应对数据安全典型薄弱点，这家医院“外防内控”筑牢屏障





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

世界互联网大会|美创数据库保险箱（DBSafe）发布！

2024-11-21

世界互联网大会｜美创数据认知与分类分级系统（AICogniSort）重磅发布！

2024-11-21

美创案例｜盐城公积金管理中心数据安全创新实践

2024-11-15

美创案例｜新一代数据安全管理平台在「上海保险交易所」的应用实践

2024-12-26

数据安全+信创安全双认可！美创入选ISC.AI 2024创新能力百强

2024-12-24

美创登榜“2024浙江最具投资价值创新企业TOP50”

2024-12-20

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

美创科技完成新一轮融资！

2024-12-18

应对数据安全典型薄弱点，这家医院“外防内控”筑牢屏障

发布时间：2022-09-29 阅读次数： 677 次

医院承载着海量的数据资源，伴随着各种新业务、新应用的不断涌现，面临着越来越多的安全挑战与合规压力。其中，因医院在数据库运维管控上缺乏有效措施，成为重要隐患之一，诸如：

• 假冒合法客户端访问业务系统敏感数据；

• 盗用客户端内置的应用数据库账号；

• 来自工具端的数据库登录安全威胁（暴力破解\绿色版工具）；

• 高权限DBA用户违规访问敏感数据；

• 敏感数据违规导出、系统对象操作无控制，数据被窃取；

• 违规人员/黑客恶意删库、勒索锁库，高危操作无控制。

同时，鉴于医疗健康数据的高价值和隐私性成为黑产及不法分子关注的焦点，因缺乏数据库主动防御机制，数据库处于“裸奔状态”，面临利用数据库漏洞进行攻击、利用应用程序进行SQL注入攻击等风险。

针对上述场景如何采取有效的数据安全防护措施？本期案例主角—宁波市镇海区中医医院以数据库防火墙外防，以数据库防水堤坝内控，筑牢数据安全屏障。

成立于1990年，宁波市镇海区中医医院作为一家集中医医疗、教学、科研、预防于一体的中医医院，经过多年信息化建设，核心业务系统数据规模日益增加，HIS、PACS、集成平台等系统生产、汇聚大量敏感数据资产。

医院安全的核心是数据安全，为满足《数据安全法》、等保2.0等合规性要求，医院拟采用针对性安全防护措施，对数据库运维侧以及业务侧存在的安全薄弱环节进行安全加固：

医院第三方外包人员较多，存在共用相同数据库大权限账号、使用任意数据库运维工具的情况，有越权访问敏感信息，批量查询和导出信息等风险隐患。

现阶段医院部分核心数据库存在高危漏洞，但医院缺乏有效防范数据库攻击威胁的安全措施，一旦发生数据库漏洞攻击入侵行为，将可能导致严重的数据安全事件。

建设方案

基于上述风险及防护需求，宁波市镇海区中医医院通过部署美创数据库防火墙及数据库防水坝系统，实现运维侧及业务侧的防护，从而解决内部数据库运维侧人员杂、权限大、无控制、难追溯等问题，防止数据库漏洞攻击、SQL注入攻击等风险。

运维侧安全防护

针对医院运维过程中如何有效管控管理等问题，数据库防水坝实现事前-事中-事后全流程、细粒度的安全管控，包括：运维事前用户多因素身份准入、事中细粒度权限控制以及事后运维审计问题。

数据库防水坝通过对运维人员、开发人员、测试人员进行精准识别，以多维身份认证，来规范数据准入控制，避免非运维人员利用运维工具访问。同时，通过对敏感数据资产进行定义与分类分级，实现细粒度的安全管理。通过对特权账户进行统一管理，防止敏感数据被越权。

此外，数据库防水坝风险监测响应引擎可快速阻断违规操作，支持对误删除数据进行恢复。结合实际应用的灵活性，数据库防水坝支持当运维人员必须进行某些危险性操作或者需要访问敏感数据时，可提交临时授权工单，由安全管理员进行逐级审批后方可进行操作。

针对外部数据库入侵风险，通过部署美创数据库防火墙系统，解决数据库业务应用侧的安全问题。

数据库防火墙采用全面的数据库通讯协议解析，通过 SQL协议分析，和SQL注入特征抽象技术，能快速有效的捕获SQL注入的行为特征，根据预定的SQL白名单策略决定让合法的 SQL 操作通过执行，对符合SQL注入特征的可疑的非法违规操作进行阻断，从而形成一个数据库的外围防御圈, 实现SQL 危险操作的主动预防、实时审计，防止外部黑客的数据库入侵行为。