某卫健委健共体数据安全治理实践.docx

《某卫健委健共体数据安全治理实践.docx》由会员分享，可在线阅读，更多相关《某卫健委健共体数据安全治理实践.docx（10页珍藏版）》请在第一文库网上搜索。

1、某卫健委健共体数据安全治理实践目录1 .概述22 .医疗行业机构对数据安全的主要需求22. 1.总体需求22. 2.运维需求22. 3.医疗业务需求22. 4.资产使用需求21 .5.互联网医院需求32 . 6.其它需求33 .方案架构34 .主动安全防护44. 1.开启虚拟补丁44. 2.建立应用白名单44. 3.行为习惯建模学习55.数据库主动安全防护55.1.开启虚拟补丁55. 2.建立应用白名单55. 3.行为习惯建模学习56. 运维流程管控66.1. 运维身份准入66. 2.运维流程管控67.敏感数据混淆77. 1.敏感数据梳理77. 2.互联互通混淆87. 3.运维查询混淆88.操

2、作行为审计88. 1.全流量审计88.2.协助性能优化99.总结91.概述某卫健委在满足健共体内医院发展、服务管理和医疗行为规范要求的同时，采用安华金和提出数据安全方案对医院诊疗数据和患者个人隐私信息进行保护，为进一步实现健共体内各医疗机构间互联互通、业务协同、资源共享及卫生综合管理奠定坚实的基础。2.医疗行业机构对数据安全的主要需求2.1. 总体需求 业务和安全的平衡 满足各项合规 无安全事故 明确资产清单、业务流向 排弃产品堆砌、实现安全能力图谱2. 2.运维需求 数据库操作权控 维护人员流动、权控、准入 审批行为和操作行为一致 人为操作失误的拦截 数据库加密，防脱库 解决安装数据库补丁风

3、险大、回退难的问题2. 3.医疗业务需求 违规统方告警 按级别和授权，访问数据 各类医疗文件共享去标识化 实时业务敏感数据实时去标识化2.4. 资产使用需求 数据按照“5级”和业务情况分级分类 符合本院的业务情况、制度 业务行为，数据访问规范化、模板化 开发测试使用模拟真实数据2. 5.互联网医院需求 医疗APP合理采集数据 个人支付、医保信息等API接口安全 医疗器械、医用软件等，数据使用安全 数据外发、去标识化，审批、溯源 数据库安全性定期评估 业务、人员按权控访问数据2. 6.其它需求 安全场景不全 防范勒索病毒，数据访问源准入 “一点突破”，安全风险快速遏制 应急处置能力，人员风险意识

4、、安全技能医疗数据安全既不能照搬传统网络安全的防护模式，也不是对数据安全产品的简单堆砌，而要用体系化的思维、结合行业特性，构建以数据使用安全为目标的整体解决方案。须知，数据安全问题远不止信息泄露这般简单，医疗行业所产生的数据是国家安全的重要组成部分，应当高度重视并积极行动起来，做好医疗数据的安全治理工作。3 .方案架构健共体是依据按照国家、省、市卫生信息化建设相关标准及规范，以医改为契机、以惠民服务为中心、以临床诊疗为主线、以市民电子健康信息（电子病历、健康档案）为基础，构建某新区健共体一体化管理信息系统（简称：健共体信息系统）。健共体数据安全防护方案涉及到安华金和数据库防火墙、数据库脱敏、数

5、据库审计和数据库运维管理。第10页共9页Internet菊圜IDPS健共体一体化首理平台数据安仝产晶号 DOMS通DAS后旗U仲V警为更。目强I年国筋.亡L55DMS-D图1健共体一体化管理及平台示意图0。局反医eP生室4 .主动安全防护4.1. 开启虚拟补丁通过协议解析技术，捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行管控，从而防止不法分子利用已知漏洞对数据库发动攻击。由于健共体信息系统与健共体成员医院信息的互联互通，同时其部分模块需要经由互联网对区域内人员开放，因而存在被黑客攻击的风险和隐患。开启数据库安全防护系统的虚拟补丁技术，可实时监测并阻断数据库漏洞攻击行为，确保健共体信息

6、系统的数据安全与应用的稳定。4.2. 建立应用白名单由某卫健委主导，各健共体成员医院信息科对涉及与健共体信息系统互联互通的业务系统IP地址、数据库名称、账号以及健共体信息系统自身的应用进行了统一梳理，建立了完整的访问接口清单，并通过数据库安全防护系统基于该清单建立访问白名单，以防止非授权业务系统或非法运维行为对健共体信息系统进行违规访问。4. 3.行为习惯建模学习考虑到健共体信息系统其各成员医院本身的业务系统访问行为，而相关业务系统开发者的SQL使用习惯及语法可能存在差异，为减少误拦截情况的发生，在与某卫健委相关负责人员进行充分沟通与调研后，决定启用数据库安全防护系统的建模学习期，并于1个月学

7、习期满后再自动切换为防护模式。5.数据库主动安全防护5.1. 开启虚拟补丁通过协议解析技术，捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行管控，从而防止不法分子利用已知漏洞对数据库发动攻击。由于健共体信息系统涉及与健共体成员医院信息的互联互通，同时其部分模块需要经由互联网对区域内人员开放，因而存在被黑客攻击的风险和隐患。开启数据库安全防护系统的虚拟补丁技术，可实时监测并阻断数据库漏洞攻击行为，确保健共体信息系统的数据安全与应用的稳定。5.2. 建立应用白名单由某卫健委主导，各健共体成员医院信息科对涉及与健共体信息系统互联互通的业务系统IP地址、数据库名称、账号以及健共体信息系统自身的应

8、用进行了统一梳理，建立了完整的访问接口清单，并通过数据库安全防护系统基于该清单建立访问白名单，以防止非授权业务系统或非法运维行为对健共体信息系统进行违规访问。5. 3.行为习惯建模学习考虑到健共体信息系统涉及其各成员医院本身的业务系统访问行为，而相关业务系统开发者的SQL使用习惯及语法可能存在差异，为减少误拦截情况的发生，在与某卫健委相关负责人员进行充分沟通与调研后，决定启用数据库安全防护系统的建模学习期，并于1个月学习期满后再自动切换为防护模式。智联网医院数据库(HIS/EMR/云医生)容(译谑国熊图2数据库主动安全防护6.运维流程管控6.1. 运维身份准入通过运维管理系统的双因素认证机制，

9、解决在健共体信息系统数据库账户共享、运维主机共享场景下的运维人员身份鉴别及权限划分问题：(1)审批口令码运维人员提交申请并通过审批后才可获得审批口令码；运维人员登录数据库后，需提交审批口令码后才可继续执行经获准的运维操作。(2) Web身份认证运维人员在需要进行运维操作的客户端主机上，通过打开特殊的身份校验网页向服务器校验自身身份，通过后才可执行与其身份相符的运维操作；在运维过程中，运维人员需始终保持与提供身份校验网页的连接不中断，否则将无法执行后续的运维动作，将重新连接以校验身份。6. 2.运维流程管控通过数据库运维管理系统建立由运维项目经理、健共体信息系统接口人和卫健委领导组成的三级流程审

10、批制度；对数据库的变更和应用发版，必须由至少两位审批人审批通过后才可正常执行；否则，所有更新、删除操作都将被阻断或拦截，从而有效防止随意或恶意操作行为的发生；同时，利用数据库运维管理系统SQL脚本的校对功能，可有效防止误操作情况的发生。数据库运维管理智联网医院数据库（HIS/EMR/云医生）图3数据库运维管控7.敏感数据混淆7.1. 敏感数据梳理通过数据脱敏系统按照用户指定的一部分敏感数据或预定义的敏感数据特征，对健共体信息系统中的数据进行自动识别、发现敏感数据并根据规则推荐最匹配的脱敏算法；避免按照字段定义敏感数据元的繁琐工作，最大限度减少人工操作带来的疏漏及错误，并持续发现新的敏感数据。7

11、. 2.互联互通混淆通过数据脱敏系统对健共体信息系统中互联互通数据所涉及的患者隐私信息进行动态遮蔽，仅保留业务逻辑中的必要字段，从面在数据共享安全的前提下实现诊疗数据的互联互通。7. 3.运维查询混淆针对健共体信息系统运维人员使用的数据库账号进行规则绑定，凡涉及个人隐私信息或财务相关数据时，均采用动态遮蔽处理。数据动态脱敏成员医院业务系统数据库智联网医院数据库（HIS/EMR/云医生）图4数据库动态脱敏8.操作行为审计8. 1.全流量审计以安全事件为中心，以全面审计和精确审计为基础，实时记录健共体信息系统数据库活动，并对数据库操作进行细粒度审计合规管理；通过对用户访问数据库行为的记录、分析与汇

12、报，帮助用户在安全事件发生后溯源定责并形成合规报告；同时，通过大数据搜索技术，提供高效的查询审计报告，及时定位事件原因以便日后查询、分析、过滤，从而加强内外部数据库访问行为的监控与审计能力，提升数据资产安全性。8. 2.协助性能优化数据库安全审计系统内置TOP SQL统计功能，可实时监控数据库的SQL吞吐量与会话并发量，从而评估数据库的运行状态和资源使用情况；通过独立的Top SQL分析界面，可帮助健共体信息系统运维人员快速定位应用系统访问过程中耗时最长、操作频率最高的SQL语句，以协助相关业务系统开发人员优化业务系统逻辑，提高数据库资源使用率。医/患访问数据库安全审计智联网医院数据库（HIS/EMR/云医生）9.总结健共体信息系统数据安全防护理念：整体规划、整体设计、整体实施，安华金和给出的整体方案如下：通过数据库防火墙产品对来自互联网业务的访问行为进行主动数据安全防护；通过数据库脱敏产品对医患个人隐私信息进行有效遮蔽；通过数据库运维管理产品对所有运维操作进行全程跟踪记录和高危操作审批，从而为违规的运维操作溯源提供有力的技术支撑与证据链条。