医疗行业数据安全及威胁分析课件.pptx

《医疗行业数据安全及威胁分析课件.pptx》由会员分享，可在线阅读，更多相关《医疗行业数据安全及威胁分析课件.pptx（33页珍藏版）》请在三一办公上搜索。

1、医疗行业数据安全及威胁分析2020年7月修正版,医疗行业数据安全形势,01,数据安全威胁场景分析,02,场景化技术防控措施,03,医疗行业相关案例分析,04,目录CONTENTS, 2 ,医疗行业数据安全形势,壹, 3 ,医疗行业面临的安全挑战,Verizon连续十年发布年度数据泄露报告（DBIR）报告显示医疗行业数据泄露排名持续上升医疗数据价值的广泛认知和相对脆弱的防御措施是造成这一现象的两大要素。医疗行业数据安全威胁具有以下几个特征：,安 全 趋 势,唯一内部威胁远大于外部威胁的行业,数据价值高,数据质量好,医疗数据具有普遍的真实性，医疗 行为本身决定了患者、医生都不可 能隐瞒或者造假,内

2、部外部,医疗 政府高新技术 信息服务金融 零售酒店餐饮所有, 4 ,医疗数据覆盖面广，包含了患者个体患 病情况、生物组学等数据；也包含了疾 病传播、地区流行病发病发展、区域人 口健康状况等数据。医疗数据能否安全 使用，关乎社会稳定、国家安全。,随着医院信息化不断推进，医疗数据安全问题面临更大的挑战 数据泄露事件连续两年排名全行业第一,医疗行业数据安全现状,医疗数据的价值认识变迁：随着医疗数据价值的得到公认，医疗行业的数据安全问题日益凸显,互联网,数据流动,人的安全,开放环境,数据价值,cloud, 5 ,患者个人数据患者社会关系患者病案病史医嘱和处方药品和器械价格医护人员信息,开放网络环境半开

3、放网络化境互联网接入,手动操作特权账户外部入侵勒索病毒,临床数据中心科研平台后结构化平台测序平台互联互通需求众多的业务交换,非受控环境开放程度更高,医疗信息泄露事件,全国范围勒索病毒事件频发 影响范围：全国医疗信息机构,03,2019年,新生儿信息泄露影响范围：20万条新生儿信息,022018年,01, 6 ,2017年,医疗信息安全问题逐年提升,面临的主要问题：数据安全、内控失效、数据丢失、业务停滞、勒索病毒数据加密,恶意删库、误删库、业务停滞 影响范围：经济损失,数据安全威胁场景分析,贰, 7 ,医疗数据安全威胁常见场景,数据库运行安全风险,流动数据安全风险,业务连续性安全风险,敏感数据识

4、别风险,数据安全内控风险,数据共享交换风险,合规建设场景：信息安全等级保护/医院信息互联互通标准化/电子病历评审标准等, 8 ,场景一：数据安全内控风险,医院业务连接及运维管理端,安全风险,假冒合法HIS客户端访问业务系统敏感数据盗用HIS客户端内置的应用数据库账号来自运维管理端的数据库登录安全威胁（暴力破解绿色版工具）,高权限DBA用户违规访问敏感数据敏感数据违规导出、系统对象操作无控制，数据被窃取违规人员/黑客恶意删库、勒索锁库，高危操作无控制,生产数据库,正常应用,假假冒应用,医生,护士,违规开发人员,连接数据库,连接数据库,堡垒机,运维人员,DB管理员,暴力破解,数据窃取,高权限用户,

5、熟悉业务,运维人员,管理人员,黑客, 9 ,HIS,HIS,场景二：流动数据安全风险,安全风险业务变更和新业务上线频繁直接用生产数据测试，甚至数据被带回公司测试数据用于医学教育课题分析、科研项目分析, 10 ,脚本处理数据，数据质量差，遗漏，测试效果差数据正常流动到弱安全区域，数据失控流动数据让安全边界失效,查 询、 导 出、倒 卖,场景三：数据库运行安全风险,安全风险,核心业务系统数据库种类多，数量多数据库内置账号多，高权限账号，僵尸账号分析不明确用户权限及对象权限不明确，没有定期实施漏洞及基线检测,无法了解数据库空间、缓冲区空间、数据库连接时间等数据库崩溃或者数据库的性能降低无法预警和分析

6、缺少定期巡检和变更审核，无法保证数据库的正常运作,核心数据库的运行监控及账号梳理分析生产数据库,Oracle,MSSQL,Mysql,DB2,幽灵账号,闲置账号,非法账号,合法账号,数据库漏洞 入侵攻击, 11 ,安全基线,可用性,错误,告警,.,.,场景四：业务连续性需求分析,系统中断带来的损失,安全风险,系统硬件故障，导致业务停机业务或操作系统故障，系统崩溃人为误操作，数据丢失业务无法访问,病毒感染或黑客入侵导致系统瘫痪不可抗拒的因素如雷击、火灾导致系统破坏、数据丢失计划内的停机（系统升级、补丁修复等）,系统中断的损失：证券业：6,450,000美元/小时金融信用卡：2,600,000美元

7、/小时银行数据中心：2,500,000美元/小时在线拍卖交易：225,000 美元/小时旅店预约服务中断：100,000 美元/小时,医疗业务中断：？美元/小时,恢复点目标(RPO),恢复时间目标(RTO),发生灾难时点,上午上午 上午 上午 上午 上午 上午 上午 上午 中午 下午 下午 下午下午 下午3点4点5点6点7点8点9点10点11点12点1点2点3点4点5点, 12 ,场景五：数据共享交换分析,安全风险,药企、商保公司等机构希望获取医疗数据做增值业务一旦数据泄露，医院作为源头数据提供者，无法逃避责任安全防护措施与信息共享融合度低,数据失控：数据泄露后无法追溯、二次泄露等数据在非安全

8、网络传输信息交换策略由应用部门维护，安全只在边界粗放管理,院内院外,HIS,LIS,PACS,EMR,数据共享平台,数据共享,卫健委、疾控等机构,医院,cloud, 13 ,场景六：敏感数据识别风险,医院业务多，厂商多，数据类型多,安全风险,哪些是敏感数据，敏感数据分布在哪里谁可以使用敏感数据，其身份是否合法合规数据分片分散存储且备份存储多片，不便做数据安全风险评估,医疗行业存储的数据中：52%的数据为价值尚不明确的暗数据，33%的数据为冗余、过期或不重要的陈旧数据。,绩效考评,合理用药,人力资源,超声,放射,病理,血库,手术 麻醉,成本核算,心电,物资,科教,移动 医疗,决策 支持,EMR系

9、统,LIS系统,设备院感重症 监护内镜病案,HIS系统,疫病,结构化数据（oracle、SQL server、mysql.）, 14 ,半结构化数据（电子病历.）,非结构化数据(影像文件、日志.),某区三甲医院相关统计：业务系统40+，开发商14家+,场景化技术防控措施,叁, 15 ,场景化解决方案,01,数据安全内控以数据内部管控、数据防勒索、防 入侵及运维端动态脱敏等技术为主,03,数据库运行安全以数据库资源分析，账号及权限分析，库基线及漏洞、运行状态监控 等技术为主,05,数据安全共享交换提高交换双方的身份验证、监控交 换的敏感数据类型及交换方式（嵌 入数据水印等）、并实时敏感数据溯源监

10、控等,02,流动数据安全对医疗敏感数据流动过程实施脱敏、监控、审计等技术为主,04,业务连续性安全以业务级容灾、定期容灾切换演练、数据有效性备份验证等技术为主,06, 16 ,敏感数据识别 重点在于敏感数据的梳理，只有先 发现数据，对数据进行有效分类， 也才能对数据的安全管理采用更加精细的措施,安全与合规,数据库防水坝应用数据库准入及内部权限访问控制，精细化控制表、列，防止高危操作及误操作，有效防止被误删/篡改/泄露。,系统管理员,运维人员,开发、测试人员,合规 接入,安全 控制,Oracle,My SQL,MS SQL,内部数据管控解决方案,数据库接入安全,合规准入,多因素认证,防撞库,数据

11、库内控安全, 17 ,数据安全内控：技术防控一,数据安全内控：技术防控二,数据防勒索保护应用数据防勒索技术，对核心数据库、终端实施安全保护，防止数据被勒索加密，确保数据的安全性,信任程序,勒索程序,数据库进程,1.数据库防勒索,建立信任应用名单,信任程序,防护对象,2.终端防勒索, 18 ,数据安全内控：技术防控三,业务系统,运维管理端,进库自动加密,出库自动解密数据库加密引擎,进库自动加密,无权限访问 为密文,数据存储加密应用数据库存储加密技术，对存储中的敏感数据实施加密，防止数据被泄露、窃取，确保数据的安全性,应用透明，无需改造对应用系统SQL语句、开发接口等透明，无需改造,密文存储，底线

12、防御防止存储空间共用导致的数据泄密; 防止突破边界防护的 外部黑客攻击；防止拖库造成的数据泄露; 防止内部高权 限用户的数据窃取。,独立的权限控制独立的数据库权限控制，无权限无法访问敏感数据,加密场景化适应加解密性能、加密适配场景、密钥管理及备份等, 19 ,数据安全内控：技术防控四,数据库防入侵应用数据库防火墙，通过深度SQL通信协议解析，对核心数据库实施SQL注入及虚拟补丁防护，保证数据库安全性。,策略规则,基于IP地址基于时间基于用户基于操作基于关键字基于列基于表名基于行数基于注入特征库,解析还 原SQL操作,应用服务器,数据库防火墙,数据库,策略规则匹配结果： 阻断、告警、通过。,直接

13、远程连接访问数据库,通过应用访问数据库,用户A：操作A,用户B：操作B,用户A：操作A-阻断 用户B：操作B-告警 用户C：操作C-通过,用户C：操作CSQL操作语句,SQL白名单,SQL注入特征库,机器学习模型,虚拟补丁防御, 20 ,流动数据安全：技术防控一,业务应用,敏感信息自动发现,脱敏后数据加载,数据脱敏方式变形、漂白、遮盖等,数据库到数据库,数据库到文件,文件到数据库,文件到文件,DB1,DB2,数据脱敏技术满足为开发环境、测试环境、培训环境等提供脱敏后（按需进行漂白、变形、遮盖等处理）的生产数据，也可于 为数据交易、数据交换、数据分析等第三方数据应用场景提供适用的敏感信息泄露防护

14、作用。,DB1,DB2,dump文件 文本文件源数据,dump文件 文本文件脱敏后的目标端,其他应用,资源目录,资源目录,API接口调用,数据传输 数据返回,数据传输 数据返回,数据交换平台, 21 ,数据库运行安全：技术防控一,数据库运行安全分析通过对当前数据库存在资产现状、账号进行识别和分析，找出当前核心库潜在的闲置账号、僵尸账号、特权账号 及合法账号及其权限等，并辅以数据库漏洞及安全基线核查，分析当前核心库的运行安全状态。, 22 ,数据库运行安全：技术防控二,数据库状态监控五大健康指数：可用性、错误、性能、变化、可靠性直观展示，快速判断数据库健康状态SQL生命周期展示，直观凸显性能瓶颈

15、点，数据库资源和主机资源的关联分析，定位真正根因。, 23 ,业务连续性技术防控,负载均衡负载均衡,应用,数据库集群,仲裁节点,存储双活,本地数据备份,负载均衡,应用同步,数据同步复制,异地数据备份,1、异地容灾建设,在窄带宽下大数据量的异地容灾， 保障两端数据高度一致性和实时性， 同时节约经济成本；,一键式恢复/切换操作，管理简单， 缩短了容灾处理时间以业务单元（应用、数据库、服务IP）为视角进行业务切换；,能快速熟悉整个切换流程，提高切 换熟练度,基于回退区、保留策略实现数据库、表格和数据库粒度的回退,生产中心,容灾中心,业务容灾与数据备份应用业务容灾/备份与恢复技术，实施业务容灾与备份，

16、有效防止数据丢失后可及时恢复，业务故障后可及时接管。, 24 ,2、管理简单,3、误操作恢复,4、桌面演练,灾备库,数据安全共享交换：技术防控一,数据源,Oracle SqlserverMysql其他数据库,非结构化数据,业务系统,数据仓库,报表引擎,OLAP引擎,人工导入,抽取,抽取,数据抽取,数据加载,清洗 转换 标准化,ETL转换,数据目的,建立数据采集安全管理规范，明确数据采集的目的、用户、方式、范围、采集源等、对外部数据提供方或采集者 提供的数据必须进行合法性和正当性确认，满足合规要求。,采集安全管理, 25 ,接口设计规范：协议规范、格式规范数据类型识别：基于数据分类分级结 果数据

17、同步规则：同步频率和需求频度数据清洗规则：标准化定义，保持数 据一致性数据管控规则：元数据管理、主数据 管理数据采集安全：接口身份验证、连通 性检测、根据敏感数据情况、采取数 据脱敏、链路加密、采集审计等措施,数据安全共享交换：技术防控二,数据监管部门,数据需求单位 数据申请数据需求 数据使用,合规性审查功能：授权审计机制运营监管评估法律法规边界,共享交换平台,开 放 数 据 接 口,同 意 数 据 利 用,数据视图 查找资源,数据提供单位数据驱动 数据责任 提供数据,数据视图 开放资源,数据监管,接口设计/同步规则/安全交换,数据安全共享交换平台数据安全共享交换平台是集信息交换共享、安全防护

18、和安全管理为一体，可在确保在应用安全和数据安全的基础上，方便地与外部、内部与内部之间进行数据交换和信息共享。内网外网, 26 ,四项基本原则：,1.适度开放,有效管控联合审批权责清晰,多级交换体系，支持节点的横向和纵向扩展预置多种管理业务模式，简化建设管理步骤支持跨地域、跨部门、跨层级的数据交换技 术支撑体系的快速建设；预置多种数据交换功能，满足多样交换需求交换模式： 任务、流程； 共享模式：发布/订阅； 交换时效：定时、实时交换规则：内外网数据交换；,敏感数据识别：技术防控一,04,02业务流程梳理梳理业务与业务之间的流程关 系，业务流程本身的输入输出 上下文情况；补充每个业务流程涉及的属性

19、；,03业务流程分解识别各业务环节涉及的人、事、物，输入、输出、组件和数 据沉淀；输出业务流程图；根据梳理好的业务流程图，转,换成对应的数据流图；,01业务系统调研调研业务系统情况：建设目标、系统类型划分；系统运行架构、硬件支撑情况；使用者、用户来源和规模；06数据分级分类根据行业标准和特点对于数据资 产进行分类；将数据资产划分为公开、内部、 敏感等不同的敏感等级；,05业务关系梳理梳理业务与业务之间的关系业务流程逻辑、业务交互数据；业务权限分配、输入输出控制；访问权限控制、操作流程规范；,数据标准梳理对于业务数据按照主体、参考、 交易、统计进行分类，并梳理出 数据的技术标准和业务标准；补充和

20、整理完整的数据字典；,在数据治理的实际操作中，只有先发现数据，对数据进行有效分类，才能避免一刀切的控制方式，也才能对数据的 安全管理采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。,数据资产盘点, 27 ,数据安全保护始于数据资产治理,头痛医头 脚痛医脚,备份加密设备控制权限控制数据防泄漏（DLP）源代码审计、漏洞扫描局部的静态的少数人负责的突击式的事后纠正的,数据资产分布图数据资产传播图构建数据资产安全模型数据安全风险评估数据内容价值评估信息全过程动态控制,系统的动态的全面的常态化的前瞻性的,转变视角,探明数据分布 降低泄密风险,追溯数据传播 掌握数据流向,完成文件打标 挖掘数据

21、价值,提高利用效率 减少资源浪费,数据资产治理工程,数据安全保护技术,数据安全防控管理,有理有据，突显保护价值,科学认识现状，识别风险, 28 ,数据存储加密数据防勒索保护安全风险评估数据安全管控数据安全审计数据动态脱敏数据共享安全交换业务连续性数据安全服务.,医疗行业相关案例分析,肆, 29 ,案例一：数据安全内控建设案例,业务系统多业务系统多，数据流转时没有实施进一步的隐私化处理， 生产系统的数据流转到开发测试环境时，无法对数据进行 进一步保护。,外部运维人员多,项目背景清远市人民医院，又名广州医科大学附属第六 医院、广州医科大学第六临床学院，始建于 1939年，国家首批三级甲等医院，全国

22、百佳 医院，广东省博士后创新实践基地，国家住院 医师规范化培训基地目前的安全防护体系中缺失了对敏感数据的防 护手段，对业务系统数据来说，如何区分清楚 内部合法应用程序、外部黑客、内部维护人员、第三方维护人员的数据访问权限，是医院对 数据安全建设的主要需求。,业务系统数据库外包给第三方运维人员、管理员账号不 能很好的进行归集管理、第三方人员权限过高、不能进 行有效控制和审计。合规建设建设等保三级标准、满足医疗机构从业人员行为规范 、人口健康信息管理办法（试行）（国卫规划发【2014】24号）、关于促进和规范健康医疗大数据应 用发展的指导意见（2016年国务院发布）、网络安全 法等。, 30 ,案

23、例一：数据安全内控案例,运维查询数据动态脱敏运维DBA在需要查询数据库表格结构时，将表 格内容动态脱敏后返回，从根源上阻止运维 DBA接触敏感数据内容。以及开发测试环境中 大批量静态数据转移时脱敏,建设独立的运维管理区强制要求所有运维DBA、需要利用工具 登录数据库的人员必须在运维管理区通 过防水坝登录数据库，将所有数据库的 运维操作通过防水坝管理。,梳理医院系统敏感数据通过防水坝对核心数据进行梳理，协助用户明 确知道哪些数据属于敏感数据、敏感数据的存 放位置、访问路径及方式。,防范数据库勒索对数据库基表进行保护、同时对异常数据库 操作行为进行阻断告警，防范违规工具连接 导致的数据库勒索。, 31 ,案例二：容灾备份建设案例,实现异地远距离应用级容灾建设，本地核心数据定期备份机制。应用级容灾系统建设后，在生产系统和容灾系统之间形成可以相互切换，相互恢复的容灾关系生产系统出现异常或计划内维护时，切换至容灾系统，当生产端复原之后，容灾系统初始化后可以回切实现读写分离机制,备份一体机, 32 ,谢谢,