从落地实践看三甲医院数据安全进阶防护——南阳医专一附院案例
随着《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法规实施在即,数据安全受到越来越多的关注。我国医疗数字化改革发展迅速,海量医疗数据经过不断地聚合和流动,价值迅速攀升,医疗数据安全问题日益严峻,看南阳医专第一附属医院如何携手美创科技落地实践进行数据安全进阶防护。
一、需求背景简介
南阳医专第一附属医院是豫西南唯一一所集临床治疗、医学教育和医学研究为一体的国家三级甲等综合医院,南阳医学高等专科学校直属教学医院,豫西南大型综合诊疗中心。
经过多年网络安全建设,医院已初步实现网络风险的协同防护与检测能力,并且通过了等级保护测评。然而数据作为医院的核心信息资产,依然面临诸多威胁风险,如违规访问、非法统方、数据遭篡改、患者信息泄露等安全事件;传统网络安全设备的部署和防护位置决定了无法对核心数据进行全面有效的保护,经过评估分析,医院目前在数据安全防护方面需要补齐以下短板:
1、业务连续性无法保障 ,目前电子病历与HIS系统都部署在同一台服务器上,一旦系统出现软硬件故障时,会造成业务中断。
2、数据库运维延续传统的“被动救火式”服务,依靠业务系统可用性、可靠性、业务请求等业务问题驱动;
3、数据库不定时出现死锁、SQL占用性能过高等现象,无法及时有效定位到问题发生的原因,影响正常业务开展;
4、第三方厂商人员较多,且可以访问到院内敏感数据,缺少对数据的访问控制与操作行为检测手段;
5、事后追溯审计措施缺失,无法对数据的操作访问进行审计分析。
6、频发的勒索病毒攻击事件,对医院核心业务系统造成潜在威胁。一旦“中招”,将面临业务停摆,数据无法解密的情形。
二、多措并举,给医院数据上“保险”
南阳医专第一附属医院携手美创科技, 多管齐下、多措并举,通过以美创科技数据库审计、数据库防水坝、数据级容灾、数据运行安全管理平台、诺亚防勒索等产品组成的医疗数据安全综合解决方案,构建全面立体的医疗数据安全保障体系,落地实践,解决日常数据使用过程中遇到的风险与威胁,同时保障核心业务的连续性与高可用性,为医院的业务拓展保驾护航。
具体落地实践内容如下:
1 、全面、精确审计
美创数据库审计能够实时地、智能地解析网络上和被审计数据库相关的登录、注销,对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作,能够精确到SQL操作语句,并能及时判断出违规操作行为并进行记录、报警,实现数据库的实时监控,从而在网络上建立起一套数据安全告警和审计机制,为数据库系统的安全运行及事后审计提供有力保障。
2 、内部人员风险管控
美创数据库防水坝能够通过登录控制引擎,实现多因素的数据库身份准入核查。包括:IP&MAC、数据库账户、中间件、客户端连接工具等;采用特权用户权限控制功能,隔离oracle数据库DBA和SchemaUser账户天然可访问敏感数据的权限。并且禁止第三方运维、开发人员使用SYS用户访问敏感数据,通过审计模块实时监控与告警违规访问行为。
美创数据库防水坝
3 、自动、智能运维
美创数据库运行安全管理平台内置数据库运维工具箱与监控大屏,能够覆盖数据库日常运维场景,包括巡检平台、性能优化、故障处理等不同类型工具,融合AI技术提供智能预测和趋势分析。释放运维压力,即便是小白用户也能轻松实现数据库复杂的运维和管理工作,提升运维工程师的运维效率。
数据库运行安全管理平台
4 、勒索病毒防御
在医院核心数据库上安装美创数据防勒索保护客户端,防勒索客户端采用主动防护的模式,利用底层驱动技术,监控所有进程的写操作,对数据库及文件的“写”操作判断,对于非法写操作进行阻断,可以有效拦截勒索病毒攻击,保护核心数据不被加密。
美创诺亚防勒索
5 、 业务连续性保障
通过美创DBRA数据级容灾系统对南阳医专第一附属医院电子病历系统、HIS系统数据库进行保障,实现本地同机房的数据级容灾建设。数据级容灾系统能够在生产系统和容灾系统之间形成可以相互切换,相互恢复的容灾关系,生产系统出现异常或计划内维护时,生产系统可以简单的切换至容灾系统,容灾系统替代生产系统提供服务;生产系统硬设备复原之后,容灾系统初始化后可以回切至生产系统。 已多次成功协助医院进行切换演练,并在实际灾难考验中顺利帮助客户保障正常业务的平稳运行。
三、 守护医疗数据安全,助力智慧医疗
1 、体系化的安全防护
从全局性策略出发,以互联互通的安全技术为保障,以平台化的管理工具为支撑,辅以长期可靠的安全运维保障和规范化的安全管理,搭建出真正能够有效对抗威胁,保障应用的医疗数据安全体系。
2 、构建了纵深的防御体系
美创科技针对医院核心系统综合采用泄露防护、入侵防护、风险内控、安全审计等多种技术和措施,实现数据的可用性、完整性和保密性保护,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
3 、提升勒索病毒防御能力
通过防勒索系统对核心业务数据库的安全保护,利用独创数据库文件防勒索保护引擎,实现未经过授权的违规应用、恶意代码、恶意进程等勒索病毒无法对受保护的文件和数据进行加密或破坏,全面防御各种未知勒索病毒的侵袭,提供核心数据保护能力。
4 、提高数据库安全运行效率
实现7*24小时实时监控数据库,提前感知健康和安全隐患,快速定位故障点;提供多元化的工具,帮助运维人员高效便捷的保障数据库的运行安全,实现数据库巡检、锁处理、安全检测、数据库自动化部署等,同时实现对数据库运行发展的趋势分析和预测等,保证整个业务系统数据库的运行可用。
5 、满足合规要求
满足网络安全法、ISO27701、等保2.0、数据安全管理办法、DSMM以及医疗行业相关政策合规要求。