21日,安華金和參加了2016醫療衛生信息化發展與創新高峰論壇。該論壇圍繞“‘互聯網+醫療’的新時代——創新與管理”展開主題探討。會上,安華金和數據庫安全方案總監宣淦淼先生發表了《構建醫療數據“主動”防泄密體系》的主題演講。安華金和結合醫療衛生行業近兩年的數據泄露事件以及這些事件所引發的嚴重影響,引導大家關注醫療行業數據安全現狀,立足當前數據安全威脅的來源,給出數據庫安全防護清晰的解決思路。
《構建醫療數據“主動”防泄密體系》PPT下載:http://www.wallpapic-fi.com/operations/download.html
安華金和數據庫安全方案總監宣淦淼發表演講
隨著信息化的不斷發展,醫療行業近幾年也開始不斷突破傳統發展道路。借助互聯網、醫療軟件等信息手段,建立智能的醫療體系,但隨著醫療行業信息化發展進程加快,醫療數據安全現狀引發關注。2015年因各種原因導致的醫療信息泄露事件累計影響達到了驚人的1.1億人,是之前五年泄露人數總和的2.7倍,相當于三分之一的美國人的醫療信息出現了安全問題。2016年前三個月,已經發生了51起泄露事件,牽扯人數達到347萬。
和其他行業數據泄露的原因大致相同,醫療行業數據泄露原因主要分以下五大類:黑客入侵、使用者處置不當、非法登陸、丟失和被竊。近兩年以來,黑客入侵和非法登陸事件次數明顯增多,已經取代了被竊成為最主要的泄露原因。從泄露的人數上來看,黑客入侵也在近兩年內泄露人數快速增長的主要原因。
雖然美國醫療信息化軟件代表著當前一流水平,但是由于醫療機構內和醫療機構之間,軟件“碎片化”嚴重。多數軟件在設計之初,并沒與完全考慮到未來互聯互通時可能存在的安全問題,留下了很多安全隱患漏洞。據調查,美國41%的醫療機構沒有對醫療數據進行加密處理,一半的醫療機構無法有效預防和應對信息安全泄露。美國尚且如此,其他國家醫療行業的數據安全狀況更加不容樂觀。
隨著醫療信息化發展進程加快,老問題卻一直存在:數據庫自身安全性堪憂
老問題1:傳統安全架構局限性,統網絡安全產品缺陷
老問題2:安全狀況未知——數據庫脆弱性
數據庫系統本身就存在諸多漏洞,由于業務不能中斷,導致數據庫需要保持長時間穩定的運行,那么就無法實時的更新補丁。
目前CVE上公布的數據庫漏洞就多達2000多個,潛在威脅大。
黑客就利用了這些漏洞,對數據庫進行攻擊,從而竊取數據庫信息。
老問題3:內部人員權限被嚴重忽略
內部缺少管理手段,缺乏有效的控制:無返回數量控制、超級用戶不受限、SQL注入語句控制、高危SQL控制。
隨著“互聯網+醫療”興起,新問題也暴露了出來——云架構對于數據庫安全的各種沖擊
新問題1 :云等保要求合規性
GB/T22239.2《網絡安全等保護基本要求第二部分:云計算擴展要求》中明確指出:
“應確保云服務方或第三方只有在云租戶授權下才可以對云租戶數據庫資源進行訪問、使用和管理”。
“提供或支持云租戶部署滿足國家密碼管理規定的數據加密方案,確保云租戶的數據在云計算平臺以密文形式存儲”。
“應根據云服務方和云租戶的職責劃分,實現各自控制部分的集中審計”。
新問題2 :互聯網+醫療創新帶來前所未有新風險
網上掛號、醫療APP、移動醫療打通醫療與外界網絡壁壘
醫療機構與政府、銀行、保險等行業互聯互通
業務的訪問直達數據庫,缺少安全防護
當前,現在大家都在做互聯網創新,手機APP 網銀app 與等等的連接全部打開,任一一個訪問都直達生產庫。一旦前端出現安全問題,后端數據將面臨巨大風險。
新問題3 : “我”的數據 ,“云”卻做了主
傳統環境下,數據分庫存儲,云環境下,數據處于集中,如何有效加密,并對不同業務部門密鑰分級管理,防止失泄密風險。
本著專業、務實的態度,出現問題我們迎難而上,針對醫療行業當前數據安全方面存在的數據泄露威脅,安華金和給出一個解決思路——建立主動防泄密體系。該體系包含了三大核心和四大防線,具體思路如下:
三大核心:DBMS、訪問路徑、核心數據
四道防線:形成“檢查預警、主動預防、底線防守、事后監管”專業數據庫防護理念。
1、檢查預警
第一道防線——檢查預警
2、主動防御
第二道防線——主動防御
建立運維審批流程-讓管理者睡個踏實覺。
構建醫療防控模型-配合管理制度。
應用側防護——抵御外部黑客行為。
運維側防護——控制外包和服務人員權限。
3、底線防守
第三道防線——底線防守
數據脫敏——醫療數據去隱私化。
醫患信息數據加密——防止整庫泄露、防脫庫。
閥值管控——對大批量醫療泄密告警控管。
4、事后追查
對醫療行業數據庫加以審計:以“第三方”的角度觀察,“全、準、快、省”記錄網絡中對數據庫的訪問行為,有效追責、定責。
第四道防線——事后追查黑客和內鬼
數據庫整體安全防護總結
今天的北京,室外是能見度僅僅數米的霧霾天,朋友圈充斥著讓人啼笑皆非的霧霾段子,路人行人面色凝重、步履匆匆,一頂頂白花花的口罩下面藏起了一張張渴望大口呼吸的嘴巴,人們對健康的擔憂也隨著霧霾紅色預警襲來而越發高漲。清理霧霾,還祖國一片藍天是關乎全民生存健康的大事,需要聯動社會各方力量一起去努力。
人類的健康依賴好的生態環境和發達的醫療水平,正如霧霾威脅人類的健康,數據泄露同樣會對醫療信息化健康發展造成威脅。我們希望國家政府能夠下定決心,以舉國之力來清理霧霾,還城市以藍天,還百姓以健康和笑臉。我們同樣希望醫療行業重視數據庫安全,堵住數據泄露的源頭,還醫療行業信息數據生態以健康。
相關資料:
《構建醫療數據“主動”防泄密體系》PPT下載:http://www.wallpapic-fi.com/operations/download.html
安華金和醫療衛生行業數據庫安全解決方案:http://www.wallpapic-fi.com/solutions/yl.html
產品咨詢:4000 258 365 
