《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)將于2021年9月1日起施行。《數(shù)據(jù)安全法》的出臺對醫(yī)療數(shù)據(jù)的合規(guī)與安全提出了新要求。醫(yī)療行業(yè)應當依法提升數(shù)據(jù)安全意識,依法建立健全數(shù)據(jù)安全管理制度,同時要積極采用相關(guān)信息技術(shù)方案,依法對數(shù)據(jù)全生命周期(采集、傳輸、存儲、處理、交換、銷毀)進行保護,采取數(shù)字化、智能化的數(shù)據(jù)安全保護技術(shù)或產(chǎn)品,以實現(xiàn)或提升數(shù)據(jù)安全保護效率。

01三個視角看數(shù)據(jù)安全

《數(shù)據(jù)安全法》定義了一個明確的保護對象:數(shù)據(jù),指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)安全與傳統(tǒng)的網(wǎng)絡(luò)安全之間最大的區(qū)別是,后者沒有明確的保護對象,更多的是從攻擊行為來分析,并進行寬泛保護。數(shù)據(jù)安全本身和網(wǎng)絡(luò)安全是互補的關(guān)系:當保護對象確定后,相應的保護手段就會比較明確。

如圖1所示,數(shù)據(jù)安全保護應該從資產(chǎn)、風險、入侵三個視角開展。

圖1

資產(chǎn)視角—零信任V2．0

零信任安全(或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任)最早由約翰·金德維格(JohnKindervag)在2010年提出,美創(chuàng)科技同期并行提出零信任安全體系,并加以實踐,是全球最早的零信任安全體系架構(gòu)構(gòu)建者和實踐者之一。2020年,美創(chuàng)科技在零信任1．0架構(gòu)的基礎(chǔ)上提出了零信任2．0架構(gòu),其最核心的變化在于重新定義了邊界,讓零信任架構(gòu)變得更加清晰(如圖2所示)。

圖2

風險視角—風險治理V1．0

風險治理是人和技術(shù)的界面。“人”總是從風險來認知安全,也是安全管理的中軸線。美創(chuàng)科技提出了穩(wěn)定、可遵循的風險治理方法論V1．0,主張從六大維度來進行風險治理和評估,并且按照嚴重程度、發(fā)生概率構(gòu)建風險評分系統(tǒng),這六大維度分別是:資產(chǎn)、身份、行為、合規(guī)、入侵生命周期、訪問上下文。

入侵視角—入侵生命周期V1．0

傳統(tǒng)的入侵防護一般是根據(jù)不同階段所具有的固有特征,采用不同的防御手段,例如依據(jù)漏洞特點針對性地添加相關(guān)防護策略等。而入侵生命周期關(guān)注入侵過程中涉及的資產(chǎn)、身份和行為。

02為醫(yī)療行業(yè)數(shù)據(jù)安全護航

美創(chuàng)科技在數(shù)據(jù)安全建設(shè)方面持續(xù)領(lǐng)先,醫(yī)療行業(yè)是美創(chuàng)科技關(guān)注的重點行業(yè)之一,面向醫(yī)療行業(yè)推出數(shù)據(jù)安全綜合解決方案,如圖3所示。

圖3

現(xiàn)狀調(diào)研:從醫(yī)療數(shù)據(jù)域的角度看醫(yī)院的數(shù)據(jù)分布

《從醫(yī)院的五個數(shù)據(jù)域解剖安全風險》一文詳細分析了醫(yī)院的5個數(shù)據(jù)域(圖4):以患者服務為中心的生產(chǎn)數(shù)據(jù)域、以診斷治療改善為中心的數(shù)據(jù)利用域、以運營管理和改善為中心的數(shù)據(jù)利用域、以測試開發(fā)為中心的數(shù)據(jù)利用域、以交換和共享(互聯(lián)互通)為中心的數(shù)據(jù)流動域。此外,還有以流程管控為中心的管理領(lǐng)域,比如HRP、OA、采購、庫存、財務等。

圖4

安全治理:從未知到已知,從無序到有序

數(shù)據(jù)安全治理包括數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、數(shù)據(jù)分類分級、安全風險評估、安全建設(shè)規(guī)劃等幾個重要階段。只有做好數(shù)據(jù)安全治理,才能更清楚數(shù)據(jù)資產(chǎn)在哪里、風險有哪些,才能有的放矢地指導數(shù)據(jù)安全建設(shè)的方向。因此,數(shù)據(jù)安全治理是數(shù)據(jù)安全建設(shè)的重要前提,也是必要保障。

1)數(shù)據(jù)發(fā)現(xiàn)和分級分類

數(shù)據(jù)發(fā)現(xiàn)和分級分類已成為數(shù)據(jù)安全領(lǐng)域公認的基礎(chǔ)工程。其中,數(shù)據(jù)發(fā)現(xiàn)包括資產(chǎn)梳理,目的在于理清數(shù)據(jù)資產(chǎn)分布、數(shù)據(jù)流向,同時明確敏感數(shù)據(jù)的分布情況,確定敏感數(shù)據(jù)的U/C矩陣。

2)合規(guī)性評估和安全風險評估

在數(shù)據(jù)安全治理過程中,合規(guī)是基礎(chǔ)和底線。要全面學習《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法(草案)》等法律法規(guī),將組織現(xiàn)狀與其對標分析,以充分了解組織的數(shù)據(jù)安全合規(guī)情況。

數(shù)據(jù)安全風險評估則需參照國家標準《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T37988-2019),從組織建設(shè)、制度規(guī)范、技術(shù)工具和人員能力四個維度,對數(shù)據(jù)生命周期各個階段所采取的安全措施情況進行綜合評估后,得出的風險結(jié)果;基于現(xiàn)有數(shù)據(jù)安全能力評估結(jié)果,進一步分析與數(shù)據(jù)生命周期安全目標之間的差距,量化差距大小,再將分析的結(jié)果落實到數(shù)據(jù)生命周期各個階段的具體安全防護措施中。

3)定制化構(gòu)建數(shù)據(jù)安全體系

數(shù)據(jù)安全體系規(guī)劃是基于前面各階段的成果,量體裁衣,以業(yè)務需求為導向,采用層次化、開放式、SOA耦合架構(gòu),利用數(shù)據(jù)安全相關(guān)技術(shù)和理念定制化構(gòu)建的安全體系。數(shù)據(jù)安全體系遵循統(tǒng)一組織規(guī)劃建設(shè)、統(tǒng)一安全架構(gòu)設(shè)計、統(tǒng)一總體服務功能、統(tǒng)一安全管理的原則,覆蓋數(shù)據(jù)全生命周期管控、風險控制和資產(chǎn)保護等,幫助組織建立數(shù)據(jù)安全能力,并參考PDCA方法論持續(xù)治理。

如圖5所示,數(shù)據(jù)安全體系可分階段建設(shè),包括數(shù)據(jù)內(nèi)控合規(guī)、數(shù)據(jù)全域可管、數(shù)據(jù)全局可視等階段。

圖5

安全防護:多場景全方位保護數(shù)據(jù)安全

以數(shù)據(jù)為中心,數(shù)據(jù)在哪里,安全就在哪里。因此應根據(jù)數(shù)據(jù)所處場景,分別從內(nèi)部安全、入侵安全、數(shù)據(jù)流動安全、終端安全、云安全、運行安全等多個場景進行安全防護,如圖6所示。

圖6

1)內(nèi)部安全

內(nèi)部安全,是防止數(shù)據(jù)被內(nèi)部人員惡意操作或誤操作導致的數(shù)據(jù)破壞和數(shù)據(jù)泄露。主要包括幾大措施:針對數(shù)據(jù)庫管理員、安全管理員、數(shù)據(jù)管理員和審計管理員等“特權(quán)用戶”,將其權(quán)責分開,收回DBA特權(quán)用戶的數(shù)據(jù)訪問權(quán)限,讓其只能從事數(shù)據(jù)庫管理和維護工作;對訪問身份及應用進行分類,再根據(jù)數(shù)據(jù)分類分級結(jié)果,為不同的訪問身份授予不同類別、不同級別的數(shù)據(jù)訪問權(quán)限;對運維人員、開發(fā)人員返回脫敏后的數(shù)據(jù);對高危操作加以管控;對所有訪問事件進行審計以及日志記錄。

2)入侵安全

入侵安全是防止數(shù)據(jù)被外部攻擊。基于用戶身份鑒別、SQL白名單比對、SQL注入特征庫比對,根據(jù)事先定好的策略對SQL操作采取阻斷、告警、通過措施。另外還可通過自學習模型來發(fā)現(xiàn)用戶的異常SQL操作,及時阻斷或告警,以避免造成損失。

3)數(shù)據(jù)流動安全

數(shù)據(jù)流動才會產(chǎn)生更大價值,但如果沒有采取保護措施,數(shù)據(jù)就會走向失控。數(shù)據(jù)流動包括內(nèi)部流動和外部流動,如圖7所示,醫(yī)院數(shù)據(jù)流動包括如下幾個方向。對于不同的流動方向,應采取不同的保護措施,包括:靜態(tài)脫敏、動態(tài)脫敏、數(shù)據(jù)水印、數(shù)據(jù)加密等,同時對于所有的流動事件應進行審計和日志記錄。

圖7

4)終端安全

終端安全中包含的一個重要功能就是防勒索。僅允許可信任程序?qū)κ鼙Ｗo數(shù)據(jù)庫文件執(zhí)行相關(guān)操作(包括設(shè)置某些數(shù)據(jù)僅允許被指定應用程序訪問,設(shè)置某些應用程序僅允許訪問指定數(shù)據(jù),設(shè)置某些數(shù)據(jù)僅允許被生成它的應用程序訪問等);創(chuàng)建應用程序白名單,不在白名單的程序無法啟動。

5)云安全

云安全包括通過云災備來保護本地數(shù)據(jù)安全,以及保護云上數(shù)據(jù)的安全。不論是公有云、私有云、政務云、行業(yè)云,上云后數(shù)據(jù)越發(fā)集中,由于基礎(chǔ)設(shè)施、人為事故等帶來的災難范圍將會放大更多倍,所以更加需要做好數(shù)據(jù)保護。

6)運行安全

通過采取容災備份等措施,避免因自然災害、人為操作等原因?qū)е碌臉I(yè)務中斷,保障數(shù)據(jù)完整性和業(yè)務連續(xù)性,降低RPO和RTO值。此外,容災備份還支持:將容災對象資源池化管理,提供靈活編排可行性;一鍵切換開關(guān),使得切換過程不再復雜,保障準確性;提供桌面級模擬演練功能,讓演練常態(tài)化,保障系統(tǒng)可用性;支持在容災中進行數(shù)據(jù)恢復驗證,確保數(shù)據(jù)準確再反向同步還原;容災站點在線分擔生產(chǎn)負載或作為業(yè)務數(shù)據(jù)源,實現(xiàn)投資保護。

采用聚合全景大屏和單個資產(chǎn)聚焦大屏(如圖8所示),對所有數(shù)據(jù)庫對象實現(xiàn)聚合監(jiān)控及單一對象的詳細監(jiān)控,分層展示數(shù)據(jù)庫運行狀態(tài),實現(xiàn)直觀、精準、高效的運行風險可視化管理。運維人員可以直觀清晰地了解到各數(shù)據(jù)庫對象及其對應的業(yè)務系統(tǒng)的整體運行情況,確保業(yè)務系統(tǒng)的連續(xù)穩(wěn)定可用。告警自動關(guān)聯(lián)運維工具,實現(xiàn)告警發(fā)現(xiàn)到故障解決的運維閉環(huán)。

圖8

制度保障:組織建設(shè),制度保障

組織架構(gòu):建立健全的組織架構(gòu)是數(shù)據(jù)安全建設(shè)工作的基礎(chǔ),組織建設(shè)包括部門職責與人員角色確定及動態(tài)協(xié)同機制。

制度規(guī)范:組織需要建立制度規(guī)范,為數(shù)據(jù)安全建設(shè)提供約束和參考依據(jù),包括規(guī)章制度、管控辦法、考核機制、技術(shù)規(guī)范等。如:《數(shù)據(jù)分類分級指南》《數(shù)據(jù)安全管理制度》《數(shù)據(jù)安全應急響應管理制度》《數(shù)據(jù)安全人員管理規(guī)范》等。

通過以上四個階段的工作部署,醫(yī)療用戶才能進一步完善數(shù)據(jù)安全保護流程,滿足《數(shù)據(jù)安全法》等法律法規(guī)的要求,為數(shù)字化轉(zhuǎn)型保駕護航。