醫(yī)療機(jī)構(gòu)數(shù)據(jù)庫(kù)安全防護(hù)實(shí)踐

閱讀量：

? //??

2023年6月，美國(guó)Baptist Medical Center醫(yī)療中心發(fā)生重大數(shù)據(jù)泄漏事件，124萬(wàn)患者信息被泄露。2019年3月，黑客入侵了美國(guó)醫(yī)療檢測(cè)巨頭Quest Diagnostics的患者隱私信息的數(shù)據(jù)庫(kù)，近1200萬(wàn)客戶(hù)的記錄遭泄漏。2018年8月，美國(guó)血液檢測(cè)公司LabCorp數(shù)據(jù)庫(kù)被入侵，770萬(wàn)名患者數(shù)據(jù)遭泄露，包含患者的姓名、生日、地址、電話(huà)號(hào)碼、所欠或支付的金額等……

根據(jù)相關(guān)機(jī)構(gòu)的調(diào)研數(shù)據(jù)顯示，醫(yī)療行業(yè)是黑客重點(diǎn)關(guān)注的行業(yè)之一，相關(guān)安全事件比其他行業(yè)多出很多，造成的損失和影響最是最大的。數(shù)據(jù)對(duì)于醫(yī)療行業(yè)的業(yè)務(wù)發(fā)展至關(guān)重要，數(shù)據(jù)安全是醫(yī)療行業(yè)安全建設(shè)的重中之重。作為醫(yī)療行業(yè)核心數(shù)據(jù)的存儲(chǔ)和管理工具，數(shù)據(jù)庫(kù)自然成為了網(wǎng)絡(luò)黑客攻擊的主要目標(biāo)。因此，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)是每個(gè)醫(yī)療行業(yè)安全管理人員的重要任務(wù)。

對(duì)于某醫(yī)院客戶(hù)來(lái)說(shuō)，數(shù)據(jù)庫(kù)是其信息技術(shù)的核心與基礎(chǔ)，存儲(chǔ)著醫(yī)院患者的個(gè)人隱私數(shù)據(jù)，是醫(yī)院具有戰(zhàn)略性的核心數(shù)據(jù)資產(chǎn)。數(shù)據(jù)庫(kù)的安全穩(wěn)定運(yùn)行也直接決定著業(yè)務(wù)系統(tǒng)能否正常使用，為了實(shí)現(xiàn)對(duì)醫(yī)院數(shù)據(jù)訪問(wèn)的安全管控和防護(hù)，急需提升和完善醫(yī)院數(shù)據(jù)庫(kù)的整體安全防護(hù)能力，以確保醫(yī)院核心數(shù)據(jù)的安全和業(yè)務(wù)的穩(wěn)定運(yùn)行。

然而，要想提升和完善醫(yī)院數(shù)據(jù)庫(kù)的整體安全防護(hù)能力，該醫(yī)院還存在著以下建設(shè)難點(diǎn)：

●?醫(yī)療業(yè)務(wù)場(chǎng)景下，數(shù)據(jù)庫(kù)暴露面大：醫(yī)療場(chǎng)景下，通常多見(jiàn)CS架構(gòu)的IT系統(tǒng)（HIS、LIS等），終端涉及多個(gè)分院、科室，且醫(yī)護(hù)人員的終端可以直接訪問(wèn)存放核心醫(yī)患數(shù)據(jù)的數(shù)據(jù)資產(chǎn)，業(yè)務(wù)的屬性決定了核心數(shù)據(jù)暴露面極大，如果沒(méi)有相應(yīng)的限制訪問(wèn)措施，核心數(shù)據(jù)將很容易被竊取、篡改甚至銷(xiāo)毀，會(huì)導(dǎo)致醫(yī)療機(jī)構(gòu)數(shù)據(jù)泄露甚至業(yè)務(wù)中斷，嚴(yán)重影響正常運(yùn)轉(zhuǎn)以及社會(huì)聲譽(yù)。

●?用戶(hù)現(xiàn)場(chǎng)數(shù)據(jù)庫(kù)版本低導(dǎo)致存在諸多漏洞：多數(shù)醫(yī)療機(jī)構(gòu)為了優(yōu)先保障業(yè)務(wù)的連續(xù)性與穩(wěn)定性，同時(shí)不具備專(zhuān)業(yè)技術(shù)能力進(jìn)行遷移期間的穩(wěn)定保障，無(wú)奈選擇犧牲數(shù)據(jù)庫(kù)系統(tǒng)的版本更新頻率，不能及時(shí)進(jìn)行數(shù)據(jù)庫(kù)版本升級(jí)和補(bǔ)丁修復(fù)，導(dǎo)致普遍存在較多數(shù)據(jù)庫(kù)漏洞。

●?運(yùn)維人員權(quán)限過(guò)高無(wú)有效管控手段：醫(yī)院系統(tǒng)和數(shù)據(jù)庫(kù)通常都由HIS廠家等第三方人員駐場(chǎng)進(jìn)行運(yùn)維和管理，而三方運(yùn)維人員往往權(quán)限過(guò)高，客戶(hù)現(xiàn)場(chǎng)沒(méi)有有效管理運(yùn)維人員越權(quán)訪問(wèn)的手段，更無(wú)法避免誤操作、敏感數(shù)據(jù)泄漏等高風(fēng)險(xiǎn)事件。

內(nèi)防外御，安恒AiGate為醫(yī)院數(shù)據(jù)庫(kù)保駕護(hù)航

為了解決以上數(shù)據(jù)庫(kù)安全建設(shè)面臨的挑戰(zhàn)，安恒信息為該醫(yī)院客戶(hù)推薦了安恒AiGate數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)系統(tǒng)（以下簡(jiǎn)稱(chēng)AiGate）。AiGate是安恒信息在多年數(shù)據(jù)安全訪問(wèn)控制理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，集數(shù)據(jù)庫(kù)準(zhǔn)入、訪問(wèn)控制、攻擊防護(hù)、動(dòng)態(tài)脫敏、運(yùn)維審批等多種功能一體的產(chǎn)品。目前，該產(chǎn)品已在多個(gè)行業(yè)被廣泛應(yīng)用，保障著用戶(hù)的重要數(shù)據(jù)和敏感信息。

在該醫(yī)院客戶(hù)的數(shù)據(jù)庫(kù)安全建設(shè)中，采用了兩臺(tái)AiGate設(shè)備，一臺(tái)采用旁路阻斷模式部署在了業(yè)務(wù)側(cè)，一臺(tái)采用反向代理模式部署在了運(yùn)維側(cè)。AiGate設(shè)備部署上線后，該醫(yī)院所有訪問(wèn)數(shù)據(jù)庫(kù)的流量均需要通過(guò)網(wǎng)關(guān)策略后才能放行，業(yè)務(wù)側(cè)結(jié)合數(shù)據(jù)庫(kù)隱身與虛擬補(bǔ)丁技術(shù)防護(hù)數(shù)據(jù)庫(kù)漏洞，并同時(shí)在業(yè)務(wù)側(cè)配置策略禁止運(yùn)維側(cè)人員身份訪問(wèn)，統(tǒng)一了訪問(wèn)入口。同時(shí)，在運(yùn)維側(cè)通過(guò)反向代理收緊數(shù)據(jù)庫(kù)訪問(wèn)入口，減少運(yùn)維側(cè)數(shù)據(jù)庫(kù)暴漏面，同時(shí)通過(guò)精細(xì)化授權(quán)管控用戶(hù)訪問(wèn)行為。通過(guò)這樣一套內(nèi)防外御的解決方案，安恒AiGate有效幫忙該醫(yī)院客戶(hù)解決了數(shù)據(jù)庫(kù)安全問(wèn)題，保障了醫(yī)院業(yè)務(wù)的安全、高效運(yùn)行。

AiGate在該醫(yī)院的成功部署，不僅幫助該客戶(hù)有效解決了之前面臨的數(shù)據(jù)庫(kù)安全建設(shè)難點(diǎn)，還在以下幾個(gè)方面實(shí)現(xiàn)了數(shù)據(jù)庫(kù)安全的高效管理和對(duì)業(yè)務(wù)的有效保障。

1、?數(shù)據(jù)庫(kù)精細(xì)化訪問(wèn)控制：通過(guò)IP、客戶(hù)端主機(jī)名、操作系統(tǒng)用戶(hù)名、客戶(hù)端工具名和數(shù)據(jù)庫(kù)賬號(hào)等多個(gè)維度的用戶(hù)主體標(biāo)記和訪問(wèn)控制規(guī)則，實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫(kù)的精細(xì)化訪問(wèn)控制，杜絕了特權(quán)賬號(hào)越權(quán)訪問(wèn)、運(yùn)維人員誤操作、敏感數(shù)據(jù)泄漏等權(quán)限管控問(wèn)題。

2、?數(shù)據(jù)庫(kù)“隱身”：通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)訪問(wèn)行為，能夠及時(shí)發(fā)現(xiàn)并阻斷可疑的漏洞探測(cè)及攻擊行為，防止來(lái)自?xún)?nèi)部和外部的對(duì)數(shù)據(jù)庫(kù)的攻擊，讓數(shù)據(jù)庫(kù)實(shí)現(xiàn)對(duì)攻擊探測(cè)行為的“隱身”。

3、?虛擬補(bǔ)?。?/span>使用數(shù)據(jù)庫(kù)虛擬補(bǔ)丁技術(shù)，防御黑客利用已公開(kāi)的數(shù)據(jù)庫(kù)安全漏洞攻擊數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)庫(kù)的安全漏洞進(jìn)行主動(dòng)防護(hù)，極大的保護(hù)了未升級(jí)漏洞補(bǔ)丁的數(shù)據(jù)庫(kù)，有效降低了針對(duì)數(shù)據(jù)庫(kù)漏洞利用攻擊的威脅。

4、?對(duì)客戶(hù)業(yè)務(wù)0影響：采用了流量通過(guò)鏡像引流到AiGate的方式，忽略網(wǎng)絡(luò)復(fù)雜度，適應(yīng)客戶(hù)復(fù)雜的網(wǎng)絡(luò)環(huán)境部署實(shí)施，真正做到對(duì)客戶(hù)業(yè)務(wù)的0影響。

安恒AiGate數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)之所以能得到客戶(hù)的廣泛認(rèn)可，離不開(kāi)安恒信息多年數(shù)據(jù)庫(kù)安全訪問(wèn)控制理論和實(shí)踐經(jīng)驗(yàn)積累。AiGate集成了安恒信息市場(chǎng)領(lǐng)先的數(shù)據(jù)庫(kù)協(xié)議解析技術(shù)，并在多年現(xiàn)場(chǎng)實(shí)戰(zhàn)中不斷打磨沉淀真實(shí)客戶(hù)場(chǎng)景，鉆研有效實(shí)用的安全策略，為客戶(hù)打造出了全方位的數(shù)據(jù)庫(kù)安全防護(hù)體系。AiGate更是在去年首批通過(guò)信通院“數(shù)據(jù)安全網(wǎng)關(guān)”專(zhuān)項(xiàng)評(píng)測(cè)，在安全管理要求、敏感數(shù)據(jù)探測(cè)、協(xié)議識(shí)別與解析方面均達(dá)到認(rèn)證標(biāo)準(zhǔn)。

云安全>

態(tài)勢(shì)感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測(cè)服務(wù)>

保護(hù)檢測(cè)服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營(yíng)管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點(diǎn)安全>

>

商用密碼>