《中華人民共和國數據安全法》(簡稱《數據安全法》)將于2021年9月1日起施行�！稊祿�安全法》的出臺對醫(yī)療數據的合規(guī)與安全提出了新要求。醫(yī)療行業(yè)應當依法提升數據安全意識,依法建立健全數據安全管理制度,同時要積極采用相關信息技術方案,依法對數據全生命周期(采集、傳輸、存儲、處理、交換、銷毀)進行保護,采取數字化、智能化的數據安全保護技術或產品,以實現或提升數據安全保護效率。

01三個視角看數據安全

《數據安全法》定義了一個明確的保護對象:數據,指任何以電子或者其他方式對信息的記錄。數據安全與傳統(tǒng)的網絡安全之間最大的區(qū)別是,后者沒有明確的保護對象,更多的是從攻擊行為來分析,并進行寬泛保護。數據安全本身和網絡安全是互補的關系:當保護對象確定后,相應的保護手段就會比較明確。

如圖1所示,數據安全保護應該從資產、風險、入侵三個視角開展。

圖1

資產視角—零信任V2．0

零信任安全(或零信任網絡、零信任架構、零信任)最早由約翰·金德維格(JohnKindervag)在2010年提出,美創(chuàng)科技同期并行提出零信任安全體系,并加以實踐,是全球最早的零信任安全體系架構構建者和實踐者之一。2020年,美創(chuàng)科技在零信任1．0架構的基礎上提出了零信任2．0架構,其最核心的變化在于重新定義了邊界,讓零信任架構變得更加清晰(如圖2所示)。

圖2

風險視角—風險治理V1．0

風險治理是人和技術的界面�！叭恕笨偸菑娘L險來認知安全,也是安全管理的中軸線。美創(chuàng)科技提出了穩(wěn)定、可遵循的風險治理方法論V1．0,主張從六大維度來進行風險治理和評估,并且按照嚴重程度、發(fā)生概率構建風險評分系統(tǒng),這六大維度分別是:資產、身份、行為、合規(guī)、入侵生命周期、訪問上下文。

入侵視角—入侵生命周期V1．0

傳統(tǒng)的入侵防護一般是根據不同階段所具有的固有特征,采用不同的防御手段,例如依據漏洞特點針對性地添加相關防護策略等。而入侵生命周期關注入侵過程中涉及的資產、身份和行為。

02為醫(yī)療行業(yè)數據安全護航

美創(chuàng)科技在數據安全建設方面持續(xù)領先,醫(yī)療行業(yè)是美創(chuàng)科技關注的重點行業(yè)之一,面向醫(yī)療行業(yè)推出數據安全綜合解決方案,如圖3所示。

圖3

現狀調研:從醫(yī)療數據域的角度看醫(yī)院的數據分布

《從醫(yī)院的五個數據域解剖安全風險》一文詳細分析了醫(yī)院的5個數據域(圖4):以患者服務為中心的生產數據域、以診斷治療改善為中心的數據利用域、以運營管理和改善為中心的數據利用域、以測試開發(fā)為中心的數據利用域、以交換和共享(互聯互通)為中心的數據流動域。此外,還有以流程管控為中心的管理領域,比如HRP、OA、采購、庫存、財務等。

圖4

安全治理:從未知到已知,從無序到有序

數據安全治理包括數據資產發(fā)現、數據分類分級、安全風險評估、安全建設規(guī)劃等幾個重要階段。只有做好數據安全治理,才能更清楚數據資產在哪里、風險有哪些,才能有的放矢地指導數據安全建設的方向。因此,數據安全治理是數據安全建設的重要前提,也是必要保障。

1)數據發(fā)現和分級分類

數據發(fā)現和分級分類已成為數據安全領域公認的基礎工程。其中,數據發(fā)現包括資產梳理,目的在于理清數據資產分布、數據流向,同時明確敏感數據的分布情況,確定敏感數據的U/C矩陣。

2)合規(guī)性評估和安全風險評估

在數據安全治理過程中,合規(guī)是基礎和底線。要全面學習《網絡安全法》《數據安全法》《個人信息保護法(草案)》等法律法規(guī),將組織現狀與其對標分析,以充分了解組織的數據安全合規(guī)情況。

數據安全風險評估則需參照國家標準《信息安全技術 數據安全能力成熟度模型》(GB/T37988-2019),從組織建設、制度規(guī)范、技術工具和人員能力四個維度,對數據生命周期各個階段所采取的安全措施情況進行綜合評估后,得出的風險結果;基于現有數據安全能力評估結果,進一步分析與數據生命周期安全目標之間的差距,量化差距大小,再將分析的結果落實到數據生命周期各個階段的具體安全防護措施中。

3)定制化構建數據安全體系

數據安全體系規(guī)劃是基于前面各階段的成果,量體裁衣,以業(yè)務需求為導向,采用層次化、開放式、SOA耦合架構,利用數據安全相關技術和理念定制化構建的安全體系。數據安全體系遵循統(tǒng)一組織規(guī)劃建設、統(tǒng)一安全架構設計、統(tǒng)一總體服務功能、統(tǒng)一安全管理的原則,覆蓋數據全生命周期管控、風險控制和資產保護等,幫助組織建立數據安全能力,并參考PDCA方法論持續(xù)治理。

如圖5所示,數據安全體系可分階段建設,包括數據內控合規(guī)、數據全域可管、數據全局可視等階段。

圖5

安全防護:多場景全方位保護數據安全

以數據為中心,數據在哪里,安全就在哪里。因此應根據數據所處場景,分別從內部安全、入侵安全、數據流動安全、終端安全、云安全、運行安全等多個場景進行安全防護,如圖6所示。

圖6

1)內部安全

內部安全,是防止數據被內部人員惡意操作或誤操作導致的數據破壞和數據泄露。主要包括幾大措施:針對數據庫管理員、安全管理員、數據管理員和審計管理員等“特權用戶”,將其權責分開,收回DBA特權用戶的數據訪問權限,讓其只能從事數據庫管理和維護工作;對訪問身份及應用進行分類,再根據數據分類分級結果,為不同的訪問身份授予不同類別、不同級別的數據訪問權限;對運維人員、開發(fā)人員返回脫敏后的數據;對高危操作加以管控;對所有訪問事件進行審計以及日志記錄。

2)入侵安全

入侵安全是防止數據被外部攻擊。基于用戶身份鑒別、SQL白名單比對、SQL注入特征庫比對,根據事先定好的策略對SQL操作采取阻斷、告警、通過措施。另外還可通過自學習模型來發(fā)現用戶的異常SQL操作,及時阻斷或告警,以避免造成損失。

3)數據流動安全

數據流動才會產生更大價值,但如果沒有采取保護措施,數據就會走向失控。數據流動包括內部流動和外部流動,如圖7所示,醫(yī)院數據流動包括如下幾個方向。對于不同的流動方向,應采取不同的保護措施,包括:靜態(tài)脫敏、動態(tài)脫敏、數據水印、數據加密等,同時對于所有的流動事件應進行審計和日志記錄。

圖7

4)終端安全

終端安全中包含的一個重要功能就是防勒索。僅允許可信任程序對受保護數據庫文件執(zhí)行相關操作(包括設置某些數據僅允許被指定應用程序訪問,設置某些應用程序僅允許訪問指定數據,設置某些數據僅允許被生成它的應用程序訪問等);創(chuàng)建應用程序白名單,不在白名單的程序無法啟動。

5)云安全

云安全包括通過云災備來保護本地數據安全,以及保護云上數據的安全。不論是公有云、私有云、政務云、行業(yè)云,上云后數據越發(fā)集中,由于基礎設施、人為事故等帶來的災難范圍將會放大更多倍,所以更加需要做好數據保護。

6)運行安全

通過采取容災備份等措施,避免因自然災害、人為操作等原因導致的業(yè)務中斷,保障數據完整性和業(yè)務連續(xù)性,降低RPO和RTO值。此外,容災備份還支持:將容災對象資源池化管理,提供靈活編排可行性;一鍵切換開關,使得切換過程不再復雜,保障準確性;提供桌面級模擬演練功能,讓演練常態(tài)化,保障系統(tǒng)可用性;支持在容災中進行數據恢復驗證,確保數據準確再反向同步還原;容災站點在線分擔生產負載或作為業(yè)務數據源,實現投資保護。

采用聚合全景大屏和單個資產聚焦大屏(如圖8所示),對所有數據庫對象實現聚合監(jiān)控及單一對象的詳細監(jiān)控,分層展示數據庫運行狀態(tài),實現直觀、精準、高效的運行風險可視化管理。運維人員可以直觀清晰地了解到各數據庫對象及其對應的業(yè)務系統(tǒng)的整體運行情況,確保業(yè)務系統(tǒng)的連續(xù)穩(wěn)定可用。告警自動關聯運維工具,實現告警發(fā)現到故障解決的運維閉環(huán)。

圖8

制度保障:組織建設,制度保障

組織架構:建立健全的組織架構是數據安全建設工作的基礎,組織建設包括部門職責與人員角色確定及動態(tài)協同機制。

制度規(guī)范:組織需要建立制度規(guī)范,為數據安全建設提供約束和參考依據,包括規(guī)章制度、管控辦法、考核機制、技術規(guī)范等。如:《數據分類分級指南》《數據安全管理制度》《數據安全應急響應管理制度》《數據安全人員管理規(guī)范》等。

通過以上四個階段的工作部署,醫(yī)療用戶才能進一步完善數據安全保護流程,滿足《數據安全法》等法律法規(guī)的要求,為數字化轉型保駕護航。