醫(yī)療行業(yè)數(shù)據(jù)安全解決方案

醫(yī)療行業(yè)數(shù)據(jù)安全解決方案數(shù)據(jù)安全背景進(jìn)入DT數(shù)據(jù)時(shí)代，醫(yī)療機(jī)構(gòu)數(shù)據(jù)保護(hù)工作也變得更加復(fù)雜，HIS、RIS、LIS、CIS、PACS、CPR等系統(tǒng)的應(yīng)用逐漸深入整合，為醫(yī)療衛(wèi)生行業(yè)的高效、快捷、便民提供了信息化基礎(chǔ)，但是醫(yī)療數(shù)據(jù)具有普遍的真實(shí)性，包含了患者個(gè)體患病情況、生物組學(xué)等數(shù)據(jù)；從宏觀上看，則包含了疾病傳播、地區(qū)流行病發(fā)病發(fā)展、區(qū)域人口健康狀況等數(shù)據(jù)。這些數(shù)據(jù)具有很高的質(zhì)量和價(jià)值，同時(shí)也具有隱私性，在巨大商業(yè)利益的驅(qū)使下，醫(yī)療行業(yè)的數(shù)據(jù)庫面臨來自內(nèi)部威脅和外部威脅的雙重包夾。一旦泄露會對患者生活、醫(yī)生工作，醫(yī)院公眾形象帶來很大影響和負(fù)面作用；微觀上看，醫(yī)療數(shù)據(jù)能否安全使用，還關(guān)乎社會穩(wěn)定、國家安全?！毒W(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的出臺，也讓數(shù)據(jù)安全的責(zé)任界定有了更為明確的責(zé)任主體，醫(yī)院的信息部門無疑是“壓力山大”。醫(yī)療機(jī)構(gòu)需要將數(shù)據(jù)保護(hù)工作作為基礎(chǔ)要求，同時(shí)規(guī)劃醫(yī)療數(shù)據(jù)統(tǒng)計(jì)、分析、挖掘、應(yīng)用是等未來醫(yī)療行業(yè)數(shù)據(jù)流動(dòng)的趨勢。＞在系統(tǒng)的建設(shè)和應(yīng)用方面，從單機(jī)、單用戶應(yīng)用發(fā)展到部門級、全院級管理信息系統(tǒng)應(yīng)用。＞從以財(cái)務(wù)、藥品和管理為中心的發(fā)展，開始集中向以病人信息為中心的臨床業(yè)務(wù)支持和電子病歷應(yīng)用。＞微信、支付寶等快捷支付方式深入民生行業(yè)，使得醫(yī)療信息化系統(tǒng)從局限在醫(yī)院內(nèi)部的應(yīng)用，逐步走向開放的互聯(lián)網(wǎng)。＞國家區(qū)域醫(yī)療建設(shè)的規(guī)劃，對區(qū)域醫(yī)療信息化多接口的應(yīng)用，提出了前所未有的高要求。面對如此嚴(yán)重的安全風(fēng)險(xiǎn)，要堅(jiān)持規(guī)范有序、安全可控是國家發(fā)展醫(yī)療大數(shù)據(jù)的基本原則。國辦發(fā)[2016]47號文中指出，強(qiáng)化標(biāo)準(zhǔn)和安全體系建設(shè)，強(qiáng)化安全管理責(zé)任，妥善處理應(yīng)用發(fā)展與保障安全的關(guān)系，增強(qiáng)安全技術(shù)支撐能力，有效保護(hù)個(gè)人隱私和信息安全。同時(shí)指出，面對醫(yī)療數(shù)據(jù)的“萬無一失，一失萬無的”的高要求，安全保護(hù)作為一個(gè)復(fù)雜的技術(shù)和管理問題，將成為醫(yī)療數(shù)據(jù)的核心技術(shù)和首要問題。風(fēng)險(xiǎn)分析在眾多數(shù)據(jù)安全件中，黑客和IT事故是主要原因，占所有數(shù)據(jù)泄漏的60%以上。這并不難理解，數(shù)據(jù)庫是網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)，因?yàn)檫@里擁有大量的敏感信息，例如病史、賬號、個(gè)人財(cái)務(wù)數(shù)據(jù)等。所以，醫(yī)療行業(yè)必須采用主動(dòng)防御的技術(shù)和安全可靠的數(shù)據(jù)安全最佳實(shí)踐，以確保其IT系統(tǒng)中的所有數(shù)據(jù)全天候安全。醫(yī)療數(shù)據(jù)安全存在哪些風(fēng)險(xiǎn)?＞數(shù)據(jù)管控風(fēng)險(xiǎn)雖然醫(yī)療組織正在逐漸增強(qiáng)數(shù)據(jù)安全意識，但關(guān)于數(shù)據(jù)管控尚未建立統(tǒng)一管理機(jī)制，制度的完善相對滯后，同時(shí)“互聯(lián)網(wǎng)+”等新興業(yè)態(tài)的不斷涌現(xiàn)，并滲透至醫(yī)療領(lǐng)域的各個(gè)環(huán)節(jié)，客觀上導(dǎo)致原本相對封閉的使用環(huán)境被逐漸打破。＞外部攻擊風(fēng)險(xiǎn)醫(yī)療行業(yè)數(shù)據(jù)價(jià)值高，很容易引發(fā)來自互聯(lián)網(wǎng)的攻擊行為，漏洞如果無法及時(shí)修復(fù)，自然會為外部攻擊提供了途徑，黑客能夠非常精準(zhǔn)地獲取數(shù)據(jù)，繼而進(jìn)行精確詐騙，因此必須采取有效措施應(yīng)對外部攻擊風(fēng)險(xiǎn)。＞數(shù)據(jù)交換風(fēng)險(xiǎn)為了規(guī)避數(shù)據(jù)交換風(fēng)險(xiǎn)，需要建立科學(xué)的對外數(shù)據(jù)交換標(biāo)準(zhǔn)，提高數(shù)據(jù)安全要求，同時(shí)強(qiáng)化對病患敏感數(shù)據(jù)的脫敏處理能力。＞數(shù)據(jù)泄露風(fēng)險(xiǎn)內(nèi)部人員的權(quán)限管控制度如不完善，非權(quán)限人員便可隨意訪問病患隱私信息，數(shù)據(jù)泄露風(fēng)險(xiǎn)很大;加之內(nèi)部人員監(jiān)管手段不足，引發(fā)取證難等更多問題。另外導(dǎo)致醫(yī)院數(shù)據(jù)安全問題的原因很多，概括如下：＞保密意識不強(qiáng)在使用社交媒體和手機(jī)App時(shí)，也無意中泄露了個(gè)人隱私數(shù)據(jù)。如發(fā)布的JPG、TIFF圖片就泄露了一些私密數(shù)據(jù)，因這些圖片文件頭部記錄了照相設(shè)備、作者、日期、GPS位置等數(shù)據(jù)。調(diào)查顯示，文檔類泄密事件97%是內(nèi)部員工有意或無意泄露造成的。＞內(nèi)部管理漏洞因管理不嚴(yán)，醫(yī)生辦公室的電腦很容易被盜用，數(shù)據(jù)也易泄露。部分醫(yī)院數(shù)據(jù)中心主機(jī)房和分布在醫(yī)院各棟樓宇的網(wǎng)絡(luò)設(shè)備間也可能因管理不嚴(yán)，存在信息設(shè)備被人斷電或接入不安全設(shè)備或惡意操作的隱患。＞人員誤操作誤操作也是數(shù)據(jù)錯(cuò)誤的重要原因，尤其是人們習(xí)慣打開多個(gè)界面同時(shí)操作，經(jīng)常在不同界面切換。＞人為故意隱私數(shù)據(jù)被有意收集、盜取的事件時(shí)有發(fā)生，如拍照留存快遞單、統(tǒng)方、蓄意刪除病人費(fèi)用記錄、為掩蓋錯(cuò)誤而篡改醫(yī)囑活庫存數(shù)據(jù)等。還有人為搞破壞惡意篡改醫(yī)院網(wǎng)站網(wǎng)頁、植入病毒或木馬致系統(tǒng)癱瘓。＞系統(tǒng)架構(gòu)缺陷醫(yī)院信息系統(tǒng)在設(shè)計(jì)之初就存在缺陷，對數(shù)據(jù)安全考慮不足，如如數(shù)據(jù)駐留、數(shù)據(jù)傳輸未加密等也可能導(dǎo)致數(shù)據(jù)安全問題。針對醫(yī)療數(shù)據(jù)使用主要有兩種方式，一是通過對病例檢索系統(tǒng)、患者隨訪系統(tǒng)、專病數(shù)據(jù)庫系統(tǒng)等應(yīng)用系統(tǒng)的使用，其安全防護(hù)的特點(diǎn)相對容易。二是“裸”數(shù)據(jù)訪問服務(wù)，包含數(shù)據(jù)整合、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分析建模、可視化等，其安全防護(hù)特點(diǎn)相對困難。面臨的安全風(fēng)險(xiǎn)主要是隱私暴露、數(shù)據(jù)盜取、數(shù)據(jù)遺失和非法利用。同時(shí)安全防護(hù)既要防外（針對合作單位、外部廠商），又要防內(nèi)（針對科室用戶、技術(shù)人員）。醫(yī)療行業(yè)的數(shù)據(jù)和其他行業(yè)不太一樣，大部分醫(yī)療數(shù)據(jù)不會放在網(wǎng)絡(luò)上，所以對內(nèi)防控更為重要。在醫(yī)療健康大數(shù)據(jù)的背景下，醫(yī)療數(shù)據(jù)的安全管理存在四大難點(diǎn)：＞數(shù)據(jù)使用者多樣化。＞數(shù)據(jù)使用方式的多樣化。＞數(shù)據(jù)需求的多樣化。＞技術(shù)環(huán)境的多樣化。面對上述難點(diǎn)問題，醫(yī)院需要建立完整的數(shù)據(jù)安全防護(hù)體系。三、解決方案3.1方案設(shè)計(jì)隨著《數(shù)據(jù)安全法》的發(fā)布，其中也強(qiáng)調(diào)數(shù)據(jù)全生命周期安全管理，醫(yī)療數(shù)據(jù)安全措施應(yīng)貫穿于數(shù)據(jù)管理全生命周期，確保數(shù)據(jù)不丟失、不被篡改、不被泄露和可用。＞引導(dǎo)醫(yī)療數(shù)據(jù)有序流動(dòng)根據(jù)數(shù)據(jù)的特性，醫(yī)療數(shù)據(jù)可分為絕密、機(jī)密、保密、內(nèi)部共享、醫(yī)院間共享和對外公開幾個(gè)等級。應(yīng)根據(jù)不同的等級，制定不同的的管理規(guī)程，包括數(shù)據(jù)保密范圍、保密時(shí)效、授權(quán)范圍、授權(quán)流程、操作規(guī)程、操作核對規(guī)程、操作記錄規(guī)程、操作審查機(jī)制、責(zé)任追究機(jī)制、技術(shù)保護(hù)策略、應(yīng)急預(yù)案等。＞構(gòu)建以患者為中心的醫(yī)療數(shù)據(jù)安全防護(hù)體系現(xiàn)有的隱私安全防護(hù)，大多只是注重脫敏和匿名化保護(hù)，不是全方位體系。需要加強(qiáng)構(gòu)建“以患者為中心”的個(gè)人醫(yī)療信息風(fēng)險(xiǎn)評估和防護(hù)體系，覆蓋信息錄入、個(gè)人隱私管理、加密存儲、訪問控制、匿名化處理、信息發(fā)布流通、監(jiān)管審計(jì)等多個(gè)環(huán)節(jié)。＞最小特權(quán)化管理，實(shí)現(xiàn)數(shù)據(jù)資源訪問可控最小特權(quán)原則有效地限制、分割了用戶對數(shù)據(jù)資料進(jìn)行訪問時(shí)的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的損失。3.2敏感數(shù)據(jù)分類分級首先對醫(yī)院數(shù)據(jù)資產(chǎn)梳理系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)資源分級、分類管理，針對不同分類分級數(shù)據(jù)制定安全防護(hù)策略，從而保障了數(shù)據(jù)安全同時(shí)且實(shí)現(xiàn)數(shù)據(jù)資源統(tǒng)一匯聚和集中向社會開放。敏感數(shù)據(jù)在數(shù)據(jù)庫中的分布，是實(shí)現(xiàn)管控的關(guān)鍵。只有梳理清楚敏感數(shù)據(jù)在數(shù)據(jù)庫中分布，才能針對數(shù)據(jù)庫實(shí)現(xiàn)安全管控策略；對該庫的運(yùn)維人員實(shí)現(xiàn)安全管控措施；對該庫的數(shù)據(jù)導(dǎo)出，實(shí)現(xiàn)具體的模糊化策略；對該庫數(shù)據(jù)的存儲實(shí)現(xiàn)加密安全方案。3.4數(shù)據(jù)安全防御體系3.4.1訪問控制防護(hù)醫(yī)療行業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)種類繁多，其中不乏有需要對公眾開放的系統(tǒng)，而WEB服務(wù)器被暴露在網(wǎng)絡(luò)之中，攻擊者對WEB服務(wù)器進(jìn)行網(wǎng)段掃描很容易得到后臺數(shù)據(jù)的IP和開放端口。對這樣的隱患進(jìn)行數(shù)據(jù)庫級別的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為攔截，面對來自于外部的入侵行為，提供防SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)訂包功能；通過虛擬補(bǔ)丁防護(hù)，保證數(shù)據(jù)庫系統(tǒng)不用升級、打補(bǔ)丁，即可完成對主要數(shù)據(jù)庫漏洞的防控。有效的保護(hù)后臺數(shù)據(jù)庫不暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，構(gòu)建數(shù)據(jù)庫的安全防護(hù)蛹蔚蒸器邊界網(wǎng)關(guān)事中防御系蜿應(yīng)用用戶應(yīng)用腮務(wù)器訪問應(yīng)用服務(wù)蛹蔚蒸器邊界網(wǎng)關(guān)事中防御系蜿應(yīng)用用戶應(yīng)用腮務(wù)器訪問應(yīng)用服務(wù)3.4.2網(wǎng)絡(luò)可信接入應(yīng)用服務(wù)器可信：通過IP/MAC綁定，確保只有授權(quán)服務(wù)器、設(shè)備可以訪問數(shù)據(jù)庫。3.4.3應(yīng)用身份識別通過對應(yīng)用身份識別，讓合法應(yīng)用發(fā)出的SQL語句可以直接訪問數(shù)據(jù)庫，而其他登陸工具和應(yīng)用未經(jīng)過授權(quán)或綁定，都無法登陸后臺數(shù)據(jù)庫，確保數(shù)據(jù)來自指定應(yīng)用。3.4.4抵御SQL注入建立SQL注入特征庫，通過對SQL語句進(jìn)行注入特征描述，完成對“SQL注入”行為的檢測和阻斷。3.4.5虛擬補(bǔ)丁防護(hù)在數(shù)據(jù)庫外的網(wǎng)絡(luò)訪問路徑上創(chuàng)建了一個(gè)安全層，數(shù)據(jù)庫在無需補(bǔ)丁情況下，完成對數(shù)據(jù)庫漏洞防護(hù)，對于有“擴(kuò)展腳本”和“緩沖區(qū)溢出”攻擊的特征的SQL語句，可通過匹配特征庫直接進(jìn)行攔截。3.4.6阻斷漏洞攻擊對數(shù)據(jù)庫的訪問設(shè)置許可或禁止模型，按照SQL自身語法結(jié)構(gòu)劃分SQL類別，通過自定義模型添加新的SQL注入特征，進(jìn)行有效攔截。數(shù)據(jù)庫漏洞攻擊防控：開啟虛擬補(bǔ)丁配置策略，即可防范數(shù)據(jù)庫漏洞的攻擊。3.4.7權(quán)限細(xì)粒度管理建立比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制，對建立的虛擬權(quán)限的用戶提供細(xì)粒度的控制?？刂撇呗岳纾河脩?操作+對象+時(shí)間；在控制操作中增加了UpdateNowhere、deleteNowhere等高危操作阻斷；對于返回行數(shù)和影響行數(shù)實(shí)現(xiàn)精確控制。3.5規(guī)范數(shù)據(jù)運(yùn)維管理（數(shù)據(jù)庫防水壩）3.5.1運(yùn)維行為流程化管理債用侵*?戶甜｝驗(yàn)連接.無按柞宙枇適過r捉柞碼立ft&q刃審批人員債用侵*?戶甜｝驗(yàn)連接.無按柞宙枇適過r捉柞碼立ft&q刃審批人員運(yùn)堆人員合法訴問”放石碼或曲珠申請的］腓.?!柜葩牌作申諸:時(shí)佩提作內(nèi)容、撮柞對贏口揺的攜庫価用usspsiiii連損」mKmas2ft6q59F￡?”Wfr申肯的IS柞用戶可以通過第三方工具登錄數(shù)據(jù)庫進(jìn)行操作，簡單口令認(rèn)證，不改變原有工作習(xí)慣，口令通過者只能執(zhí)行其申請的操作內(nèi)容，杜絕誤操作及違規(guī)操作。未經(jīng)口令認(rèn)證者無法操作敏感對象，防止越權(quán)操作。申請人在提交申請的過程中，系統(tǒng)會對語句的合理性，語法的正確性，以及是否存在潛在的風(fēng)險(xiǎn)進(jìn)行判斷與分析，并將其呈現(xiàn)給審批人作參考。申請人提交的內(nèi)容和審批人的審核結(jié)果都會被系統(tǒng)保存，為日后的追責(zé)提供重要依據(jù)。自主識別、自主記憶、自主學(xué)習(xí)基于精確協(xié)議解析技術(shù)，能夠根據(jù)用戶申請SQL的語法特征和關(guān)鍵詞進(jìn)行自動(dòng)識別，對輸入SQL能夠?qū)崟r(shí)、快速、準(zhǔn)確判斷是否語法語義錯(cuò)誤；對申請未通過的相同語句進(jìn)行自動(dòng)記憶以避免他人申請相同語句時(shí)造成反復(fù)操作。本系統(tǒng)通過自主學(xué)習(xí)模式以及SQL語法分析構(gòu)建動(dòng)態(tài)模型，形成SQL名單，對符合SQL白名單語句正常執(zhí)行，對符合SQL黑名單特征語句進(jìn)行進(jìn)行及時(shí)告警。3.5.3靈活的策略和風(fēng)險(xiǎn)感知具備風(fēng)險(xiǎn)感知能力，系統(tǒng)提供了規(guī)則庫，規(guī)則庫中包含異常風(fēng)險(xiǎn)操作、SQL規(guī)則、漏洞攻擊庫、自定義規(guī)則、白名單黑名單規(guī)則。靈活的策略定制：根據(jù)登錄用戶、IP地址、端口號、數(shù)據(jù)庫對象（分為數(shù)據(jù)庫用戶、表、字段）、操作時(shí)間、操作類型、影響行數(shù)、記錄內(nèi)容的靈活組合來定義用戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件。推薦默認(rèn)規(guī)則：數(shù)據(jù)庫安全管控平臺的規(guī)則庫中有可供管理員選擇使用的推薦默認(rèn)規(guī)則，對申請的SQL語句特征系統(tǒng)會自動(dòng)感知是否會SQL注入攻擊、漏洞攻擊、高危操作等，系統(tǒng)隨即會提示給申請人/審批人。白名單、黑名單規(guī)則：管理員可以設(shè)置白黑名單用戶、IP、時(shí)間、語句等，如有申請觸發(fā)白名單和黑名單規(guī)則，系統(tǒng)按照制定規(guī)則自動(dòng)執(zhí)行。3.5.4運(yùn)維監(jiān)控、發(fā)現(xiàn)異常行為根據(jù)運(yùn)維人員執(zhí)行的操作數(shù)據(jù)分析，語句、會話、IP、數(shù)據(jù)庫用戶、業(yè)務(wù)用戶、響應(yīng)時(shí)間、影響行數(shù)等數(shù)據(jù)庫操作的記錄和分析能力，形成DDL、DML、DCL類操作統(tǒng)計(jì)、執(zhí)行操作TOP統(tǒng)計(jì)、高危操作、申請人/申請部門申請信息數(shù)據(jù)統(tǒng)計(jì)等數(shù)據(jù)分析，對其實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)異常，系統(tǒng)會立即告警。3.5.5多角色多權(quán)限管理在管控平臺設(shè)置普通用戶、審批人、業(yè)務(wù)管理員、系統(tǒng)管理員四種角色，每種角色對應(yīng)權(quán)限不同。普通用戶即一線運(yùn)維人員，其權(quán)限是可以對執(zhí)行的語句進(jìn)行申請并根據(jù)申請結(jié)果執(zhí)行操作。審批人即運(yùn)維主管或安全主管，對申請人申請的語句進(jìn)行審批，也可以申請語句并執(zhí)行。安全管理員可以制定規(guī)則，管理數(shù)據(jù)庫，管理用戶，對運(yùn)維數(shù)據(jù)實(shí)時(shí)監(jiān)控，審計(jì)檢查。系統(tǒng)管理員主要權(quán)限是對主機(jī)管理、內(nèi)存管理、網(wǎng)絡(luò)管理。

3.6去除敏感數(shù)據(jù)（數(shù)據(jù)庫脫敏）去除或變化醫(yī)療數(shù)據(jù)中的患者識別信息、不同應(yīng)用目的對患者識別信息有不同需求、將結(jié)構(gòu)化數(shù)據(jù)直接替換。其中，對于文本數(shù)據(jù)，可將姓名、居住地等敏感信息進(jìn)行隱藏，通過采用自然語言處理技術(shù)進(jìn)行識別與替換。對于醫(yī)學(xué)影像數(shù)據(jù)，DICOM影像中進(jìn)行讀取數(shù)據(jù)文件進(jìn)行結(jié)構(gòu)化替換，將模擬影像使用模版進(jìn)行遮蔽。3.6.1數(shù)據(jù)靜態(tài)脫敏系統(tǒng)數(shù)據(jù)靜態(tài)脫敏系統(tǒng)，可以有效防止醫(yī)院內(nèi)部對隱私數(shù)據(jù)的濫用，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從醫(yī)院流出。滿足既要保護(hù)隱私數(shù)據(jù)，又滿足開發(fā)、測試、模型訓(xùn)練等業(yè)務(wù)對數(shù)據(jù)的需求，同時(shí)也保持監(jiān)管合規(guī)，滿足合規(guī)性。數(shù)據(jù)管理區(qū)數(shù)據(jù)交換區(qū)數(shù)據(jù)使用區(qū)散據(jù)抽眠開發(fā)唄ftDI數(shù)據(jù)交件宅子郵件.電活號碼數(shù)據(jù)管理區(qū)數(shù)據(jù)交換區(qū)數(shù)據(jù)使用區(qū)散據(jù)抽眠開發(fā)唄ftDI數(shù)據(jù)交件宅子郵件.電活號碼.曰劇閆.朋爭悖自動(dòng)識別敏感數(shù)據(jù)：按照用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征，在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進(jìn)行自動(dòng)的識別，發(fā)現(xiàn)敏感數(shù)據(jù)，并自動(dòng)的根據(jù)規(guī)則對發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行脫敏處理。豐富的脫敏算法：產(chǎn)品根據(jù)不同數(shù)據(jù)特征，內(nèi)置了豐富高效的脫敏算法，可對常見數(shù)據(jù)如姓名、證件號、銀行賬戶、金額、日期、住址、電話號碼、Email地址、車牌號、車架號、企業(yè)名稱、工商注冊號、組織機(jī)構(gòu)代碼、納稅人識別號等敏感數(shù)據(jù)進(jìn)行脫敏。數(shù)據(jù)子集管理：在許多場景下，并不需要將全部生產(chǎn)環(huán)境中數(shù)據(jù)脫敏至目標(biāo)環(huán)境使用，如開發(fā)環(huán)境可能僅需要生產(chǎn)環(huán)境中1%的數(shù)據(jù)；統(tǒng)計(jì)分析場景則需要對全部數(shù)據(jù)進(jìn)行合理采樣。產(chǎn)品支持對目標(biāo)數(shù)據(jù)庫中一部分?jǐn)?shù)據(jù)進(jìn)行脫敏，用戶可指定過濾條件，對數(shù)據(jù)來源進(jìn)行過濾篩選形成數(shù)據(jù)子集，適應(yīng)不同場景下脫敏需求。

＞脫敏數(shù)據(jù)驗(yàn)證：在脫敏產(chǎn)品的使用過程中，會面臨生產(chǎn)環(huán)境中數(shù)據(jù)或數(shù)據(jù)結(jié)構(gòu)頻繁發(fā)生變化的場景，如果脫敏策略沒有及時(shí)進(jìn)行調(diào)整，會造成敏感數(shù)據(jù)“漏網(wǎng)”的現(xiàn)象，造成敏感數(shù)據(jù)泄露。3.6.2數(shù)據(jù)動(dòng)態(tài)脫敏系統(tǒng)動(dòng)態(tài)脫敏系統(tǒng)，一般部署在數(shù)據(jù)共享和交換服務(wù)、數(shù)據(jù)應(yīng)用和運(yùn)維區(qū)，和數(shù)據(jù)庫之間；形成自動(dòng)化的敏感數(shù)據(jù)匿名化邊界，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從數(shù)據(jù)區(qū)流出。數(shù)據(jù)共享、交換區(qū)數(shù)據(jù)管理區(qū)動(dòng)態(tài)脫敏一DDM數(shù)據(jù)應(yīng)用、運(yùn)維區(qū)數(shù)據(jù)庫大數(shù)據(jù)6225-75004800-4438-9018脫敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷戶6225750002318731|…；?數(shù)據(jù)管理區(qū)動(dòng)態(tài)脫敏一DDM數(shù)據(jù)應(yīng)用、運(yùn)維區(qū)數(shù)據(jù)庫大數(shù)據(jù)6225-75004800-4438-9018脫敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷戶6225750002318731|…；?:i敏感信息進(jìn)行脫敏漂白處理XXXX-XXXX-XXXX-8731XXXX-XXXX-XXXX-9018―IF-按訪問的來源、時(shí)間和訪問數(shù)據(jù)對象多種數(shù)據(jù)脫敏方法滿足不同的隱私數(shù)據(jù)匿名化需求:1）數(shù)據(jù)屏蔽2）數(shù)據(jù)加密3）數(shù)據(jù)替換I鸞I數(shù)據(jù)查詢

服務(wù)II數(shù)據(jù)同步i—月服務(wù)＞提供基于數(shù)據(jù)庫訪問來源ip、數(shù)據(jù)庫應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)賬戶、時(shí)間等因素的策略，對需要共享的敏感數(shù)據(jù)，用戶可根據(jù)數(shù)據(jù)的敏感級別和應(yīng)用的需要，靈活的配置動(dòng)態(tài)脫敏策略，從而實(shí)現(xiàn)外部應(yīng)用能夠安全可控的使用共享的敏感數(shù)據(jù)，防敏感數(shù)據(jù)泄露。＞根據(jù)不同數(shù)據(jù)特征，內(nèi)置了豐富高效的動(dòng)態(tài)脫敏算法，包括屏蔽、變形、替換、隨機(jī)。可支持自定義脫敏算法，用戶可按需定義。3.7數(shù)據(jù)流向監(jiān)控審計(jì)對于通過應(yīng)用程序后門批量導(dǎo)出敏感數(shù)據(jù)的“刷庫”行為，首先要構(gòu)建核心應(yīng)用的行為模型，通過數(shù)據(jù)庫防火墻的學(xué)習(xí)期將合法應(yīng)用的SQL語句全部捕獲，統(tǒng)一放到“白名單”里，防止合法語句被誤報(bào)，通過學(xué)期完善期，然后切換到保護(hù)期，此時(shí)如果出現(xiàn)了通過Web訪問應(yīng)用程序后門批量導(dǎo)出敏感數(shù)據(jù)的操作，數(shù)據(jù)庫防火墻會報(bào)“新型語句”，這類語句屬于“灰名單”語句，安全管理員要根據(jù)具體情況判斷語句風(fēng)險(xiǎn)，防止通過后門程序批量導(dǎo)出敏感信息的行為。業(yè)務(wù)人員的數(shù)據(jù)庫操作基本是合法的，但是也不能排除被利用或被攻擊的情況，通過數(shù)據(jù)庫審計(jì)精確記錄關(guān)鍵業(yè)務(wù)操作和關(guān)聯(lián)具體業(yè)務(wù)操作人員，為事后追溯定責(zé)提供準(zhǔn)確依據(jù)，同時(shí)對數(shù)據(jù)庫運(yùn)維操作和非法批量導(dǎo)出行為進(jìn)行告警。建議采用應(yīng)用關(guān)聯(lián)審計(jì)實(shí)現(xiàn)對業(yè)務(wù)用戶的100%準(zhǔn)確關(guān)聯(lián)，在出現(xiàn)問題的時(shí)候能夠?qū)崿F(xiàn)準(zhǔn)確的追責(zé)和定責(zé)。時(shí)間戳三層關(guān)聯(lián)審計(jì)最高準(zhǔn)確率為80%，在對業(yè)務(wù)用戶操作進(jìn)行追責(zé)的時(shí)候往往會出現(xiàn)A做的事情記成B,并且在高并發(fā)的情況下極易出現(xiàn)錯(cuò)誤審計(jì)，因此不推薦使用。3.7.1全面精細(xì)的審計(jì)分析系統(tǒng)提供了靈活而豐富的策略配置功能，協(xié)助用戶完成審計(jì)策略的精確定義。審計(jì)策略可根據(jù)業(yè)務(wù)主機(jī)和業(yè)務(wù)用戶（包括業(yè)務(wù)服務(wù)器IP范圍，業(yè)務(wù)用戶IP范圍、業(yè)務(wù)用戶認(rèn)證身份、業(yè)務(wù)用戶訪問服務(wù)器使用的資源賬號）、時(shí)間（即策略生效時(shí)間，可以是某一固定時(shí)間，也可以是某個(gè)周期性時(shí)間）、規(guī)則集（定義需要被審計(jì)的操作集合）、動(dòng)作（包括阻斷或者放行）、響應(yīng)方式（包括事件風(fēng)險(xiǎn)級別、是否記錄入庫等）等要素來定義，并且可以提供全面驚喜的審計(jì)分析：提供全面詳細(xì)審計(jì)記錄，告警審計(jì)和會話事件記錄，并在此基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的審計(jì)瀏覽、訪問分析和問題追蹤，提供實(shí)時(shí)訪問首頁統(tǒng)計(jì)圖。Ofc-ishiM-kkt鼻*|?和d■■DfLFS容豐富的審計(jì)瀏覽、訪問分析和問題追蹤，提供實(shí)時(shí)訪問首頁統(tǒng)計(jì)圖。Ofc-ishiM-kkt鼻*|?和d■■DfLFS■冊Q■^+061―M1^00-uwit.io-oc-aiij!■OKl<?-1(.77OKIdM總踴城ItJCWfi3J<JS413btts*H士蹩±"!t上旦?MKri43-!D3:CH能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登陸數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件，對用戶關(guān)心的違規(guī)行為進(jìn)行響應(yīng)，特別是針對重要表、重要字段的各

種操作，能夠通過簡單的規(guī)則定義，實(shí)現(xiàn)精確審計(jì)，降低過多審計(jì)數(shù)據(jù)給管理員帶來的信息爆炸。通過對捕獲的SQL語句進(jìn)行精細(xì)SQL語法分析,并根據(jù)SQL行為特征和關(guān)鍵詞特征進(jìn)行自動(dòng)分類，系統(tǒng)訪問SQL語句有效“歸類”到幾百個(gè)類別范圍內(nèi)，完成審計(jì)結(jié)果的高精確和高可用分析。擁有數(shù)據(jù)庫安全漏洞和SQL注入兩個(gè)特征庫，實(shí)現(xiàn)惡意攻擊快速識別并告警，審計(jì)系統(tǒng)提供了針對數(shù)據(jù)庫漏洞進(jìn)行攻擊的描述模型，使對這些典型的數(shù)據(jù)庫攻擊行為被迅速發(fā)現(xiàn)。系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于語法抽象的SQL注入描述擴(kuò)展。同時(shí)提供了強(qiáng)大的入侵檢測能力，對入侵行為進(jìn)行重點(diǎn)監(jiān)控和告警，對入侵檢測行為提供了大量的檢測策略定義方法。3.7.2全面審計(jì)策略所有的數(shù)據(jù)庫請求都會被審計(jì)，保證審計(jì)的全面性；通過Tracelog機(jī)制，實(shí)現(xiàn)對數(shù)據(jù)庫所有訪問行為的全面記錄，包括SQL語句、SQL語句參數(shù)、執(zhí)行結(jié)果（成功、失敗和詳細(xì)的失敗原因）、被影響的記錄、詳細(xì)的查詢結(jié)果集、事務(wù)狀態(tài)、客戶端IP、MAC、應(yīng)用類型、會話登錄和退出信息等。3.7.3風(fēng)險(xiǎn)審計(jì)策略根據(jù)對象、操作（上百種操作可選）、SQL分類類型（基于DBAudit對SQL的語法抽象結(jié)果進(jìn)行篩選）、用戶、指定的客戶端（IP、MAC）、客戶端工具或應(yīng)用系統(tǒng)等多種策略定制風(fēng)險(xiǎn)檢測策略。3.7.4實(shí)時(shí)準(zhǔn)確的運(yùn)行監(jiān)控提供對風(fēng)險(xiǎn)訪問行為統(tǒng)計(jì)、SQL吞吐量統(tǒng)計(jì)、網(wǎng)絡(luò)流量和平均響應(yīng)時(shí)間統(tǒng)計(jì)、SQL訪問類別統(tǒng)計(jì)、告警SQL統(tǒng)計(jì)。3.7.5風(fēng)險(xiǎn)分析提供對風(fēng)險(xiǎn)和危害訪問的分析，包括：sql注入風(fēng)險(xiǎn)，違規(guī)操作風(fēng)險(xiǎn)，DB漏洞風(fēng)險(xiǎn)，批量數(shù)據(jù)泄露，批量數(shù)據(jù)篡改，違規(guī)登錄等。3.7.6準(zhǔn)確的關(guān)聯(lián)審計(jì)用戶對數(shù)據(jù)庫的操作方式多種多樣，包括通過Linux操作系統(tǒng)登錄數(shù)據(jù)庫、通過程序連接數(shù)據(jù)庫、通過PLSQL、Navicat等工具登錄數(shù)據(jù)庫進(jìn)行數(shù)據(jù)庫嵌套操作。其中，業(yè)務(wù)系統(tǒng)對數(shù)據(jù)庫的訪問，目前應(yīng)用最為廣泛，也是大量數(shù)據(jù)庫操作的來源。經(jīng)調(diào)查，80%的業(yè)務(wù)系統(tǒng)服務(wù)模式是應(yīng)用程序－應(yīng)用服務(wù)器－數(shù)據(jù)庫的三層架構(gòu)。數(shù)據(jù)庫審計(jì)系統(tǒng)采用獨(dú)有技術(shù)通過前后臺關(guān)聯(lián)，通過在應(yīng)用服務(wù)器安裝JTap包，獲取應(yīng)用戶ip、用戶名及操作的SQL語句，完美的解決了這一難題，實(shí)現(xiàn)了數(shù)據(jù)庫操作行為（SQL）與應(yīng)用用戶（User-ID）的實(shí)時(shí)關(guān)聯(lián)?！鱿到y(tǒng)針對三層關(guān)聯(lián)結(jié)果，提供完整的事件信息查詢和獨(dú)有的關(guān)聯(lián)報(bào)表。在事件查詢頁面，用戶能看到每個(gè)訪問行為的業(yè)務(wù)用戶名、客戶端IP、數(shù)據(jù)庫用戶、執(zhí)行的SQL語句以及應(yīng)用服務(wù)器所使用的工具等信息?？梢詫I(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫產(chǎn)生的SQL語句翻譯成中文，支持把審計(jì)到的表信息、對象信息人工翻譯成能夠理解的中文，將執(zhí)行的語句翻譯成能夠讀懂的業(yè)務(wù)化語言，方便管理員直觀的查看審計(jì)信息。、方案優(yōu)勢4.1周期防護(hù)構(gòu)建縱深為了解決數(shù)據(jù)庫在防攻擊、防篡改、防丟失、防泄密、防超級權(quán)限等問題。提出：針從數(shù)據(jù)庫安全的三維角度，構(gòu)建事前-事中-事后的全生命周期數(shù)據(jù)安全過程，并結(jié)合多層次安全技術(shù)防護(hù)能力，形成整體的數(shù)據(jù)庫縱深防護(hù)體系。主動(dòng)防御減少威脅通過事中主動(dòng)防御手段在數(shù)據(jù)庫前端對入侵行為做到有效的控制，通過強(qiáng)大特征庫和漏洞防御庫，主動(dòng)防御內(nèi)外部用戶的違規(guī)操作以及黑客的入侵行為。對IP/MAC等要素進(jìn)行策略配置，確保應(yīng)用程序的身份安全可靠。通過黑白名單對敏感數(shù)據(jù)訪問控制，定義非法用戶行為的方式定義安全策略，有效通過SQL注入特征識別庫。權(quán)限控制解決拖庫從數(shù)據(jù)庫級別進(jìn)行最小化權(quán)限控制，杜絕超級管理員的產(chǎn)生，通過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫加密措施進(jìn)行從根源上徹底控制數(shù)據(jù)信息的泄露，為信息化打好底層基礎(chǔ)。有效防止存儲文件和備份文件被“拖庫”的風(fēng)險(xiǎn)。透明部署零改應(yīng)用本方案所提出的技術(shù)實(shí)施，對于現(xiàn)有應(yīng)用系統(tǒng)基本透明，無需改造，對原有數(shù)據(jù)庫特性、原有應(yīng)用無改造，不改變應(yīng)用及用戶使用習(xí)慣。保證快速、無縫地融合到現(xiàn)有業(yè)務(wù)系統(tǒng)中。

4.5政策合規(guī)滿足標(biāo)準(zhǔn)在等級保護(hù)、分級保護(hù)基本要求中，數(shù)據(jù)庫安全是主機(jī)安全的一個(gè)部分，數(shù)據(jù)庫的測評指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及備份恢復(fù)”中根據(jù)數(shù)據(jù)庫的特點(diǎn)映射得到的。對等保三級、分保秘密級以上系統(tǒng)中，關(guān)鍵敏感數(shù)據(jù)的安全防護(hù)要求滿足了標(biāo)準(zhǔn)特性：?數(shù)據(jù)保密性滿足了“實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的存儲保密性”。?訪問控制性實(shí)現(xiàn)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時(shí)要求對重要信息資源設(shè)置敏感標(biāo)記。?安全審計(jì)性完成了“對用戶行為、安全事件等進(jìn)行記錄”。五、事項(xiàng)解答五、事項(xiàng)解答5.1防水壩與防火墻對比等A、數(shù)據(jù)庫防水壩的具體功能，與數(shù)據(jù)庫防火墻（網(wǎng)管）的差別？數(shù)據(jù)庫防水壩主要部署在運(yùn)維側(cè)實(shí)現(xiàn)數(shù)據(jù)庫運(yùn)維人員（數(shù)據(jù)庫管理員、測試開發(fā)人員、第三方運(yùn)維人員等）在運(yùn)維過程中對于數(shù)據(jù)資產(chǎn)的訪問、操作的安全管理與審計(jì)防止高危操作與數(shù)據(jù)泄露，通過多因素認(rèn)證、多維度的權(quán)限控制和細(xì)粒度的資產(chǎn)授權(quán)管理，實(shí)現(xiàn)操作定位到人、責(zé)任到人的目的，保障運(yùn)維過程中的安全管理。數(shù)據(jù)庫防火墻主要部署在業(yè)務(wù)側(cè)實(shí)現(xiàn)對于外部黑客的數(shù)據(jù)庫入侵行為的安全防范，對可疑的非法違規(guī)操作進(jìn)行阻斷，如撞庫檢測防御、漏洞攻擊攔截、SQL注入攻擊阻斷、敏感SQL管理等，真正做到SQL危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。B、它在其它醫(yī)院的應(yīng)用怎么樣？通常醫(yī)院客戶會整體的進(jìn)行建設(shè)，或者根據(jù)自己關(guān)注的數(shù)據(jù)庫運(yùn)維問題或是是數(shù)據(jù)敏感防護(hù)安全問題進(jìn)行優(yōu)先建設(shè)考慮。C、產(chǎn)品使用的必要性？目前等級保護(hù)及數(shù)據(jù)安全法對機(jī)構(gòu)和單位的數(shù)據(jù)類安全的要求非常高，因此很多客戶都計(jì)劃了數(shù)據(jù)安全產(chǎn)品的采購。D、是怎么樣部署的（旁路還是）？數(shù)據(jù)庫防水壩旁路反向代理部署，反向代理運(yùn)維側(cè)所有數(shù)據(jù)庫的訪問。數(shù)據(jù)庫防火墻透明串接部署。E、怎么管理數(shù)據(jù)庫的（有策略還是每次都要人工寫腳本）？數(shù)據(jù)庫防水壩、數(shù)據(jù)庫防火墻均是通過設(shè)置相關(guān)的安全管控策略進(jìn)行數(shù)據(jù)庫的安全管理。F、和應(yīng)用廠家的協(xié)作關(guān)系是怎么樣的？數(shù)據(jù)庫防水壩部署過程中需要應(yīng)用廠商配合提供數(shù)據(jù)庫相關(guān)信息，數(shù)據(jù)庫防火墻基本不需要應(yīng)用廠家配合。G、對數(shù)據(jù)庫性能有什么影響？數(shù)據(jù)庫防水壩、數(shù)據(jù)庫防火墻均是通過設(shè)置相關(guān)的安全管控策略進(jìn)行數(shù)據(jù)庫的安全管理，不占用數(shù)據(jù)庫性能開銷，對數(shù)據(jù)庫性能基本無影響。H、不同的數(shù)據(jù)庫系統(tǒng)是怎么管理的？對于數(shù)據(jù)庫統(tǒng)一管理，數(shù)據(jù)庫防水壩目前支持的數(shù)據(jù)庫類型：oracle、sqlserver、DB2、Sybase、informix、hana、DM、Gbase、