1.数据安全事件频发

医生数据泄露：如济南新生儿信息被内部人员利用职务之便泄露。先后抓获犯罪嫌疑人9名，主管单位被处以行政警告，开发运维企业处以行政警告、罚款5万元，直接责任人崔某健处以行政警告、罚款1万元。

医院系统被攻击：如重庆永川某私立医院因未按照网络安全等级保护制度的要求履行安全保护义务，使医院业务在互联网上长期处于“裸奔”状态，黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。

医疗数据被滥用：如某酒企被蔡某盗取700余万条医疗数据用于制作假冒酒，给酒企带来巨大损失。

这些事件的发生，凸显了医疗数据安全问题的严重性。为了保护医疗数据安全，需要医疗机构、政府和相关企业共同努力，加强数据安全管理和技术防范措施，提高数据安全意识，切实保障人民群众的隐私和权益。

2.法律、规章监管力度加大，数安治理势在必行

3.医疗数字化转型趋势的需要

       医疗数据范围不断变广，价值不断变高，风险不断扩大。

4.数安风险来源

在办公终端域，数据暴露面巨大。医院的IT系统如HIS、LIS等普遍为CS架构，终端涉及多个科室、分院，网络环境极其复杂。每个医生的电脑可直接访问数据源，访问所有数据，数据暴露面巨大。

在业务服务器，数据访问接口风险突出。医院内部数据共享交换接口繁多，数据流动状况不明，接口之间认证鉴权缺失、交换数据不明、接口之间控制措施缺失。

在运维终端域，运维场景风险高。针对运维人员（包含第三方运维人员)缺乏高危权限管控手段，同时运维人员拥有高权限可以全量查看敏感数据，并可轻松带走数据。

在应用数据库群，数据存储未分类分级，缺乏分级管控措施；医疗数据未进行分类分级，无法针对性的进行数据安全防护；内外攻击窃取，外部黑客和内部人员通过技术手段攻击、盗取数据,造成敏感数据的泄露。

在开发测试域，开发测试培训场景使用真实数据。未使用有效的脱敏工具，在保证开发测试可以正常进行的情况下对敏感数据进行去标识化。

       医疗行业的数据安全需求主要包括以下几个方面：

一、保护患者隐私

       医疗行业涉及到大量的个人敏感信息，如患者姓名、身份证号、联系方式、病情等，这些信息需要得到严格保护，防止泄露和滥用。

二、保障数据完整性

       医疗数据需要保持完整性和准确性，以确保诊疗和研究的可靠性。数据完整性需求包括数据采集、存储、处理和传输等多个环节的安全性保障。

三、防止数据丢失

       医疗数据的重要性不言而喻，一旦丢失可能会对患者的诊疗造成影响，甚至危及生命。因此，医疗行业需要采取有效的数据备份和恢复措施，确保数据不会因为意外情况而丢失。

四、满足合规要求

       医疗行业需要遵守一系列法律法规和标准，如《个人信息保护法》、《健康医疗数据安全规范》等，以确保数据的合法性和安全性。

五、保障系统可用性

       医疗系统需要保持稳定和可靠，确保医生和患者能够随时访问相关数据和信息。系统可用性需求包括硬件和软件的高可用性、容错能力等多个方面。

1.整体解决方案

2.技术方案-数安能力部署模式

       首先在各数据库前端部署数据库防火墙，作为数据访问的统一入库，阻止内外部用户对数据的非法访问。其次在运维端部署数据安全运维系统，对运维人员及各特权账号的权利进行管控。再次，对于数据存储端部署数据库加密系统，对于存入的敏感表或敏感字段 进行加密存储。第四，镜像汇聚交换机流量给数据库审计系统、安全接口管理系统和数据防泄漏系统，对结构化数据、安全接口和非结构化数据进行审计和监测，及时发现其中的风险并预警。最后，各数安能力的日志及报警信息汇集到数安天眼，统一展示全域的数据安全态势及风险分布情况，并针对风险的处置状态进行跟踪。

3.应用场景

3.1 数据查阅场景

医疗数据有互联互通、远程医疗场景下会被医生调阅、患者查询。例如医生会调阅患者的电子病历、检查报告、手术记录等。因其角色不一样，调阅、查询的权限应该不一样。例如科室医生可以调阅本科室患者数据、诊疗组可以调阅本诊疗组管辖的患者数据。软件系统和数据库都存在权限管理能力不足的短板。为防止数据泄露，需要进行额外的权限管控。

解决方案：

基于数据库审计，对应用账号操作数据库的行为进行分析，如果有异常行为发生，系统可以及时告警。

基于数据库防火墙，学习数据访问行为基线，设置访问权限，有效监测并防止越权行为。

       基于数安天眼系统，学习数据流动路径基线，有效监测异常流动，联动联防。

3.2 数据接口交换场景

医院内部数据共享交换接口繁多，数据流动状况不明，面临接口之间认证鉴权缺失、交换数据不明、接口之间控制措施缺失等威胁。

解决方案：

基于接口安全管理，以数据为中心全面监测用户行为风险，智能监测接口间数据流动合规问题。

基于数据库审计，对应用账号操作数据库的行为进行分析，如果有异常行为发生，系统可以及时告警。

       基于数安天眼系统，关联接口和数据库访问，学习数据流动路径基线，有效监测敏感数据异常流动，联动联防。

3.3 运维场景

       医院后台系统运维、第三方系统运维、医疗器械维护等场景下，由于人员权限较高，会接触到敏感医疗数据，存在敏感数据泄露风险。可基于数据库安全运维、数据库审计、数据库防火墙、数据透明加密等系统，对运维人员的权限进行限制，尤其是对DBA进行分权管理。

3.4 医疗数据的分类分级

       实施数据资产梳理服务，可使高校明确自己所拥有的数据资产详情，明确敏感数据的分布情况，以此来针对性的制定相关策略、管理制度等。利用我们的资管管理工具+服务的方式进行资产梳理，对敏感数据进行识别和打标，生成分类分级清单及差异化防护策略。

3.5 外部攻击、内部攻击窃取数据

由于医疗数据的价值越来越高，常有外部黑客利用撞库等攻击手段攻击医院数据库，通过技术手段提权后对数据库数据进行批量导出，或者内部人员利用已有权限对数据库的数据直接进行批量导出，造成敏感医疗数据的泄露。

方案要点：

1）部署数据库审计及天眼，记录所有数据访问行为，关联所有访问行为和数据流向，并智能分析拖库、撞库、异常行为。

2）运维人员须经过数据库安全运维的认证对数据库服务器进行操作，在数据库安全运维中配置数据操作的规则控制，在未经操作审批的情况不允许对数据进行导出。

3）部署数据库防火墙，作为数据访问的总入口。使数据库服务不直接暴露在网络中。对于非法人员、非法账号的接入，数据库防火墙识别后直接阻断。

      4）部署数据库透明加密，将重要敏感医疗数据加密后存储到数据库系统中，数据在访问过程中保证访问细粒度控制，进一步限制越权访问，并限制DBA访问特权，保证即使攻击者提权到DBA，也能保证数据不丢失，就算下载数据库文件，也看不到真实敏感数据。

3.6 开发测试场景

医疗数据在临床研究、第三方（政府部门、科研人员、企业等）二次利用、商保对接等场景下，对于敏感研究数据的保护更加重要。需要采取相关的技术手段对于患者的敏感信息，比如患者姓名、身份证信息等需要做去隐私化处理，以保证共享的医疗数据不包含患者个人隐私。同时，如果发生泄露事件，还需要有能力快速的追溯定责。

方案要点：

1）对医院应用开发测试、科研、数据挖掘分析需要使用数据库真实数据的场景，通过数据脱敏算法和水印算法，在不影响测试业务前提下，对敏感数据脱敏处理，并保证逻辑一致。

2）将泄露的数据导入水印系统，以便数据泄露后溯源追查。

3.7 小微系统的数据安全

       对社区医院、村镇医院以及医院分散各处的众多小微应用系统，通过部署数据安全卫士系统进行轻量化全面防护，部署便捷，防护全面。

一、项目背景

某医院信息化系统包含数十个子系统，管理和存储大量敏感数据。对数据库安全的要求包括：业务审计、满足等保评测、防止信息泄漏以及防统方。该需求涉及到患者的隐私信息保护和医疗腐败的整治。

二、解决方案

通过部署数据库审计产品和数据库防火墙产品，对数据库所有访问的数据包，数据报文进行解析，还原真实的访问行为，实现对HIS相关子系统访问情况的监控、审计和阻断。通过部署数据库安全运维产品对内部运维人员的访问进行权限审核，将不合规的访问和申请阻断。通过部署静态脱敏和水印向开发和测试环境提供脱敏和加水印的仿真数据。通过部署数据库加密产品将重要敏感医疗数据加密后存储到数据库系统中，防止内部数据失窃。

二期正建设数安天眼。实现数安能力的同意纳管，以及进行深度风险监测。

三、方案价值

       结合医院安全管理手段，配合加密、运维、审计、静脱与水印以及防火墙产品，做到了对应用系统和数据库的不同权限人员，实施不同的访问权限和审计、阻断策略，重要数据加密存储，同时全面监控数据库的访问行为，并定期生成等保、防统方、敏感数据访问情况等各类报表，供纪检等部门查阅。