医疗机构数据库安全防护实践
//
2023年6月,美国Baptist Medical Center医疗中心发生重大数据泄漏事件,124万患者信息被泄露。2019年3月,黑客入侵了美国医疗检测巨头Quest Diagnostics的患者隐私信息的数据库,近1200万客户的记录遭泄漏。2018年8月,美国血液检测公司LabCorp数据库被入侵,770万名患者数据遭泄露,包含患者的姓名、生日、地址、电话号码、所欠或支付的金额等……
根据相关机构的调研数据显示,医疗行业是黑客重点关注的行业之一,相关安全事件比其他行业多出很多,造成的损失和影响最是最大的。数据对于医疗行业的业务发展至关重要,数据安全是医疗行业安全建设的重中之重。作为医疗行业核心数据的存储和管理工具,数据库自然成为了网络黑客攻击的主要目标。因此,加强对数据库的安全防护是每个医疗行业安全管理人员的重要任务。
对于某医院客户来说,数据库是其信息技术的核心与基础,存储着医院患者的个人隐私数据,是医院具有战略性的核心数据资产。数据库的安全稳定运行也直接决定着业务系统能否正常使用,为了实现对医院数据访问的安全管控和防护,急需提升和完善医院数据库的整体安全防护能力,以确保医院核心数据的安全和业务的稳定运行。
然而,要想提升和完善医院数据库的整体安全防护能力,该医院还存在着以下建设难点:
● 医疗业务场景下,数据库暴露面大:医疗场景下,通常多见CS架构的IT系统(HIS、LIS等),终端涉及多个分院、科室,且医护人员的终端可以直接访问存放核心医患数据的数据资产,业务的属性决定了核心数据暴露面极大,如果没有相应的限制访问措施,核心数据将很容易被窃取、篡改甚至销毁,会导致医疗机构数据泄露甚至业务中断,严重影响正常运转以及社会声誉。
● 用户现场数据库版本低导致存在诸多漏洞:多数医疗机构为了优先保障业务的连续性与稳定性,同时不具备专业技术能力进行迁移期间的稳定保障,无奈选择牺牲数据库系统的版本更新频率,不能及时进行数据库版本升级和补丁修复,导致普遍存在较多数据库漏洞。
● 运维人员权限过高无有效管控手段:医院系统和数据库通常都由HIS厂家等第三方人员驻场进行运维和管理,而三方运维人员往往权限过高,客户现场没有有效管理运维人员越权访问的手段,更无法避免误操作、敏感数据泄漏等高风险事件。
内防外御,安恒AiGate为医院数据库保驾护航
为了解决以上数据库安全建设面临的挑战,安恒信息为该医院客户推荐了安恒AiGate数据库安全网关系统(以下简称AiGate)。AiGate是安恒信息在多年数据安全访问控制理论和实践经验积累的基础上,集数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种功能一体的产品。目前,该产品已在多个行业被广泛应用,保障着用户的重要数据和敏感信息。
在该医院客户的数据库安全建设中,采用了两台AiGate设备,一台采用旁路阻断模式部署在了业务侧,一台采用反向代理模式部署在了运维侧。AiGate设备部署上线后,该医院所有访问数据库的流量均需要通过网关策略后才能放行,业务侧结合数据库隐身与虚拟补丁技术防护数据库漏洞,并同时在业务侧配置策略禁止运维侧人员身份访问,统一了访问入口。同时,在运维侧通过反向代理收紧数据库访问入口,减少运维侧数据库暴漏面,同时通过精细化授权管控用户访问行为。通过这样一套内防外御的解决方案,安恒AiGate有效帮忙该医院客户解决了数据库安全问题,保障了医院业务的安全、高效运行。
AiGate在该医院的成功部署,不仅帮助该客户有效解决了之前面临的数据库安全建设难点,还在以下几个方面实现了数据库安全的高效管理和对业务的有效保障。
安恒AiGate数据库安全网关之所以能得到客户的广泛认可,离不开安恒信息多年数据库安全访问控制理论和实践经验积累。AiGate集成了安恒信息市场领先的数据库协议解析技术,并在多年现场实战中不断打磨沉淀真实客户场景,钻研有效实用的安全策略,为客户打造出了全方位的数据库安全防护体系。AiGate更是在去年首批通过信通院“数据安全网关”专项评测,在安全管理要求、敏感数据探测、协议识别与解析方面均达到认证标准。