(jù)脫敏——醫(yī)療數(shù)據(jù)去隱私化��。
醫(yī)患信息數(shù)據(jù)加密——防止整庫泄露�����、防脫庫�����。
閥值管控——對大批量醫(yī)療泄密告警控管��。
4���、事后追查
對醫(yī)療行業(yè)數(shù)據(jù)庫加以審計:以“第三方”的角度觀察�,“全�、準、快�、省”記錄網(wǎng)絡中對數(shù)據(jù)庫的訪問行為,有效追責�����、定責��。
第四道防線——事后追查黑客和內(nèi)鬼
數(shù)據(jù)庫整體安全防護總結(jié)
今天的北京�����,室外是能見度僅僅數(shù)米的霧霾天�����,朋友圈充斥著讓人啼笑皆非的霧霾段子��,路人行人面色凝重�、步履匆匆,一頂頂白花花的口罩下面藏起了一張張渴望大口呼吸的嘴巴�����,人們對健康的擔憂也隨著霧霾紅色預警襲來而越發(fā)高漲��。清理霧霾����,還祖國一片藍天是關乎全民生存健康的大事,需要聯(lián)動社會各方力量一起去努力����。
人類的健康依賴好的生態(tài)環(huán)境和發(fā)達的醫(yī)療水平,正如霧霾威脅人類的健康�����,數(shù)據(jù)泄露同樣會對醫(yī)療信息化健康發(fā)展造成威脅���。我們希望國家政府能夠下定決心���,以舉國之力來清理霧霾��,還城市以藍天����,還百姓以健康和笑臉�。我們同樣希望醫(yī)療行業(yè)重視數(shù)據(jù)庫安全,堵住數(shù)據(jù)泄露的源頭���,還醫(yī)療行業(yè)信息數(shù)據(jù)生態(tài)以健康����。
相關資料:
《構(gòu)建醫(yī)療數(shù)據(jù)“主動”防泄密體系》PPT下載:http://m.wallpapic-fi.com/operations/download.html
安華金和醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)庫安全解決方案:http://m.wallpapic-fi.com/solutions/yl.html
產(chǎn)品咨詢:4000 258 365 
