業務背景


隨著各信息化技術的快速發展,以及云計算、移動化、大數據、物聯網等新技術的出現和發展,醫療業務與互聯網對接已是不可避免的趨勢。特別在2015年3月5日十二屆全國人大三次會議上,李克強總理在政府工作報告中首次提出“互聯網+”行動計劃。進一步要求了各個業務與互聯網的深度融合,醫療行業在利用互聯網、移動化技術實現醫生隨訪、移動護理、自助交費、院外康復和家庭病床等業務也利用新技術實現了高速的發展。


醫院信息系統記錄大量居民個人及診療信息、醫院科研及運營管理數據。隨著大數據技術在醫療行業的應用,這些基礎數據不斷被進行二次匯總及大數據分析,分析結果往往用于臨床診斷以及公共衛生決策,其價值較原始數據又有了更高的提升。醫院間、監管機構、第三方應用對數據的交換及使用的普及也促進了醫療數據的共享,但是在數據共享的同時也帶來了很多數據泄露的安全隱患。


醫療數據因其蘊藏的巨大價值和集中化的存儲管理模而成為攻擊的重點目標,本方案針對醫院數據中心進行安全加固;


安全需求


滿足合規要求,對個人信息、業務數據做到針對性的監控與保護。降低數據泄露風險,對數據的訪問、使用進行清晰的權限管控,實現事后溯源及定責。


(1)臨床診療部分數據的安全保護,利用臨床診療數據開展科研活動時對數據進行脫敏處理,保證收集的信息數據不包含個人敏感信息。

(2)費用管理部分數據防止非法篡改,事后可溯源定責。

(3)與第三方接口有完善的事務控制及認證機制,有檢測控制措施,防止數據完整性遭到破壞,對來自外部的接口調用進行審計,防止接口被濫用。

(4)防范業務系統數據庫弱口令,數據庫漏洞,權限職責過大等配置風險。管控第三方外包機構、工作人員非法獲取、接觸、處理敏感數據。


解決方案


按照數據安全建設要求,結合數據生命周期,主要建設目標包括敏感數據梳理及管理體系建設、傳輸加密與密碼安全、敏感數據權限控制、人員訪問控制、郵件泄露防護系統和互聯網敏感信息識別與告警系統建設、數據庫監控與審計系統(包含數據脫敏)、終端防泄密管理等。還應當著重于于數據安全與安全監管。數據安全防護整體設計框架如下圖所示:


1.png


◆ 數據分類分級


在大數據應用日益廣泛的今天,醫療數據資源共享和開放已經成為促進醫療行業發展的關鍵,但由于醫療行業數據的敏感性,加之數據分類分級標準的滯后和缺失,使數據開放和共享、數據安全防范泄密、數據治理等方面臨諸多困難。一般來說,對數據的敏感級別進行分類后防護,是性價比較好的一種防護方式,因此,在數據安全項目之初,啟明星辰提供對數據分類分級的咨詢服務,幫助客戶對自身業務數據進行梳理,分類,定級,對數據實施有效管理,有利于實現數據價值的同時為數據防護打下堅實基礎。


數據的分類與分級,對應數據生命周期的數據創建期。


◆ 數據可用性保障


在互聯網邊界入口處,建議使用多運營商線路接入,避免因單根線路故障導致業務整體無法正常使用。此外還應當將應用服務器(web、中間件、數據庫等)進行集群設計。根據世界各個知名安全廠商、安全咨詢機構的統計、全球網絡攻擊的主要手段,DDoS攻擊已經成為主流,DDoS攻擊事件占比60%以上;需要在互聯網入口處部署專業的抗DDoS設備,抵御DDoS流量攻擊,抗DDoS設備應當在互聯網出口處雙機部署??梢允谴有问?,也可以是旁路路由牽引,三角回注方式進行部署。在超大流量場景下還可以考慮云端Ddos部署方式。


抗Ddos設計對應數據生命周期的傳輸/使用周期。


◆ 數據傳輸保護


通過部署VPN專用加密設備,對數據的傳輸實現通信加密。數據泄露防護(Data leakage prevention)是針對格式化數據和非格式化文件的外發防泄漏手段。外發DLP防泄密的的核心技術主要是敏感數據定義和識別,在數據通過網絡/郵件外發傳輸時,能夠檢測到敏感關鍵詞/敏感文件格式,從而觸發告警-審批或直接阻斷。


VPN傳輸加密,以及網絡/郵件外發防泄密措施,都是對應數據生命周期的傳輸周期。


◆ 數據訪問控制


訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非正常訪問,也是維護數據資源安全的重要以及最基礎手段。邊界訪問控制對應數據生命周期中的傳輸/使用/存儲周期。


數據隔離交換,在不同部門、不同業務邊界、不同數據所有者之間的訪問控制,還需要對數據進行隔離交換。一般是通過部署網閘設備來實現。數據隔離交換對應數據生命周期中的傳輸/使用周期。


文檔權限保護,主要針對PDF、word、表格等進行權限保護。文檔權限保護對應數據生命周期中的使用/存儲周期。

數據庫訪問控制,應當對數據庫訪問權限控制到表級別。數據庫訪問控制對應數據生命周期中的傳輸/使用/存儲周期。


人員訪問權限控制,采用專業安全手段,實現統一的用戶身份鑒別、登錄認證、訪問控制等功能,在簡化部署實施的基礎上,提高集約化管理效率和安全防護能力,通常是通過部署4A系統實現。人員訪問權限控制對應數據生命周期的使用周期。


◆ 入侵檢測防護


由于主機、組件、軟件漏洞等缺陷也是黑客攻擊提權,獲取數據的主要途徑之一,因此在互聯網邊界與敏感信息接入區域,還需要部署IPS設備,用于入侵檢測與防御,防止利用漏洞(Struts漏洞等)、惡意代碼(如Wannacry)、惡意端口掃描、非法連接等。同時,還應在核心交換區部署入侵檢測設備,對進入內網的流量進行全流量的檢測,檢測流量中包含的漏洞利用,惡意代碼等,并且生成告警,通過比對告警,可知是否有攻擊流量繞過未攔截,或是發現內部是否存在漏洞利用等行為。很多數據安全事件往往是病毒木馬通過開啟后門方式,進行持續竊密或破壞數據。因此可以在互聯網入口處部署防病毒網關,來實現外部病毒、木馬、蠕蟲的入侵及竊密防范。防病毒網關可以是專用設備,也可以由下一代防火墻或IPS開啟防病毒模塊來實現。


入侵防御檢測對應數據生命周期的傳輸/使用/存儲周期。


◆ 數據應用安全


首先應當在信息系統網絡內的對外服務區域部署WAF系統,對WEB 文件內容實時監控,實時阻斷例如SQL注入、XSS攻擊、CC攻擊、惡意掃描、惡意爬蟲等,網頁掛馬等,發現問題時能實時阻斷攻擊會話,有效地保證了WEB 文件的安全性和真實性,為網站提供實時自動的安全防護。


通過網頁掛馬等形式,控制僵尸網絡進行DDoS攻擊,或利用植入木馬進行提權與數據竊密,也是數據安全面臨的威脅。通過安裝網頁防篡改系統,對網站進行實時監控、實時報警和自動恢復等功能。


通過部署網站安全監控,可以做到24小時實時監控網站的情況,可以實現網站漏洞掃描、網頁掛馬檢測、網頁篡改檢測、網頁敏感內容實時檢測、網站可用性檢測、網站域名解析檢測等。通過郵件方式感染終端病毒、或利用URL釣魚竊密,也是數據安全面臨的威脅之一。郵件應用防護可以發現郵件中夾帶的敏感信息內容,阻斷帶有敏感信息內容的郵件,阻斷特定格式的文件(例如RAR、EXE),阻斷釣魚郵件,防止捆綁惡意軟件和惡意URL釣魚。


數據脫敏通過管理和技術措施,確保離開有著嚴密保護體系的生產環境后,脫敏數據仍然不會泄露。數據脫敏場景適用于開發環境/測試環境中避免開發與測試人員接觸真實數據;個人隱私信息保護(如電商、醫療、金融、政府大規模安全監控)等場景。


◆ 終端數據安全


很多關鍵數據是存儲于終端PC,或者經過終端PC流轉,因此,對終端進行安全防護與審計,是可以大幅降低數據流轉過程中的無意或惡意的泄密??梢酝ㄟ^部署內網安全審計產品,保護終端對數據的使用、存儲、傳輸。


通過安全策略對文件存儲服務器進行掃描,精確找到哪些是敏感文件,確認敏感文件的存儲位置,了解組織內部的重要文件分布情況,便于對安全策略的更細粒度管控,檢測安全隱患的同時也可識別“高密低傳”現象。


對文件存儲服務進行無代理形式掃描,采用SSH連接方式對Windows及Linux、Unix、Novell等常見主流服務器系統存儲文件進行掃描,確定敏感文件位置并將敏感信息上報給服務器方便進行及時處理。


◆ 數據操作審計


綜合采用技術手段建立覆蓋人員、數據、應用、開發和網絡的全要素監控審計體系。


使用審計技術可以全程跟蹤數據操作的全部信息,追溯事件原因,技術較為簡單,易于部署。數據審計技術主要涉及網絡審計、應用審計、運維審計、數據庫審計和日志審計等。


◆ 漏洞檢測加固


通過對信息系統進行進行漏洞掃描與滲透測試,并對發現的漏洞進行加固,也是減少數據被破壞與泄露的手段之一。漏洞分為Nday漏洞與0day漏洞。


通常做法是網絡中部署漏洞掃描系統,只需定期對當前網段上的重點服務器、主機以及web應用進行掃描,即可得到當前系統中存在的各種安全漏洞,針對Nday漏洞有詳細的對應的補丁或修復方案。定期對系統進行滲透測試,找出漏洞掃描設備無法發現的隱藏漏洞。此即為0day漏洞的識別,此時應當出具滲透測試報告,并且相應給出加固或修復建議。


◆ 數據備份措施


通過建立完善的數據備份系統,以及配合數據恢復演練與測試,對敏感數據進行定期備份。備份方式可以是增量備份、差異化備份與全量備份的結合。數據備份既是防止業務中斷的輔助手段,也可在中勒索軟件的極端情況下進行數據的恢復。


2.png

數據安全整體防護拓撲圖


方案優勢


? 滿足合規要求,對個人信息、業務數據做到針對性的監控與保護,滿足相關法律法規要求。


? 實現醫療數據全生命周期掌控,實現了對醫療數據流通各個環節的監控,掌握醫療數據的動態及流向,提前對可能發生的數據泄露風險進行預警,保障了數據在安全可控的范圍內使用,流傳及存儲。


? 降低數據泄露風險,對數據的訪問、使用進行清晰的權限管控,實現事后溯源及定責。