业务背景


随着各信息化技术的快速发展,以及云计算、移动化、大数据、物联网等新技术的出现和发展,医疗业务与互联网对接已是不可避免的趋势。特别在2015年3月5日十二届全国人大三次会议上,李克强总理在政府工作报告中首次提出“互联网+”行动计划。进一步要求了各个业务与互联网的深度融合,医疗行业在利用互联网、移动化技术实现医生随访、移动护理、自助交费、院外康复和家庭病床等业务也利用新技术实现了高速的发展。


医院信息系统记录大量居民个人及诊疗信息、医院科研及运营管理数据。随着大数据技术在医疗行业的应用,这些基础数据不断被进行二次汇总及大数据分析,分析结果往往用于临床诊断以及公共卫生决策,其价值较原始数据又有了更高的提升。医院间、监管机构、第三方应用对数据的交换及使用的普及也促进了医疗数据的共享,但是在数据共享的同时也带来了很多数据泄露的安全隐患。


医疗数据因其蕴藏的巨大价值和集中化的存储管理模而成为攻击的重点目标,本方案针对医院数据中心进行安全加固;


安全需求


满足合规要求,对个人信息、业务数据做到针对性的监控与保护。降低数据泄露风险,对数据的访问、使用进行清晰的权限管控,实现事后溯源及定责。


(1)临床诊疗部分数据的安全保护,利用临床诊疗数据开展科研活动时对数据进行脱敏处理,保证收集的信息数据不包含个人敏感信息。

(2)费用管理部分数据防止非法篡改,事后可溯源定责。

(3)与第三方接口有完善的事务控制及认证机制,有检测控制措施,防止数据完整性遭到破坏,对来自外部的接口调用进行审计,防止接口被滥用。

(4)防范业务系统数据库弱口令,数据库漏洞,权限职责过大等配置风险。管控第三方外包机构、工作人员非法获取、接触、处理敏感数据。


解决方案


按照数据安全建设要求,结合数据生命周期,主要建设目标包括敏感数据梳理及管理体系建设、传输加密与密码安全、敏感数据权限控制、人员访问控制、邮件泄露防护系统和互联网敏感信息识别与告警系统建设、数据库监控与审计系统(包含数据脱敏)、终端防泄密管理等。还应当着重于于数据安全与安全监管。数据安全防护整体设计框架如下图所示:


1.png


◆ 数据分类分级


在大数据应用日益广泛的今天,医疗数据资源共享和开放已经成为促进医疗行业发展的关键,但由于医疗行业数据的敏感性,加之数据分类分级标准的滞后和缺失,使数据开放和共享、数据安全防范泄密、数据治理等方面临诸多困难。一般来说,对数据的敏感级别进行分类后防护,是性价比较好的一种防护方式,因此,在数据安全项目之初,启明星辰提供对数据分类分级的咨询服务,帮助客户对自身业务数据进行梳理,分类,定级,对数据实施有效管理,有利于实现数据价值的同时为数据防护打下坚实基础。


数据的分类与分级,对应数据生命周期的数据创建期。


◆ 数据可用性保障


在互联网边界入口处,建议使用多运营商线路接入,避免因单根线路故障导致业务整体无法正常使用。此外还应当将应用服务器(web、中间件、数据库等)进行集群设计。根据世界各个知名安全厂商、安全咨询机构的统计、全球网络攻击的主要手段,DDoS攻击已经成为主流,DDoS攻击事件占比60%以上;需要在互联网入口处部署专业的抗DDoS设备,抵御DDoS流量攻击,抗DDoS设备应当在互联网出口处双机部署。可以是串接形式,也可以是旁路路由牵引,三角回注方式进行部署。在超大流量场景下还可以考虑云端Ddos部署方式。


抗Ddos设计对应数据生命周期的传输/使用周期。


◆ 数据传输保护


通过部署VPN专用加密设备,对数据的传输实现通信加密。数据泄露防护(Data leakage prevention)是针对格式化数据和非格式化文件的外发防泄漏手段。外发DLP防泄密的的核心技术主要是敏感数据定义和识别,在数据通过网络/邮件外发传输时,能够检测到敏感关键词/敏感文件格式,从而触发告警-审批或直接阻断。


VPN传输加密,以及网络/邮件外发防泄密措施,都是对应数据生命周期的传输周期。


◆ 数据访问控制


访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护数据资源安全的重要以及最基础手段。边界访问控制对应数据生命周期中的传输/使用/存储周期。


数据隔离交换,在不同部门、不同业务边界、不同数据所有者之间的访问控制,还需要对数据进行隔离交换。一般是通过部署网闸设备来实现。数据隔离交换对应数据生命周期中的传输/使用周期。


文档权限保护,主要针对PDF、word、表格等进行权限保护。文档权限保护对应数据生命周期中的使用/存储周期。

数据库访问控制,应当对数据库访问权限控制到表级别。数据库访问控制对应数据生命周期中的传输/使用/存储周期。


人员访问权限控制,采用专业安全手段,实现统一的用户身份鉴别、登录认证、访问控制等功能,在简化部署实施的基础上,提高集约化管理效率和安全防护能力,通常是通过部署4A系统实现。人员访问权限控制对应数据生命周期的使用周期。


◆ 入侵检测防护


由于主机、组件、软件漏洞等缺陷也是黑客攻击提权,获取数据的主要途径之一,因此在互联网边界与敏感信息接入区域,还需要部署IPS设备,用于入侵检测与防御,防止利用漏洞(Struts漏洞等)、恶意代码(如Wannacry)、恶意端口扫描、非法连接等。同时,还应在核心交换区部署入侵检测设备,对进入内网的流量进行全流量的检测,检测流量中包含的漏洞利用,恶意代码等,并且生成告警,通过比对告警,可知是否有攻击流量绕过未拦截,或是发现内部是否存在漏洞利用等行为。很多数据安全事件往往是病毒木马通过开启后门方式,进行持续窃密或破坏数据。因此可以在互联网入口处部署防病毒网关,来实现外部病毒、木马、蠕虫的入侵及窃密防范。防病毒网关可以是专用设备,也可以由下一代防火墙或IPS开启防病毒模块来实现。


入侵防御检测对应数据生命周期的传输/使用/存储周期。


◆ 数据应用安全


首先应当在信息系统网络内的对外服务区域部署WAF系统,对WEB 文件内容实时监控,实时阻断例如SQL注入、XSS攻击、CC攻击、恶意扫描、恶意爬虫等,网页挂马等,发现问题时能实时阻断攻击会话,有效地保证了WEB 文件的安全性和真实性,为网站提供实时自动的安全防护。


通过网页挂马等形式,控制僵尸网络进行DDoS攻击,或利用植入木马进行提权与数据窃密,也是数据安全面临的威胁。通过安装网页防篡改系统,对网站进行实时监控、实时报警和自动恢复等功能。


通过部署网站安全监控,可以做到24小时实时监控网站的情况,可以实现网站漏洞扫描、网页挂马检测、网页篡改检测、网页敏感内容实时检测、网站可用性检测、网站域名解析检测等。通过邮件方式感染终端病毒、或利用URL钓鱼窃密,也是数据安全面临的威胁之一。邮件应用防护可以发现邮件中夹带的敏感信息内容,阻断带有敏感信息内容的邮件,阻断特定格式的文件(例如RAR、EXE),阻断钓鱼邮件,防止捆绑恶意软件和恶意URL钓鱼。


数据脱敏通过管理和技术措施,确保离开有着严密保护体系的生产环境后,脱敏数据仍然不会泄露。数据脱敏场景适用于开发环境/测试环境中避免开发与测试人员接触真实数据;个人隐私信息保护(如电商、医疗、金融、政府大规模安全监控)等场景。


◆ 终端数据安全


很多关键数据是存储于终端PC,或者经过终端PC流转,因此,对终端进行安全防护与审计,是可以大幅降低数据流转过程中的无意或恶意的泄密。可以通过部署内网安全审计产品,保护终端对数据的使用、存储、传输。


通过安全策略对文件存储服务器进行扫描,精确找到哪些是敏感文件,确认敏感文件的存储位置,了解组织内部的重要文件分布情况,便于对安全策略的更细粒度管控,检测安全隐患的同时也可识别“高密低传”现象。


对文件存储服务进行无代理形式扫描,采用SSH连接方式对Windows及Linux、Unix、Novell等常见主流服务器系统存储文件进行扫描,确定敏感文件位置并将敏感信息上报给服务器方便进行及时处理。


◆ 数据操作审计


综合采用技术手段建立覆盖人员、数据、应用、开发和网络的全要素监控审计体系。


使用审计技术可以全程跟踪数据操作的全部信息,追溯事件原因,技术较为简单,易于部署。数据审计技术主要涉及网络审计、应用审计、运维审计、数据库审计和日志审计等。


◆ 漏洞检测加固


通过对信息系统进行进行漏洞扫描与渗透测试,并对发现的漏洞进行加固,也是减少数据被破坏与泄露的手段之一。漏洞分为Nday漏洞与0day漏洞。


通常做法是网络中部署漏洞扫描系统,只需定期对当前网段上的重点服务器、主机以及web应用进行扫描,即可得到当前系统中存在的各种安全漏洞,针对Nday漏洞有详细的对应的补丁或修复方案。定期对系统进行渗透测试,找出漏洞扫描设备无法发现的隐藏漏洞。此即为0day漏洞的识别,此时应当出具渗透测试报告,并且相应给出加固或修复建议。


◆ 数据备份措施


通过建立完善的数据备份系统,以及配合数据恢复演练与测试,对敏感数据进行定期备份。备份方式可以是增量备份、差异化备份与全量备份的结合。数据备份既是防止业务中断的辅助手段,也可在中勒索软件的极端情况下进行数据的恢复。


2.png

数据安全整体防护拓扑图


方案优势


• 满足合规要求,对个人信息、业务数据做到针对性的监控与保护,满足相关法律法规要求。


• 实现医疗数据全生命周期掌控,实现了对医疗数据流通各个环节的监控,掌握医疗数据的动态及流向,提前对可能发生的数据泄露风险进行预警,保障了数据在安全可控的范围内使用,流传及存储。


• 降低数据泄露风险,对数据的访问、使用进行清晰的权限管控,实现事后溯源及定责。