医疗行业数据安全解决方案

进入DT数据时代，医疗机构数据保护工作也变得更加复入整合，为医疗卫生行业的高效、快捷、便民提供了信息化基础，但是医疗数据具有普遍的真实性，包含了患者个体患病情况、生物组学等数据；从宏观上看，则包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。这些数据具有很高的质量和价值，同时也具有隐私性，在巨大商业利益的驱使下，医疗行业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦泄露会对患者生活、医生工作，医院公众形象带来很大影响和负面作用；微观上看，医疗数据能否安全使用，还关乎社会稳定、国家安全。《网络安全法》和《数据安全法》的出台，也让数据安全的责任界定有了更为明确的责任主体，医院的信息部门无疑是“压力山大”。医疗机构需要将数据保护工作作为基础要求，同时规划医疗数据统计、分析、挖掘、应用是等未来医疗行业数据流动的趋势。>在系统的建设和应用方面，从单机、单用户应用发展到部门级、全院级管理信息系统应用。>从以财务、药品和管理为中心的发展，开始集中向以病人信息为中心的临床业务支持和电子病历应用。>微信、支付宝等快捷支付方式深入民生行业，使得医疗信息化系统从局限在医院内部的应用，逐步走向开放的互联网。>国家区域医疗建设的规划，对区域医疗信息化多接口的应用，提出了前所未有的高要求。面对如此严重的安全风险，要坚持规范有序、安全可控是国家发展医疗大数据的基本原则。国办发[2016]47号文中指出，强化标准和安全体系建设，强化安全管理责任，妥善处理应用发展与保障安全的关系，增强安全技术支撑能力，有效保护个人隐私和信息安全。同时指出，面对医疗数据的“万无一失，一失万无的”的高要求，安全保护作为一个复杂的技术和管理问题，将成为医疗数据的核心技术和首要问题。在众多数据安全件中，黑客和IT事故是主要原因，占所有数据泄漏的60%以上。这并不难理解，数据库是网络犯罪分子的主要攻击目标，因为这里拥有大量的敏感信息，例如病史、账号、个人财务数据等。所以，医疗行业必须采用主动防御的技术和安全可靠的数据安全最佳实践，以确保其IT系统中的所有数据全天候安全。医疗数据安全存在哪些风险?>数据管控风险虽然医疗组织正在逐渐增强数据安全意识，但关于数据管控尚未建立统一管理机制，制度的完善相对滞后，同时“互态的不断涌现，并渗透至医疗领域的各个环节，客观上导致原本相对封闭的使用环境被逐渐打破。>外部攻击风险医疗行业数据价值高，很容易引发来自互联网的攻击行为，黑客能够非常精准地获取数据，继而进行精确诈骗，所以必须采取有效措施应对外部攻击风险。>数据交换风险为了规避数据交换风险，需要建立科学的对外数据交换标准，>数据泄露风险内部人员的权限管控制度如不完善，非权限人员便可随意访问病患隐私信息，数据泄露风险很大；加之内部人员监管手段不足，引发取证难等更多问题。另外导致医院数据安全问题的原因很多，概括如下：>保密意识不强在使用社交媒体和手机App时，也无意中泄露了个人隐私数据。如发布的JPG、TIFF图片就泄露了一些私密数据，因这些图片文件头部记录了照相设备、作者、日期、GPS位置等数据。调查显示，文档类泄密事件97%是内部员工有意或无意泄露造成的。>内部管理漏洞因管理不严，医生办公室的电脑很容易被露。部分医院数据中心主机房和分布在医院各栋楼宇的网管理不严，存在信息设备被人断电或接入不安全设备或恶意操作的隐患。>人员误操作误操作也是数据错误的重要原因，>人为故意隐私数据被有意收集、盗取的事件时有发生，人为搞破坏恶意篡改医院网站网页、植入病毒或木马致系统瘫痪。>系统架构缺陷医院信息系统在设计之初就存在缺陷，如如数据驻留、数据传输未加密等也可能导致数据安全问据遗失和非法利用。同时安全防护既要防外(针对合作单位、外部厂商),又要防内(针对科室用户、技术人员)。医疗行>数据使用者多样化。>数据使用方式的多样化。>数据需求的多样化。>技术环境的多样化。3.1方案设计随着《数据安全法》的发布，其中也强调数据全生命周期>引导医疗数据有序流动根据数据的特性，医疗数据可分为绝密、机密、保密、内部共享、医院间共享和对外公开几个等级。应根据不同的等级，制定不同的的管理规程，包括数据保密范围、保密时效、授权范围、授权流程、操作规程、操作核对规程、操作记录规程、操作审查机制、责任追究机制、技术保护策略、应急预案等。>构建以患者为中心的医疗数据安全防护体系现有的隐私安全防护，大多仅仅注重脱敏和匿名化保护，息风险评估和防护体系，覆盖信息录入、个人隐私管理、加密存储、访问控制、匿名化处理、信息发布流通、监管审计等多>最小特权化管理，实现数据资源访问可控最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限，降低了非法用户或非法操作可能给系统及数据带首先对医院数据资产梳理系统实现数据资源分级、分类管理，针对不同分类分级数据制定安全防护策略，从而保障了数对该库的运维人员实现安全管控措施；对该库的数据导3.4数据安全防御体系3.4.1访问控制防护开放的系统，而WEB服务器被暴露在网络之中，攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁防护，3.4.2网络可信接入应用服务器可信：通过IP/MAC绑定，确保只有授权服务器、设备能够访问数据库。通过对应用身份识别，让合法应用发出的SQL语句能够直接访问数据库，而其他登陆工具和应用未经过授权或绑定，都无法登陆后台数据库，确保数据来自指定应用。3.4.4抵御SQL注入建立SQL注入特征库，通过对SQL语句进行注入特征描在数据库外的网络访问路径上创建了一个安全层，数据库在无需补丁情况下，完成对数据库漏洞防护，对于有“扩展脚库直接进行拦截。对数据库的访问设置许可或禁止模型，按照SQL自身语法结构划分SQL类别，通过自定义模型添加新的SQL注入特3.4.7权限细粒度管理建立比DBMS系统更详细的虚拟权限控制，对建立的虚拟权限的用户提供细粒度的控制。控制策略例如：用户+操作Nowhere等高危操作阻断；对于返回行数和影响行数实现精确3.5规范数据运维管理(数据库防水坝)3.5.1运维行为流程化管理申请人在提交申请的过程中，系统会对语句的合理性，语法的正确性，以及是否存在潜在的风险进行判断与分析，并将其表现给审批人作参考。申请人提交的内容和审批人的审核结果都会被系统保存，为日后的追责提供重要依据。3.5.2自主识别、自主记忆、自主学习基于精确协议解析技术，能够根据用户申请SQL的语法特征和关键词进行自动识别，对输入SQL能够实时、快速、准确判断是否语法语义错误；对申请未通过的相同语句进行自动记忆以避免他人申请相同语句时造成反复操作。本系统通过自主学习模式以及SQL语法分析构建动态模型，形成SQL名单，对符合SQL白名单语句正常执行，对符合SQL黑名单特征语句进行进行及时告警。3.5.3灵活的策略和风险感知具备风险感知能力，系统提供了规则库，规则库中包含异常风险操作、SQL规则、漏洞攻击库、自定义规则、白名单黑名单规则。灵活的策略定制：根据登录用户、IP地址、端口号、数据库对象(分为数据库用户、表、字段)、操作时间、操作类型、影响行数、记录内容的灵活组合来定义用户所关心的重要事件和风险事件。推荐默认规则：数据库安全管控平台的规则库中有可供管理员选择使用的推荐默认规则，对申请的SQL语句特征系统会自动感知是否会SQL注入攻击、漏洞攻击、高危操作等，系统随即会提示给申请人/审批人。时间、语句等，如有申请触发白名单和黑名单规则，系统按照制定规则自动执行。3.5.4运维监控、发现异常行为据库用户、业务用户、响应时间、影响行数等数据库操作的记录和分析能力，形成DDL、DML、DCL类操作统计、执行操作TOP统计、高危操作、申请人/申请部门申请信息数据统计3.5.5多角色多权限管理在管控平台设置普通用户、审批人、业务管理员、系统管理员四种角色，每种角色对应权限不同。普通用户即一线运维人员，其权限是能够对执行的语句进行申请并根据申请结果执行操作。审批人即运维主管或安全主管，对申请人申请的语句进行审批，也能够申请语句并执行。安全管理员能够制定规则，管理数据库，管理用户，对运维数据实时监控，审计检查。系统管理员主要权限是对主机管理、内存管理、网络管理。3.6去除敏感数据(数据库脱敏)去除或变化医疗数据中的患者识别信息、不同应用目的对患者识别信息有不同需求、将结构化数据直接替换。其中，对于文本数据，可将姓名、居住地等敏感信息进行隐藏，通过采用自然语言处理技术进行识别与替换。对于医学影像数据，DICOM影像中进行读取数据文件进行结构化替换，将模拟影像使用模版进行遮蔽。数据静态脱敏系统，能够有效防止医院内部对隐私数据的滥用，防止隐私数据在未经脱敏的情况下从医院流出。满足既要保护隐私数据，又满足开发、测试、模型训练等业务对数据的需求，同时也保持监管合规，满足合规性。>自动识别敏感数据：按照用户指定的一部分敏感数据或预定义的敏感数据特征，在执行任务过程中对抽取的数据进行自动的识别，发现敏感数据，并自动的根据规则对发现的敏感数据进行脱敏处理。>丰富的脱敏算法：产品根据不同数据特征，内置了丰富高效的脱敏算法，可对常见数据如姓名、证件号、银行账户、金额、日期、住地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行脱敏。>数据子集管理：在很多场景下，并不需要将全部生产环境中数据脱敏至目标环境使用，如开发环境可能仅需要生产环境中1%的数据；统计分析场景则需要对全部数据进行合理采样。产品支持对目标数据库中一部分数据进行脱同场景下脱敏需求。>脱敏数据验证：在脱敏产品的使用过程中，会面临生产环境中数据或数据结构频繁发生变化的场景，如果脱敏策略没有及时进行调整，会造成敏感数据3.6.2数据动态脱敏系统动态脱敏系统，一般部署在数据共享和交换服务、数据应用和运维区，和数据库之间；形成自动化的敏感数据匿名化边界，防止隐私数据在未经脱敏的情况下从数据区流出。数据共享、交换区数据管理区动态脱敏—DDM数据应用、运维区ETL数据库数据查询服务大数据多种数据脱敏方法满足不同的隐私数据匿名化需求：1)数据屏蔽2)数据加密3)数据替换数据同步的策略，对需要共享的敏感数据，用户可根据数据的敏感级别和应用的需要，灵活的配置动态脱敏策略，从而实现外部应用能够安全可控的使用共享的敏感数据，防敏感数据泄露。>根据不同数据特征，内置了丰富高效的动态脱敏算法，包括屏蔽、变形、替换、随机。可支持自定义脱敏算法，用户可按需定义。首先要构建核心应用的行为模型，通过数据库防火墙的学习期止合法语句被误报，通过学期完善期，然后切换到保护期，此时如果出现了通过Web访问应用程序后门批量导出敏感数据单”语句，安全管理员要根据具体情况判断语句风险，防止通过后门程序批量导出敏感信息的行为。业务人员的数据库操作基本是合法的，但是也不能排除被利用或被攻击的情况，通过数据库审计精确记录关键业务操作和关联具体业务操作人员，为事后追溯定责提供准确依据，同时对数据库运维操作和非法批量导出行为进行告警。建议采用应用关联审计实现对业务用户的100%准确关联，在出现问题的时候能够实现准确的追责和定责。时间戳三层关联审计最高准确率为80%,在对业务用户操作进行追责的时候往往会出现A做的事情记成B,并且在高并发的情况下极易出现错误审计，所以不推荐使用。系统提供了灵活而丰富的策略配置功能，协助用户完成审计策略的精确定义。审计策略可根据业务主机和业务用户(包括业务服务器IP范围，业务用户IP范围、业务用户认证身份、业务用户访问服务器使用的资源账号)、时间(即策略生效时间，能够是某一固定时间，也能够是某个周期性时间)、规则集(定义需要被审计的操作集合)、动作(包括阻断或者放行)、响应方式(包括事件风险级别、是否记录入库等)等要素来定义，并且能够提供全面惊喜的审计分析：提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问首页统计图。能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。通过对捕获的SQL语句进行精细SQL语法分析，并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归别范围内，完成审计结果的高精确和高可用分析。拥有数据库安全漏洞和SQL注入两个特征库，实现恶意攻击快速识别并告警，审计系统提供了针对数据库漏洞进行攻击的描述模型，使对这些典型的数据库攻击行为被迅速发现。系统提供了系统性的SQL注入库，以及基于语法抽象的SQL注入描述扩展。同时提供了强大的入侵检测能力，对入侵行为进行重点监控和告警，对入侵检测行为提供了大量的检测策略定义方3.7.2全面审计策略所有的数据库请求都会被审计，保证审计的全面性；通过Tracelog机制，实现对数据库所有访问行为的全面记录，包括SQL语句、SQL语句参数、执行结果(成功、失败和详细的失败原因)、被影响的记录、详细的查询结果集、事务状态、客户端IP、MAC、应用类型、会话登录和退出信息等。3.7.3风险审计策略根据对象、操作(上百种操作可选)、SQL分类类型(基于DBAudit对SQL的语法抽象结果进行筛选)、用户、指定的客户端(IP、MAC)、客户端工具或应用系统等多种策略定制风险检测策略。3.7.4实时准确的运行监控提供对风险访问行为统计、SQL吞吐量统计、网络流量和平均响应时间统计、SQL访问类别统计、告警SQL统计。提供对风险和危害访问的分析，包括：sql注入风险，违违规登录等。用户对数据库的操作方式多种多样，包括通过Linux操作系统登录数据库、通过程序连接数据库、通过PLSQL、Navicat等工具登录数据库进行数据库嵌套操作。数据库审计系统采用独有技术通过前后台关联，通过在应用服务器安装JTap包，获取应用户ip、用户名及操作的SQL语句，完美的解决了这个难题，实现了数据库操作行为(SQL)系统针对三层关联结果，提供完整的事件信息查询和独有的关联报表。在事件查询页面，用户能看到每个访问行为的业务用户名、客户端IP、数据库用户、执行的SQL语句以及应用服务器所使用的工具等信息。能够将业务系统访问数据库产生的SQL语句翻译成中文，支持把审计到的表信息、对象信息人工翻译成能够理解的中文，将执行的语句翻译成能够读懂的业务化语言，方便管理员直观的查看审计信息。四、方案优势4.1周期防护构建纵深为了解决数据库在防攻击、防篡改、防丢失、防泄密、防超级权限等问题。提出：针从数据库安全的三维角度，构建事前-事中-事后的全生命周期数据安全过程，并结合多层次安全技术防护能力，形成整体的数据库纵深防护体系。4.2主动防御减少威胁通过事中主动防御手段在数据库前端对入侵行为做到有效的控制，通过强大特征库和漏洞防御库，主动防御内外部用户的违规操作以及黑客的入侵行为。对IP/MAC等要素进行策略配置，确保应用程序的身份安全可靠。通过黑白名单对敏感数据访问控制，定义非法用户行为的方式定义安全策略，有效通过SQL注入特征识别库。4.3权限控制解决拖库从数据库级别进行最小化权限控制，杜绝超级管理员的产制数据信息的泄露，为信息化打好底层基础。有效防止存储文4.3透明部署零改应用4.5政策合规满足标准五、事项解答5.1防水坝与防火墙对比等A、数据库防水坝的具体功能，与数据库防火墙(网管)的差别?数据库防水坝主要部署在运维侧实现数据库运维人员(数据库管理员、测试开发人员、第三方运维人员等)在运维过程库入侵行为的安全防范，对可疑的非法违规操作进行阻断，如B、它在其它医院的应用怎么样?D、是怎么样部署的(旁路还是)?E、怎么管理数据库的(有策略还是每次都要人工写脚数据库