无惧内部威胁，泰安市妇幼保健院数据安全建设实践

杭州美创科技股份有限公司

医院患者单体数据的巨大价值，使人的安全成为医院安全的最大问题所在。Verizon报告揭示医疗行业是唯一一个内部威胁远大于外部威胁的行业，内部威胁高达60%，外部威胁只有40%。

更大的数据意味着更大的利益，网络的普及化与各类工具的便利化固然增大了数据“捕猎者”的基数，但如何解决源自于内部的安全威胁，尤其是运维端所引发的数据泄露风险，是各大医院所面临的难题。

需求背景

泰安市妇幼保健院（市儿童医院）是泰安市唯一一家三级甲等妇幼保健院，是泰山医学院实践教学医院、全国百姓放心示范医院，已连续十一年保持省级文明单位荣誉称号。医院环境优美、设施先进，引进超导核磁共振、复式数字钼靶等国际众多先进的医疗设备为泰安市民提供国内一流的优质医疗保健服务。

近年来，随着泰安市妇幼保健院（市儿童医院）信息化建设迅速发展，数据规模和数据访问及操作日益增加。为保护重要、敏感数据安全，该院计划加强内部安全管控，并提出以下需求：

❖ 对泰安市妇幼保健院（市儿童医院）的信息化管理与服务系统数据进行梳理，对重要数据以及敏感数据进行定义与分级分类，从数据资产的角度明确保护对象和保护措施。

❖ 对现有特权账户进行统一管理，从数据层面对访问人员权限进行细粒度控制，防止敏感数据被越权。对运维人员、开发人员、业务操作人员进行多因素身份认证与识别，根据不同人员的权限进行访问控制，避免非法访问。

❖ 重点监测所有敏感数据的操作行为，防止非法操作以及违规操作造成的严重后果，避免数据库运维过程中的误操作行为。

❖ 对数据的所有访问与操作行为进行全面的监控，第一时间发现潜在数据库高风险行为，精准发现违规和高风险行为，杜绝告警泛滥。

解决方案

针对泰安市妇幼保健院（市儿童医院）安全需求，美创数据库防水坝通过对医院重要以及敏感数据进行分类分级，对内部高权限用户进行管理控制，对面向数据的危险操作进行进行授权管理与访问控制，对数据库操作进行细粒度审计管理，对数据库存在的风险行为、攻击行为进行告警，从而实现数据资产内部使用过程的风险控制，整体提高医院数据资产安全。

部署如下：

❖ 基于数据库防水坝敏感数据分级分类功能，以表格或列为单位进行细粒度管理，将医院重要及敏感数据从普通业务数据中脱离进行独立管理，从而明确数据保护对象实施更加安全的保护措施；

❖ 数据库防水坝系统以身份为中心，通过对运维人员、开发人员、业务操作人员进行身份鉴别，基于最小化权限原则，根据不同的数据使用人员授予不同的数据使用权限，进行敏感数据访问控制。隔离DBA、SYSDBA、SchemaUser、Any等特权，使其只能访问授权范围内的敏感表格数据；

❖ 对DDL、DML、代码类高危操作，结合细粒度访问控制和工作流审批进行监控，支持数据恢复机制，避免误操作导致的数据丢失；

❖ 从数据库访问、终端、风险策略、敏感资产等多角度进行监控，风险发生时进行实时告警。

客户收益

➢ 通过美创数据库防水坝系统，建立了泰安市妇幼保健院数据层面的内部数据使用安全管控体系，完善了整体的信息安全架构。

➢ 基于人员与数据资产的内部数据安全使用管控能力，能够有效防止内部数据安全泄露风险，提升医院整体的数据安全防御能力。

➢ 敏感数据分类分级，形成了数据安全的底层基础，为后续数据安全建设的扩展延伸打下了坚实的基础。

➢ 立足数据安全风险管控，保障医院重要数据以及患者个人敏感隐私数据安全，满足相关主管单位的政策和法律要求。

点击“阅读原文”，提交试用申请