山东省妇幼保健院携手美创科技,通过“数据库审计+数据库防水坝+数据脱敏+数据级容灾(DBRA)+数据库运行安全管理平台(OSM)+数据库运维服务(人工)”等产品、服务构建起全面的数据安全保障防护体系,为医院数据资产的安全性和核心业务的连续性提供可靠保障。
山东省妇幼保健院(山东省妇产医院)始建于1989年,直属于省卫生健康委,是一所具有公共卫生性质的集妇幼保健、医疗、科研、教学、预防、康复和妇幼保健技术指导为一体的省级三级甲等妇幼保健机构。
一、 背景现状
自《“健康中国2030”规划纲要》发布以来,我国医疗行业就在加快完善人口健康信息服务体系建设、推进健康医疗大数据应用。在疫情、数字经济等多重因素影响,医疗行业数字化转型开始全面提速。作为一家省级三甲医院,山东省妇幼保健院借助大数据、人工智能、物联网等新ICT技术,积极探索数字化健康服务新业态和新模式,推动数字医疗技术及相关智能医疗终端的普及化应用。
目前,山东省妇幼保健院在数据安全建设方面当前存在以下问题:
1.医院数据库运维延续传统的“被动救火”方式;
2.数据库运维管理缺乏严格的访问控制,密码管理复杂、难以有效地落实定期修改密码的规定;
3.数据库访问行为缺乏详细审计记录,事件发生后追责溯源工作无法有效开展;
4.医院核心的HIS业务系统目前未在本地或异地建立实时容灾手段,其稳定运行面临诸多风险因素。
二、 建设方案
经过前期交流、分析,美创科技通过“数据库审计+数据库防水坝+数据脱敏+数据级容灾(DBRA)+数据库运行安全管理平台(OSM)+数据库运维服务(人工)”等产品、服务构建起全面的数据安全保障防护体系,在医院现有网络安全防护体系下,通过完善内部风险操作管控、业务连续性、一体化保障、流动数据安全等场景下的数据安全保护技术手段,有效保障山东省妇幼保健院数据资产的安全性和业务系统的持续稳定运行。
美创数据安全产品部署架构
1.流动数据安全防护
美创科技数据脱敏系统可以满足医院互联互通评级、电子病历评级中对敏感数据隐私化处理的要求。也可以在开发、测试、培训、科研材料分享等环境提供敏感数据脱敏自动化能力,为数据交易、数据交换、数据分析等第三方数据应用场景提供适用的敏感数据泄露防护。
2.数据库内部操作风险管控
通过建设美创科技数据库访问内控系统,从源头上对运维人员和业务人员实行分离管控,主要达成如下目标:
· 满足互联互通评级中“有数据痕迹修改和访问控制功能,主要是对应用系统的文件、数据库等资源的访问,避免越权非法使用的要求,实现基于数据库访问用户的细颗粒度管控,将访问控制策略与敏感数据相关联,避免越权访问;
· 实现多因素的数据访问身份认证,满足数据库实名制管理需求;
· 解决数据库SysDBA、DBA、SchemaUser等特权用户权限过大的问题。
3.数据库安全审计
针对医院数据库缺乏详细审计记录,安全事件一旦发生,无法进行有效的追溯和审计;数据库操作无准确全面的记录,操作人员容易抵赖等问题。通过部署数据库审计系统,对数据库的各类操作行为进行监视并记录,以便定位事件原因,提供日后查询、分析能力,使数据操作行为有据可依,防止抵赖。
同时满足《网络安全法》、《网络安全等级保护条例》中“部署独立审计系统;日志留存180天;审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;要求对日志进行分析,并生成审计报表”等要求。
4.业务连续性保障
针对医院核心业务系统目前未在本地或异地建立实时容灾手段的问题,通过部署美创科技DBRA数据容灾系统,保障核心业务不中断,并实现:
· 数据实时同步:HIS业务数据库的数据实时同步,同时确保数据一致性和系统可用性;
· 灾难恢复:当HIS生产系统发生故障时,能够根据不同的细粒度要求一键应急切换到灾备中心,保障整个HIS业务系统持续运行。
5.数据库运维管理主动化、智能化
通过部署美创科技OSM数据库运行安全管理平台,提高数据库安全运行效率,实现:
· 7*24小时实时监控数据库,提前感知健康和安全隐患,快速定位故障点;
· 供多元化的工具,帮助运维人员高效便捷的保障数据库的运行安全,实现数据库巡检、锁处理、安全检测、数据库自动化部署;
· 同时实现对数据库运行发展的趋势分析和预测等,保证整个业务系统数据库的运行可用。
三、 方案价值
1.为医院构建了纵深的安全防御体系
针对医院核心系统综合采用业务连续性保障、风险内控、智能安全运维等多种技术和措施,实现数据的可用性、完整性和保密性保护,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
2.体系化安全防护
体系化的设计思想是从全局性策略出发,以整体的设计思路打造全局性的安全防御,辅以长期可靠的安全运维保障和规范化的安全管理,搭建出真正能够有效对抗威胁,保障应用的安全体系。
3.细粒度定向安全防护
采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。
4.安全合规
满足网络安全法、数据安全法、等保2.0、数据安全管理办法及医疗行业相关合规要求。
浙公网安备 33010502006954号 
