您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给灵火K
发送

0

【案例】有50T病历、500T影像的盛京医院如何保护数据

本文作者: 灵火K 2019-11-26 18:53
导语:医院数据安全保卫战开打!

很多人觉得医院是最安全的地方,因为这里安保严密、秩序井然。实际上,这里偏偏特别容易招“小偷”。他们专偷医院数据,时常在众目睽睽下来个“回首,掏”便轻松得手。

医院资料数据中包含全部病人的病例,其中姓名、病情、住址、电话等信息一应俱全,甚至有的数据还保存着病人的基因信息,“小偷”企图在黑市倒卖这些数据以此大捞一笔,或者干脆直接威胁医院用钱来换。

不信?来看看下面这些真实事件:

2018年,南漳县人民医院便遭受了黑客攻击。当时,医院“三佳医疗信息系统”遭勒索病毒入侵破坏,主、备服务器同时被侵入感染,无法启用备用服务器,这也让电脑系统中的药价等数据及病例凭空消失了。

黑客在植入的“升级版勒索病毒”中注明,要求医院支付比特币才肯恢复系统正常运行。医院后向公安部门报警、联系相关厂家和系统工程师修复漏洞,这才算度过危机。

然而,就在事件发生后一天,湖南一医院再度发生一起黑客攻击事件。黑客攻击了湖南省儿童医院的系统,并再次向其中注入勒索病毒,该行为最终导致医院系统大面积瘫痪,医院治疗进程无法正常运转。

黑客通过外网攻击,植入勒索病毒,对医院HIS服务器文件进行了加密,最终导致医院系统不可用。

后经调查,发现两次攻击黑客使用的勒索病毒是globeimposter家族的变种,其主要以国内公共机构服务器作为攻击对象,加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等扩展名,并通过邮件来告知受害者付款方式。

类似的盗窃事件在各大医院不断上演,这也突显出保障医院数据安全的重要性所在。

对于盛京医院计算机中心主任全宇来说,要想保障医院数据不被盗,除了要通过监管部门的重重考核,更要与潜在攻击者们斗智斗勇。

因此在他眼里,医院就像是一位脆弱的病人,为其预防和诊断病情则需要身怀“十八般武艺”才行。

【案例】有50T病历、500T影像的盛京医院如何保护数据

盛京医院计算机中心主任全宇

医院“生病”谁来治?

医院,救死扶伤之地,用黑客语言来说,就是修复人体漏洞的一群人聚集于此。身为其中一员,全宇认为自己更像是个幕后医生,因为,他的“病人”不是人,而是盛京医院本身。

这位“病人”可是很难伺候,因为在盛京医院,存储的电子病历数据有至少50T、影像数据500T。为了方便管理,医院不得不把一个库分作历史库、在线库两个分批储存。

终端无纸化越多,也就意味着医疗数据越多,管理、前移和保护的难度也会随之增加。

对于医院内部,在每次进行数据库间的倒换数据时,需要付出大量的人力和时间代价。往往一个数据库的信息导入另一个,需要两天两夜的时间。

对于防护难度而言,海量数据的录入、读取和存储都是一项项“大工程”。曾经,医院尝试采用磁盘备份重要的资料数据,但时间一长,这些资料会随着磁条老化而消失,需要时则派不上用场。

对于医院外部,医院资料数据中包含全部病人的病例,其中姓名、病情、住址、电话等信息一应俱全,甚至有的数据还保存着病人的基因信息。不少人深知医院数据有多值钱,因此不知道在医院周围,有多少双眼睛盯着这里,垂涎欲滴地望着这里。

此外,面对日益增多的医疗数据安全事件,监管部门也对各国医院采取严抓严打的措施,一旦触犯相关条例,轻则勒令整改,重则行政处罚。

内忧外患,这是全宇对目前“战况”的具体概括。相比前线,这里更像是个相互僵持的冷战现场,而他要做的,是在每一次突袭来临前将其扼杀在摇篮里。

谈到战术,所谓知己知彼才能百战不殆。要想保全医院数据,就要甚至这帮“小偷”最可能的攻击地点和手段并尽早预防。

So,医院数据安全的痛点最容易被敌人看成是突破口呢?

首先,是安全运维能力有待提升。

医院数据的安全工作,是一个繁琐且费时费力的活。正如上述,医院信息化越健全,软硬资源越多,数据库也就越多越大,巡检任务重、时间间隔长导致难以及时发现异常。

此外,运维工作总是后知后觉,事态感知医院数据安全处在后知后觉的状态。唯有出了问题,才能被发现并启动故障排查,总是在“救火”和“救火”的路上。

以上问题,是医院缺少具体专业化数据安全、信息安全的专业运维人员所致,这也体现出传统行业在安全方面的日常运维能力偏弱。

其次,是数据库管理手段缺失。

院内外包人员多,存在共用相同数据库账号,可访问、删除、导出任何数据,缺少安全管理。

这主要体现在运维人员大部分使用绿色版数据库运维工具,存在安全漏洞及操作后门,缺少专门的操作行为记录,事件发生后难以快速定位实际使用者和负责人,这些给数据库自管理造成极大风险。

最后,是容灾问题。

问题最突出的表现,是基于双活容灾(即灾备系统中使主生产端数据库和备机端数据库同时在线运行,处于可读可查询的状态的技术)的存储无法解决逻辑错误,这也导致Oracle RAC无法实现异域容灾。

此外,容灾技术常规使用的逻辑复制难以解决大字段问题,再加上业务系统故障可视化程度较低,加剧了安全隐患的存在。

这些安全隐患作为医院数据安全的大“Bug”,成为了攻击者的突破口。可实际上,众多医院面临着彻底克服转型难、整顿难、保护难的三大难题。

这时候,第三方安全厂商的介入就显得必不可少。

医院眼中的“神助攻”

打过LOL游戏的人都明白,在一场对战中,助攻、辅助、前锋、后卫各司其职,其各有所长也各有所短,唯有聚到一起时才算是所向披靡。

放在医院数据安全上,如果说全宇带领的团队是盛京医院的主力,那么扮演了“神助攻”角色的第三方安全厂商则如多啦A梦一样,武器、对策一样不少。

下面,我们来看看“神助攻”给全宇团队哪些趁手兵器吧!

对策上,从技术、硬件、战术上研究出一整套应对方案:

安全运维上,盛京医院使用专门的工具,一方面将数据库、系统、机房等设备全面监控,实时监控运行情况,这也有效减少了复杂性工作。

另一方面,在出现安全故障时也可以通过中台直接定位到问题设备,省去排查时间。与此同时,异常出现时平台将根据严重程度匹配警告方式,包括邮件、短信、紧急电话响应等。

权限问题上,盛京医院为所有运维人员配备了USBkey。这种安全钥匙人手一枚,各自内置了不同的安全密匙,在USBkey得到授权后,才能对医院数据库做进一步访问。

这就好像胸牌一样,USBkey+免密登录的模式为医院数据库建起了大门,通过刷卡进“门”、授权到人的方式防止密码泄露。

攻击预防上,往往医院端做安全防护比较困难。全宇透露,很多情况下,我们不敢去给相关的产品打补丁,因为我们不知道这些数据库系统的特性,这很有可能导致整个平台直接宕机。

况且,医院的数据库产品种类繁多,这就像是一个人的人体,随意哪个部分被更换了,都有可能造成另外一个关联部位的病变。

产品上,采用数据库攻击预防+虚拟补丁的方式解决问题:

1、对攻

首先,允许该安全平台访问数据库的SQL操作,全部解析还原,匹配策略规则。一旦发现漏洞,就用虚拟补丁的方式完成修复。

采用虚拟补丁的好处是,不需要为数据库修复漏洞,不影响数据库系统稳定性,不需要停止数据库服务以及不需要进行回归测试。

上述特点,极大程度降低了医院数据安全保障的成本,避免安全防护期间一些不必要的问题出现。

2、对防

容灾问题上,全宇觉得这是给医院数据上的一道“锁”。尽管目前为止容灾安全的保障措施并未被激发过,但对于盛京这样的大医院来说,攻击者是有利可图的,因此也要做好防护。

灾备平台可以用Oracle的小型机做到日志同步,这可以有效防止存储级逻辑错误。

比如存储层面的双活或镜像,数据块发生了逻辑错误,坏的数据无法被检测到,导致所有的数据无效。通过数据库日志同步方式,保障应用级别的数据一致性,抵御底层错误地传播。

面对大字段问题,该灾备平台通过采用物理复制的灾备技术手段,尽可能避免这种情况出现,而对于医院来说,灾备预演的重要性远比部署安全产品来的重要。

全宇称,一开始,我们并不理解灾备演练这项功能的存在意义,但是,随着进行过几次演练后我们发现,当真实的攻击事件发生后,数据库资料的快速备份、恢复和溯源尤为重要。但是,如果它们有问题呢?如果人工操作有误呢?

因此,灾备预演为盛京医院搭建了一个检测、培训和模拟灾情的平台,这对于非专业机构在关键时刻做出有效的安全防护措施有着至关重要的作用。

也就是说,容灾安全平台是医院数据安全的最后一道防线。

上面提到,医院内部会产生大量的非纸质敏感数据资料。这些资料的安全存储、调用是一大难题。

其解决方案是将信息脱敏技术运用其中,进而实现在不影响检索/维护的情况下保障病人隐私。

目前,数据脱敏的体系,包括战略、机制、技术支撑三个领域,从上到下的指导,从下到上的推进,形成多层次、多维度、多视角的全方位体系架构,确保数据脱敏工作有序的执行:

找准数据脱敏体系的目标,数据脱目标包括数据脱敏目的(国家、监管部门、企业),数据脱敏后使用场景,满足哪些业务要求。满足法律法规、政策标准规范,数据安全管控分类分级,数据使用部门职责划分等,保证体系安全,协调数据提供方和数据使用方,提高体系运转。

规范数据脱敏体系的制度,按照2017年6月发布的《网络安全法》《电子商务法》《个人信息保护规范》,制定数据脱敏政策,数据脱敏制度,数据脱敏细则,数据脱敏规范的规章制度,做事前事后的数据准备、数据执行,同时,保证整个业务过程安全可控,当发现问题时,进行审计追踪,及时解决。

针对医院数据安全防护的特征,将静态数据脱敏主要运用到开发/测试类,开发/测试类,提取/上报类,建立关系型数据库。将动态数据脱敏用于数据共享交换和运维管理。

数据共享交换分两种,一种是通过文本或表格数据去交换,另一种是Kafka、数据请求API(XML/JSON)。运维管理的身份鉴别有,根据数据库用户名、运维客户端、主机名、MAC地址、IP地址、访问时间以及数字证书、U-key等多维身份验证。运维访问敏感数据实时脱敏,对数据库中返回的数据配置放行、屏蔽、加密、隐藏以及返回记录数等多种脱敏策略。

为了降低敏感度,保证信息安全,还要根据不同行业,不同的场景,结合脱敏技术的应用,力求达到用户数据使用的要求,进行规范化的操作。

“辅助”在这呢

主力、助攻都有了,辅助哪去了?

随着发展,数据时代的到来意味着越来越多的行业单位开始走入“数字化”转型的阶段。为了与时俱进,近年来各项法律条例的设立成为医院和企业的强有力靠山。

刑法修正案(九)(2015年11月1日施行)、中华人民共和国网络安全法(2017年6月1日施行)中都提网络服务提供者需依法履行法律、行政法规规定的信息网络安全管理义务。其中,明确提及对泄漏患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应承担法律责任。

对于医院来说,传统的安全保障体系已经不够用,随着互联网、新型行业的发展,医院数据安全成为保障病人安全的重中之重。

“这种情况下,如何界定科技向善?如何通过引入新的安防技术以确保医院不成为灾祸的引发地?这是我,更是整个医疗行业都需要不断思考的问题。”全宇说道。

雷锋网注:该文章内容出自美创科技举办的中国数据安全和治理高峰论坛,盛京医院计算机中心主任全宇的主题演讲。雷锋网雷锋网

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

资深编辑

我就是我,是颜色不一样的焰火~
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说