從落地實踐看三甲醫院資料安全進階防護——南陽醫專一附院案例

隨著《資料安全法》、《關鍵資訊基礎設施安全保護條例》、《個人資訊保護法》等法規實施在即，資料安全受到越來越多的關注。我國醫療數字化改革發展迅速，海量醫療資料經過不斷地聚合和流動，價值迅速攀升，醫療資料安全問題日益嚴峻，看南陽醫專第一附屬醫院如何攜手美創科技落地實踐進行資料安全進階防護。

 

一、需求背景簡介

南陽醫專第一附屬醫院是豫西南唯一一所集臨床治療、醫學教育和醫學研究為一體的國家三級甲等綜合醫院，南陽醫學高等專科學校直屬教學醫院，豫西南大型綜合診療中心。

經過多年網路安全建設，醫院已初步實現網路風險的協同防護與檢測能力，並且透過了等級保護測評。然而資料作為醫院的核心資訊資產，依然面臨諸多威脅風險，如違規訪問、非法統方、資料遭篡改、患者資訊洩露等安全事件；傳統網路安全裝置的部署和防護位置決定了無法對核心資料進行全面有效的保護，經過評估分析，醫院目前在資料安全防護方面需要補齊以下短板：

1、業務連續性無法保障 ，目前電子病歷與HIS系統都部署在同一臺伺服器上，一旦系統出現軟硬體故障時，會造成業務中斷。
2、資料庫運維延續傳統的“被動救火式”服務，依靠業務系統可用性、可靠性、業務請求等業務問題驅動；

3、資料庫不定時出現死鎖、SQL佔用效能過高等現象，無法及時有效定位到問題發生的原因，影響正常業務開展；

4、第三方廠商人員較多，且可以訪問到院內敏感資料，缺少對資料的訪問控制與操作行為檢測手段；
5、事後追溯審計措施缺失，無法對資料的操作訪問進行審計分析。
6、頻發的勒索病毒攻擊事件，對醫院核心業務系統造成潛在威脅。一旦“中招”，將面臨業務停擺，資料無法解密的情形。

二、多措並舉，給醫院資料上“保險”

南陽醫專第一附屬醫院攜手美創科技， 多管齊下、多措並舉，透過以美創科技資料庫審計、資料庫防水壩、資料級容災、資料執行安全管理平臺、諾亞防勒索等產品組成的醫療資料安全綜合解決方案，構建全面立體的醫療資料安全保障體系，落地實踐，解決日常資料使用過程中遇到的風險與威脅，同時保障核心業務的連續性與高可用性，為醫院的業務擴充保駕護航。

 

具體落地實踐內容如下：
1 、全面、精確審計
美創資料庫審計能夠實時地、智慧地解析網路上和被審計資料庫相關的登入、登出，對資料庫表和欄位的插入、刪除、修改、查詢、執行儲存過程等操作，能夠精確到SQL操作語句，並能及時判斷出違規操作行為並進行記錄、報警，實現資料庫的實時監控，從而在網路上建立起一套資料安全告警和審計機制，為資料庫系統的安全執行及事後審計提供有力保障。

2 、內部人員風險管控
美創資料庫防水壩能夠透過登入控制引擎，實現多因素的資料庫身份准入核查。包括：IP&MAC、資料庫賬戶、中介軟體、客戶端連線工具等；採用特權使用者許可權控制功能，隔離oracle資料庫DBA和SchemaUser賬戶天然可訪問敏感資料的許可權。並且禁止第三方運維、開發人員使用SYS使用者訪問敏感資料，透過審計模組實時監控與告警違規訪問行為。

美創資料庫防水壩

3 、自動、智慧運維
美創資料庫執行安全管理平臺內建資料庫運維工具箱與監控大屏，能夠覆蓋資料庫日常運維場景，包括巡檢平臺、效能最佳化、故障處理等不同型別工具，融合AI技術提供智慧預測和趨勢分析。釋放運維壓力，即便是小白使用者也能輕鬆實現資料庫複雜的運維和管理工作，提升運維工程師的運維效率。

資料庫執行安全管理平臺

4 、勒索病毒防禦

在醫院核心資料庫上安裝美創資料防勒索保護客戶端，防勒索客戶端採用主動防護的模式，利用底層驅動技術，監控所有程式的寫操作，對資料庫及檔案的“寫”操作判斷，對於非法寫操作進行阻斷，可以有效攔截勒索病毒攻擊，保護核心資料不被加密。

美創諾亞防勒索

 

5 、 業務連續性保障
透過美創DBRA資料級容災系統對南陽醫專第一附屬醫院電子病歷系統、HIS系統資料庫進行保障，實現本地同機房的資料級容災建設。資料級容災系統能夠在生產系統和容災系統之間形成可以相互切換，相互恢復的容災關係，生產系統出現異常或計劃內維護時，生產系統可以簡單的切換至容災系統，容災系統替代生產系統提供服務；生產系統硬裝置復原之後，容災系統初始化後可以回切至生產系統。 已多次成功協助醫院進行切換演練，並在實際災難考驗中順利幫助客戶保障正常業務的平穩執行。

三、 守護醫療資料安全，助力智慧醫療

1 、體系化的安全防護

從全域性性策略出發，以互聯互通的安全技術為保障，以平臺化的管理工具為支撐，輔以長期可靠的安全運維保障和規範化的安全管理，搭建出真正能夠有效對抗威脅，保障應用的醫療資料安全體系。

2 、構建了縱深的防禦體系

美創科技針對醫院核心系統綜合採用洩露防護、入侵防護、風險內控、安全審計等多種技術和措施，實現資料的可用性、完整性和保密性保護，並充分考慮各種技術的組合和功能的互補性，合理利用措施，從外到內形成一個縱深的安全防禦體系，保障資訊系統整體的安全保護能力。

3 、提升勒索病毒防禦能力
透過防勒索系統對核心業務資料庫的安全保護，利用獨創資料庫檔案防勒索保護引擎，實現未經過授權的違規應用、惡意程式碼、惡意程式等勒索病毒無法對受保護的檔案和資料進行加密或破壞，全面防禦各種未知勒索病毒的侵襲，提供核心資料保護能力。

4 、提高資料庫安全執行效率
實現7*24小時實時監控資料庫，提前感知健康和安全隱患，快速定位故障點；提供多元化的工具，幫助運維人員高效便捷的保障資料庫的執行安全，實現資料庫巡檢、鎖處理、安全檢測、資料庫自動化部署等，同時實現對資料庫執行發展的趨勢分析和預測等，保證整個業務系統資料庫的執行可用。

 

5 、滿足合規要求

滿足網路安全法、ISO27701、等保2.0、資料安全管理辦法、DSMM以及醫療行業相關政策合規要求。