医疗行业数据安全解决方案

医疗行业数据安全解决方案

医疗行业

数据安全解决方案

一、数据安全背景

进入DT数据时代，医疗机构数据保护工作也变得更加复

杂，HIS、RIS、LIS、CIS、PACS、CPR等系统的应用逐渐深

入整合，为医疗卫生行业的高效、快捷、便民提供了信息化基

础，但是医疗数据具有普遍的真实性，包含了患者个体患病情

况、生物组学等数据；从宏观上看，则包含了疾病传播、地区

流行病发病发展、区域人口健康状况等数据。这些数据具有很

高的质量和价值，同时也具有隐私性，在巨大商业利益的驱使

下，医疗行业的数据库面临来自内部威胁和外部威胁的双重包

夹。一旦泄露会对患者生活、医生工作，医院公众形象带来很

大影响和负面作用；微观上看，医疗数据能否安全使用，还关

乎社会稳定、国家安全。

《网络安全法》和《数据安全法》的出台，也让数据安全

的责任界定有了更为明确的责任主体，医院的信息部门无疑是

“压力山大”。医疗机构需要将数据保护工作作为基础要求，同

时规划医疗数据统计、分析、挖掘、应用是等未来医疗行业数

据流动的趋势。

A在系统的建设和应用方面，从单机、单用户应用发展到

部门级、全院级

管理信息系统应用。

A从以财务、药品和管理为中心的发展，开始集中向以病

人信息为中心的

临床业务支持和电子病历应用。

A微信、支付宝等快捷支付方式深入民生行业，使得医疗

信息化系统从局

限在医院内部的应用，逐步走向开放的互联网。

»国家区域医疗建设的规划，对区域医疗信息化多接口的

应用，提出了前

所未有的高要求。

面对如此严重的安全风险，要坚持规范有序、安全可控是

国家发展医疗大数据的基本原则。国办发[2016]47号文中指出,

强化标准和安全体系建设，强化安全管理责任，妥善处理应用

发展与保障安全的关系，增强安全技术支撑能力，有效保护个

人隐私和信息安全。同时指出，面对医疗数据的“万无一失，

一失万无的”的高要求，安全保护作为一个复杂的技术和管理

问题，将成为医疗数据的核心技术和首要问题。

二、风险分析

在众多数据安全件中，黑客和IT事故是主要原因，占所

有数据泄漏的60%以上。这并不难理解，数据库是网络犯罪

分子的主要攻击目标，因为这里拥有大量的敏感信息，例如病

史、账号、个人财务数据等。所以，医疗行业必须采用主动防

御的技术和安全可靠的数据安全最佳实践，以确保其IT系统

中的所有数据全天候安全。医疗数据安全存在哪些风险？

a数据管控风险虽然医疗组织正在逐渐增强数据安全意识,

但关于数据管控

尚未建立统一管理机制，制度的完善相对滞后，同时“互

联网+”等新兴业

态的不断涌现，并渗透至医疗领域的各个环节，客观上导

致原本相对封闭的

使用环境被逐渐打破。

A外部攻击风险医疗行业数据价值高，很容易引发来自互

联网的攻击行为,

漏洞如果无法及时修复，自然会为外部攻击提供了途径,

黑客能够非常精准

地获取数据，继而进行精确诈骗，因此必须采取有效措施

应对外部攻击风险。A数据交换风险为了规避数据交换风险，

需要建立科学的对外数据交换标准，

提高数据安全要求，同时强化对病患敏感数据的脱敏处理

能力。

»数据泄露风险内部人员的权限管控制度如不完善，非权

限人员便可随意访

问病患隐私信息，数据泄露风险很大;加之内部人员监管

手段不足，引发取

证难等更多问题。

另外导致医院数据安全问题的原因很多，概括如下：

a保密意识不强在使用社交媒体和手机App时，也无意中

泄露了个人隐私数

据。如发布的JPG、TIFF图片就泄露了一些私密数据，

因这些图片文件头部

记录了照相设备、作者、日期、GPS位置等数据。调查

显示，文档类泄密事

件97%是内部员工有意或无意泄露造成的。

A内部管理漏洞因管理不严，医生办公室的电脑很容易被

盗用，数据也易泄

露。部分医院数据中心主机房和分布在医院各栋楼宇的网

络设备间也可能因

管理不严，存在信息设备被人断电或接入不安全设备或恶

意操作的隐患。》人员误操作误操作也是数据错误的重要原因,

尤其是人们习惯打开多个界

面同时操作，经常在不同界面切换。

A人为故意隐私数据被有意收集、盗取的事件时有发生，

如拍照留存快递单、

统方、蓄意删除病人费用记录、为掩盖错误而篡改医嘱活

库存数据等。还有

人为搞破坏恶意篡改医院网站网页、植入病毒或木马致系

统瘫痪。》系统架构缺陷医院信息系统在设计之初就存在缺陷,

对数据安全考虑不足，

如如数据驻留、数据传输未加密等也可能导致数据安全问

题。

针对医疗数据使用主要有两种方式，一是通过对病例检索

系统、患者随访系统、专病数据库系统等应用系统的使用，其

安全防护的特点相对容易。二是“裸''数据访问服务，包含数据

整合、数据预处理、数据分析建模、可视化等，其安全防护特

点相对困难。面临的安全风险主要是隐私暴露、数据盗取、数

据遗失和非法利用。同时安全防护既要防外（针对合作单位、

外部厂商），又要防内（针对科室用户、技术人员）。医疗行

业的数据和其他行业不太一样，大部分医疗数据不会放在网络

上，所以对内防控更为重要。在医疗健康大数据的背景下，医

疗数据的安全管理存在四大难点：

A数据使用者多样化。

A数据使用方式的多样化。

A数据需求的多样化。

A技术环境的多样化。

面对上述难点问题，医院需要建立完整的数据安全防护体

系。

三、解决方案

3.1方案设计

随着《数据安全法》的发布，其中也强调数据全生命周期

安全管理，医疗数据安全措施应贯穿于数据管理全生命周期，

确保数据不丢失、不被篡改、不被泄露和可用。

A引导医疗数据有序流动

根据数据的特性，医疗数据可分为绝密、机密、保密、内

部共享、医院间共享和对外公开几个等级。应根据不同的等级,

制定不同的的管理规程，包括数据保密范围、保密时效、授权

范围、授权流程、操作规程、操作核对规程、操作记录规程、

操作审查机制、责任追究机制、技术保护策略、应急预案等。

A■构建以患者为中心的医疗数据安全防护体系

现有的隐私安全防护，大多只是注重脱敏和匿名化保护，

不是全方位体系。需要加强构建“以患者为中心”的个人医疗信

息风险评估和防护体系，覆盖信息录入、个人隐私管理、加密

存储、访问控制、匿名化处理、信息发布流通、监管审计等多

个环节。

A最小特权化管理，实现数据资源访问可控

最小特权原则有效地限制、分割了用户对数据资料进行访

问时的权限，降低了非法用户或非法操作可能给系统及数据带

来的损失。

3.2敏感数据分类分级

首先对医院数据资产梳理系统实现数据资源分级、分类管

理，针对不同分类分级数据制定安全防护策略，从而保障了数

据安全同时且实现数据资源统一汇聚和集中向社会开放。敏感

数据在数据库中的分布，是实现管控的关键。只有梳理清楚敏

感数据在数据库中分布，才能针对数据库实现安全管控策略；

对该库的运维人员实现安全管控措施；对该库的数据导出，实

现具体的模糊化策略；对该库数据的存储实现加密安全方案。

3.4数据安全防御体系

3.4.1访问控制防护

医疗行业业务应用系统种类繁多，其中不乏有需要对公众

开放的系统，而WEB服务器被暴露在网络之中，攻击者对

WEB服务器进行网段扫描很容易得到后台数据的IP和开放端

口。对这样的隐患进行数据库级别的访问行为控制、危险操作

阻断、可疑行为拦截，面对来自于外部的入侵行为，提供防

SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁防护,

保证数据库系统不用升级、打补丁，即可完成对主要数据库漏

洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中,

构建数据库的安全防护

3.4.2网络可信接入

应用服务器可信：通过IP/MAC绑定，确保只有授权服务

器、设备可以访问数据库。

3.4.3应用身份识别

通过对应用身份识别，让合法应用发出的SQL语句可以

直接访问数据库，而其他登陆工具和应用未经过授权或绑定，

都无法登陆后台数据库，确保数据来自指定应用。

3.4.4抵御SQL注入

建立SQL注入特征库，通过对SQL语句进行注入特征描

述，完成对“SQL注入”行为的检测和阻断。

3.4.5虚拟补丁防护

在数据库外的网络访问路径上创建了一个安全层，数据库

在无需补丁情况下，完成对数据库漏洞防护，对于有“扩展脚

本”和“缓冲区溢出”攻击的特征的SQL语句，可通过匹配特征

库直接进行拦截。

3.4.6阻断漏洞攻击

对数据库的访问设置许可或禁止模型，按照SQL自身语

法结构划分SQL类别，通过自定义模型添加新的SQL注入特

征，进行有效拦截。

数据库漏洞攻击防控：开启虚拟补丁配置策略，即可防范

数据库漏洞的攻击。

3.4.7权限细粒度管理

建立比DBMS系统更详细的虚拟权限控制，对建立的虚

拟权限的用户提供细粒度的控制。控制策略例如：用户+操作

+对象+时间；在控制操作中增加了UpdateNowhere、delete

Nowhere等高危操作阻断；对于返回行数和影响行数实现精确

控制。

3.5规范数据运维管理（数据库防水坝）

3.5.1运维行为流程化管理

用户可以通过第三方工具登录数据库进行操作，简单口令

认证，不改变原有工作习惯，口令通过者只能执行其申请的操

作内容，杜绝误操作及违规操作。未经口令认证者无法操作敏

感对象，防止越权操作。

申请人在提交申请的过程中，系统会对语句的合理性，语

法的正确性，以及是否存在潜在的风险进行判断与分析，并将

其呈现给审批人作参考。申请人提交的内容和审批人的审核结

果都会被系统保存，为日后的追责提供重要依据。

3.5.2自主识别、自主记忆、自主学习

基于精确协议解析技术，能够根据用户申请SQL的语法

特征和关键词进行自动识别，对输入SQL能够实时、快速、

准确判断是否语法语义错误；对申请未通过的相同语句进行自

动记忆以避免他人申请相同语句时造成反复操作。本系统通过

自主学习模式以及SQL语法分析构建动态模型，形成SQL名

单，对符合SQL白名单语句正常执行，对符合SQL黑名单特

征语句进行进行及时告警。

3.5.3灵活的策略和风险感知

具备风险感知能力，系统提供了规则库，规则库中包含异

常风险操作、SQL规则、漏洞攻击库、自定义规则、白名单

黑名单规则。

灵活的策略定制：根据登录用户、IP地址、端口号、数

据库对象（分为数据库用户、表、字段）、操作时间、操作类

型、影响行数、记录内容的灵活组合来定义用户所关心的重要

事件和风险事件。

推荐默认规则：数据库安全管控平台的规则库中有可供管

理员选择使用的推荐默认规则，对申请的SQL语句特征系统

会自动感知是否会SQL注入攻击、漏洞攻击、高危操作等，

系统随即会提示给申请人/审批人。

白名单、黑名单规则：管理员可以设置白黑名单用户、IP、

时间、语句等，如有申请触发白名单和黑名单规则，系统按照

制定规则自动执行。

3.5.4运维监控、发现异常行为

根据运维人员执行的操作数据分析，语句、会话、IP、数

据库用户、业务用户、响应时间、影响行数等数据库操作的记

录和分析能力，形成DDL、DML、DCL类操作统计、执行操

作TOP统计、高危操作、申请人/申请部门申请信息数据统计

等数据分析，对其实时监控，一旦发现异常，系统会立即告警。

3.5.5多角色多权限管理

在管控平台设置普通用户、审批人、业务管理员、系统管

理员四种角色，每种角色对应权限不同。普通用户即一线运维

人员，其权限是可以对执行的语句进行申请并根据申请结果执

行操作。审批人即运维主管或安全主管，对申请人申请的语句

进行审批，也可以申请语句并执行。安全管理员可以制定规则,

管理数据库，管理用户，对运维数据实时监控，审计检查。系

统管理员主要权限是对主机管理、内存管理、网络管理。

3.6去除敏感数据（数据库脱敏）

去除或变化医疗数据中的患者识别信息、不同应用目的对

患者识别信息有不同需求、将结构化数据直接替换。其中，对

于文本数据，可将姓名、居住地等敏感信息进行隐藏，通过采

用自然语言处理技术进行识别与替换。对于医学影像数据，

DICOM影像中进行读取数据文件进行结构化替换，将模拟影

像使用模版进行遮蔽。

3.6.1数据静态脱敏系统

数据静态脱敏系统，可以有效防止医院内部对隐私数据的

滥用，防止隐私数据在未经脱敏的情况下从医院流出。满足既

要保护隐私数据，又满足开发、测试、模型训练等业务对数据

的需求，同时也保持监管合规，满足合规性。

A自动识别敏感数据：按照用户指定的一部分敏感数据或

预定义的敏感数据特

征，在执行任务过程中对抽取的数据进行自动的识别，发

现敏感数据，并自

动的根据规则对发现的敏感数据进行脱敏处理。

A丰富的脱敏算法：产品根据不同数据特征，内置了丰富

高效的脱敏算法，可

对常见数据如姓名、证件号、银行账户、金额、日期、住

址、电话号码、Email

地址、车牌号、车架号、企业名称、工商注册号、组织机

构代码、纳税人识

别号等敏感数据进行脱敏。

»数据子集管理：在许多场景下，并不需要将全部生产环

境中数据脱敏至目标

环境使用，如开发环境可能仅需要生产环境中1%的数据;

统计分析场景则

需要对全部数据进行合理采样。产品支持对目标数据库中

一部分数据进行脱

同场景下脱敏需求。

A•脱敏数据验证：在脱敏产品的使用过程中，会面临生产

环境中数据或数据结

构频繁发生变化的场景，如果脱敏策略没有及时进行调整,

会造成敏感数据

“漏网”的现象，造成敏感数据泄露。

3.6.2数据动态脱敏系统

动态脱敏系统，一般部署在数据共享和交换服务、数据应

用和运维区，和数据库之间；形成自动化的敏感数据匿名化边

界，防止隐私数据在未经脱敏的情况下从数据区流出。

数据共享、交换区数据管理区动态脱敏一DDM数据应用、

运维区

ETL数据库

数据查询

服务大数据

多种数据脱敏方法满足不同的隐私数据匿名化需求：

1）数据屏蔽2）数据加密3）数据替换数据同步

的策略，对需要共享的敏感数据，用户可根据数据的敏感

级别和应用的需要,

灵活的配置动态脱敏策略，从而实现外部应用能够安全可

控的使用共享的敏

感数据，防敏感数据泄露。

A根据不同数据特征，内置了丰富高效的动态脱敏算法，

包括屏蔽、变形、替

换、随机。可支持自定义脱敏算法，用户可按需定义。

3.7数据流向监控审计

对于通过应用程序后门批量导出敏感数据的“刷库”行为，

首先要构建核心应用的行为模型，通过数据库防火墙的学习期

将合法应用的SQL语句全部捕获，统一放到“白名单”里，防

止合法语句被误报，通过学期完善期，然后切换到保护期，此

时如果出现了通过Web访问应用程序后门批量导出敏感数据

的操作，数据库防火墙会报“新型语句”，这类语句属于“灰名

单”语句，安全管理员要根据具体情况判断语句风险，防止通

过后门程序批量导出敏感信息的行为。

业务人员的数据库操作基本是合法的，但是也不能排除被

利用或被攻击的情况，通过数据库审计精确记录关键业务操作

和关联具体业务操作人员，为事后追溯定责提供准确依据，同

时对数据库运维操作和非法批量导出行为进行告警。建议采用

应用关联审计实现对业务用户的100%准确关联，在出现问题

的时候能够实现准确的追责和定责。时间戳三层关联审计最高

准确率为80%,在对业务用户操作进行追责的时候往往会出

现A做的事情记成B,并且在高并发的情况下极易出现错误

审计，因此不推荐使用。

3.7.1全面精细的审计分析

系统提供了灵活而丰富的策略配置功能，协助用户完成审

计策略的精确定义。审计策略可根据业务主机和业务用户（包

括业务服务器IP范围，业务用户IP范围、业务用户认证身份、

业务用户访问服务器使用的资源账号）、时间（即策略生效时

间，可以是某一固定时间，也可以是某个周期性时间）、规则

集（定义需要被审计的操作集合）、动作（包括阻断或者放

行）、响应方式（包括事件风险级别、是否记录入库等）等要

素来定义，并且可以提供全面惊喜的审计分析：

提供全面详细审计记录，告警审计和会话事件记录，并在

此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，

提供实时访问首页统计图。

能够根据访问数据库的源程序名、登陆数据库的账号、数

据库命令、数

据库名、数据库表名、数据库字段名、数据库字段值、数

据库返回码等作为

条件，对用户关心的违规行为进行响应，特别是针对重要

表、重要字段的各

种操作，能够通过简单的规则定义，实现精确审计，降低

过多审计数据给管

理员带来的信息爆炸。

通过对捕获的SQL语句进行精细SQL语法分析,并根据

SQL行为特征

和关键词特征进行自动分类，系统访问SQL语句有效“归

类”到几百个类

别范围内，完成审计结果的高精确和高可用分析。

拥有数据库安全漏洞和SQL注入两个特征库，实现恶意

攻击快速识别并

告警，审计系统提供了针对数据库漏洞进行攻击的描述模

型，使对这些典型

的数据库攻击行为被迅速发现。系统提供了系统性的

SQL注入库，以及基

于语法抽象的SQL注入描述扩展。同时提供了强大的入

侵检测能力，对入

侵行为进行重点监控和告警，对入侵检测行为提供了大量

的检测策略定义方

法。

3.7.2全面审计策略

所有的数据库请求都会被审计，保证审计的全面性；通过

Tracelog机制，实现对数据库所有访问行为的全面记录，包括

SQL语句、SQL语句参数、执行结果（成功、失败和详细的

失败原因）、被影响的记录、详细的查询结果集、事务状态、

客户端IP、MAC、应用类型、会话登录和退出信息等。

3.7.3风险审计策略

根据对象、操作（上百种操作可选）、SQL分类类型

（基于DBAudit对SQL的语法抽象结果进行筛选）、用户、

指定的客户端（IP、MAC）、客户端工具或应用系统等多种

策略定制风险检测策略。

3.7.4实时准确的运行监控

提供对风险访问行为统计、SQL吞吐量统计、网络流量

和平均响应时间统计、SQL访问类别统计、告警SQL统计。

3.7.5风险分析

提供对风险和危害访问的分析，包括：sql注入风险，违

规操作风险，DB漏洞风险，批量数据泄露，批量数据篡改，

违规登录等。

3.7.6准确的关联审计

用户对数据库的操作方式多种多样，包括通过Linux操作

系统登录数据库、通过程序连接数据库、通过PLSQL、

Navicat等工具登录数据库进行数据库嵌套操作。

数据库审计系统采用独有技术通过前后台关联，通过在应

用服务器安装JTap包，获取应用户ip、用户名及操作的SQL

语句，完美的解决了这一难题，实现了数据库操作行为(SQL)

与应用用户(User-ID)的实时关联。

系统针对三层关联结果，提供完整的事件信息查询和独有

的关联报表。在事件查询页面，用户能看到每个访问行为的业

务用户名、客户端IP、数据库用户、执行的SQL语句以及应

用服务器所使用的工具等信息。

3.7.7业务化语言翻译

可以将业务系统访问数据库产生的SQL语句翻译成中文,

支持把审计到的表信息、对象信息人工翻译成能够理解的中文,

将执行的语句翻译成能够读懂的业务化语言，方便管理员直观

的查看审计信息。

四、方案优势

4.1周期防护构建纵深

为了解决数据库在防攻击、防篡改、防丢失、防泄密、防

超级权限等问题。提出：针从数据库安全的三维角度，构建事

前一事中一事后的全生命周期数据安全过程，并结合多层次安全

技术防护能力，形成整体的数据库纵深防护体系。

4.2主动防御减少威胁

通过事中主动防御手段在数据库前端对入侵行为做到有效

的控制，通过强大特征库和漏洞防御库，主动防御内外部用户

的违规操作以及黑客的入侵行为。

对IP/MAC等要素进行策略配置，确保应用程序的身份安

全可靠。通过黑白名单对敏感数据访问控制，定义非法用户行

为的方式定义安全策略，有效通过SQL注入特征识别库。

4.3权限控制解决拖库

从数据库级别进行最小化权限控制，杜绝超级管理员的产

生，通过数据库防火墙和数据库加密措施进行从根源上彻底控

制数据信息的泄露，为信息化打好底层基础。有效防止存储文

件和备份文件被“拖库”的风险。

4.3透明部署零改应用

本方案所提出的技术实施，对于现有应用系统基本透明，

无需改造，对原有数据库特性、原有应用无改造，不改变应用

及用户使用习惯。保证快速、无缝地融合到现有业务系统中。

4.5政策合规满足标准

在等级保护、分级保护基本要求中，数据库安全是主机安

全的一个部分，数据库的测评指标是从“主机安全”和“数据安

全及备份恢复“中根据数据库的特点映射得到的。对等保三级、

分保秘密级以上系统中，关键敏感数据的安全防护要求满足了

标准特性：

/数据保密性

满足了“实现系统管理数据、鉴别信息和重要业务数据的

存储保密性”。

/访问控制性

实现了最小授权原则，使得用户的权限最小化，同时要求

对重要信息资

源设置敏感标记。

/安全审计性

完成了“对用户行为、安全事件等进行记录

五、事项解答

5.1防水坝与防火墙对比等

A、数据库防水坝的具体功能，与数据库防火墙（网管）

的差别？

数据库防水坝主要部署在运维侧实现数据库运维人员（数

据库管理员、测试开发人员、第三方运维人员等）在运维过程

中对于数据资产的访问、操作的安全管理与审计防止高危操作

与数据泄露，通过多因素认证、多维度的权限控制和细粒度的

资产授权管理，实现操作定位到人、责任到人的目的，保障运

维过程中的安全管理。

数据库防火墙主要部署在业务侧实现对于外部黑客的数据

库入侵行为的安全防范，对可疑的非法违规操作进行阻断，如

撞库检测防御、漏洞攻击拦截、SQL注入攻击阻断、敏感

SQL管理等，真正做到SQL危险操作的主动预防、实时审计。

B、它在其它医院的应用怎么样？

通常医院客户会整体的进行建设，或者根据自己关注的数

据库运维问题或是是数据敏感防护安全问题进行优先建设考虑。

C、产品使用的必要性？

目前等级保护及数据安全法对机构和单位的数据类安全的

要求非常高，因此很多客户都计划了数据安全产品的采购。

D、是怎么样部署的（旁路还是）？

数据库防水坝旁路反向代理部署，反向代理运维侧所有数

据库的访问。

数据库防火墙透明串接部署。

E、怎么管理数据库的（有策略还是每次都要人工写脚

本）？

数据库防水坝、数据库防火墙均是通过设置相关的安全管

控策略进行数据库的安全管理。

F、和应用厂家的协作关系是怎么样的？

数据库防水坝部署过程中需要应用厂商配合提供数据库相

关信息，数据

库防火墙基本不需要应用厂家配合。

G、对数据库性能有什么影响？

数据库防水坝、数据库防火墙均是通过设置相关的安全管

控策略进行数

据库的安全管理，不占用数据库性能开销，对数据库性能

基本无影响。

H、不同的数据库系统是怎么管理的？

对于数据库统一管理，数据库防水坝目前支持的数据库类

型：oracle.sqlserver.DB2、