医疗行业数据安全解决方案及应用

《医疗行业数据安全解决方案及应用》由会员分享，可在线阅读，更多相关《医疗行业数据安全解决方案及应用（37页珍藏版）》请在金锄头文库上搜索。

1、医疗行业数据安全解决方案及应用 医疗行业数据安全形势 01 数据安全威胁场景分析 02 场景化技术防控措施 03 医疗行业相关案例分析 04 目 录 CONTENTS 2 医疗行业数据安全形势 壹壹 3 医疗行业面临的安全挑战 Verizon连续十年发布年度数据泄露报告（DBIR） 报告显示医疗行业数据泄露排名持续上升 医疗数据价值的广泛认知和相对脆弱的防御措施是造成这一现象的两大要素。 医疗行业数据安全威胁具有以下几个特征： 4 安 全 趋 势 唯一内部威胁远大于外部威胁的行业数据价值高数据质量好 医疗数据具有普遍的真实性，医疗 行为本身决定了患者、医生都不可 能隐瞒或者造假 内部外部 医疗

2、 政府 高新技术 信息服务 金融 零售 酒店餐饮 所有 医疗数据覆盖面广，包含了患者个体患 病情况、生物组学等数据；也包含了疾 病传播、地区流行病发病发展、区域人 口健康状况等数据。医疗数据能否安全 使用，关乎社会稳定、国家安全。 随着医院信息化不断推进，医疗数据安全问题面临更大的挑战 数据泄露事件连续两年排名全行业第一 医疗行业数据安全现状 5 医疗数据的价值认识变迁：随着医疗数据价值的得到公认，医疗行业的数据安全问题日益凸显 互联网数据流动人的安全开放环境数据价值 cloud 患者个人数据 患者社会关系 患者病案病史 医嘱和处方 药品和器械价格 医护人员信息 开放网络环境 半开放网络化境

3、互联网接入 手动操作 特权账户 外部入侵 勒索病毒 临床数据中心 科研平台 后结构化平台 测序平台 互联互通需求 众多的业务交换 非受控环境 开放程度更高 医疗信息泄露事件 6 全国范围勒索病毒事件频发 影响范围：全国医疗信息机构 032019年 新生儿信息泄露 影响范围：20万条新生儿信息 022018年 012017年 医疗信息安全问题逐年提升 面临的主要问题：数据安全、内控失效、数据丢失、业务停滞、勒索病毒数据加密 恶意删库、误删库、业务停滞 影响范围：经济损失 数据安全威胁场景分析 贰贰 7 医疗数据安全威胁常见场景 8 数据库运行安全风险流动数据安全风险 业务连续性安全风险敏感数据识

4、别风险 数据安全内控风险 数据共享交换风险 合规建设场景：信息安全等级保护/医院信息互联互通标准化/电子病历评审标准等 场景一：数据安全内控风险 9 医院业务连接及运维管理端 安全风险 假冒合法HIS客户端访问业务系统敏感数据 盗用HIS客户端内置的应用数据库账号 来自运维管理端的数据库登录安全威胁（暴力破解绿色版工具） 高权限DBA用户违规访问敏感数据 敏感数据违规导出、系统对象操作无控制，数据被窃取 违规人员/黑客恶意删库、勒索锁库，高危操作无控制 生产数据库 正常应用 假 假冒应用 医生护士 违规开发人员 堡垒机 运维人员 DB管理员 高权限用户 运维人员管理人员 黑客 HIS HIS

5、场景二：流动数据安全风险 10 安全风险 业务变更和新业务上线频繁 直接用生产数据测试，甚至数据被带回公司测试 数据用于医学教育课题分析、科研项目分析 脚本处理数据，数据质量差，遗漏，测试效果差 数据正常流动到弱安全区域，数据失控 流动数据让安全边界失效 医院内部医院外部 影像数据医学教育影像分析 非受控环境 生产数据学术分享 非受控环境 测试开发业务测试库脚本 查询、导出、倒卖 受控环境 生产数据库 查 询 、 导 出 、 倒 卖 场景三：数据库运行安全风险 11 安全风险 核心业务系统数据库种类多，数量多 数据库内置账号多，高权限账号，僵尸账号分析不明确 用户权限及对象权限不明确，没有定期

6、实施漏洞及基线检测 无法了解数据库空间、缓冲区空间、数据库连接时间等 数据库崩溃或者数据库的性能降低无法预警和分析 缺少定期巡检和变更审核，无法保证数据库的正常运作 核心数据库的运行监控及账号梳理分析 生产数据库 OracleMSSQL MysqlDB2 幽灵账号 闲置账号 非法账号合法账号 数据库漏洞 入侵攻击 安全基线 可用性错误告警 . 场景四：业务连续性需求分析 12 系统中断带来的损失 安全风险 系统硬件故障，导致业务停机 业务或操作系统故障，系统崩溃 人为误操作，数据丢失业务无法访问 病毒感染或黑客入侵导致系统瘫痪 不可抗拒的因素如雷击、火灾导致系统破坏、数据丢失 计划内的停机（系

7、统升级、补丁修复等） 系统中断的损失： 证券业：6,450,000美元/小时 金融信用卡：2,600,000美元/小时 银行数据中心：2,500,000美元/小时 在线拍卖交易：225,000 美元/小时 旅店预约服务中断：100,000 美元/小时 医疗业务中断：？美元/小时 恢复点目标恢复点目标 (RPO) 恢复时间目标恢复时间目标 (RTO) 发生灾难时点 上午上午上午上午 上午上午 上午上午 上午上午 上午上午 上午上午 上午上午 上午上午 中午中午 下午下午 下午下午 下午下午下午下午 下午下午 3点点4点点5点点6点点7点点8点点9点点10点点11点点12点点1点点2点点3点点4点

8、点5点点 场景五：数据共享交换分析 13 安全风险 药企、商保公司等机构希望获取医疗数据做增值业务 一旦数据泄露，医院作为源头数据提供者，无法逃避责任 安全防护措施与信息共享融合度低 数据失控：数据泄露后无法追溯、二次泄露等 数据在非安全网络传输 信息交换策略由应用部门维护，安全只在边界粗放管理 院内院外 HISLISPACSEMR 数据共享平台 数据共享 卫健委、疾控等机构 医院 cloud 场景六：敏感数据识别风险 14 医院业务多，厂商多，数据类型多 安全风险 哪些是敏感数据，敏感数据分布在哪里 谁可以使用敏感数据，其身份是否合法合规 数据分片分散存储且备份存储多片，不便做数据安全风险评

9、估 医疗行业存储的数据中： 52%的数据为价值尚不明确的暗数据， 33%的数据为冗余、过期或不重要的陈旧数据。 绩效 考评 合理 用药 人力 资源 超声 放射 病理 血库 手术 麻醉 成本 核算 心电 物资 科教 移动 医疗 决策 支持 EMR 系统 LIS 系统 设备院感 重症 监护 内镜病案 HIS 系统 疫病 结构化数据 （oracle 、 SQL server、mysql.） 半结构化数据 （电子病历.） 非结构化数据 (影像文件、日志.) 某区三甲医院相关统计：业务系统40+，开发商14家+ 场景化技术防控措施 叁叁 15 场景化解决方案 16 01 数据安全内控 以数据内部管控、数

10、据防勒索、防 入侵及运维端动态脱敏等技术为主 03 数据库运行安全 以数据库资源分析，账号及权限分 析，库基线及漏洞、运行状态监控 等技术为主 05 数据安全共享交换 提高交换双方的身份验证、监控交 换的敏感数据类型及交换方式（嵌 入数据水印等）、并实时敏感数据 溯源监控等 02 流动数据安全 对医疗敏感数据流动过程实施脱敏 、监控、审计等技术为主 04 业务连续性安全 以业务级容灾、定期容灾切换演练 、数据有效性备份验证等技术为主 06 敏感数据识别 重点在于敏感数据的梳理，只有先 发现数据，对数据进行有效分类， 也才能对数据的安全管理采用更加 精细的措施 安全与合规 应用数据库准入及内部权

11、限访问控制，精细化控制表、列，防止高危操作及误操作，有效防止被误删/篡改/泄露。 数据库防水坝 系统管理员 运维人员 开发、测试人员 合规 接入 安全 控制 Oracle My SQL MS SQL 内部数据管控解决方案 数据库接入安全 合规准入多因素认证防撞库 数据库内控安全 数据资产定义 运维动态脱敏 高危操作防范 安全工单管理 高权限账号管控 权限访问控制 敏感操作授权 风险动态大屏 数据安全内控：技术防控一 17 数据安全内控：技术防控二 18 运维管理端动态脱敏 为保障在数据的开发利用过程中不受影响，在不改变原始数据的情况下，对归集、存储、加工、共享等环节中的数据访问进行数据 动态脱

12、敏（在实际数据值不变情况下，展示的时候进行实时脱敏)，制定了多种脱敏规则对数据进行动态脱敏使用。 数据安全内控：技术防控三 19 应用数据防勒索技术，对核心数据库、终端实施安全保护，防止数据被勒索加密，确保数据的安全性 数据防勒索保护 信任程序 勒索程序 数据库进程 1.数据库防勒索 建立信任应用名单 信任程序 防护对象 2.终端防勒索 数据安全内控：技术防控四 20 业务系统 运维管理端 进库自动加密 出库自动解密 数据库加密引擎 进库自动加密 无权限访问 为密文 数据存储加密 应用数据库存储加密技术，对存储中的敏感数据实施加密，防止数据被泄露、窃取，确保数据的安全性 应用透明，无需改造 对

13、应用系统SQL语句、开发接口等透明，无需改造 密文存储，底线防御 防止存储空间共用导致的数据泄密; 防止突破边界防护的 外部黑客攻击；防止拖库造成的数据泄露; 防止内部高权 限用户的数据窃取。 独立的权限控制 独立的数据库权限控制，无权限无法访问敏感数据 加密场景化适应 加解密性能、加密适配场景、密钥管理及备份等 数据安全内控：技术防控五 21 应用数据库防火墙，通过深度SQL通信协议解析，对核心数据库实施SQL注入及虚拟补丁防护，保证数据库安全性。 数据库防入侵 策略规则 基于IP地址 基于时间 基于用户 基于操作 基于关键字 基于列 基于表名 基于行数 基于注入特征库 解析还 原SQL 操

14、作 应用服务器 数据库防火墙 数据库 策略规则匹配结果： 阻断、告警、通过。 用户A：操作A 用户B：操作B 用户A：操作A-阻断 用户B：操作B-告警 用户C：操作C-通过 用户C：操作C SQL操作语句SQL白名单SQL注入特征库机器学习模型虚拟补丁防御 流动数据安全：技术防控一 22 业务应用 敏感信息自动发现脱敏后数据加载 数据脱敏方式 变形、漂白、遮盖等 数据库到数据库数据库到文件 文件到数据库 文件到文件 DB1DB2 数据脱敏技术 满足为开发环境、测试环境、培训环境等提供脱敏后（按需进行漂白、变形、遮盖等处理）的生产数据，也可于 为数据交易、数据交换、数据分析等第三方数据应用场景

15、提供适用的敏感信息泄露防护作用。 DB1DB2 dump文件文本文件 源数据 dump文件文本文件 脱敏后的目标端 其他应用资源目录资源目录 API接口调用 数据传输 数据返回 数据传输 数据返回 数据交换平台 流动数据安全：技术防控二 23 数据水印技术 当数据共享给第三方，一旦发生数据泄露，可以通过泄露的数据追溯到数据提供给了哪个人或者企业，从而进行 数据泄露的追责。 NAMEPHONEADDR 张三13588384783浙江省杭州市丰潭路508号 李四18957219844上海市闵行区舟山路1113号 王五13699472847北京朝阳大街384号 NAMEPHONEADDR 张三135

16、88381289浙江省杭州市丰潭路508号 李四18957213726上海市闵行区舟山路1113号 王五13699474827北京朝阳大街384号 水印嵌入 1289 3726 4827 杭州美 创科技 嵌 入 不 可 见 字 符 数据库运行安全：技术防控一 24 数据库运行安全分析 通过对当前数据库存在资产现状、账号进行识别和分析，找出当前核心库潜在的闲置账号、僵尸账号、特权账号 及合法账号及其权限等，并辅以数据库漏洞及安全基线核查，分析当前核心库的运行安全状态。 数据库运行安全：技术防控二 25 数据库状态监控 五大健康指数：可用性、错误、性能、变化、可靠性直观展示，快速判断数据库健康状态 SQL生命周期展示，直观凸显性能瓶颈点，数据库资源和主机资源的关联分析，定位真正根因。 业务连续性技术防控 26 负载均衡负载均衡 仲裁节点 本地数据备份 应用 数据库集群 存储双活 负