维护数据资产安全：不可忽视人的安全管理-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

观盛大阅兵仪式祝伟大祖国强盛

2025-09-03

全行业聚力国产化转型！2025年国产数据库赋能培训（第二期）圆满落幕

2025-09-01

南京市中医院信息中心副主任国强：体系引领数智赋能筑牢智慧医疗数据安全防线

2025-09-01

数智医疗安全护航｜美创亮相2025数字医学与健康大会(DMHC)

2025-08-25

中国医师节｜致敬每一位中国医护工作者

2025-08-19

维护数据资产安全：不可忽视人的安全管理

发布时间：2020-05-20 阅读次数： 595 次

从数据资产的角度审视数据安全，必然离不开人的安全管理。所有的安全问题从本质上都可以归结为人的安全问题，对于人的安全管理也因此成为数据安全的核心课题。

人的安全特点

我们在前面很多章节都涉及到了人的安全问题，在这里做个简单的回顾。详细参见《第四篇：医疗行业数据安全的主要风险和应对分析》

整体而言，由于人是具有复杂情绪变化的非理性动物，同时又是会精密计算利益得失的理性动物，每个人都会生病、疲劳和紧张，因此“人”是医疗数据安全最大的风险要素。系统管理员和数据库管理员（DBA），医生、护士等业务系统操作人员，系统开发商和维护人员，驻场服务人员等，都有可能成为医疗数据安全的风险敞口。

6个步骤，确保数据资产安全

由于医疗数据具有极高价值，据统计，医疗行业高达60%的安全风险来自于内部。在应对医疗数据安全问题时，我们必须从资产（数据）保护的角度出发，从零信任角度进行深入分析，可以从以下6个步骤着手：

定义资产

数据安全需要从定义资产开始。定义资产的核心任务是数据分级分类，如何对医疗数据进行分级分类已在《第七篇：数据安全不可或缺的基础工程：分级分类治理》进行详述。本篇主要讨论技术实现，解决以下几个问题：（1）一个组织的数据都在哪里？（2）这些数据的内容和形态是什么样的？（3）应该用什么方式来管理它？

前两个问题描述的是暗数据发现与分类的过程。面对长期积累、更新的海量数据，显然无法单纯依赖人脑的记忆，而需要借助技术手段来精准、快速地发现数据、识别数据。美创科技的暗数据发现和分类工具可高效完成这项工作，基本过程如下：

Step 1：扫描全网，探测发现各类数据库。

Step 2：扫描每个数据库，根据内容特征发现每个字段的含义。

Step 3：根据字段内容特征的组合发现每张表格的含义。

Step 4：依据表格之间的内容匹配发现表格之间的相互关系。

Step 5：辅助以人工确认完成全网数据的内容标记和分类标记。

在对于业务认知不完备的前提下，暗数据发现和分类工具虽然不可能对于所有字段做出准确标记，但基本能够应对大部分字段内容和表格，从而大幅度降低定义资产的成本，提高内容标记准确性。

在定义了资产内容后，就可以对数据进行分类或分级。比如可分为个人信息和隐私、商业机密、国家秘密等类别；也可从敏感级别、重要程度、更新影响等维度进行分级。

确定身份

数据只有在被访问、产生流动时才能够彰显价值。访问数据的用户身份必须明确、可被鉴别。此处所指的“身份”，是现实生活中可以被认知的“人”。“人”的信息必须体现在IT系统中，让数据管理者能够识别，从而确定其访问数据的权限。显然，用户身份不是账户，也不是IP地址，它必须具有唯一性、被识别性，且可与现实中的人进行一一对应。

从资产的角度出发，需要赋予每一个数据访问者唯一的计算机身份映射关系。通常来说，数字证书是比较理想的媒介，也是常用的身份识别技术。此外，认知一个人，需要通过姓名、年龄、面部特征、行为状态等多种信息的有机结合，而非通过精确识别方法（如解析DNA或虹膜等）。当把这种身份认知的方式运用到IT系统中时，就是模糊多维身份识别，即通过多维度信息确定身份。

定义资产的属性

定义资产的属性，可以从以下维度入手：

范围：定义该数据是业务数据、部门数据或者其他类型的数据。
标签：从多种维度定义标签，只有具有该标签的身份可以访问特定数据。
审计：定义访问是否需要被审计。
行为：定义访问该资产允许的行为，比如查询，删除，更新，插入等操作。
限制：是否限制该数据被多行访问。

需要注意的是，数据资产自身具有的属性，并不会因为用户的不同而发生变更。通常为了简化管理，数据的拥有者具有自动访问的权利。但是对于极端机密或重要的数据，需要确定任何人访问都必须通过代管者的审批，且代管者本身不应具备访问能力。

定义访问规则

从资产的角度定义了数据如何被访问，只有满足访问规则才可以被允许访问。常见的黑名单、白名单，就属于访问规则的范畴。

确定访问授权

对用户身份进行授权，确定数据资产可以被哪些身份访问，不能被哪些身份访问。

确定访问路径和访问上下文

确定了资产、身份、属性、规则和授权之后，剩下的工作就是不断确认身份的真实性与正确性。身份永远是动态的，只有在特定上下文之中的身份才可以被允许访问数据。从资产的角度而言，任何访问路径和访问上下文都是确定的、已知的，从而可以在每一个环节不断确认身份的正确性。比如

select ＊ from customer where id=? 这个访问必须在select * from items where item=?这个行为之后出现，任何偏离都会被认为是不合规的。

基于以上6个方面（如上图所示），就能杜绝医疗数据的非正常访问，为医疗数据安全构筑坚实壁垒，有效防止各种由于人为因素带来的可能的后果：当一个非理性的人在被诱惑、虚荣心发作、需要宣泄情绪的情况下，想要破坏数据时，坚实的数据安全堡垒可有效阻止其冲动行为；当一个疲倦的人因工作失误、无意发出非计划指令时，系统会主动判断指令的合法性，非计划指令不能到达，可有效避免删库等事件的发生；当一个理性的人因为利益驱动想要泄漏数据时，严密的机制会让他望而却步，医疗机构可以此尽量避免来自内外部的攻击。

如何管理人的安全

要实现对于人的安全管理，要达成以下四个目标：（1）确认人是真实的人；（2）确认所做的事情是真实意愿的表达；（3）确认所做的事情合乎规范；（4）确认风险操作或所有操作是可审计和追踪的。

为达到上述目标，应注重以下工作。

重视安全教育

在社会安全实践中，安全教育具有很高的价值，它教导人们要遵循法律、规则、制度和道德的约束，以提高自身安全，同时实现他人安全。但是，安全教育仅仅是基础，确保法律和制度的威慑性才是安全和秩序的本源。信息科技突破了时空限制，使传统碎片化的无用财富变成了海量的数字财富，这加剧了人们铤而走险的可能性。

把握两个基础、三类人员和三类应用

管理人的安全需要做到做好两个基础，管好三类人员和三类应用。

（1）做好两个基础

做好职责分离和敏感数据分级分类，是管理人员安全的基础性工程。职责分类，特别是特权账户的分离和管理，至关重要。很多特权账户具有“上帝之手”的明显特征，拥有超级权限，也很可能导致巨大的风险。如何制约“上帝之手”，是数据安全和人员安全管理的核心命题之一。

敏感数据的分级分类，可以帮助评估与锁定特定数据、特定行为的安全风险。

（2）三类人员的管理

三类人员指运维人员、业务人员和入侵者。需要为不同的人员角色刻画不同特征，在进行管理时，需将不同角色的人员、访问的应用、访问的数据进行关联。

（3）三类应用的管理

应用程序是人员访问数据的工具，管理好工具十分重要。三类应用指运维操作和管理工具、业务系统、数据采集和交换平台。其中，运维操作和管理工具与运维人员相对应，业务系统与业务人员对应，数据采集和交换平台则体现为系统自动访问。

常见的管理措施

（1）工作流审批

对于敏感类操作，可采用工作流程审批或复核的方式进行，类似于银行在大额取款等业务操作中，需通过双通道验证机制来完成。复核的工作流程，可以排除绝大部分伤害巨大的敏感操作，但由于这种方式会干扰业务流程的流畅性，难以做到与业务操作的无缝对接，因此实际运用的场景并不多。

（2）隔离机制

隔离机制主要是帮助从业人员隔离数据诱惑，尽量减少愤怒、虚荣等负面情绪带来的安全风险，同时隔离工作疲倦与误操作。

由于医疗数据的巨大价值，相关从业人员每时每刻都在不断被诱惑。在持续性的诱惑中，数据成为目标；在委屈、不公、愤怒等负面情绪的驱使下，数据成为牺牲品。让数据远离诱惑的核心措施就是隔离诱惑，让数据看不见、摸不着，所谓“财不露白”。用技术术语来说就是访问控制，让相关人员没有访问数据的权利。因为看不见数据，数据资产也就不会被攻击，这是数据安全最为基本的准则，也是网络安全攻防战中的基本准则。访问控制、脱敏、加密等技术手段与措施，都是常用的隔离机制。

深夜干活是DBA们的职业习惯，在睡眼惺忪时精神有时难免无法集中。有句流行的调侃：一个没有经历过误操作的DBA不是一个好DBA，误操作是每个运维人员心中的痛。隔离疲倦和隔离诱惑的措施一样，即让发生的误操作行为受限，比如禁止删除任何业务表格、禁止业务表格全表记录删除和清除等。

（3）责任到人，杜绝侥幸心理

对于正当的业务操作，基本措施就是责任到人，让一个理性人精确衡量利益得失，杜绝侥幸心理。责任到人的实现需要满足两个条件：精确的身份识别与无遗漏的行为审计系统。

▐ 精确的身份识别：是指对于每个操作都可以精确匹配到生活中的人，从而使每个行为都处于众目睽睽之下，最大程度地降低侥幸心理。显然，简单的账户、IP地址等传统账户体系无法满足精确识别身份的要求。

▐ 无遗漏的行为审计系统：是指在具有精确身份识别系统的支持之下，对每个行为（至少对定义的高风险行为）进行审计，从而对操作者产生巨大的威慑力量。

本文是「医疗数据安全风险分析与防护」系列第八期

美创科技与HIT专家网联合发布

转自杭州美创科技有限公司公众号，如需二次转载，请联系marketing@mchz.com.cn

上一条：美创科技完成1.5亿新一轮融资，持续引领数据安全市场
下一条：安全无小事｜支付行业数据安全痛点及解决思路