★医院数据安全建构方法

医院数据安全建构方法吴汉耿广东省医疗安全协会常务委员医疗行业数据安全背景数据是医疗行业信息化的核心资产，随着数据交易、数据交换、大数据分析等
数据应用需求日益增长，同时数据面临着外部数据窃取、内部数据隐私泄露、开放数据分析访问带来的敏感数据泄露等多方面敏感数据安全保护挑战
。某年度某单位敏感数据泄露原因占比数据交易数据大集中安全性数据共享交换是否安全内部泄露员工离职带走数据泄露第三方运维人员泄密挑战分
析根据敏感数据泄露原因分析可以看出内部泄露以及数据分析访问消费是造成敏感数据泄露的主要原因，这两大方面也是公司敏感数据安全保护的薄
弱环节，需要采取必要的措施，重点加固外部攻击外部黑客和间谍窃密数据库自身脆弱性传统安全架构核心系统数据库缺乏保护1、网络防火墙产品
不对数据库协议进行分析；2、IPS入侵防御系统3、WAF4、运维管理审计5、流量控制6、上网行为管理7、网络准入8、Ipsec与
sslvpn9、数据库层面，由外而内的层层防御，基于业务安全保护而非数据安全。应用根因法进行灾害脆弱性分析1类型识别对象脆弱性子
类技术脆弱物理环境机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的保护、机房区域防护、机房设备管理
等网络结构网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等服务器/系
统软件补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统软件安
全漏洞、软件安全、功能管理等数据库补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制应用系统审计机制、
审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等应用中间件协议安全、交易完整性、数据完整性等管理脆弱技术管理物理和环
境安全、通讯和操作管理、访问控制、系统开发与维护、业务连续性等组织管理安全策略、组织安全、信息资产分类与控制、人员安全、符合性等脆
弱性类型与识别对象应用根因法进行灾害脆弱性分析2网络、主机、应用、数据等安全现状分析结构安全分析边界完整性检查1是否按照对业务服务
的重要次序来指定带宽分配优先级别以便确保结构安全，基于ip/tcp是否定点定位。防火墙是否冗余配置；数据库服务与应用服务是否分离部
署等。网络层是否采取防止非授权设备私自联入内部网络的技术手段；闲置端口是否关闭；网络设备、安全设备和服务器不必要的设备插口有无控制
；有无针对特殊端口的监控措施。现状分析42访问控制分析上网行为管理和核心交换机的访问控制策略；网络层对信息内容的过滤，应用层HTT
P、FTP、等协议命令级的控制；网络最大流量数、连接数的监控；重要网段的防地址欺骗。安全审计分析是否对审计记录数据进行分析与生成审
计报表；日志审计是否由专人负责。3应用根因法进行灾害脆弱性分析3网络、主机、应用、数据等安全现状分析网络设备防护检查数据安全现状分
析5核心交换机是否配置登录规则及对管理员登录地址进行限制，有无登录失败处理功能；核心交换机采用何种模式登录；是否实现特权用户的权限
分离；核心交换机的本地默认用户名是否易猜易懂，口令有无定期更换；数据完整性恢复措施，系统管理数据、鉴别信息和重要业务数据传输保密性
，安全设备、网络设备、系统管理数据、鉴别信息和重要业务数据的传输保密性；最新的交换机、防火墙和上网行为管理等设备的配置信息以及应用
系统关键目录或文件进行备份；医院信息系统有无部署异地数据灾备。对同一用户是否选择两种或两种以上组合的鉴别技术来进行身份鉴别。现状分
析86主机安全现状分析应用安全现状分析是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别；密码长度和复杂度、重要信息资源敏感标记
、应用系统设置会话超时，对有敏感标记重要信息资源的操作，日志审计功能、实现数据原发的抗抵赖、最大会话并发连接数等都必须进行部署。服
务器操作系统有没有统一的升级管理控制系统，操作系统有没有及时更新补丁；服务器资源有没有规范访问标准；实行统一的登陆账号密码管理，统
一的访问控制入口；部署安全与日志审计系统，对服务器操作、日志信息进行监测和预警。7法规政策要求为有效应对日益频发的数据泄漏事件，响
应国家相关法律法规要求，保障云平台、全业务数据中心大规模数据分析访问、数据共享的安全性，有必要加强敏感数据访问防护以及敏感数据脱敏
漂白工作。新技术挑战国家法规要求敏感数据泄露频发云大物移新技术挑战，传统敏感数据保护手段捉襟见肘：公司提出“云大物移”的发展方向以
及开展全业务统一数据中心建设，急需新的技术手段切实保障公司敏感数据不被泄露敏感数据泄露频发，造成恶劣的社会不良影响：近几年敏感数据
安全灾难频发，对企业的正常运营和和用户的切身利益带来了严重威胁，社会影响极坏。国家法律法规，国家安全战略要求国家高度重视数据安全，
将其提升到国家的战略层面，出台了《中华人民共和国网络安全法》，从法律层面要求做好各类数据安全工作。以敏感数据和业务数据为主体构建安
全体系两个基础业务类应用：各种业务系统数据安全的体系建设数据安全的标准敏感数据内外部运维人员业务操作人员黑客、入侵者三类
人员两类应用数据安全保护数据安全技术步入融合智能时代开放共享推动数据安全技术广泛应用运维类应用：各种工具数据安全促进信息安全技术与
应用融合两个基础，管理好两类操作，管理好两类应用，管理好三类人敏感数据安全架构体系解决的问题业务系统技术层面管理层面管理科室外部用
户业务开发医护人员信息科基层医疗卫生机构某市医保局外部系统举例：敏感数据安全解决方案逻辑拓扑图数据交换服务调用数据库防火墙内部风险
控制数据共享及交换安全系统外部威胁防护防水坝深度异常行为分析安全管理层防水坝业务审计安全管理核心交换专网/电子政务外网防水坝安全控
制层数据库防火墙应用安全防护防水坝接入安全控制防毒墙路由器防火墙HIS系统PACS系统脱敏数据电子病历LIS系统外部威胁防护内部系
统数据传输加密敏感数据脱敏安全管理区域内容安全检查数据安全保护深度异常行为分析数据库一体化监控共享接入层数据交换服务接口数据库防水
坝数据防泄漏数据库准入数据交换服务调用服务调用数据库安全审计数据库加密数据脱敏内部风险控制及追责溯源（一）外部威胁防护-数据库防火
墙因为0DAY和APT攻击的存在，应用服务器前端的安全部署无法确保绝对的安全，因此我们需要考虑在黑客成功入侵应用服务器后如何防范其
窃取数据库数据。数据库防火墙通常是部署在应用程序和数据库服务器之间，通过分析数据库通讯协议，进行数据库操作行为审计、阻断等措施而达
到防护数据库的目的。保护对象差异工作原理差异保网络防火墙：基于IP、MAC、端口等TCP/IP协议进行防护。Web防火墙：基于Ht
tp协议中的内容进行防护。数据库防火墙：基于数据库通讯协议中的SQL语句与语法特征进行防护，SQL语句白名单，虚拟补丁（漏洞扫描防
御）网络防火墙：保护整个网络，工作在网络层与传输层。Web防火墙：保护web应用，工作在应用层。数据库防火墙：保护数据库和数据，工
作在应用层。（一）外部威胁防护-深度异常行为分析①监测网络环境中存在的私有局域网情况：NAT设备网闸设备…………......监
测网络内终端的两网互通（同时连接内网、互联网）情况,并提供追溯取证信息两网互通网中网合规管理未授权无线设备接入（如手机、PAD等
）、Win8/Win10等操作系统接入专网告警：监测网络环境中存在的网络游戏违规行为未授权设备网络游戏网络聊天控制软件监测网络环境
中存在的聊天服务器、违规使用聊天工具行为以及远程控制软件的安装（一）外部威胁防护-深度异常行为分析②监测网络环境中存在的异常扫描访
问其它主机设备、服务端口的异常行为，如长期或大范围非正常探测其他服务器、监测短时间内频密访问特定业务系统的行为,并基于不同时间段的
访问次数分布，分析异常访问的趋势。网络异常扫描监测业务系统异常访问监测异常监测预警对重要业务服务系统进行可用性探测监控，在服务系统
不可用时，可以发出邮件、短信告警通知。监测网络环境中存在的FTP服务器，检测是否存在匿名登录等高风险情况应用服务可用性监测FTP站
点监测（一）外部威胁防护-深度异常行为分析模型数据处理分析模型频率位置镜像流量过滤终端规律告警服务解码分析模型源时间远程探测视图&
报表存储数据采集目标行为轻量级JS插件检索取证&回溯标识归属特征（二）内部风险控制-两个基础之权限分离把数据从数据库原有权限体系中
解放出来，将核心数据进行分类分级，将同类数据进行归类，形成资产集合，再将资产集合的访问授权分配给不同角色的人员：个人用户、应用用户
、运维用户等。1、在数据库中形成四个角色：数据库管理员、安全管理员、数据管理员和审计管理员，权责分开。收回DBA等特权用户的数据访
问权限，DBA只能从事数据库管理和维护能力。2、对访问身份及应用进行分类。SYSDBA和DBA拥有数据库中访问任何数据的的最高权限
。数据库管理员管理数据库日常运行和性能管理安全管理员敏感数据的安全管理，分类、归属、授权、审计数据管理员敏感资产拥有者，替代Sch
emaUserSchemaUser拥有该Schema下所有的表格和代码的访问能力。审计管理员审计日志的管理、监控、分析和报告“
Select(update,insert,delete,drop)anytable”等权限，拥有访问任意数据的能力。Any特权
用户SchemaUserDBA用户（二）内部风险控制-两个基础之数据分级分类业务数据如何分级分类？以表格列为基础的敏感数据分类以S
chema级别的敏感数据分类以业务为单元的敏感数据分类敏感数据标签高、中、低分级数据分级分类实现安全隔离（二）内部风险控制-数据库
安全合规准入关键技术：基于多维身份认证与多因素访问控制的数据准入技术传统单纯依赖账户和密码的数据准入机制存在非常大的安全隐患。基于
多维身份认证与访问控制的数据准入技术通过对数据库账户、应用程序、主机名、IP地址、Mac地址、登陆时间、操作行为等相关信息，采用多
种认证方式限定对数据库的准入，并构建多因素访问控制。（二）内部风险控制-敏感数据访问控制访问控制：控制对象主要包括敏感数据和普通数
据，根据访问者是谁（Who）、访问时间（When）、访问来源（Where）、访问何数据（What）、访问方式（How）等维度信息，
对数据访问进行强制控制，确认用户是否能够进行正常访问。WHOWHEREWHEN规则库Selectnamefromempwh
ereid=1001;WHAT5W行为分析HOW账号规则库SQL语句白名单其他运维工具规则库应用程序规则库通行策略（1=1）合
法SQL语句执行防止外部非法入侵窃取敏感数据防止内部高权限用户数据窃取防止合法用户越权访问基于多要素验证自动阻断数据库终端规则库访
问控制引擎SQL语句黑名单危险SQL语句执行拒绝策略（1=2）5W行为&规则库处理引擎Selectfromfin.cus
tomers;（二）内部风险控制-危险操作防范及恢复判断操作对象判断SQL用户访问判断用户权限数据库关键技术：危险操作防范与恢复：
对误删除的表格、表空间或insert、update等DML操作，能够进行快速恢复，从而有效地减少误操作风险。6天5天4天3天2天1
天……1110987654321小时现在……42%添加标题添加标题日志记录日志记录日志记录日志记录日志记录日志记录日志记录日志记录
日志记录日志记录日志记录日志记录选择恢复对象数据恢复选择恢复时间点用户发起针对被删除的表格、表空间或insert、update等操
作，进行快速恢复，误操作。防止用户对敏感数据执行危险操作，导致数据丢失、数据混乱。远程桌面TelnetSSHPL/SQLDeve
loper直接操作数据库行为不受管控临时账号问题共享账号问题OEM等管理工具引发各种问题（二）内部风险控制-数据安全访问控制无灵活
性和透明度无法追责无法对风险告警无法保护敏感信息从敏感数据分级分类、运维人员合规管理、应用程序管理、危险操作控制、运维审计等多角度
管理实现系统安全管理。数据库服务器IT维保团队精确敏感数据定位、分级、分类特权用户管理，与敏感数据隔离应用程序的集中化安全管理运维
工具的集中化安全管理运维人员身份的集中化管理外包开发人员的集中化管理阻断黑客入侵数据库阻断黑客窃取敏感数据危险性操作管理（如Tru
ncate)误操作的垃圾箱快速恢复临时性操作安全授权提供丰富的运维审计报告数据库防水坝SQLPlusTOAD（二）内部风险控制-
数据库自动化运维6.业务特征趋势分析5.SQL代码优化核心功能1.全景监控2.早期预警3.问题瞬时诊断4.
巡检自动化业务特征和趋势分析：运用大数据技术,全面了解业务应用的资源使用趋势和访问特征等信息SQL代码优化：提升应用程序的SQL代
码质量，保持应用最优突发问题分析健康性综合分析实时性能分析报告安全环境评估报告瞬时诊断：数十秒内诊断原因，迚而解决问题
早期预警：真正实现了在（应用类）问题未发展至影响业务之前，早期发现，早期解决全景监控：所有核心应用系统实现同屏集中监控健康检
查自动化：检查细粒度更高，瞬时完成，全面替代传统人工巡检。（二）内部风险控制-数据库自动化运维一站式服务网络运维服务虚拟化运维
服务数据库维保服务中间件维保服务安全运维服务硬件维保服务咨询规划服务……最终用户（二）内部风险控制-特权账号管理①另外，管理上要
有巡检责任制度一旦特权帐户发生非法使用问题，可能会给医院造成难以弥补的严重损害！（二）内部风险控制-特权账号管理②：解决堡垒机的不
足堡垒机主要面向运维的运维审计系统；特权帐号系统是一套面向业务应用的帐户与口令管理系统堡垒机主要覆盖运维场景，只能管理设备帐户；
特权帐号系统作为一整套帐户与口令安全解决方案，覆盖设备、数据库、业务应用等几乎所有目前能触及的帐户类型。特权系统&堡垒机堡垒机着
眼点实际在于运维协议的解析及记录，帐户管理是衍生的附属功能；特权帐号系统是一套专门的帐户及口令管理系统，集中解决帐户口令的管理及
安全问题。堡垒机不具备任何添加、删除等帐户管理功能，仅实现局部的口令校验与口令修改；特权帐号系统控制帐户的整个生命周期，覆盖注册
、添加、删除、改密、注销、删除、上收典型场景。?（二）内部风险控制-特权账号管理架构③面向关键系统运维用户的一体化安全管理解决方案
管理资源对象关键设备、系统及应用上层系统安全策略管理账号管理监控审计管理资源管理接口管理平台特权帐号系统系统主要功能模组特权帐号
风险监控密码安全保险库安全策略池账号安全扫描企业外围业务系统(通过标准接口集对接)帐户按需领用控制工作流控制管理应用账号管理会话安
全管理（二）内部风险控制-敏感数据防泄漏（底线防御）严格控制敏感数据访问运维用户数据抽取脱敏系统数据库透明加密系统DDM动态数据脱
敏业务用户对应用透明DDM动态数据脱敏SDM静态数据脱敏数据库服务器入侵访问者运维工具据加密数拒绝访问ORACLE/db2SQL
serverexcel文本等源数据集物理文件及备份文件运维用户DBA测试/开发/培训…普通用户业务页面1、无需改变业务逻辑，透明访
问应用程序；2、支持透明索引，保障业务程序性能；3、存储加密，防止明文存储造成的数据泄露；4、权限控制增强，用户想访问密文数据，必
须经过密文授权；5、一致性加密，日志文件、rman备份、索引数据以密文形式存在。1、敏感数据自动发现，规则自匹配；2、不生成临时文
件、不落地；3、多源数据、多目标数据（数据库、文本文件、RSS等）；4、保持数据原始特征、保持数据业务规则及关联性；5、大数据量下
快速交付。运维团队（三）数据追责溯源-数据库安全审计精确化审计数据库审计软件可以精确的识别操作人、操作终端、应用、工具和操作内容。
全面化审计数据库审计产品可以覆盖所有信息来源（终端、本地、DB-LINK、加密加壳），同时支持SQL语句翻译增加阅读直观性。01
0204实用的审计管理引入强大的大数据搜索引擎solr为技术保障，通过对审计时间的全面分析，从安全事件的生成到归档直至销毁，提供
了贯穿安全审计全生命周期的快速便利管理。内嵌法规遵循报表数据库审计系统提供多种法律法规遵循向导和报表，满足用户合规要求，同时提供各
种日常性的工作报表。03外部用户外部系统（四）数据共享及安全交换平台-架构设计内部专网内部应用区文件服务器应用系统对外服务区安全可
视化管理可视化审计可视化网闸信息共享内部服务区互联网/专线/电子政务外网共享数据库数据库前置系统前置系统交换系统交换系统防火墙/I
PS/WAF/防病毒网关/UTM/NGFW前置文件服务器/数据库审计系统集控系统（四）数据共享及安全交换平台-系统安全保障多种隔离
方式多级安全保障网络隔离网络防火墙网闸双单向隔离装置（两个不同方向的光闸）光盘摆渡机协议隔离部件1.传输加密（支持国密算法）（HT
TPS/SSL，SFTP/SSH）2.用户及授权（用户及组管理、用户证书管理、权限及角色管理）3.用户/系统接入认证（用户名/口
令认证、用户数字证书认证）4.访问控制（基于IP地址的访问控制、基于用户身份的访问控制、对Web服务接口调用的访问控制、对ftp服
务访问的访问控制）5.文件安全（文件相关检查、病毒检查等）6.业务报文安全（XML报文元素、格式检查、签名/验签、加密解密等）7.
内容关键字检查系统安全接口调用安全1.基本安全（主机防火墙、HTTP/S请求方法限制、FTP命令限制、SQL注入防范）2.直接功
能调用（功能调用请求格式检查）3.间接功能调用（业务报文内容格式检查、报文签名/验签）接口调用安全调用接口安全控制策略感谢聆听作
为医疗系统,我们承担者患者健康嘱托以及健康档案的存储，起码15-30年。本课题是基于《医院信息安全建构策略》衍化的方案措施1、外部
攻击；2、内部敏感数据泄露；3、对外敏感数据使用，分层比例，通过gartner分析百分比；重点突出是后面2、3，薄弱环节，需要重点加固。从此图中引出医院目前面临的数据泄露途径和风险。主要从物理、网络、主机、应用、数据以及安全管理体系现状的分析，把把脉、找症结、解剖麻雀。信息资产确定。通过资产评估，清楚有无。物理安全现状分析。主要分析物理访问控制、介质储存的防盗窃与防破坏以及是否有防盗报警系统，有无冗余或并行的电力电缆线路的切换记录或测试演练记录以及备用供电系统的运行和维护记录。室内温度、抗磁扰、防静电等有无配套。信息资产确定。通过资产评估，清楚有无。物理安全现状分析。主要分析物理访问控制、介质储存的防盗窃与防破坏以及是否有防盗报警系统，有无冗余或并行的电力电缆线路的切换记录或测试演练记录以及备用供电系统的运行和维护记录。室内温度、抗磁扰、防静电等有无配套。1、安全可视化：接入认证（签名验签）、传输加密、文件安全检查，敏感数据防泄漏、信息共享交换抗抵赖；2、管理可视化：共享策略集中管理、审计策略集中管理、审计策略集中管理、可视化监控，实施告警；3、审计可视化：可看到对外与哪些机构共享及交换了多少安全数据，有什么类型，是否存在不符合安全规范要求的共享和交换请求，可形成统一报表。