专业咨询
致力推进中国医疗卫生信息化

【数据安全案例】宁波市镇海区中医医院:筑牢“外防内控”的数据安全新屏障

来源:HIT专家网 供稿:美创科技

【编者按】

《中华人民共和国网络安全法》《中华人民共和国数据安全法》网络安全等级保护2.0《医疗卫生机构网络安全管理办法》等一系列法律法规付诸实施的背景下,医疗行业数据的管理迎来日益严格的合规要求。为此,专注于数据安全的美创科技将在HIT专家网开设“数据安全案例专栏”,分享医疗机构在数据安全治理、数据安全防护、数据安全保护流程完善等多个方面的实践经验。

医院承载着海量的数据资源,伴随着各种新业务、新应用的不断涌现,面临着越来越多的安全挑战与合规压力。其中,因医院在数据库运维管控上缺乏有效措施,成为重要隐患之一,导致如下问题发生:

• 假冒合法客户端访问业务系统敏感数据;

• 盗用客户端内置的应用数据库账号;

• 来自工具端的数据库登录安全威胁(暴力破解/绿色版工具);

• 高权限DBA用户违规访问敏感数据;

• 敏感数据违规导出、系统对象操作无控制,数据被窃取;

• 违规人员/黑客恶意删库、勒索锁库,高危操作无控制,等等。

同时,医疗健康数据具有高价值和隐私性,已成为黑产及不法分子关注的焦点。如果缺乏数据库主动防御机制,医院数据库处于“裸奔状态”,将面临利用数据库漏洞进行攻击、利用应用程序进行SQL注入攻击等风险。

针对上述场景,如何采取有效的数据安全防护措施?宁波市镇海区中医医院以数据库防火墙“外防”,以数据库防水堤坝“内控”,双管齐下,筑牢数据安全屏障。

数据安全从薄弱环节抓起

宁波市镇海区中医医院成立于1990年,是一家集中医医疗、教学、科研、预防于一体的中医医院。经过多年信息化建设,医院核心业务系统数据规模日益增加,HIS、PACS、集成平台等系统生产、汇聚了大量敏感数据资产。

医院安全的核心是数据安全,为满足《数据安全法》等保2.0等合规性要求,医院拟采用针对性安全防护措施,对数据库运维侧以及业务侧存在的以下安全薄弱环节进行安全加固:

首先,医院第三方外包人员较多,存在共用相同数据库大权限账号、任意使用数据库运维工具的情况,有越权访问敏感信息、批量查询和导出信息等风险隐患。

其次,现阶段医院部分核心数据库存在高危漏洞,但医院缺乏有效防范数据库攻击威胁的安全措施,一旦发生数据库漏洞攻击入侵行为,将可能导致严重的数据安全事件。

外防内控,筑牢数据安全屏障

基于上述风险及防护需求,宁波市镇海区中医医院通过部署美创数据库防火墙及数据库防水坝系统,实现运维侧及业务侧的防护,从而解决内部数据库运维侧人员杂、权限大、无控制、难追溯等问题,防止数据库漏洞攻击、SQL注入攻击等风险,如图1所示。

图1

1.运维侧安全防护

针对医院运维过程中如何有效管控管理等问题,数据库防水坝帮助宁波市镇海区中医医院实现事前-事中-事后全流程、细粒度的安全管控,包括:运维事前用户多因素身份准入、事中细粒度权限控制,以及事后运维审计。

数据库防水坝通过对运维人员、开发人员、测试人员进行精准识别,以多维身份认证,规范数据准入控制,避免非运维人员利用运维工具访问。同时,通过对敏感数据资产进行定义与分类分级(如图2所示),实现细粒度的安全管理;通过对特权账户进行统一管理,防止敏感数据被越权。

图2

此外,数据库防水坝风险监测响应引擎可快速阻断违规操作,支持对误删除数据进行恢复。结合实际应用的灵活性,当运维人员必须进行某些危险性操作或者需要访问敏感数据时,数据库防水坝支持提交临时授权工单,由安全管理员进行逐级审批后方可进行操作。

2.业务侧安全防护

针对外部数据库入侵风险,宁波市镇海区中医医院通过部署美创数据库防火墙系统,解决数据库业务应用侧的安全问题。

数据库防火墙采用全面的数据库通讯协议解析,通过SQ协议分析,和SQL注入特征抽象技术,能快速有效捕获SQL注入的行为特征,根据预定的SQL白名单策略,决定让合法的SQL操作通过执行,对符合SQL注入特征的可疑非法违规操作进行阻断,从而形成数据库的“外围防御圈”,实现SQL危险操作的主动预防、实时审计,防止外部黑客的数据库入侵行为(如图3所示)。

图3

建设收益

经过外防内控的双重部署,美创科技帮助宁波市镇海区中医医院筑牢了数据安全屏障,实现了以下建设收益:

(1)解决医院内部运维过程中账户共享、临时账号等问题难以管理,以及运维操作不透明、第三方业务单位运维过程存在数据安全风险等问题。

(2)从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施。同时,结合独立于数据库的安全访问控制规则,帮助医院应对来自内部和外部的数据安全威胁。

(3)帮助医院满足《网络安全法》《数据安全法》等保2.0及医疗行业相关法规政策要求,在安全合规的道路上更进一步。

此图片的alt属性为空;文件名为HIT%E4%B8%93%E5%AE%B6%E7%BD%91%E8%AE%A2%E9%98%85%E5%8F%B7.png
关注HIT专家网微信订阅号
精彩不容错过!
寻求“商务合作”请扫码填写需求
我们将尽快与您联系!

【责任编辑:秦勉】

赞(13)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【数据安全案例】宁波市镇海区中医医院:筑牢“外防内控”的数据安全新屏障
分享到: 更多 (0)