6月19日,由宁波市委网信办指导,宁波市计算机信息网络安全协会、宁波市互联网发展联合会主办的“2019宁波市信息网络安全高峰论坛”圆满召开!
一、2019宁波市信息网络安全高峰论坛主论坛
会议现场
宁波市委、网信办、公安局主管领导,金融、医疗、教育、电力相关重要行业信息化负责人,行业专家学者,安全厂商代表和“2019宁波市第二届网络安全大赛”获奖选手共500余人到场参会。安华金和作为“2019宁波市第二届网络安全大赛”的赞助支持单位受邀出席高峰论坛并做主题分享。
论坛旨在全面贯彻落实习近平总书记关于网络强国的战略思想,围绕“数字经济与数据安全”这一主题,为我国的信息化建设以及宁波未来网络安全防护与数字经济发展出谋划策。
宁波市委常委、宣传部部长万亚伟致辞
中国工程院院士沈昌祥做主题演讲
市委领导为网络安全大赛优胜队伍颁奖
二、“智慧医疗 安全护航”分论坛
安华金和华东区技术总监林鹭出席“智慧医疗 安全护航”分论坛并做《医疗行业数据安全解决方案》内容分享:
“智慧医疗 安全护航”分论坛
1、危机四伏
根据对2018年上半年数据泄露事件的统计,医疗保健行业以27%的占比“遥遥领先”——“互联网+”医疗、网络黑产、非法统方等问题令医疗行业成为数据泄露的重灾区:
1、当医疗遇见互联网后
如今,日新月异的互联网已渗透到医疗行业的各个环节,医院等机构相对封闭的数据使用环境被逐渐打破,信息在高速生产、传输、使用、存储的过程中,面临着前所未有的安全风险。
2、当医疗数据遇见黑客
大数据时代下,数据的价值正在不断攀升,其中与百姓生命健康紧密相关的医疗卫生数据成为黑客眼中的“金矿”,以营利为目的窃取个人隐私数据的攻击行为层出不穷,且数据泄露后多被用于精准诈骗、隐私勒索和诱导式推销等极具危害性的不法行为。
3、当“统方”的目的不纯
统方,原本是医院为了解医生用药情况而进行的一项工作,如今却成了医药回扣黑链的代名词。这种不法行为不仅会带来数据安全问题,更可能导致无辜病患的切身利益受到损害。
2、难点众多
随着《网络安全法》、等保2.0以及《全国医院信息化建设标准与规范(试行)》等法律规范、制度标准的相继发布,国家对医疗行业数据安全保护的重视和要求进一步明确。新时期、新环境下,医疗行业想要真正做到满足合规与发展的协调统一,有待解决的难点还很多:
1、各医疗系统繁杂,不清楚数据资产在哪?怎么治理?又在流向何方?
2、智慧医疗下的数据流动更加活跃而广泛,逐渐为网络攻击打开口子?
3、医疗数据明文存储,可直接接触者众多,该如何规范核心数据访问?
4、因第三方导致数据泄露的事件频出,该如何规范数据的共享和使用?
5、非法统方长期暗地滋生难于治理,如何真正实现对统方行为的管控?
3、解决方案
安华金和依托多年来在医疗行业丰富的数据安全治理实践经验积累,提出如下方案思路:
医疗行业数据安全“五重防护”
1、全面自检梳理
对现有医疗核心系统的数据库及数据资产进行全方位梳理,及时发现包含患者隐私信息的数据库用户分布及权限详情,深度挖掘僵尸库和病患敏感数据情况;对包含患者敏感数据的表、模式、库进行敏感度评分,并进一步对医疗数据进行分类分级;同时,对医疗核心数据资产进行周期性动态分析和异常评测,实时掌握其变化及使用趋势,实现对风险的预估。
2、内外威胁防护
通过专业度及成熟度较高的数据库“弱点”评估技术,对现有医疗核心数据库的运行状态进行周期性监控和综合风险评估,充分暴露并证明数据库自身的安全漏洞、弱配置项、缺省配置项、弱口令、缺省口令、易受攻击代码、程序后门、权限宽泛等安全风险,从而对数据库进行有针对性的安全加固。
3、规范数据访问
采用多级权限管控手段,在不影响人员正常工作的前提下,通过相关技术准确识别敏感数据访问行为。对业务展示层中普通患者或特殊身份患者(如国家高干、明星)等身份信息进行脱敏处理;对运维侧的患者敏感信息进行脱敏处理,防止运维侧大批量数据泄露。
4、规范数据使用
根据各类医疗系统的开发测试,以及医疗数据分析人员或第三方医疗疾病大数据分析公司需要使用数据的情况,通过专业技术对敏感数据进行自动识别和统一管理,针对共享数据中包含的患者个人隐私数据,采用脱敏算法将敏感数据转化为虚构数据,隐藏真正的患者敏感信息,防止各机构内部对隐私数据的滥用。
5、加强统方治理
对于需要进行合法统方工作的药房管理人员和药剂师的统方行为进行敏感数据遮蔽;对运维侧的医生姓名、编号、药品数量等字段进行脱敏;对其他一切无需统方人员的统方行为进行“拦截+告警”;对于黑客入侵数据库实施的统方行为进行“拦截+告警”,同时对药品编号、数量等信息进行加密。 三、 圆桌论坛
圆桌论坛
在本次高峰论坛的最后一个重要环节中,安华金和区域销售总监范正宇和宁波市委网信办叶子伟处长,宁波市卫生信息中心、宁波市健康医疗大数据研究中心朱春伦处长等一同出席圆桌论坛对话交流。期间,几位代表针对在当前网络安全检查及等保2.0等合规检查过程中经常出现的数据库漏洞修复难点,以及数据库防火墙在接入网络后怎样既能确保安全防护,又不会误拦截合法请求等热门话题进行了深入探讨。
在谈及数据库漏洞修复问题时,范正宇表示:这是当前很多用户遇到的现实问题,建议用户使用数据库漏洞“虚拟补丁”技术来解决。“虚拟补丁”技术可以通过前置防护的方式,将防护规则启用在数据库前端的数据库防火墙类设备上,从而有效拦截针对数据库漏洞的攻击以及对数据库进行恶意扫描的行为。此外,通过对“虚拟补丁”规则库的定期更新,还可以让后端的数据库系统获得持续性安全保护。因此,只有选择具备专业数据库漏洞挖掘与研究能力的安全团队及其产品和服务,才能够保证在第一时间获得最新的数据库漏洞防御能力。
中国现已迈入网络安全保护的崭新阶段,各行各业均需顺应数字经济发展趋势。作为中国数据安全治理的提出者和践行者,安华金和将持续深入技术研发,不断优化提升产品和服务水平,为广大客户提供行业领先的、高效可靠的数据安全解决方案!