首頁 > 客戶案例 > 正文

醫(yī)療機構(gòu)數(shù)據(jù)庫安全防護實踐

閱讀量：

? //??

2023年6月，美國Baptist Medical Center醫(yī)療中心發(fā)生重大數(shù)據(jù)泄漏事件，124萬患者信息被泄露。2019年3月，黑客入侵了美國醫(yī)療檢測巨頭Quest Diagnostics的患者隱私信息的數(shù)據(jù)庫，近1200萬客戶的記錄遭泄漏。2018年8月，美國血液檢測公司LabCorp數(shù)據(jù)庫被入侵，770萬名患者數(shù)據(jù)遭泄露，包含患者的姓名、生日、地址、電話號碼、所欠或支付的金額等……

根據(jù)相關(guān)機構(gòu)的調(diào)研數(shù)據(jù)顯示，醫(yī)療行業(yè)是黑客重點關(guān)注的行業(yè)之一，相關(guān)安全事件比其他行業(yè)多出很多，造成的損失和影響最是最大的。數(shù)據(jù)對于醫(yī)療行業(yè)的業(yè)務(wù)發(fā)展至關(guān)重要，數(shù)據(jù)安全是醫(yī)療行業(yè)安全建設(shè)的重中之重。作為醫(yī)療行業(yè)核心數(shù)據(jù)的存儲和管理工具，數(shù)據(jù)庫自然成為了網(wǎng)絡(luò)黑客攻擊的主要目標。因此，加強對數(shù)據(jù)庫的安全防護是每個醫(yī)療行業(yè)安全管理人員的重要任務(wù)。

對于某醫(yī)院客戶來說，數(shù)據(jù)庫是其信息技術(shù)的核心與基礎(chǔ)，存儲著醫(yī)院患者的個人隱私數(shù)據(jù)，是醫(yī)院具有戰(zhàn)略性的核心數(shù)據(jù)資產(chǎn)。數(shù)據(jù)庫的安全穩(wěn)定運行也直接決定著業(yè)務(wù)系統(tǒng)能否正常使用，為了實現(xiàn)對醫(yī)院數(shù)據(jù)訪問的安全管控和防護，急需提升和完善醫(yī)院數(shù)據(jù)庫的整體安全防護能力，以確保醫(yī)院核心數(shù)據(jù)的安全和業(yè)務(wù)的穩(wěn)定運行。

然而，要想提升和完善醫(yī)院數(shù)據(jù)庫的整體安全防護能力，該醫(yī)院還存在著以下建設(shè)難點：

●?醫(yī)療業(yè)務(wù)場景下，數(shù)據(jù)庫暴露面大：醫(yī)療場景下，通常多見CS架構(gòu)的IT系統(tǒng)（HIS、LIS等），終端涉及多個分院、科室，且醫(yī)護人員的終端可以直接訪問存放核心醫(yī)患數(shù)據(jù)的數(shù)據(jù)資產(chǎn)，業(yè)務(wù)的屬性決定了核心數(shù)據(jù)暴露面極大，如果沒有相應(yīng)的限制訪問措施，核心數(shù)據(jù)將很容易被竊取、篡改甚至銷毀，會導(dǎo)致醫(yī)療機構(gòu)數(shù)據(jù)泄露甚至業(yè)務(wù)中斷，嚴重影響正常運轉(zhuǎn)以及社會聲譽。

●?用戶現(xiàn)場數(shù)據(jù)庫版本低導(dǎo)致存在諸多漏洞：多數(shù)醫(yī)療機構(gòu)為了優(yōu)先保障業(yè)務(wù)的連續(xù)性與穩(wěn)定性，同時不具備專業(yè)技術(shù)能力進行遷移期間的穩(wěn)定保障，無奈選擇犧牲數(shù)據(jù)庫系統(tǒng)的版本更新頻率，不能及時進行數(shù)據(jù)庫版本升級和補丁修復(fù)，導(dǎo)致普遍存在較多數(shù)據(jù)庫漏洞。

●?運維人員權(quán)限過高無有效管控手段：醫(yī)院系統(tǒng)和數(shù)據(jù)庫通常都由HIS廠家等第三方人員駐場進行運維和管理，而三方運維人員往往權(quán)限過高，客戶現(xiàn)場沒有有效管理運維人員越權(quán)訪問的手段，更無法避免誤操作、敏感數(shù)據(jù)泄漏等高風險事件。

內(nèi)防外御，安恒AiGate為醫(yī)院數(shù)據(jù)庫保駕護航

為了解決以上數(shù)據(jù)庫安全建設(shè)面臨的挑戰(zhàn)，安恒信息為該醫(yī)院客戶推薦了安恒AiGate數(shù)據(jù)庫安全網(wǎng)關(guān)系統(tǒng)（以下簡稱AiGate）。AiGate是安恒信息在多年數(shù)據(jù)安全訪問控制理論和實踐經(jīng)驗積累的基礎(chǔ)上，集數(shù)據(jù)庫準入、訪問控制、攻擊防護、動態(tài)脫敏、運維審批等多種功能一體的產(chǎn)品。目前，該產(chǎn)品已在多個行業(yè)被廣泛應(yīng)用，保障著用戶的重要數(shù)據(jù)和敏感信息。

在該醫(yī)院客戶的數(shù)據(jù)庫安全建設(shè)中，采用了兩臺AiGate設(shè)備，一臺采用旁路阻斷模式部署在了業(yè)務(wù)側(cè)，一臺采用反向代理模式部署在了運維側(cè)。AiGate設(shè)備部署上線后，該醫(yī)院所有訪問數(shù)據(jù)庫的流量均需要通過網(wǎng)關(guān)策略后才能放行，業(yè)務(wù)側(cè)結(jié)合數(shù)據(jù)庫隱身與虛擬補丁技術(shù)防護數(shù)據(jù)庫漏洞，并同時在業(yè)務(wù)側(cè)配置策略禁止運維側(cè)人員身份訪問，統(tǒng)一了訪問入口。同時，在運維側(cè)通過反向代理收緊數(shù)據(jù)庫訪問入口，減少運維側(cè)數(shù)據(jù)庫暴漏面，同時通過精細化授權(quán)管控用戶訪問行為。通過這樣一套內(nèi)防外御的解決方案，安恒AiGate有效幫忙該醫(yī)院客戶解決了數(shù)據(jù)庫安全問題，保障了醫(yī)院業(yè)務(wù)的安全、高效運行。

AiGate在該醫(yī)院的成功部署，不僅幫助該客戶有效解決了之前面臨的數(shù)據(jù)庫安全建設(shè)難點，還在以下幾個方面實現(xiàn)了數(shù)據(jù)庫安全的高效管理和對業(yè)務(wù)的有效保障。

1、?數(shù)據(jù)庫精細化訪問控制：通過IP、客戶端主機名、操作系統(tǒng)用戶名、客戶端工具名和數(shù)據(jù)庫賬號等多個維度的用戶主體標記和訪問控制規(guī)則，實現(xiàn)了對數(shù)據(jù)庫的精細化訪問控制，杜絕了特權(quán)賬號越權(quán)訪問、運維人員誤操作、敏感數(shù)據(jù)泄漏等權(quán)限管控問題。

2、?數(shù)據(jù)庫“隱身”：通過實時監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)庫訪問行為，能夠及時發(fā)現(xiàn)并阻斷可疑的漏洞探測及攻擊行為，防止來自內(nèi)部和外部的對數(shù)據(jù)庫的攻擊，讓數(shù)據(jù)庫實現(xiàn)對攻擊探測行為的“隱身”。

3、?虛擬補丁：使用數(shù)據(jù)庫虛擬補丁技術(shù)，防御黑客利用已公開的數(shù)據(jù)庫安全漏洞攻擊數(shù)據(jù)庫，對數(shù)據(jù)庫的安全漏洞進行主動防護，極大的保護了未升級漏洞補丁的數(shù)據(jù)庫，有效降低了針對數(shù)據(jù)庫漏洞利用攻擊的威脅。

4、?對客戶業(yè)務(wù)0影響：采用了流量通過鏡像引流到AiGate的方式，忽略網(wǎng)絡(luò)復(fù)雜度，適應(yīng)客戶復(fù)雜的網(wǎng)絡(luò)環(huán)境部署實施，真正做到對客戶業(yè)務(wù)的0影響。

安恒AiGate數(shù)據(jù)庫安全網(wǎng)關(guān)之所以能得到客戶的廣泛認可，離不開安恒信息多年數(shù)據(jù)庫安全訪問控制理論和實踐經(jīng)驗積累。AiGate集成了安恒信息市場領(lǐng)先的數(shù)據(jù)庫協(xié)議解析技術(shù)，并在多年現(xiàn)場實戰(zhàn)中不斷打磨沉淀真實客戶場景，鉆研有效實用的安全策略，為客戶打造出了全方位的數(shù)據(jù)庫安全防護體系。AiGate更是在去年首批通過信通院“數(shù)據(jù)安全網(wǎng)關(guān)”專項評測，在安全管理要求、敏感數(shù)據(jù)探測、協(xié)議識別與解析方面均達到認證標準。

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>