焦作市第三人民醫(yī)院始建于1983年,是集醫(yī)療、科研、預防為一體的公共衛(wèi)生臨床醫(yī)療機構。作為市直醫(yī)院之一,近年來醫(yī)院信息化建設發(fā)展迅速,整體管理水平得到快速提升。與此同時,醫(yī)院信息化系統中的數據量井噴式增長,各類契合實際業(yè)務需要的系統層出不窮,也給醫(yī)院的運維安全管理帶來極大的負擔。為此,美創(chuàng)科技利用其自主研發(fā)的美創(chuàng)數據庫防水壩,為焦作市第三人民醫(yī)院的數據安全保駕護航。

圖 1焦作市第三人民醫(yī)院
當前,醫(yī)院傳統基礎安全防御措施已處于飽和狀態(tài),但在不斷完善等保和醫(yī)療業(yè)務系統建設之中,仍存在數據泄露的風險,對有賬戶權限、臨時駐場、第三方運維工具等數據庫運維人員的日常運維工作缺乏有效監(jiān)管,存在非法訪問、操作失誤、惡意破壞數據庫等諸多安全風險。同時,由于醫(yī)院涉及用戶面廣、業(yè)務應用眾多復雜,日常涉及的數據量十分龐大,數據丟失、破壞、盜取等后果不堪設想。
因此,院方迫切需要技術手段來滿足日常數據庫運維監(jiān)管的需求,以實現數據庫運維工具、運維人員的管理,具體如下:
1、對醫(yī)院HIS系統數據進行梳理,對重要數據以及敏感數據進行定義與分級分類,從數據資產的角度明確保護對象和保護措施。
2、對現有超級賬號進行統一管控,通過準入對人員權限進行細粒度訪問控制;對運維開發(fā)、業(yè)務人員的訪問行為進行訪問控制,防止敏感數據泄露。
3、管控所有敏感數據的操作行為,防止違規(guī)操作造成的數據泄露等嚴重后果,避免數據庫訪問過程中的誤操作行為。
4、對全部數據訪問過程進行審計留痕,當發(fā)生安全事件時,能夠快速定位發(fā)生的環(huán)節(jié)。
解決方案
經過多輪考察與交流,焦作市第三人民醫(yī)院最終選擇美創(chuàng)數據庫防水壩滿足安全加固需求,通過應用到醫(yī)院核心HIS系統,保障系統數據庫的使用與訪問安全。
美創(chuàng)數據庫防水壩通過對醫(yī)院敏感數據進行分類分級,對內部高權限用戶進行管理控制,對面向數據的危險操作進行進行授權管理與訪問控制,對數據庫操作進行細粒度審計管理,對數據庫存在的風險行為、攻擊行為進行告警,從而實現數據資產內部使用過程的風險控制,整體提高醫(yī)院數據資產安全。

圖 2美創(chuàng)數據庫防水壩
方案亮點
1)保障運維安全管理要求
美創(chuàng)數據庫防水壩多維度的安全訪問控制,很好的解決運維過程中賬戶共享、臨時賬號、賬號管理混亂、運維操作不透明、第三方運維過程數據安全風險等問題。通過多維度的權限控制和授權管理,實現不同粒度的數據安全標記,全面保障運維的安全要求。
2)實時動態(tài)脫敏機制
美創(chuàng)數據庫防水壩可實現對核心生產庫的重要敏感數據進行動態(tài)脫敏,實現敏感資產數據和非敏感數據的分離,從而保護用戶的重要數據資產不泄露,防止運維人員涉及重要敏感數據信息。
3)智能化報表與智能告警
美創(chuàng)數據庫防水壩具備智能化報表功能,具有預定義審計報表、綜合性的報表功能,提供用戶日報、周報、月報方式,整體體現網絡中的數據庫運維整體安全態(tài)勢。
4)性能高、穩(wěn)定可靠
美創(chuàng)數據庫防水壩經過多年的研發(fā)積累,傳輸延時達到毫秒級別。具備高穩(wěn)定性在安全的前提下很好的保障業(yè)務系統的穩(wěn)定運行,滿足醫(yī)院業(yè)務系統監(jiān)管需求。
客戶收益
1)通過美創(chuàng)數據庫防水壩,建立了焦作市第三人民醫(yī)數據層面的內部數據使用安全管控體系,補足了數據安全訪問控制的短板。
2)基于人員與數據資產的內部數據安全使用管控能力,能夠有效防止內部數據安全泄露風險,提升醫(yī)院數據安全防御能力。
3)對醫(yī)院敏感數據進行分類分級,形成數據安全的底層基礎,為后續(xù)數據安全建設的擴展延伸打下了堅實的基礎。
4)滿足合規(guī)要求,遵循《數據安全法》、《個人信息保護法》等法規(guī),保障醫(yī)院順利通過數據安全加固建設要求。