医院行业数据安全解决方案

医疗行业数据安全解决方案医疗行业数据安全形势01数据安全威胁场景分析02场景化技术防控措施03目 录医疗行业数据安全形势—

3

—01医疗行业面临的安全挑战Verizon连续十年发布年度数据泄露报告（DBIR）报告显示医疗行业数据泄露排名持续上升医疗数据价值的广泛认知和相对脆弱的防御措施是造成这一现象的两大要素。医疗行业数据安全威胁具有以下几个特征：安全趋势唯一内部威胁远大于外部威胁的行业数据价值高数据质量好医疗数据具有普遍的真实性，医疗行为本身决定了患者、医生都不可能隐瞒或者造假内部 外部医疗政府高新技术信息服务金融零售酒店餐饮所有—

4

—医疗数据覆盖面广，包含了患者个体患病情况、生物组学等数据；也包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。医疗数据能否安全使用，关乎社会稳定、国家安全。随着医院信息化不断推进，医疗数据安全问题面临更大的挑战数据泄露事件连续两年排名全行业第一医疗行业数据安全现状医疗数据的价值认识变迁：随着医疗数据价值的得到公认，医疗行业的数据安全问题日益凸显互联网数据流动人的安全开放环境数据价值cloud—

5

—患者个人数据患者社会关系患者病案病史医嘱和处方药品和器械价格医护人员信息······开放网络环境半开放网络化境互联网接入······手动操作特权账户外部入侵勒索病毒······临床数据中心科研平台后结构化平台测序平台互联互通需求众多的业务交换······非受控环境开放程度更高······医疗信息泄露事件全国范围勒索病毒事件频发影响范围：全国医疗信息机构032019年新生儿信息泄露影响范围：20万条新生儿信息02 2018年01—

6

—2017年医疗信息安全问题逐年提升面临的主要问题：数据安全、内控失效、数据丢失、业务停滞、勒索病毒数据加密恶意删库、误删库、业务停滞影响范围：经济损失数据安全威胁场景分析—

7

—02医疗数据安全威胁常见场景数据库运行安全风险流动数据安全风险业务连续性安全风险敏感数据识别风险数据安全内控风险数据共享交换风险合规建设场景：信息安全等级保护/医院信息互联互通标准化/电子病历评审标准等—

8

—场景一：数据安全内控风险医院业务连接及运维管理端安全风险假冒合法HIS客户端访问业务系统敏感数据盗用HIS客户端内置的应用数据库账号来自运维管理端的数据库登录安全威胁（暴力破解\绿色版工具）高权限DBA用户违规访问敏感数据敏感数据违规导出、系统对象操作无控制，数据被窃取违规人员/黑客恶意删库、勒索锁库，高危操作无控制生产数据库正常应用假假冒应用医生护士违规开发人员连接数据库连接数据库堡垒机运维人员DB管理员暴力破解数据窃取高权限用户熟悉业务运维人员管理人员黑客②—

9

—HISHIS场景二：流动数据安全风险安全风险业务变更和新业务上线频繁直接用生产数据测试，甚至数据被带回公司测试数据用于医学教育课题分析、科研项目分析—

10

—脚本处理数据，数据质量差，遗漏，测试效果差数据正常流动到弱安全区域，数据失控流动数据让安全边界失效医院内部 医院外部测试 开发

查询、导出、倒卖非受控环境业务测试库脚本受控环境生产数据库影像数据生产数据医学教育影像分析非受控环境学术分享查询、导出、倒卖场景三：数据库运行安全风险安全风险核心业务系统数据库种类多，数量多数据库内置账号多，高权限账号，僵尸账号分析不明确用户权限及对象权限不明确，没有定期实施漏洞及基线检测无法了解数据库空间、缓冲区空间、数据库连接时间等数据库崩溃或者数据库的性能降低无法预警和分析缺少定期巡检和变更审核，无法保证数据库的正常运作核心数据库的运行监控及账号梳理分析生产数据库OracleMSSQLMysqlDB2幽灵账号闲置账号非法账号合法账号数据库漏洞入侵攻击—

11

—安全基线可用性错误告警……..……..场景四：业务连续性需求分析系统中断带来的损失安全风险系统硬件故障，导致业务停机业务或操作系统故障，系统崩溃人为误操作，数据丢失业务无法访问病毒感染或黑客入侵导致系统瘫痪不可抗拒的因素如雷击、火灾导致系统破坏、数据丢失计划内的停机（系统升级、补丁修复等）系统中断的损失：证券业：6,450,000美元/小时金融信用卡：2,600,000美元/小时银行数据中心：2,500,000美元/小时在线拍卖交易：225,000

美元/小时旅店预约服务中断：100,000

美元/小时医疗业务中断：？美元/小时恢复点目标(RPO)恢复时间目标(RTO)发生灾难时点上午 上午

上午

上午

上午

上午

上午

上午

上午

中午

下午

下午

下午 下午

下午3点 4点 5点 6点 7点 8点 9点 10点 11点 12点 1点 2点 3点 4点 5点—

12

—场景五：数据共享交换分析安全风险药企、商保公司等机构希望获取医疗数据做增值业务一旦数据泄露，医院作为源头数据提供者，无法逃避责任安全防护措施与信息共享融合度低数据失控：数据泄露后无法追溯、二次泄露等数据在非安全网络传输信息交换策略由应用部门维护，安全只在边界粗放管理院内 院外HISLISPACSEMR数据共享平台数据共享卫健委、疾控等机构医院cloud—

13

—场景六：敏感数据识别风险医院业务多，厂商多，数据类型多安全风险哪些是敏感数据，敏感数据分布在哪里谁可以使用敏感数据，其身份是否合法合规数据分片分散存储且备份存储多片，不便做数据安全风险评估医疗行业存储的数据中：52%的数据为价值尚不明确的暗数据，33%的数据为冗余、过期或不重要的陈旧数据。绩效考评合理用药人力资源超声放射病理血库手术麻醉成本核算心电物资科教移动医疗决策支持EMR系统LIS系统设备 院感 重症监护内镜 病案HIS系统疫病结构化数据（oracle、SQLserver、mysql...）—

14

—半结构化数据（电子病历...）非结构化数据(影像文件、日志...)某区三甲医院相关统计：业务系统40+，开发商14家+场景化技术防控措施—

15

—03场景化解决方案01数据安全内控以数据内部管控、数据防勒索、防入侵及运维端动态脱敏等技术为主03数据库运行安全以数据库资源分析，账号及权限分析，库基线及漏洞、运行状态监控等技术为主05数据安全共享交换提高交换双方的身份验证、监控交换的敏感数据类型及交换方式（嵌入数据水印等）、并实时敏感数据溯源监控等02流动数据安全对医疗敏感数据流动过程实施脱敏、监控、审计等技术为主04业务连续性安全以业务级容灾、定期容灾切换演练、数据有效性备份验证等技术为主06—

16

—敏感数据识别重点在于敏感数据的梳理，只有先发现数据，对数据进行有效分类，也才能对数据的安全管理采用更加精细的措施安全与合规数据库防水坝应用数据库准入及内部权限访问控制，精细化控制表、列，防止高危操作及误操作，有效防止被误删/篡改/泄露。系统管理员运维人员开发、测试人员合规接入安全控制OracleMy

SQLMS

SQL内部数据管控解决方案数据库接入安全合规准入多因素认证防撞库数据库内控安全数据资产定义运维动态脱敏高危操作防范安全工单管理高权限账号管控权限访问控制敏感操作授权风险动态大屏—

17

—数据安全内控：技术防控一数据安全内控：技术防控二运维管理端动态脱敏为保障在数据的开发利用过程中不受影响，在不改变原始数据的情况下，对归集、存储、加工、共享等环节中的数据访问进行数据动态脱敏（在实际数据值不变情况下，展示的时候进行实时脱敏)，制定了多种脱敏规则对数据进行动态脱敏使用。—

18

—数据安全内控：技术防控三数据防勒索保护应用数据防勒索技术，对核心数据库、终端实施安全保护，防止数据被勒索加密，确保数据的安全性信任程序勒索程序数据库进程1.数据库防勒索建立信任应用名单信任程序防护对象2.终端防勒索—

19

—数据安全内控：技术防控四业务系统运维管理端进库自动加密出库自动解密数据库加密引擎进库自动加密无权限访问为密文数据存储加密应用数据库存储加密技术，对存储中的敏感数据实施加密，防止数据被泄露、窃取，确保数据的安全性应用透明，无需改造对应用系统SQL语句、开发接口等透明，无需改造密文存储，底线防御防止存储空间共用导致的数据泄密;

防止突破边界防护的外部黑客攻击；防止拖库造成的数据泄露;

防止内部高权限用户的数据窃取。独立的权限控制独立的数据库权限控制，无权限无法访问敏感数据加密场景化适应加解密性能、加密适配场景、密钥管理及备份等—

20

—数据安全内控：技术防控五数据库防入侵应用数据库防火墙，通过深度SQL通信协议解析，对核心数据库实施SQL注入及虚拟补丁防护，保证数据库安全性。策略规则基于IP地址基于时间基于用户基于操作基于关键字基于列基于表名基于行数基于注入特征库解析还原SQL操作应用服务器数据库防火墙数据库策略规则匹配结果：阻断、告警、通过。直接远程连接访问数据库通过应用访问数据库用户A：操作A用户B：操作B用户A：操作A---阻断用户B：操作B---告警用户C：操作C---通过用户C：操作CSQL操作语句SQL白名单SQL注入特征库机器学习模型虚拟补丁防御—

21

—流动数据安全：技术防控一业务应用敏感信息自动发现脱敏后数据加载数据脱敏方式变形、漂白、遮盖等数据库到数据库数据库到文件文件到数据库文件到文件DB1DB2数据脱敏技术满足为开发环境、测试环境、培训环境等提供脱敏后（按需进行漂白、变形、遮盖等处理）的生产数据，也可于为数据交易、数据交换、数据分析等第三方数据应用场景提供适用的敏感信息泄露防护作用。DB1DB2dump文件

文本文件源数据dump文件

文本文件脱敏后的目标端其他应用资源目录资源目录API接口调用数据传输数据返回数据传输数据返回数据交换平台—

22

—流动数据安全：技术防控二数据水印技术当数据共享给第三方，一旦发生数据泄露，可以通过泄露的数据追溯到数据提供给了哪个人或者企业，从而进行数据泄露的追责。NAMEPHONEADDRNAMEPHONEADDR水印嵌入128937264827杭州美创科技嵌入不可见字符—

23

—数据库运行安全：技术防控数据库运行安全分析通过对当前数据库存在资产现状、账号进行识别和分析，找出当前核心库潜在的闲置账号、僵尸账号、特权账号及合法账号及其权限等，并辅以数据库漏洞及安全基线核查，分析当前核心库的运行安全状态。—

24

—业务连续性技术防控负载均衡 负载均衡应用数据库集群仲裁节点

存储双活 本地数据备份负载均衡应用同步数据同步复制异地数据备份1、异地容灾建设在窄带宽下大数据量的异地容灾，

保障两端数据高度一致性和实时性，同时节约经济成本；一键式恢复/切换操作，管理简单，缩短了容灾处理时间以业务单元（应用、数据库、服务IP）为视角进行业务切换；能快速熟悉整个切换流程，提高切换熟练度基于回退区、保留策略实现数据库、表格和数据库粒度的回退生产中心容灾中心业务容灾与数据备份应用业务容灾/备份与恢复技术，实施业务容灾与备份，有效防止数据丢失后可及时恢复，业务故障后可及时接管。—

25

—2、管理简单3、误操作恢复4、桌面演练灾备库数据安全共享交换：技术防控一数据源OracleSqlserverMysql其他数据库非结构化数据业务系统数据仓库报表引擎OLAP引擎人工导入抽取抽取数据抽取数据加载清洗转换

标准化ETL转换数据目的建立数据采集安全管理规范，明确数据采集的目的、用户、方式、范围、采集源等、对外部数据提供方或采集者提供的数据必须进行合法性和正当性确认，满足合规要求。采集安全管理—

26

—接口设计规范：协议规范、格式规范数据类型识别：基于数据分类分级结果数据同步规则：同步频率和需求频度数据清洗规则：标准化定义，保持数据一致性数据管控规则：元数据管理、主数据管理数据采集安全：接口身份验证、连通性检测、根据敏感数据情况、采取数据脱敏、链路加密、采集审计等措施数据安全共享交换：技术防控二数据监管部门数据需求单位数据申请数据需求数据使用合规性审查功能：授权审计机制运营监管评估法律法规边界共享交换平台开放数据接口同意数据利用数据视图查找资源数据提供单位数据驱动数据责任提供数据数据视图开放资源数据监管①②③接口设计/同步规则/安全交换数据安全共享交换平台数据安全共享交换平台是集信息交换共享、安全防护和安全管理为一体，可在确保在应用安全和数据安全的基础上，方便地与外部、内部与内部之间进行数据交换和信息共享。内网 外网—

27

—四项基本原则：1. 适度开放有效管控联合审批权责清晰多级交换体系，支持节点的横向和纵向扩展预置多种管理业务模式，简化建设管理步骤支持跨地域、跨部门、跨层级的数据交换技术支撑体系的快速建设；预置多种数据交换功能，满足多样交换需求交换模式：

任务、流程；共享模式：发布/订阅；

交换时效：定时、实时交换规则：内外网数据交换；敏感数据识别：技术防控一0402业务流程梳理梳理业务与业务之间的流程关系，业务流程本身的输入输出上下文情况；补充每个业务流程涉及的属性；03业务流程分解识别各业务环节涉及的人、事、物，输入、输出、组件和数据沉淀；输出业务流程图；根据梳理好的业务流程图，转换成对应的数据流图；01业务系统调研调研业务系统情