您现在的位置:首页>>安全学院>>技术纵横
安全学院

案例|某妇幼医院-数据库安全加固建设方案


项目背景



在我国医院信息化建设初期,由于投入和体制等问题,信息系统的运营缺少有效的安全保护措施和审计机制,存在账号盗用、业务数据被非法读取的风险。作为国家和媒体关注的重要社会焦点问题,医疗时常发生的统方行为是建立医药回扣黑链的重要一环,数据库由于存储着大量的用药和医疗设备采购信息,历来是医药代表进行“统方”的有效途径,卫生部要求全国二级甲等以上医院,都要有手段进行防统方。2011年卫生部发布的《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)等文件均明确要求各级医疗单位要高度重视信息安全等级保护工作,三级甲等医院需要过等保三级,这对保障居民健康、信息安全、医疗卫生服务秩序和社会稳定具有重要意义,开展信息安全等级保护工作是医院提高信息安全防护能力的重点工作。



需求分析



某妇幼医院系统中运维操作和业务管理不健全,没有针对违规统方事件的建设,并且一旦发生违规统方事件也没有相关记录进行回溯,具体需要如下:

1、就医患者隐私信息等核心信息资产的破坏和泄漏

对于医院业务系统数据库中存储着海量患者个人隐私信息,这些信息对整个医疗产业链如医疗药品公司、广告公司、媒体中介、健康保险等行业具有重要的价值,外部黑客入侵医院系统或不法分子收买医院业务人员、信息中心人员、第三方维护和开发人员盗取患者隐私数据,内部违规或犯罪事件正呈上升趋势。


2、对患者及药品等敏感数据的操作没有告警功能

当用户未经授权对敏感信息进行了不合理的操作时,系统管理员或相关负责人不能及时获得相关的告警,以及实时控制损失。


3、多途径的非法“统方”行为,导致医药贿赂事件频频发生

医院信息科人员、其他医药业务科室、信息系统维护人员等各内部人群可以通过合法访问,访问数据库、应用系统等批量收集查询或下载处方数据,“统方”行为是导致医疗行业违法事件的主要起因。


4、数据库与业务系统无法关联分析

在医疗业务系统现有的三层B/S架构中,通过客户端访问业务系统到最终的数据操作请求,中间通过WEB服务器、应用中间件、数据库等多层架构,从数据库查看信息时只有一个数据库前端(中间件)的访问信息,无法查询到最原始的客户端信息,因此发生安全事件或信息泄露时无法精确定位到事件发生的源头,不能进行追责。


5、医疗财务数据被非法篡改导致的资金流失

以住院费用查询系统为例,住院病人费用清单包括诊疗费、药品费、检查费等重要就诊信息,维护人员、程序开发人员、信息中心业务人员拥有核心数据库的高级别操控权限,正常的数据维护工作和敏感数据的非法篡改,从权限上无法分离,事后亦无法有效定责。


6、在开发、测试环境中,第三方外包人员可能存在的数据泄露风险


7、传统医疗信息化数据库防护存在缺陷

传统网络安全方案,依靠传统的网络防火墙及入侵保护系统IPS,在网络中检查并实施数据库访问控制策略,同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。因此,无论是防火墙,还是IPS都不能解决数据库特权滥用等问题。



项目建设目标



基于上述安全分析,医院需要进一步加强对患者的敏感信息保护,以及防止统方的产生,信息系统整合和防护目标如下:

1)满足业务数据库的审计需要;

2)满足等保评测工作在数据库安全防护的要求;

3)防止医疗信息泄漏以及防统方等数据库泄密行为的发生。

该项目目标充分体现院方对患者的隐私信息保护和医疗腐败整治的重视。



解决方案



1、管理方面

数据库账户按业务用途严格区分,划定业务权限,建议与管理终端绑定IP;
1)内部权限管理,门诊部、化验科、信息科分配独立数据库账号,针对不同业务账号,最小化开启对数据库的访问权限;
2)审计和防火墙权限管理,对统方涉及的药品表进行全面监控审计,定期生成用户活动报表,对越权访问的IP和数据库用户进行阻断防护,保证合法用户正常访问行为。


2、技术方面

(1)总体策略
1)开启数据库性风险评估功能,扫描弱口令、系统漏洞、配置等风险,全面评估数据库系统的风险状态;
2)通过对生产库配合审计模块,获得完整的针对数据库的操作,配合防火墙联动,可以有效的减少误操作和违规操作的次数,并对违规操作第一时间报警。


(2)数据库审计
数据库审计以旁路的方式部署于网络当中。数据库审计基于SQL语法分析技术,分析、过滤发往数据库的SQL语句,采集、分析、过滤所有对数据库的访问行为。发现违规访问行为采取告警措施,并提供访问行为的回溯,便于管理人员更直观的判断问题。按规定的时间生成报表提供给监察部门审核。


(3)数据库防火墙

总体规则配置方案
1)开启SQL注入防护功能,以抵御SQL注入攻击和针对数据库漏洞的攻击,还能防止全表删除、超级权限滥用等风险;
2)开启学习功能,生成白名单规则,并手工添加黑名单规则,解决详细设置数据库防火墙规则困难的问题;
3)通过IP、应用程序名、主机名进行限制

4)通过表字段执行流程进行限制

5)通过手工配置,限制一个操作必须命中规则中的所有表,才认为是正常访问,否则防火墙将进行阻断。


3、实施部署


中安威士防统方解决方案以“防”为主的防统方体系架构,把处方药品数据表定义为高度敏感数据,隔离特权用户,通过安全基线自动建立白名单验证SQL语句的合法性,对非法操作进行事先阻断;利用IP、数据库用户、特殊数据库行为相结合的应用策略,通过SQL会话特征识别阻止假冒应用登录HIS系统,实现精准审计,全面构建统方防御体系,只有特定人员才能访问统方数据。



案例价值
可居左或居右对齐


中安威士技术方案能够有效解决医疗系统目前所面临的数据安全问题,提高数据库的安全性、机密性、稳定性以及可用性。最大程度的保证不会因外部与内部攻击、有意或无意的危险操作等原因带来的信息泄露、被篡改、被删除等后果。满足信息安全等级保护及医疗防统方相关要求。具体价值ti


1、 从核心处解决数据安全问题

从访问数据库的SQL语句级别和查看数据库的字段级别进行防控,从根源上彻底防止“篡改数据、删除数据、窃取数据”的问题。


2、防止无关业务人员访问核心数据
对访问核心数据的人员的权限体系建立,使核心数据流通在少数的、合规的人员内部,完全屏蔽无关人员与无关业务系统的访问权限,只针对运维及门诊部门开放访问权限并进行集中审计与防护。


3、防御为主、审计为辅
在主动防御的同时,依然对访问行为进行全程的审计监控,便于时刻分析问题可能发生的时间、地点、人物,以便设置更合理的防御策略。基于白名单阻断非法统方行为,全面精准地审计用户操作行为;


4、定期生成统方报表,供审计部门检阅

通过统方报表订阅以及统方报表定制,让医院监察部门能及早的发现相关院内统方以及医院外部统方,上报医院纪检领导,及早得到确认非法统方,阻断商业统方链条。


中安威士:保护核心数据,捍卫网络安全


来源:中安威士技术支持部


Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1