昂楷科技医疗行业数据安全治理解决方案

公司秉承“为客户创造价值是公司唯一存在理由”的经营方针，狠抓“踏踏实实做人，扎扎实实做产品”的服务理念，以“不做关系型产品”为座右铭，以IPD流程为经营服务理念的落地保障；始终坚持自主研发、大力投入研发，以市场需求为导向，在数字化的浪潮里，走在行业的最前沿。

【解决方案描述】

1.1医疗数据的现状

医院信息系统是支撑医疗体系改革的“四梁八柱”之一，是计算机技术对医院管理、临床医学、医院信息管理长期影响、渗透以及相互结合的产物，它与医院建设和医学科学技术的发展同步。然而随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下，屡禁不止的违规统方，核心数据泄密行为一直来困扰着各级医疗机构。

1.2医疗数据安全面临的威胁

主要体现在如下三个层面：

◆管理层面：

主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

◆技术层面：

为保护数据库信息的安全性，制定了相应的管理制度，但没有相应的技术手段进行控制。

数据库安装部署及HIS系统开发时，使用数据库默认配置、缺省口令、默认权限等现象普遍存在。

现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露医院机密信息等行为。

◆安全防护层面：

现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:防统方功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性，同时数据文件较多，很难从中及时找出非法统方的信息，对于危险行为在无法识别的前提下更是无法精准阻断。

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息及统方信息窃取泄漏，但事后却无法有效追溯和审计，更无法进行有效防护。

1.3安全需求分析

针对医院存在的现状问题及面临的数据库安全威胁，当前需要建立一套数据库安全防护体系，全方位保护数据库的安全，特别是对可能造成重大后果的批量信息泄漏进行重点监控。具体需求如下：

1）对来自内外部的运维人员进行集中管控。

2）针对高危数据删除、数据导出操作能及时阻断，并预警。

3）能发现合法用户的非法操作。

4）监测特权用户，防止权限滥用。

6）实现敏感数据的模糊化，确保敏感数据信息安全可靠。

7）数据泄露可视、可控。

1.4场景维度

1.4.1汇聚中心数据安全&临床研究数据安全

临床研究数据一般是指由医院、学术研究机构和医疗企业发起的，以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究，所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息

在此场景下，参与临床研究的医患及有关信息，在通过专线、互联网线路、VPN等链路进行传输，被临床试验电子系统的用户进行访问或被交由医疗机构进行存储和使用等过程中面临诸多数据安全风险。

此场景下，汇聚中心涉及跨机构数据汇聚，集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息，A医院医生会通过汇聚中心调阅某患者在B医院就诊时的健康医疗信息。

医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同，需要在各医疗机构、医联体信息平台之间实现数据（电子病历、电子健康档案等）的互联互通与信息共享。

远程医疗是医疗机构邀请其他医疗机构为患者提供技术支持等医疗活动时，要运用通讯、网络等技术手段，过程中涉及近端/远端医院、患者，以及远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方参与。

此场景下，近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。

1.4.3互联互通数据安全&远程医疗数据安全

在此场景下，健康传感数据在采集、存储、使用阶段均存在着不同的安全隐患，应评估各个阶段的安全风险并针对安全风险建立安全防护手段以保证健康传感数据的安全。

移动应用数据是指通过网络技术为个人提供在线健康医疗服务（如在线问诊、在线处方）或健康医疗信息服务应用（如个人电子健康档案）中设有涉及的个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息。

1.4.4互联互通数据安全&远程医疗数据安全

医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据，影像系统可能涉及病人的影像和影像诊断报告，检验系统可能涉及病人的检验、检查报告及检验结果；

此场景下，投保用户的健康医疗信息将由医疗结构向商业保险机构进行披露，因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险。

如果双方在数据对接的前、中、后三个阶段中，没有形成具有法律约束性的、权责分明的正式协议，没有建立起有效的数据管理机制，则可能导致商保对接数据的泄露。

医疗数据库安全治理方案

2.1数据库安全治理思路

昂楷科技针对目前数据库存在的安全问题，从数据的生命周期：产生、清洗、存储、传输、共享、使用、销毁等全过程监控与防御，及时发现数据及数据仓库的异常，在不影响现有业务的情况下形成数据“堡垒”，以“精准可视、安全可控”为方案前提，在事前、事中、事后，从防范、控制、追溯等不同阶段、不同维度进行安全保障。整体方案将围绕数据安全从数据库的破坏（攻击）、数据泄露、数据篡改三个方面，并结合国家下达的要求进行数据安全的治理。

2.2数据库安全评估

2.2.1漏洞库支持

拥有全面的漏洞库，全面支持CVE、CNNVD披露的数据库安全漏洞，并按高、中、低、信息四个级别进行不同层级的漏洞威胁排列。

2.2.2配置管理

内置数据库安全配置基线，定期扫描，周期性监控数据库配置偏差，反映当前安全状况相对于基线的变化，并生成扫描报告。

2.2.3扫描策略

提供全面扫描、基本扫描、配置缺陷扫描等多种扫描策略，可根据不同的应用场景灵活使用。

2.2.4合规性要求

支持PCI/DSS、网络安全等级保护等安全认证标准合规扫描，协助用户实现PCI/DSS合规性评估，网络安全等级保护自测评等要求。

2.2.5弱口令检测

2.3数据行为全程监控防御

2.3.1从建立连接到操作结束全程监控

此方案中将用户登陆、数据操作、退出整个过程无死角监控，其中包括账号登陆、注销、数据的增删改、视图创建、表结构的更改、权限变更、导库等各类数据库操作进行全面监控与审计。

操作行为内容和描述

审计功能支持嵌套、函数、绑定变量、长语句、返回结果、脚本等复杂等操作行为的审计。深度识别和立体分析，不漏审、不误审，准确防范各种危险行为，能够防范黑客级“高手”，让其无可遁形

2.3.2“三层架构”审计，可定位到人

目前业务系统大都开始转向基于三层架构部署的，即采用前台浏览器、中间件或Web服务器以及后台数据库服务器的三层部署方式。在这种部署方式中，所有对后台数据库访问都是通过Web应用服务器或中间件来执行的，前端用户并不会直接对数据库进行操作。而目前主流的数据库审计类产品通常都是针对后台数据库的访问行为进行记录和审计，这就产生了一个问题，即在定位数据库操作的具体执行者时，无法关联到Web前台的访问者。

2.3.3内置防攻击规则，可有效检测SQL注入等黑客攻击

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。此方案中内置防攻击规则，可有效检测SQL注入等黑客攻击。

2.3.4组合规则，可有效检测APT攻击

所谓ATP攻击就是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。此方案满足用户的自定义组合规则，对ATP攻击进行检测。

2.3.5数据库连接工具及非法IP监控

此方案可自动扫描连接数据库的访问工具。从访问数据库的源头进行分析，应用系统和客户端工具根据不同的数据库类型可通过ODBC、JDBC、直连等方式连接数据库，直接连接工具如Winsql，Plsql及CS架构的客户端工具等，如果发现审计记录中出现未知的数据库连接工具或出现规定之外的连接工具，审计员可根据工具监控记录分析出使用过该工具的IP及关联的操作记录，进而取证使用该工具的源头及操作的合法性。

2.3.6定向行为分析，取证得心应手

2.3.7独特的报表功能

2.3.8安全阻断数据库异常操作

此方案功能在于对数据库危险操作的阻断或者拦截，对数据库风险行为的预定义防护，达到DB外层防护圈的作用，主要是出现在应用服务器与数据库服务器之间的应用侧场景，维护人员与数据库服务器之间的维护侧场景，还有就是两种场景混合的情况。

1)精准拦截

用户可以根据不同的条件：关键字、操作类型、客户端MAC、客户端IP、操作系统主机名、操作系统用户名、进程名、数据库账号、操作语句长度、表名、返回行数等，设置阻断。

例如凡是在凌晨1-5点的操作，都视为高危操作，只要操作，就会阻断。

2)应用协议智能识别控制

可自动识别DBA协议、运维协议、黑客访问、应用软件等，可以对包括Oracle，MySQL，sqlserver，Telnet、SSH等不同的协议并发进行解析，极大的提供解析效率。

智能识别应用协议：

3)内置AI

提供学习期以完成对应用访问数据库行为的建模，学习期提供两种模式：

初始化模式：针对应用系统初始建模，捕获所有应用访问SQL语句，形成语法抽象；提供语句的风险输出，生成阻断规则库。

完善模式：针对应用的变更，保留已有学习结果，完善新的SQL语句，形成新的阻断规则库。

4)多种工作模式

支持审计模式和防火墙模式在线切换，不需要重启设备。在审计模式下，收到的报文会快速转发出去，即使触发了阻断规则，也不会对操作进行阻断；在防火墙模式下，可以阻断命中规则的报文。

在防火墙模式下，可针对单个审计对象配置不同的模式，模式可选择“审计”“串联阻断”，这样可以方便客户自由选择，哪些数据库需要阻断，哪些数据库只需要审计，在一个网络下，可以部署一台数据库防火墙，对于流量小重要的数据库，可以配置为“串联阻断”，对于流量大不那么重要的数据库，可以配置为“审计”模式。

5)多维度的线索分析

2.4大数据生命周期的安全审计

通过对大数据安全使用的监控与审计，能够精准识别大数据库通讯协议，记录与跟踪对大数据平台(如HADOOP等)核心数据库进行的操作行为，将数据的各个属性值以多维数据的形式表示，从不同的维度观察，从而达到对大数据库访问行为的安全监控与审计。

在网络中旁路部署昂楷大数据库安全审计系统，将交换机的流量镜像到大数据库安全审计系统中，对流量进行全面分析。

2.4.1方案设计的目标

审计作为一项经济监督活动，是对被审计单位信息的真实完整性、经济行为的合规性进行鉴证。鉴证的进行依赖于数据，“大数据”时代的到来给审计工作的飞跃带来了不可多得的机会。大数据大量化、多样化和快速化的特点与审计监督活动相结合，必将产生巨大的社会效用。

Hadoop是目前大数据使用最广泛的框架之一,其数据库HBASE是采用分布式文件系统核心技术的新型NOSQL数据库,也是俗称的大数据数据库。该数据库有丰富的SQL及NOSQL工具及对外开放的软件接口，需要全面进行监控审计。

2.4.2方案功能特点介绍

1.大数据的支持

大数据库审计按照大数据安全需求设计，通过双向审计机制，全面覆盖WEB应用、数据库客户端、数据库接口。利用大数据库安全监控技术手段，实时了解数据库的使用情况，筛选、记录核心数据的访问和使用过程，及时对违规事件进行告警，达到“事前预防+事中防范十事后取证”的立体防御效果。

2.主流大数据库及多种协议、接口支持

支持对大数据平台下的MongoDB、Solr、redis、HBase等数据库协议的识别，如：对Hbase的审计，包括HIVE审计，支持hive-hwi、hive-view的操作的审计，HUE的操作审计，RESTAPI接口审计，JDBC、API接口调用的审计。

审计效果汇总图如下：

审计效果详细信息如下：

2.5数据库健康指标监控

2.5.1数据库运行生命周期的监控

查看被监控数据库，从添加到状态监控系统以来的历史状态，可用于定位被监控数据库是否有连接异常的情况。能够监控多种异常情况，如：宕机、关闭数据库服务、数据库服务异常、会话数爆满等，记录状态如下图所示：

2.5.2数据库活动状态

此功能主要提供由各种等待事件类型导致等待的活动会话数。当某个等待类型上的等待事件活动会话个数存在或者有多个时，可能会引起系统对应的某种对应操作阻塞，监视效果如下图：

柱状图显示参数解释：

SystemI/O：由后台进程的I/O操作引起的等待事件，例如：数据库写进程等待。

UserI/O：由用户I/O操作引起的的等待事件。

scheduler：由系统资源管理引起的等待事件。

Queueing：在流水线环境中获取附加数据的延迟的事件。

cluster：与RAC的资源有关的等待事件，例如:全局缓存资源。

Commit：在提交之后等待重做日志写入确认，即等待日志文件同步,例如:logfilesync。

Application：用户应用程序代码等待，例如:由行级锁定或显式锁定命令引起的锁定等待。

Other：在系统上不应该发生的等待，例如:waitforEMONtospawn。

2.5.3数据库阻塞活动

2.5.4Oracle活跃事务

通过活跃事务可以查看当前正在执行的事务，通过这些信息了解数据库执行次数较多的事务了解数据库的运行状况。可以查询历史的数据，也可以查询实时的活跃事务，每五秒进行一次数据刷新。

注：活动状态、阻塞活动、活跃事务三个功能可进行联合排查。例如：先手查看活动状态UserI/O参数在柱状图上是否有值异常过高的显示，如果有，通过介绍得知UserI/O是由用户I/O操作引起的的等待事件，就可以同时查看阻塞活动和活跃事务去排查问题。

2.5.5OracleAWR报告

2.5.6OracleASH报告

ASH以V$SESSION为基础，每秒采样一次，记录活动会话等待的事件。相对于AWR报告，ASH侧重于当前数据中活动会话的信息分析，主要用于查看会话级别的性能分析。

2.5.7监控报告

2.5.8Oracle监控墙

2.6云数据库监控

虚拟化实施前，很多单位已经有一定的信息化基础，在已有的软硬件网络条件下逐步在引入虚拟化，即部分应用系统部署在虚拟化环境下，其他部分仍然是传统的应用和数据库服务器网络环境。虚拟化平台下数据库审计是实现安全合规必不可少的设备，而传统的数据库审计技术在新的虚拟化平台下存在一定的局限性。

虚拟化环境或者云平台由于内部的虚拟交换机流量很难镜像或者无法镜像，因此传统的数据库审计解决方案不足以应对虚拟化和云平台的数据库审计需求。

2.6.1旁路部署，采用传统物理交换机引流技术

私有云架构下一般用于中小型企业内部虚拟化建设使用，实际访问流量还需经过客户的硬件交换机，这种架构，与传统的信息化架构从数据库审计的角度分析，没有本质差别，仍然可以沿用交换机旁路抓报的技术。

如下图所示，此环境下数据库服务器和应用服务器分开在不同虚拟化环境下，所有交互流量及客户端访问数据库流量均需通过物理交换机，此场景下只需采用传统硬件部署方式在物理交换机上进行传统引流即可。

2.6.2旁路部署，采用虚拟交换机引流技术

如下图所示，此环境下数据库服务器和应用服务器在用一个虚拟化环境下，此环境下流量无法通过物理环境出来，需将云数据库审计以软件环境方式部署，通过Vmware引流技术进行流量数据采集

2.6.3大型云平台虚拟交换机引流

在大型云平台架构下，由于物理主机，应用服务器，数据库服务器，网络交换，软交换的拓扑的大型化和复杂性，就不能再采用引流技术来实现。

这个时候我们的解决方案是将数据库审计监控系统由硬件形态转变为虚拟化软件形态，直接驻留在云平台中，直接在虚拟交换网内部对数据库进行审计及监控。此时数据库审计监控手段转变成云平台中的一个安全组件，就象“云防火墙”一样。这种情况下，需要对虚拟交换网络的配置进行更改，在虚拟交换内部，对需要监控的DB,APP，做流量镜像，将流量引入到我们的数据库审计中来，从而完成审计监控。如下图所示：

1）基于各种云平台的虚拟交换机vSwitch引流技术如VMware虚拟化下面的分布式虚拟交换机、华为云下FusionSphere管理平台上虚拟交换机镜像

2）基于网络三层协议GRE隧道引流技术，如青云平台API接口提供的GER隧道引流、VMware虚拟化下基于GRE的虚拟引流

2.6.4轻量级插件方式

通过在虚拟主机上部署Agent，这种解决方案由Agent采集报文，然后将报文发给云数据库审计统一检测、告警、存储及挖掘分析，解决了云环境无法引流的难题。

云环境Agent插件方式，插件程序更小，资源占用更低，对数据库“零”影响。

2.6.5支持多种云架构

昂楷云数据库审计支持目前市场上主流的云平台架构例如：VMwarevCloud、Openstack、微软Hyper-V、CloudStack、ApacheMesos,可实现云环境关联配置。

2.7敏感数据去隐私化

2.7.1敏感数据自动发现

脱敏系统可通过预定义敏感数据特征库，在任务执行过程中通过智能匹配识别敏感数据，最大限度的实现脱敏工作自动化，避免按字段名手工方式定义敏感数据的繁琐工作。

2.7.2丰富的脱敏算法灵活使用

脱敏系统内置同义替换、数据遮蔽、随机替换、偏移、加密和解密、随机化、可逆脫敏等多种脱敏规则，内置十多种中国本地隐私数据类型的漂白规则和算法，可根据实际的应用场景灵活使用。

2.7.3全面兼容各数据库类型

支持OracleE-BusinessSuite、PeopleSoft、Siebel、数据仓库等；支持Oracle、IBMDB2、MicrosoftSQLServer、MySQL、Informix等；支持HP-UX、IBMAIX、OracleSolaris、Linux、MicrosoftWindows等。

2.7.4支持脱敏有效性验证

在脱敏实际使用过程中，因生产环境中数据或数据结构频繁发生变化，会出现脱敏失效的情况，昂楷脱敏系统可对脱敏后的数据进行验证，确保脱敏工作准确有效的执行。

2.7.5可实现对敏感数据字典管理

实现敏感数据类型的统一管理，保证组织内的敏感数据具有相同脱敏策路，保证系统的脱敏结果一致性。

2.7.6灵活配置敏感数据抽取与卸载

系统内置灵活的数据抽取功能模块，可根据实际的业务需求，有选择性的抽取需要脱敏的数据，适应不同的业务需求；脱敏任务完成之后，可根据要求自动将脱敏形成的数据装载到不同的数据库或者文件之中。

2.7.7数据脱敏审计报告快速审计

【案例用户】

北京协和医院

项目介绍

北京协和医院，中国最好的医院，集医疗、科研、教学为一体的大型综合医院，在世界医疗领域也是久负盛名，志在建成“亚洲最好的医学中心”。昂楷数据库审计系统为协和医院信息中心提供数据库监控和安全服务，保护客户包括HIS、LIS、PACS在内的主要业务系统，涉及客户隐私、科研成果、药品使用等大量一类极度敏感数据，院方要求杜绝数据使用过程中的安全隐患。

项目需求

协和医院使用东华的HIS内有大量敏感数据，需要对新一代后关系型数据库Caché五种工具实现全面监控，同时要明确数据库接入者真实身份，核查准入权限，识别访问行为，标记高危动作，阻断威胁，防止统方……

院内数据越重要，隐患便严重，安全事件越敏感，需求便越迫切

解决方案

对Caché进行全协议解析，实现五种工具全面监控

通过“六元组”建立电子身份准入，明确接入者身份、核查访问权限

通过“十八要素”建立行为安全核查，识别访问是否越权，标记高危动作

通过安全访问模型，阻断攻击，屏蔽威胁

深度适配HIS业务，提供防统方服务

方案效果

测试过程中，客户需求只有昂楷可以满足，方案的落地使所有对客户数据库的访问：精准可视，安全可控

直观效果：对数据库及核心业务HIS应用全方位监控记录并及时告警，准确定位到人

实时告警：违规接入和越权操作实时短信通知DBA，统方行为以邮件形式通知纪检部门，无需24小时监控，遏制统方行为的发生

全类报表：内置种类丰富报表，快速合规，并可以自定义需求报表

深圳宝安区人民医院

对医院的信息系统建立全面的操作审计，从技术层面做到有效监控，事后追溯定位。

各类敏感医疗信息数据要做到全面保护，防止敏感信息泄露；

信息系统运维人员分散，还有些是第三方运维人员，日常运维操作管理缺乏有效的技术监督、管控手段，需要加强管理水平；

数据库审计系统，对医院各类信息系统、运维人员访问数据库的所有操作进行全面监控审计，形成审计日志，便于事后追溯。

数据库防火墙系统，单臂部署，运维人员访问数据库的操作必须经过数据库防火墙，精准管控各种操作行为，非法操作及时阻断。

数据脱敏系统，自动识别各种敏感数据，在共享交换、实时查看等过程中先进行脱敏处理，保护敏感信息不被泄露

整套解决方案，帮助用户建立了事前预防、事中管控、事后追溯的防控体系，有效提升了用户的数据安全管理水平；

医疗敏感数据的保护是个人信息保护的重点，解决方案的落地，也帮助医院满足了法律法规要求。

天津北辰卫健委区域防统方

对区属医院、社区卫生服务中心的统方行为实时监控，及时预警、处置；

区卫健委能集中对下辖医院的统方风险实时查看、监管处置情况，且能对部署在医院的防统方系统进行集中管理

在本地专网核心交换机部署昂楷防统方系统，对HIS系统的访问实时监控，根据事先设置的防统方策略规则，对各类数据操作行为进行细料度、多层溯源分析，通过“六元组”精准定位到人，实现违规统方行为的可监控、可审计、可追溯，并通过短信及时告警。

区卫健委部署集中管理平台，对下属医疗机构的防统方系统统一监管，集中下发策略，风险上报，可视化报报表统计各个社区风险处理情况。

昂楷区域防统方方案的落地，既满足了政策要求，又达到了审计监管的目的，实现了防统方手段从制度约束到技术管理的跨越，使工作人员从技术上远离统方禁区，有助于医院行风建设，树良好公众形象。集中+分布的方式，使监管机构也提升了监管效率，对下属医疗机构的风险能做到实时掌握。