【客戶案例】中(zhōng)國(guó)醫(yī)科(kē)大學(xué)附屬盛京醫(yī)院

中(zhōng)國(guó)醫(yī)科(kē)大學(xué)附屬盛京醫(yī)院

數據庫攻擊預防+虛拟補丁數據安(ān)全運維災備一體(tǐ)化平台數據脫敏

中(zhōng)國(guó)醫(yī)科(kē)大學(xué)附屬盛京醫(yī)院是一所大型綜合性現代化數字化大學(xué)附屬醫(yī)院，有(yǒu)南湖(hú)、滑翔和沈北三大醫(yī)療院區(qū)，均位于遼甯省沈陽市，總建築面積69.20萬平方米；盛京科(kē)創中(zhōng)心位于遼甯省本溪市高新(xīn)區(qū)“中(zhōng)國(guó)藥都”，建築面積15.21萬平方米。醫(yī)院三大醫(yī)療院區(qū)一個科(kē)創中(zhōng)心實行一體(tǐ)化管理(lǐ)，保障醫(yī)院的協調運行和高速發展。醫(yī)院是國(guó)内第一家擁有(yǒu)中(zhōng)國(guó)馳名(míng)商(shāng)标的綜合性醫(yī)院。

需求分(fēn)析

盛京醫(yī)院，存儲的電(diàn)子病曆數據有(yǒu)至少50T、影像數據500T。為(wèi)了方便管理(lǐ)，醫(yī)院不得不把一個庫分(fēn)作(zuò)曆史庫、在線(xiàn)庫兩個分(fēn)批儲存。終端無紙化越多(duō)，也就意味着醫(yī)療數據越多(duō)，管理(lǐ)、前移和保護的難度也會随之增加。

對于醫(yī)院内部，在每次進行數據庫間的倒換數據時，需要付出大量的人力和時間代價。往往一個數據庫的信息導入另一個，需要兩天兩夜的時間。

對于防護難度而言，海量數據的錄入、讀取和存儲都是一項項“大工(gōng)程”。曾經，醫(yī)院嘗試采用(yòng)磁盤備份重要的資料數據，但時間一長(cháng)，這些資料會随着磁條老化而消失，需要時則派不上用(yòng)場。

對于醫(yī)院外部，醫(yī)院資料數據中(zhōng)包含全部病人的病例，其中(zhōng)姓名(míng)、病情、住址、電(diàn)話等信息一應俱全，甚至有(yǒu)的數據還保存着病人的基因信息。不少人深知醫(yī)院數據有(yǒu)多(duō)值錢，因此不知道在醫(yī)院周圍，有(yǒu)多(duō)少雙眼睛盯着這裏，垂涎欲滴地望着這裏。

此外，面對日益增多(duō)的醫(yī)療數據安(ān)全事件，監管部門也對各國(guó)醫(yī)院采取嚴抓嚴打的措施，一旦觸犯相關條例，輕則勒令整改，重則行政處罰。

So，醫(yī)院數據安(ān)全的痛點最容易被敵人看成是突破口呢(ne)？

首先，是安(ān)全運維能(néng)力有(yǒu)待提升。

醫(yī)院數據的安(ān)全工(gōng)作(zuò)，是一個繁瑣且費時費力的活。正如上述，醫(yī)院信息化越健全，軟硬資源越多(duō)，數據庫也就越多(duō)越大，巡檢任務(wù)重、時間間隔長(cháng)導緻難以及時發現異常。運維工(gōng)作(zuò)總是後知後覺，事态感知醫(yī)院數據安(ān)全處在後知後覺的狀态。唯有(yǒu)出了問題，才能(néng)被發現并啓動故障排查，總是在“救火”和“救火”的路上。

以上問題，是醫(yī)院缺少具(jù)體(tǐ)專業化數據安(ān)全、信息安(ān)全的專業運維人員所緻，這也體(tǐ)現出傳統行業在安(ān)全方面的日常運維能(néng)力偏弱。

其次，是數據庫管理(lǐ)手段缺失。

院内外包人員多(duō)，存在共用(yòng)相同數據庫賬号，可(kě)訪問、删除、導出任何數據，缺少安(ān)全管理(lǐ)。這主要體(tǐ)現在運維人員大部分(fēn)使用(yòng)綠色版數據庫運維工(gōng)具(jù)，存在安(ān)全漏洞及操作(zuò)後門，缺少專門的操作(zuò)行為(wèi)記錄，事件發生後難以快速定位實際使用(yòng)者和負責人，這些給數據庫自管理(lǐ)造成極大風險。

最後，是容災問題。

問題最突出的表現，是基于雙活容災（即災備系統中(zhōng)使主生産(chǎn)端數據庫和備機端數據庫同時在線(xiàn)運行，處于可(kě)讀可(kě)查詢的狀态的技(jì )術）的存儲無法解決邏輯錯誤，這也導緻Oracle RAC無法實現異域容災。

此外，容災技(jì )術常規使用(yòng)的邏輯複制難以解決大字段問題，再加上業務(wù)系統故障可(kě)視化程度較低，加劇了安(ān)全隐患的存在。

解決方案

安(ān)全運維上，盛京醫(yī)院使用(yòng)專門的工(gōng)具(jù)，一方面将數據庫、系統、機房等設備全面監控，實時監控運行情況，這也有(yǒu)效減少了複雜性工(gōng)作(zuò)。

另一方面，在出現安(ān)全故障時也可(kě)以通過中(zhōng)台直接定位到問題設備，省去排查時間。與此同時，異常出現時平台将根據嚴重程度匹配警告方式，包括郵件、短信、緊急電(diàn)話響應等。

權限問題上，盛京醫(yī)院為(wèi)所有(yǒu)運維人員配備了USBkey。這種安(ān)全鑰匙人手一枚，各自内置了不同的安(ān)全密匙，在USBkey得到授權後，才能(néng)對醫(yī)院數據庫做進一步訪問。

這就好像胸牌一樣，USBkey+免密登錄的模式為(wèi)醫(yī)院數據庫建起了大門，通過刷卡進“門”、授權到人的方式防止密碼洩露。

攻擊預防上，往往醫(yī)院端做安(ān)全防護比較困難。全宇透露，很(hěn)多(duō)情況下，我們不敢去給相關的産(chǎn)品打補丁，因為(wèi)我們不知道這些數據庫系統的特性，這很(hěn)有(yǒu)可(kě)能(néng)導緻整個平台直接宕機。

況且，醫(yī)院的數據庫産(chǎn)品種類繁多(duō)，這就像是一個人的人體(tǐ)，随意哪個部分(fēn)被更換了，都有(yǒu)可(kě)能(néng)造成另外一個關聯部位的病變。

産(chǎn)品上，采用(yòng)數據庫攻擊預防+虛拟補丁的方式解決問題：

首先，允許該安(ān)全平台訪問數據庫的SQL操作(zuò)，全部解析還原，匹配策略規則。一旦發現漏洞，就用(yòng)虛拟補丁的方式完成修複。

采用(yòng)虛拟補丁的好處是，不需要為(wèi)數據庫修複漏洞，不影響數據庫系統穩定性，不需要停止數據庫服務(wù)以及不需要進行回歸測試。

上述特點，極大程度降低了醫(yī)院數據安(ān)全保障的成本，避免安(ān)全防護期間一些不必要的問題出現。

容災問題上，全宇覺得這是給醫(yī)院數據上的一道“鎖”。盡管目前為(wèi)止容災安(ān)全的保障措施并未被激發過，但對于盛京這樣的大醫(yī)院來說，攻擊者是有(yǒu)利可(kě)圖的，因此也要做好防護。

災備平台可(kě)以用(yòng)Oracle的小(xiǎo)型機做到日志(zhì)同步，這可(kě)以有(yǒu)效防止存儲級邏輯錯誤。

比如存儲層面的雙活或鏡像，數據塊發生了邏輯錯誤，壞的數據無法被檢測到，導緻所有(yǒu)的數據無效。通過數據庫日志(zhì)同步方式，保障應用(yòng)級别的數據一緻性，抵禦底層錯誤地傳播。

面對大字段問題，該災備平台通過采用(yòng)物(wù)理(lǐ)複制的災備技(jì )術手段，盡可(kě)能(néng)避免這種情況出現，而對于醫(yī)院來說，災備預演的重要性遠(yuǎn)比部署安(ān)全産(chǎn)品來的重要。

因此，災備預演為(wèi)盛京醫(yī)院搭建了一個檢測、培訓和模拟災情的平台，這對于非專業機構在關鍵時刻做出有(yǒu)效的安(ān)全防護措施有(yǒu)着至關重要的作(zuò)用(yòng)。

也就是說，容災安(ān)全平台是醫(yī)院數據安(ān)全的最後一道防線(xiàn)。

上面提到，醫(yī)院内部會産(chǎn)生大量的非紙質(zhì)敏感數據資料。這些資料的安(ān)全存儲、調用(yòng)是一大難題。

其解決方案是将信息脫敏技(jì )術運用(yòng)其中(zhōng)，進而實現在不影響檢索/維護的情況下保障病人隐私。

目前，數據脫敏的體(tǐ)系，包括戰略、機制、技(jì )術支撐三個領域，從上到下的指導，從下到上的推進，形成多(duō)層次、多(duō)維度、多(duō)視角的全方位體(tǐ)系架構，确保數據脫敏工(gōng)作(zuò)有(yǒu)序的執行：

找準數據脫敏體(tǐ)系的目标，數據脫敏目标包括數據脫敏目的（國(guó)家、監管部門、企業），數據脫敏後使用(yòng)場景，滿足哪些業務(wù)要求。滿足法律法規、政策标準規範，數據安(ān)全管控分(fēn)類分(fēn)級，數據使用(yòng)部門職責劃分(fēn)等，保證體(tǐ)系安(ān)全，協調數據提供方和數據使用(yòng)方，提高體(tǐ)系運轉。

規範數據脫敏體(tǐ)系的制度，按照2017年6月發布的《網絡安(ān)全法》《電(diàn)子商(shāng)務(wù)法》《個人信息保護規範》，制定數據脫敏政策，數據脫敏制度，數據脫敏細則，數據脫敏規範的規章制度，做事前事後的數據準備、數據執行，同時，保證整個業務(wù)過程安(ān)全可(kě)控，當發現問題時，進行審計追蹤，及時解決。

針對醫(yī)院數據安(ān)全防護的特征，将靜态數據脫敏主要運用(yòng)到開發/測試類，提取/上報類，建立關系型數據庫。将動态數據脫敏用(yòng)于數據共享交換和運維管理(lǐ)。

數據共享交換分(fēn)兩種，一種是通過文(wén)本或表格數據去交換，另一種是Kafka、數據請求API（XML/JSON）。運維管理(lǐ)的身份鑒别有(yǒu)，根據數據庫用(yòng)戶名(míng)、運維客戶端、主機名(míng)、MAC地址、IP地址、訪問時間以及數字證書、U-key等多(duō)維身份驗證。運維訪問敏感數據實時脫敏，對數據庫中(zhōng)返回的數據配置放行、屏蔽、加密、隐藏以及返回記錄數等多(duō)種脫敏策略。

為(wèi)了降低敏感度，保證信息安(ān)全，還要根據不同行業，不同的場景，結合脫敏技(jì )術的應用(yòng)，力求達到用(yòng)戶數據使用(yòng)的要求，進行規範化的操作(zuò)。