21日,安华金和参加了2016医疗卫生信息化发展与创新高峰论坛。该论坛围绕“‘互联网+医疗’的新时代——创新与管理”展开主题探讨。会上,安华金和数据库安全方案总监宣淦淼先生发表了《构建医疗数据“主动”防泄密体系》的主题演讲。安华金和结合医疗卫生行业近两年的数据泄露事件以及这些事件所引发的严重影响,引导大家关注医疗行业数据安全现状,立足当前数据安全威胁的来源,给出数据库安全防护清晰的解决思路。
《构建医疗数据“主动”防泄密体系》PPT下载:http://www.dbsec.cn/operations/download.html
安华金和数据库安全方案总监宣淦淼发表演讲
随着信息化的不断发展,医疗行业近几年也开始不断突破传统发展道路。借助互联网、医疗软件等信息手段,建立智能的医疗体系,但随着医疗行业信息化发展进程加快,医疗数据安全现状引发关注。2015年因各种原因导致的医疗信息泄露事件累计影响达到了惊人的1.1亿人,是之前五年泄露人数总和的2.7倍,相当于三分之一的美国人的医疗信息出现了安全问题。2016年前三个月,已经发生了51起泄露事件,牵扯人数达到347万。
和其他行业数据泄露的原因大致相同,医疗行业数据泄露原因主要分以下五大类:黑客入侵、使用者处置不当、非法登陆、丢失和被窃。近两年以来,黑客入侵和非法登陆事件次数明显增多,已经取代了被窃成为最主要的泄露原因。从泄露的人数上来看,黑客入侵也在近两年内泄露人数快速增长的主要原因。
虽然美国医疗信息化软件代表着当前一流水平,但是由于医疗机构内和医疗机构之间,软件“碎片化”严重。多数软件在设计之初,并没与完全考虑到未来互联互通时可能存在的安全问题,留下了很多安全隐患漏洞。据调查,美国41%的医疗机构没有对医疗数据进行加密处理,一半的医疗机构无法有效预防和应对信息安全泄露。美国尚且如此,其他国家医疗行业的数据安全状况更加不容乐观。
随着医疗信息化发展进程加快,老问题却一直存在:数据库自身安全性堪忧
老问题1:传统安全架构局限性,统网络安全产品缺陷
老问题2:安全状况未知——数据库脆弱性
数据库系统本身就存在诸多漏洞,由于业务不能中断,导致数据库需要保持长时间稳定的运行,那么就无法实时的更新补丁。
目前CVE上公布的数据库漏洞就多达2000多个,潜在威胁大。
黑客就利用了这些漏洞,对数据库进行攻击,从而窃取数据库信息。
老问题3:内部人员权限被严重忽略
内部缺少管理手段,缺乏有效的控制:无返回数量控制、超级用户不受限、SQL注入语句控制、高危SQL控制。
随着“互联网+医疗”兴起,新问题也暴露了出来——云架构对于数据库安全的各种冲击
新问题1 :云等保要求合规性
GB/T22239.2《网络安全等保护基本要求第二部分:云计算扩展要求》中明确指出:
“应确保云服务方或第三方只有在云租户授权下才可以对云租户数据库资源进行访问、使用和管理”。
“提供或支持云租户部署满足国家密码管理规定的数据加密方案,确保云租户的数据在云计算平台以密文形式存储”。
“应根据云服务方和云租户的职责划分,实现各自控制部分的集中审计”。
新问题2 :
互联网+医疗创新带来前所未有新风险
网上挂号、医疗APP、移动医疗打通医疗与外界网络壁垒
医疗机构与政府、银行、保险等行业互联互通
业务的访问直达数据库,缺少安全防护
当前,现在大家都在做互联网创新,手机APP 网银app 与等等的连接全部打开,任一一个访问都直达生产库。一旦前端出现安全问题,后端数据将面临巨大风险。
新问题3 :“我”的数据 ,“云”却做了主
传统环境下,数据分库存储,云环境下,数据处于集中,如何有效加密,并对不同业务部门密钥分级管理,防止失泄密风险。
本着专业、务实的态度,出现问题我们迎难而上,针对医疗行业当前数据安全方面存在的数据泄露威胁,安华金和给出一个解决思路——建立主动防泄密体系。该体系包含了三大核心和四大防线,具体思路如下:
三大核心:DBMS、访问路径、核心数据
四道防线:形成“检查预警、主动预防、底线防守、事后监管”专业数据库防护理念。
1、检查预警
第一道防线——检查预警
2、主动防御
第二道防线——主动防御
建立运维审批流程-让管理者睡个踏实觉。
构建医疗防控模型-配合管理制度。
应用侧防护——抵御外部黑客行为。
运维侧防护——控制外包和服务人员权限。
3、底线防守
第三道防线——底线防守
数据脱敏——医疗数据去隐私化。
医患信息数据加密——防止整库泄露、防脱库。
阀值管控——对大批量医疗泄密告警控管。
4、事后追查
对医疗行业数据库加以审计:以“第三方”的角度观察,“全、准、快、省”记录网络中对数据库的访问行为,有效追责、定责。
第四道防线——事后追查黑客和内鬼
数据库整体安全防护总结
今天的北京,室外是能见度仅仅数米的雾霾天,朋友圈充斥着让人啼笑皆非的雾霾段子,路人行人面色凝重、步履匆匆,一顶顶白花花的口罩下面藏起了一张张渴望大口呼吸的嘴巴,人们对健康的担忧也随着雾霾红色预警袭来而越发高涨。清理雾霾,还祖国一片蓝天是关乎全民生存健康的大事,需要联动社会各方力量一起去努力。
人类的健康依赖好的生态环境和发达的医疗水平,正如雾霾威胁人类的健康,数据泄露同样会对医疗信息化健康发展造成威胁。我们希望国家政府能够下定决心,以举国之力来清理雾霾,还城市以蓝天,还百姓以健康和笑脸。我们同样希望医疗行业重视数据库安全,堵住数据泄露的源头,还医疗行业信息数据生态以健康。
相关资料:
《构建医疗数据“主动”防泄密体系》PPT下载:http://www.dbsec.cn/operations/download.html
安华金和医疗卫生行业数据库安全解决方案:http://www.dbsec.cn/solutions/yl.html
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
