新闻中心 >> 新闻中心详情

一家百强药企的“安全”配方

发布时间:2020-02-11作者:阅读次数: 分享到:

制药行业各内部系统存放和处理着大量敏感业务数据,如:制药配方数据、知识产权、临床分析报告、财务数据、销售数据、质检报告、管理经营策略等,这些关键数据对企业生存和发展起着举足轻重的作用。可以说,一朝泄漏,全盘皆输。




近些年来,监管部门对医药数据安全高度重视,数据安全建设已不仅仅是企业业务上的需求,同时也是合规性方面的硬性指标。以被誉为史上最严的保护用户数据安全的法规——GDPR为例,它不仅明确规定用户在个人信息上的权益,同时对企业在收集、使用、处理个人数据方面也做出了非常细致的规定,国家相继出台发布的《网络安全法》、《网络安全等级保护(2.0)》也对数据安全提出更高要求。


那么,药企在药品创新研发的同时,如何让数据安全再上新台阶 ?江苏豪森药业集团给出了这个“安全”配方。


客户简介



 

江苏豪森药业集团始创于1995年,得益于前瞻性的研发布局和数十年如一日的创新坚守,目前已发展成为集药物研究、制造、销售、医药投资于一体的新型医药集团。下设豪森医药研究院有限公司、上海捷森药物化学科技有限公司、连云港宏创医药有限公司、连云港恒运医药科技有限公司,分别于连云港和上海建立研发中心,拥有多个国家级研发称号,包括国家级技术中心、博士后科研工作站及国家重点实验室。





客户背景




作为国内领先的创新型现代化制药企业,豪森药业信息化不断发展,各种信息系统与业务系统的逐步建设完成,而随着数据资源的集中,集团对数据安全建设也提出了更高的要求: 


1、存在共享账号、临时账号,账号管理亟待规范

在实际运维工作中,由于工作需要,集团内部常常出现多名运维人员共享同一账号或者运维人员使用临时创建或授权的新账号情况。这些情况会导致:

◇在发生数据安全事件时难以定位账号的实际使用者和责任人;

◇系统内存在大量无用的临时账号,无法对账号的使用范围进行有效控制,存在较大安全隐患。


2、加强操作透明化,用技术手段对运维人员加以管控

传统网络审计产品对于直接通过主机登录数据库,或者通过其他数据库搭建DB-LINK连接数据库或者通过JOB来进行数据库操作的行为都无法审计到,存在审计的盲点和漏洞,很容易被旁路。同时,由于运维人员的管理方式大多是粗放式管理,缺少统一的运维操作策略,几乎无法管理。


3、加强危险性操作受控性,避免数据库误操作

运维人员日常具有SYSDBA或DBA的高权限,可以对数据库里的敏感表格做任意操作,例如一些危险性操作(Drop Table, Truncate Table等操作)使数据库面临巨大安全风险。


4、敏感数据使用过程中采取静态、动态脱敏技术以保证数据防泄漏。


5、安全事件发生需具备快速追溯问题,这要求审计系统具备极高的数据处理能力,同时可定时提供相应统计报表功能,防微杜渐。



解决方案




根据豪森药业数据安全建设需求,美创科技从内控数据安全、流动数据安全、数据追责溯源等层面,围绕敏感数据安全构建纵深防御体系,为豪森药业核心数据提供保障。



内控数据安全



通过 美创数据库防水坝 实现数据库安全运维管理,包括:敏感数据定义和分级分类管理;限制特权账户随意访问敏感数据;数据库准入管理;利用U盾、授权等机制对运维人员进行合规管理;限制针对敏感数据的危险操作;动态数据脱敏;提供全面风险分析报告等功能。




流动数据安全


 

为了在开发测试、内部分享等场景中形成一份真实的“假数据”,保障数据的安全、可靠、有效。美创科技通过对豪森药业现有系统数据的业务关系和逻辑关系的梳理,为其制定了满足开发测试等环境数据脱敏要求,并同时符合监管要求的数据脱敏解决方案。



1、利用美创数据脱敏系统 内置各类敏感信息规则,以自动扫描发现的方式,高效、方便地获取敏感信息,避免人为定义敏感数据源的繁琐工作。


2、脱敏过程不落地,不会有新的数据表或库生成,不对源表名或数据名进行重命名,杜绝脱敏过程中的数据泄露风险。

3、利用系统“脱敏数据以假乱真”的功能特点,最大程度确保脱敏后数据的特征、逻辑保持脱敏前后一致,使功能测试可以覆盖到业务系统的所有场景。



数据追责溯源



为了完善组织的IT内控体系,满足各种合规性要求;同时追责溯源,帮助企业进行事后追查原因与界定责任。


通过部署美创数据库审计,实现所有数据库操作,加密网络的审计;来自于网络的安全访问事件审计;来自于数据库主机以及其他信任主机的安全访问事件审计;来自于数据库内部的安全访问事件审计;来自于数据库之间的安全访问事件审计;



此外,美创数据库审计系统提供各种法规遵循所需的管理性报表,简化法规遵循管理和审计流程,可以全方位覆盖运维安全各层面的需求,还可以提供由N张报表所合并而成的综合性报表,提高报表的可读性。针对等级保护、企业内控条例、SOX、PCI、HIPAA、GLBA等多种法规遵循提供不同的分类报表,轻松完成各种不同的合规性要求。


客户收益




1️⃣  构建数据内控安全、流动安全、追责溯源多维度数据安全体系


2️⃣  数据使用过程提供多类型、多维度的分析报表


3️⃣  进一步强化数据资源安全保障手段,为豪森药业提供灵活、高效、安全、稳定的数据使用能力;为豪森药业数据资源共享和数据应用提供坚实的数据安全保障。


服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1