应对数据安全典型薄弱点,这家医院“外防内控”筑牢屏障
医院承载着海量的数据资源,伴随着各种新业务、新应用的不断涌现,面临着越来越多的安全挑战与合规压力。其中,因医院在数据库运维管控上缺乏有效措施,成为重要隐患之一,诸如:
• 假冒合法客户端访问业务系统敏感数据;
• 盗用客户端内置的应用数据库账号;
• 来自工具端的数据库登录安全威胁(暴力破解\绿色版工具);
• 高权限DBA用户违规访问敏感数据;
• 敏感数据违规导出、系统对象操作无控制,数据被窃取;
• 违规人员/黑客恶意删库、勒索锁库,高危操作无控制。
同时,鉴于医疗健康数据的高价值和隐私性成为黑产及不法分子关注的焦点,因缺乏数据库主动防御机制,数据库处于“裸奔状态”,面临利用数据库漏洞进行攻击、利用应用程序进行SQL注入攻击等风险。
针对上述场景如何采取有效的数据安全防护措施?本期案例主角—宁波市镇海区中医医院以数据库防火墙外防,以数据库防水堤坝内控,筑牢数据安全屏障。
成立于1990年,宁波市镇海区中医医院作为一家集中医医疗、教学、科研、预防于一体的中医医院,经过多年信息化建设,核心业务系统数据规模日益增加,HIS、PACS、集成平台等系统生产、汇聚大量敏感数据资产。
医院安全的核心是数据安全,为满足《数据安全法》、等保2.0等合规性要求,医院拟采用针对性安全防护措施,对数据库运维侧以及业务侧存在的安全薄弱环节进行安全加固:
医院第三方外包人员较多,存在共用相同数据库大权限账号、使用任意数据库运维工具的情况,有越权访问敏感信息,批量查询和导出信息等风险隐患。
现阶段医院部分核心数据库存在高危漏洞,但医院缺乏有效防范数据库攻击威胁的安全措施,一旦发生数据库漏洞攻击入侵行为,将可能导致严重的数据安全事件。
01 建设方案
基于上述风险及防护需求,宁波市镇海区中医医院通过部署美创数据库防火墙及数据库防水坝系统,实现运维侧及业务侧的防护,从而解决内部数据库运维侧人员杂、权限大、无控制、难追溯等问题,防止数据库漏洞攻击、SQL注入攻击等风险。
运维侧安全防护
针对医院运维过程中如何有效管控管理等问题,数据库防水坝实现事前-事中-事后全流程、细粒度的安全管控,包括:运维事前用户多因素身份准入、事中细粒度权限控制以及事后运维审计问题。
数据库防水坝通过对运维人员、开发人员、测试人员进行精准识别,以多维身份认证,来规范数据准入控制,避免非运维人员利用运维工具访问。同时,通过对敏感数据资产进行定义与分类分级,实现细粒度的安全管理。通过对特权账户进行统一管理,防止敏感数据被越权。
此外,数据库防水坝风险监测响应引擎可快速阻断违规操作,支持对误删除数据进行恢复。结合实际应用的灵活性,数据库防水坝支持当运维人员必须进行某些危险性操作或者需要访问敏感数据时,可提交临时授权工单,由安全管理员进行逐级审批后方可进行操作。
业务侧安全防护
针对外部数据库入侵风险,通过部署美创数据库防火墙系统,解决数据库业务应用侧的安全问题。
数据库防火墙采用全面的数据库通讯协议解析,通过 SQL协议分析,和SQL注入特征抽象技术,能快速有效的捕获SQL注入的行为特征,根据预定的SQL白名单策略决定让合法的 SQL 操作通过执行,对符合SQL注入特征的可疑的非法违规操作进行阻断,从而形成一个数据库的外围防御圈, 实现SQL 危险操作的主动预防、实时审计,防止外部黑客的数据库入侵行为。
02 建设收益
1、解决宁波市镇海区中医医院内部运维过程中账户共享、临时账号,账号管理混乱、运维操作不透明、第三方业务单位运维过程存在数据安全风险问题。
2、从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施。同时,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
3、满足《网络安全法》、《数据安全法》、等保2.0及医疗行业相关法规政策要求。
应对数据安全典型薄弱点,这家医院“外防内控”筑牢屏障相关推荐
- 三分建设,七分运营|用现代化安全运营应对数据安全风险
近日,华为网络安全治理论坛在华为全联接大会2022期间举办,论坛以"共筑安全可信,护航数字化转型"为主题,汇聚业界专家学者.行业精英等,共同探讨在行业数字化转型下,网络安全与隐私保 ...
- 医院借力泛微:落地高效、合规的数字化内控管理系统
内部控制是医院可持续发展的内在需要,也是外部加强监管的重要手段,对医院管理具有举足轻重的作用-- 随着医院的快速发展,医院的内部控制工作的信息化建设也迈向了新台阶. 为了提高内控效率,医院决定将内控管 ...
- 阿里云高级产品专家崔旭东:如何应对数据安全挑战
编者按:2021年9月17日,第二期阿里云用户组(AUG)活动在南京召开.阿里云高级产品专家崔旭东以自身多年的数据安全产品经验,向现场20家南京企业的35名技术骨干系统全面地介绍了何为数据安全,并分享 ...
- 这家医院用这种方式致敬100余位逆行者,感谢他们对湖北的付出
这家医院用这种方式致敬100余位逆行者,感谢他们对湖北的付出@TOC (通讯员 裴霓裳)"戴防护镜把眼镜的腿压坏了,加上汗水的浸泡镜腿都被腐蚀了","颞侧皮肤也被损坏的镜 ...
- 典型的进程级数据防泄密
安全角度的数据防泄密 文档透明加密.沙盒防泄密都同属于典型的进程级数据防泄密.文档透明加密:进程HOOK+透明加解密:沙盒防泄密:进程HOOK+沙盒隔离:从安全角度看,系统安全强度取决于其中的最短板. ...
- 阜阳机器人餐厅_网红智能机器人来阜阳这家医院“上班”了,还会说阜阳话!...
原标题:网红智能机器人来阜阳这家医院"上班"了,还会说阜阳话! 相信不少"抖友" 在刷抖音的时候 都看过一些医院.银行大厅的智能机器人 被他们萌的心花怒放.乐不 ...
- 计算机毕业设计Java医院疫情防控管理系统(系统+源码+mysql数据库+Lw文档)
计算机毕业设计Java医院疫情防控管理系统(系统+源码+mysql数据库+Lw文档) 计算机毕业设计Java医院疫情防控管理系统(系统+源码+mysql数据库+Lw文档) 本源码技术栈: 项目架构:B ...
- 外冷内热 智能家居渠道先行
由于缺乏统一标准.成本高.功能非刚需等,外冷内热的智能家居行业一直没能找到打开市场的钥匙. 5月19日至5月21日举办的中国智慧家庭博览会上,记者发现,越来越多的地产商.物业和家装公司正加入智能家居的 ...
- 从外到内提高SQL Server数据库性能
如何提高SQL Server数据库的性能,该从哪里入手呢?笔者认为,该遵循从外到内的顺序,来改善数据库的运行性能.如下图: 第一层:网络环境 到企业碰到数据库反映速度比较慢时,首先想到的是是否是网络环 ...
最新文章
- 神经分类行为中的引力与斥力
- go get github.com/astaxie/beego 没有反应
- 基础入门_Python-内建函数.运维开发中eval内建函数的最佳实践?
- 深入理解DOM节点关系
- for循环利用可迭代对象与迭代器完成工作的本质
- 牛客16585 统计单词数
- 二维码提升对比度文献调研(5)--DeepLPF: Deep Local Parametric Filters for Image Enhancement
- 【Python】Matplotlib绘制各式各样的圆形
- android WebKit实例
- python, c/c++去掉文本的换行符
- 接口做的好怎么形容_游戏耳机怎么选?入耳式游戏耳机测评+游戏音频指南
- options.add_argument(r'--user-data-dir=C:\Users\name\AppData\Local\Google\Chrome\User Data') 绕过登录
- Guava 之 Splitter
- (nlogn)的时间复杂度求 最近点对 hdu 1007 凹凸曼与小怪兽的故事 poj3714 Raid...
- 数据分析--分类与回归模型(一)
- bootstrap(手风琴、图片轮换和固定定位)
- 【张亚飞】 准确、完整地把握Flash动画设计的知识体系——Flash用户入门必读...
- 一个硕士是怎么样发5篇SCI的
- android p nokia 6,Nokia 6评测 | Nokia 6系统体验_Nokia 6怎么样_诺基亚最新手机_什么值得买...
- 智能电视看凤凰卫视,不用直播源