【案例】有50T病历、500T影像的盛京医院如何保护数据
很多人觉得医院是最安全的地方,因为这里安保严密、秩序井然。实际上,这里偏偏特别容易招“小偷”。他们专偷医院数据,时常在众目睽睽下来个“回首,掏”便轻松得手。
医院资料数据中包含全部病人的病例,其中姓名、病情、住址、电话等信息一应俱全,甚至有的数据还保存着病人的基因信息,“小偷”企图在黑市倒卖这些数据以此大捞一笔,或者干脆直接威胁医院用钱来换。
不信?来看看下面这些真实事件:
2018年,南漳县人民医院便遭受了黑客攻击。当时,医院“三佳医疗信息系统”遭勒索病毒入侵破坏,主、备服务器同时被侵入感染,无法启用备用服务器,这也让电脑系统中的药价等数据及病例凭空消失了。
黑客在植入的“升级版勒索病毒”中注明,要求医院支付比特币才肯恢复系统正常运行。医院后向公安部门报警、联系相关厂家和系统工程师修复漏洞,这才算度过危机。
然而,就在事件发生后一天,湖南一医院再度发生一起黑客攻击事件。黑客攻击了湖南省儿童医院的系统,并再次向其中注入勒索病毒,该行为最终导致医院系统大面积瘫痪,医院治疗进程无法正常运转。
黑客通过外网攻击,植入勒索病毒,对医院HIS服务器文件进行了加密,最终导致医院系统不可用。
后经调查,发现两次攻击黑客使用的勒索病毒是globeimposter家族的变种,其主要以国内公共机构服务器作为攻击对象,加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等扩展名,并通过邮件来告知受害者付款方式。
类似的盗窃事件在各大医院不断上演,这也突显出保障医院数据安全的重要性所在。
对于盛京医院计算机中心主任全宇来说,要想保障医院数据不被盗,除了要通过监管部门的重重考核,更要与潜在攻击者们斗智斗勇。
因此在他眼里,医院就像是一位脆弱的病人,为其预防和诊断病情则需要身怀“十八般武艺”才行。
盛京医院计算机中心主任全宇
医院“生病”谁来治?
医院,救死扶伤之地,用黑客语言来说,就是修复人体漏洞的一群人聚集于此。身为其中一员,全宇认为自己更像是个幕后医生,因为,他的“病人”不是人,而是盛京医院本身。
这位“病人”可是很难伺候,因为在盛京医院,存储的电子病历数据有至少50T、影像数据500T。为了方便管理,医院不得不把一个库分作历史库、在线库两个分批储存。
终端无纸化越多,也就意味着医疗数据越多,管理、前移和保护的难度也会随之增加。
对于医院内部,在每次进行数据库间的倒换数据时,需要付出大量的人力和时间代价。往往一个数据库的信息导入另一个,需要两天两夜的时间。
对于防护难度而言,海量数据的录入、读取和存储都是一项项“大工程”。曾经,医院尝试采用磁盘备份重要的资料数据,但时间一长,这些资料会随着磁条老化而消失,需要时则派不上用场。
对于医院外部,医院资料数据中包含全部病人的病例,其中姓名、病情、住址、电话等信息一应俱全,甚至有的数据还保存着病人的基因信息。不少人深知医院数据有多值钱,因此不知道在医院周围,有多少双眼睛盯着这里,垂涎欲滴地望着这里。
此外,面对日益增多的医疗数据安全事件,监管部门也对各国医院采取严抓严打的措施,一旦触犯相关条例,轻则勒令整改,重则行政处罚。
内忧外患,这是全宇对目前“战况”的具体概括。相比前线,这里更像是个相互僵持的冷战现场,而他要做的,是在每一次突袭来临前将其扼杀在摇篮里。
谈到战术,所谓知己知彼才能百战不殆。要想保全医院数据,就要甚至这帮“小偷”最可能的攻击地点和手段并尽早预防。
So,医院数据安全的痛点最容易被敌人看成是突破口呢?
首先,是安全运维能力有待提升。
医院数据的安全工作,是一个繁琐且费时费力的活。正如上述,医院信息化越健全,软硬资源越多,数据库也就越多越大,巡检任务重、时间间隔长导致难以及时发现异常。
此外,运维工作总是后知后觉,事态感知医院数据安全处在后知后觉的状态。唯有出了问题,才能被发现并启动故障排查,总是在“救火”和“救火”的路上。
以上问题,是医院缺少具体专业化数据安全、信息安全的专业运维人员所致,这也体现出传统行业在安全方面的日常运维能力偏弱。
其次,是数据库管理手段缺失。
院内外包人员多,存在共用相同数据库账号,可访问、删除、导出任何数据,缺少安全管理。
这主要体现在运维人员大部分使用绿色版数据库运维工具,存在安全漏洞及操作后门,缺少专门的操作行为记录,事件发生后难以快速定位实际使用者和负责人,这些给数据库自管理造成极大风险。
最后,是容灾问题。
问题最突出的表现,是基于双活容灾(即灾备系统中使主生产端数据库和备机端数据库同时在线运行,处于可读可查询的状态的技术)的存储无法解决逻辑错误,这也导致OracleRAC无法实现异域容灾。
此外,容灾技术常规使用的逻辑复制难以解决大字段问题,再加上业务系统故障可视化程度较低,加剧了安全隐患的存在。
这些安全隐患作为医院数据安全的大“Bug”,成为了攻击者的突破口。可实际上,众多医院面临着彻底克服转型难、整顿难、保护难的三大难题。
这时候,第三方安全厂商的介入就显得必不可少。
医院眼中的“神助攻”
打过LOL游戏的人都明白,在一场对战中,助攻、辅助、前锋、后卫各司其职,其各有所长也各有所短,唯有聚到一起时才算是所向披靡。
放在医院数据安全上,如果说全宇带领的团队是盛京医院的主力,那么扮演了“神助攻”角色的第三方安全厂商则如多啦A梦一样,武器、对策一样不少。
下面,我们来看看“神助攻”给全宇团队哪些趁手兵器吧!
对策上,从技术、硬件、战术上研究出一整套应对方案:
安全运维上,盛京医院使用专门的工具,一方面将数据库、系统、机房等设备全面监控,实时监控运行情况,这也有效减少了复杂性工作。
另一方面,在出现安全故障时也可以通过中台直接定位到问题设备,省去排查时间。与此同时,异常出现时平台将根据严重程度匹配警告方式,包括邮件、短信、紧急电话响应等。
权限问题上,盛京医院为所有运维人员配备了USBkey。这种安全钥匙人手一枚,各自内置了不同的安全密匙,在USBkey得到授权后,才能对医院数据库做进一步访问。
这就好像胸牌一样,USBkey+免密登录的模式为医院数据库建起了大门,通过刷卡进“门”、授权到人的方式防止密码泄露。
攻击预防上,往往医院端做安全防护比较困难。全宇透露,很多情况下,我们不敢去给相关的产品打补丁,因为我们不知道这些数据库系统的特性,这很有可能导致整个平台直接宕机。
况且,医院的数据库产品种类繁多,这就像是一个人的人体,随意哪个部分被更换了,都有可能造成另外一个关联部位的病变。
产品上,采用数据库攻击预防+虚拟补丁的方式解决问题:
1、对攻
首先,允许该安全平台访问数据库的SQL操作,全部解析还原,匹配策略规则。一旦发现漏洞,就用虚拟补丁的方式完成修复。
采用虚拟补丁的好处是,不需要为数据库修复漏洞,不影响数据库系统稳定性,不需要停止数据库服务以及不需要进行回归测试。
上述特点,极大程度降低了医院数据安全保障的成本,避免安全防护期间一些不必要的问题出现。
2、对防
容灾问题上,全宇觉得这是给医院数据上的一道“锁”。尽管目前为止容灾安全的保障措施并未被激发过,但对于盛京这样的大医院来说,攻击者是有利可图的,因此也要做好防护。
灾备平台可以用Oracle的小型机做到日志同步,这可以有效防止存储级逻辑错误。
比如存储层面的双活或镜像,数据块发生了逻辑错误,坏的数据无法被检测到,导致所有的数据无效。通过数据库日志同步方式,保障应用级别的数据一致性,抵御底层错误地传播。
面对大字段问题,该灾备平台通过采用物理复制的灾备技术手段,尽可能避免这种情况出现,而对于医院来说,灾备预演的重要性远比部署安全产品来的重要。
全宇称,一开始,我们并不理解灾备演练这项功能的存在意义,但是,随着进行过几次演练后我们发现,当真实的攻击事件发生后,数据库资料的快速备份、恢复和溯源尤为重要。但是,如果它们有问题呢?如果人工操作有误呢?
因此,灾备预演为盛京医院搭建了一个检测、培训和模拟灾情的平台,这对于非专业机构在关键时刻做出有效的安全防护措施有着至关重要的作用。
也就是说,容灾安全平台是医院数据安全的最后一道防线。
上面提到,医院内部会产生大量的非纸质敏感数据资料。这些资料的安全存储、调用是一大难题。
其解决方案是将信息脱敏技术运用其中,进而实现在不影响检索/维护的情况下保障病人隐私。
目前,数据脱敏的体系,包括战略、机制、技术支撑三个领域,从上到下的指导,从下到上的推进,形成多层次、多维度、多视角的全方位体系架构,确保数据脱敏工作有序的执行:
找准数据脱敏体系的目标,数据脱目标包括数据脱敏目的(国家、监管部门、企业),数据脱敏后使用场景,满足哪些业务要求。满足法律法规、政策标准规范,数据安全管控分类分级,数据使用部门职责划分等,保证体系安全,协调数据提供方和数据使用方,提高体系运转。
规范数据脱敏体系的制度,按照2017年6月发布的《网络安全法》《电子商务法》《个人信息保护规范》,制定数据脱敏政策,数据脱敏制度,数据脱敏细则,数据脱敏规范的规章制度,做事前事后的数据准备、数据执行,同时,保证整个业务过程安全可控,当发现问题时,进行审计追踪,及时解决。
针对医院数据安全防护的特征,将静态数据脱敏主要运用到开发/测试类,开发/测试类,提取/上报类,建立关系型数据库。将动态数据脱敏用于数据共享交换和运维管理。
数据共享交换分两种,一种是通过文本或表格数据去交换,另一种是Kafka、数据请求API(XML/JSON)。运维管理的身份鉴别有,根据数据库用户名、运维客户端、主机名、MAC地址、IP地址、访问时间以及数字证书、U-key等多维身份验证。运维访问敏感数据实时脱敏,对数据库中返回的数据配置放行、屏蔽、加密、隐藏以及返回记录数等多种脱敏策略。
为了降低敏感度,保证信息安全,还要根据不同行业,不同的场景,结合脱敏技术的应用,力求达到用户数据使用的要求,进行规范化的操作。
“辅助”在这呢
主力、助攻都有了,辅助哪去了?
随着发展,数据时代的到来意味着越来越多的行业单位开始走入“数字化”转型的阶段。为了与时俱进,近年来各项法律条例的设立成为医院和企业的强有力靠山。
刑法修正案(九)(2015年11月1日施行)、中华人民共和国网络安全法(2017年6月1日施行)中都提网络服务提供者需依法履行法律、行政法规规定的信息网络安全管理义务。其中,明确提及对泄漏患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应承担法律责任。
对于医院来说,传统的安全保障体系已经不够用,随着互联网、新型行业的发展,医院数据安全成为保障病人安全的重中之重。
“这种情况下,如何界定科技向善?如何通过引入新的安防技术以确保医院不成为灾祸的引发地?这是我,更是整个医疗行业都需要不断思考的问题。”全宇说道。
注:该文章内容出自美创科技举办的中国数据安全和治理高峰论坛,盛京医院计算机中心主任全宇的主题演讲。
推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 王者荣耀怎么快速赚金币?
- Win7网络无法加载远程访问连接管理器服务?
- ANTVR是否是虚拟现实的好故事?
- 警惕!攻击者偏爱的6大默认配置攻击“宿主”
- Win7笔记本电脑无线网络连接不上怎么办?
- 反人类的伪智能是如何骗钱的?
- Win7提示没有权限访问网络资源怎么办?
- 阴影!DDR4仍将遭受Rowhammer风险
- Chrome 的网络钓鱼检测速度提高近 50 倍
- 如何用腾讯电脑管家进行浏览器锁定?
- F1赛车被黑客入侵,人工智能技术是救星?
- win10中的通知栏怎样添加或删除图标通知
- 如何确保在家办公员工的远程访问安全
- win7下设置无线网络连接的图文方法
- IBM Rational ClearQuest 跨站脚本漏洞
- 内存不能为read修复方法 解决内存不能为read
- 怎么才能随时监视网络连接的活动呢
- 网络安全事件统计数据
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1雨林木风Win10自动激活下载_雨林木风Win10 32位专业版V2021.07
- 2新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2020年1月 ISO镜像高速下载
- 3新雨林木风 Windows10 x86 企业装机版2019年5月(32位) ISO镜像高速下载
- 4深度技术Ghost Win10 64位 全新专业版 v2023.02免费下载
- 5雨林木风Ghost Win10 标准旗舰版64位 v2023.02免费最新下载
- 6Win10 22H2下载_Win10 22H2专业版安装包下载
- 7番茄花园Ghost Win7 x64 SP1稳定装机版2020年9月(64位) 高速下载
- 8Win10专业版ISO下载_Win10专业版官方原版镜像下载
- 9雨林木风系统 Ghost XP SP3 装机版 YN2019.06 ISO镜像高速下载
- 10深度技术 GHOST XP SP3 电脑城装机专业版 V2017.11 下载