某卫健委健共体数据安全治理实践.docx

某卫健委健共体数据平安治理实践 目录1.概述2 2 .医疗行业机构对数据平安的主要需求2 2. 1.总体需求2 3. 2.运维需求2 4. 3.医疗业务需求2 5. 4.资产使用需求2 6. 5.互联网医院需求3 7. 6.其它需求3.方案架构3 3 .主动平安防护4 3.1. 开启虚拟补丁4 3.2. 建立应用白名单4 3.3. 行为习惯建模学习5.数据库主动平安防护5 1. 1.开启虚拟补丁5 5. 2.建立应用白名单5 6. 3.行为习惯建模学习5.运维流程管控6 1. 1.运维身份准入6 6. 2.运维流程管控6.敏感数据混淆7 7. 1.敏感数据梳理7 8. 2.互联互通混淆8 9. 3.运维查询混淆8.操作行为审计8 8. 1.全流量审计8 9. 2.协助性能优化9.总结9 第1页共9页 1 .概述 某卫健委在满足健共体内医院开展、服务管理和医疗行为规范要求的同 时，采用安华金和提出数据平安方案对医院诊疗数据和患者个人隐私信息进行 保护，为进一步实现健共体内各医疗机构间互联互通、业务协同、资源共享及 卫生综合管理奠定坚实的基础。 2 .医疗行业机构对数据平安的主要需求 2. 1.总体需求 • 业务和平安的平衡 • 满足各项合规 • 无平安事故 • 明确资产清单、业务流向 • 拣弃产品堆砌、实现平安能力图谱2.运维需求 • 数据库操作权控 • 维护人员流动、权控、准入 • 审批行为和操作行为一致 • 人为操作失误的拦截 • 数据库加密，防脱库 • 解决安装数据库补丁风险大、回退难的问题3.医疗业务需求 • 违规统方告警 • 按级别和授权，访问数据 • 各类医疗文件共享去标识化 • 实时业务敏感数据实时去标识化4.资产使用需求 • 数据按照“5级”和业务情况分级分类 • 符合本院的业务情况、制度第2页共9页 • 业务行为，数据访问规范化、模板化 • 开发测试使用模拟真实数据5.互联网医院需求 • 医疗APP合理采集数据 • 个人支付、医保信息等API接口平安 • 医疗器械、医用软件等，数据使用平安 • 数据外发、去标识化，审批、溯源 • 数据库平安性定期评估 • 业务、人员按权控访问数据6.其它需求 • 平安场景不全 • 防范勒索病毒，数据访问源准入 • “一点突破”，平安风险快速遏制 • 应急处置能力，人员风险意识、平安技能 医疗数据平安既不能照搬传统网络平安的防护模式，也不是对数据平安产 品的简单堆砌，而要用体系化的思维、结合行业特性，构建以数据使用平安为 目标的整体解决方案。须知，数据平安问题远不止信息泄露这般简单，医疗行 业所产生的数据是国家平安的重要组成局部，应当高度重视并积极行动起来， 做好医疗数据的平安治理工作。 3 .方案架构 “健共体〃是依据按照国家、省、市卫生信息化建设相关标准及规范，以医 改为契机、以惠民服务为中心、以临床诊疗为主线、以市民电子健康信息（电 子病历、健康档案）为基础，构建某新区健共体一体化管理信息系统（简称： 健共体信息系统）。健共体数据平安防护方案涉及到安华金和数据库防火墙、 数据库脱敏、数据库审计和数据库运维管理”第3页共9页 Internet 易反医E R生室 数界平安产贷 Qdoms 图1健共体一体化管理及平台示意图 .主动平安防护 3.1. 开启虚拟补丁 通过协议解析技术，捕捉外部系统利用数据库漏洞进行的网络攻击行为并 对其进行管控，从而防止不法分子利用漏洞对数据库发动攻击。由于健共 体信息系统与健共体成员医院信息的互联互通，同时其局部模块需要经由互联 网对区域内人员开放，因而存在被黑客攻击的风险和隐患。开启数据库平安防 护系统的虚拟补丁技术，可实时监测并阻断数据库漏洞攻击行为，确保健共体 信息系统的数据平安与应用的稳定。 3.2. 建立应用白名单 由某卫健委主导，各健共体成员医院信息科对涉及与健共体信息系统互联 互通的业务系统IP地址、数据库名称、账号以及健共体信息系统自身的应用进 行了统一梳理，建立了完整的访问接口清单，并通过数据库平安防护系统基于 该清单建立访问白名单，以防止非授权业务系统或非法运维行为对健共体信息 系统进行违规访问。 第4页共9页 3.3. 行为习惯建模学习 考虑到健共体信息系统其各成员医院本身的业务系统访问行为，而相关业 务系统开发者的SQL使用习惯及语法可能存在差异，为减少误拦截情况的发 生，在与某卫健委相关负责人员进行充分沟通与调研后，决定后用数据库平安 防护系统的建模学习期，并于1个月学习期满后再自动切换为防护模式。 4 .数据库主动平安防护 4.1. 开启虚拟补丁 通过协议解析技术，捕捉外部系统利用数据库漏洞进行的网络攻击行为并 对其进行管控，从而防止不法分子利用漏洞对数据库发动攻击。由于健共 体信息系统涉及与健共体成员医院信息的互联互通，同时其局部模块需要经由 互联网对区域内人员开放，因而存在被黑客攻击的风险和隐患。开启数据库安 全防护系统的虚拟补丁技术，可实时监测并阻断数据库漏洞攻击行为，确保健 共体信息系统的数据平安与应用的稳定。 5. 2.建立应用白名单 由某卫健委主导，各健共体成员医院信息科对涉及与健共体信息系统互联 互通的业务系统IP地址、数据库名称、账号以及健共体信息系统自身的应用进 行了统一梳理，建立了完整的访问接口清单，并通过数据库平安防护系统基于 该清单建立访问白名单，以防止非授权业务系统或非法运维行为对健共体信息 系统进行违规访问。 5. 3.行为习惯建模学习 考虑到健共体信息系统涉及其各成员医院本身的业务系统访问行为，而相 关业务系统开发者的SQL使用习惯及语法可能存在差异，为减少误拦截情况的 发生，在与某卫健委相关负责人员进行充分沟通与调研后，决定启用数据库安 全防护系统的建模学习期，并于1个月学习期满后再自动切换为防护模式。 第5页共9页 智联网医院数据库 (HIS/EMR/云医生)(@辨运雪傍 图2数据库主动平安防护 6.运维流程管控 6.1. 运维身份准入 通过运维管理系统的双因素认证机制，解决在健共体信息系统数据库账户 共享、运维主机共享场景下的运维人员身份鉴别及权限划分问题： (1)审批口令码 运维人员提交申请并通过审批后才可获得审批口令码；运维人员登录数据 库后，需提交审批口令码后才可继续执行经获准的运维操作。 (2) Web身份认证 运维人员在需要进行运维操作的客户端主机上，通过翻开特殊的身份校验 网页向服务器校验自身身份，通过后才可执行与其身份相符的运维操作；在运 维过程中，运维人员需始终保持与提供身份校验网页的连接不中断，否那么将无 法执行后续的运维动作，将重新连接以校验身份。 6. 2.运维流程管控 通过数据库运维管理系统建立由运维工程经理、健共体信息系统接口人和 卫健委领导组成的三级流程审批制度；对数据库的变更和应用发版，必须由至第6页共9页少两位审批人审批通过后才可正常执行；否那么，所有更新、删除操作都将被阻 断或拦截，从而有效防止随意或恶意操作行为的发生；同时，利用数据库运维 管理系统SQL脚本的校对功能，可有效防止误操作情况的发生。 数据库运维管理 运维端访问 智联网医院数据库 （HIS/EMR/云医生） 图3数据库运维管控 7.敏感数据混淆 7. 1.敏感数据梳理 通过数据脱敏系统按照用户指定的一局部敏感数据或预定义的敏感数据特 征，对健共体信息系统中的数据进行自动识别、发现敏感数据并根据规那么推荐 最匹配的脱敏算法；防止按照字段定义敏感数据元的繁琐工作，最大限度减少 人工操作带来的疏漏及错误，并持续发现新的敏感数据。 第7页共9页 7. 2.互联互通混淆 通过数据脱敏系统对健共体信息系统中互联互通数据所涉及的患者隐私信 息进行动态遮蔽，仅保存业务逻辑中的必要字段，从而在数据共享平安的前提 下实现诊疗数据的互联互通。 8. 3.运维查询混淆 针对健共体信息系统运维人员使用的数据库账号进行规那么绑定，凡涉及个 人隐私信息或财务相关数据时，均采用动态遮蔽处理。 数据动态脱敏 成员医院业务系统 数据库 智联网医院数据库 （HIS/EMR/云医生） 图4数据库动态脱敏 8.操作行为审计 9. 1.全流量审计 以平安事件为中心，以全面审计和精确审计为基础，实时记录健共体信息 系统数据库活动，并对数据库操作进行细粒度审计合规管理；通过对用户访问 数据库行为的记录、分析与汇报，帮助用户在平安事件发生后溯源定责并形成 合规报告；同时，通过大数据搜索技术，提供高效的查询审计报告，及时定位 事件原因以便日后查询、分析、过滤，从而加强内外部数据库访问行为的监控 与审计能力，提升数据资产平安性。 第8页共9页 8. 2.协助性能优化 数据库平安审计系统内置TOP SQL统计功能，可实时监控数据库的SQL吞 吐量与会话并发量，从而评估数据库的运行状态和资源使用情况；通过独立的 Top SQL分析界面，可帮助健共体信息系统运维人员快速定位应用系统访问过程 中耗时最长、操作频率最高的SQL语句，以协助相关业务系统开发人员优化业 务系统逻辑，提高数据库资源使用率。 数据库平安审计 网络父换 医/患访问 智联网医院数据库 （HIS/EMR/云医生） 9.总结 健共体信息系统数据平安防护理念："整体规划、整体设计、整体实施〃， 安华金和给出的整体方案如下：通过数据库防火墙产品对来自互联网业务的访 问行为进行主动数据平安防护；通过数据库脱敏产品对医患个人隐私信息进行 有效遮蔽；通过数据库运维管理产品对所有运维操作进行全程跟踪记录和高危 操作审批，从而为违规的运维操作溯源提供有力的技术支撑与证据链条。 第9页共9页