美创助力广西某大型三甲医院数据安全建设实践

当前，随着大数据、云计算、物联网在医疗行业的应用不断深入，海量医疗数据经过不断流动汇聚，价值得到公认。

作为医院信息系统中的重要基础性资源，医疗数据安全问题至关重要，一旦发生数据丢失、篡改等事件，不仅会对医院会造成经济损失和和负面影响，也可能对社会增加不稳定因素，对患者个体而言，敏感的就诊信息泄露甚至可能影响一生。因此，如何保证数据的完整性、可用性、安全性，防止数据泄露，成为医院信息化建设过程中的重要环节。

需求背景

我国广西壮族自治区某大型三级甲等医院积极推进信息化建设，已形成了HIS、LIS、PACS、EMR、集成平台等相对健全的信息化系统，为医疗业务的运行及高速发展提供保障。

医院目前在自身院区信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，为医院业务的正常开展提供了有力支撑。但目前医院信息安全建设主要聚焦于基础安全，这种方式的优点在于网络安全防御功能相对完善，但是防御体系更偏重网络层，忽略了对关键数据的保护。

因此，为了实现对医院数据的保护以及信息系统的可持续运行，亟需在数据安全与安全运维等领域，建设全面、立体的防护体系，通过监控审计、容灾备份以及智能运维等防护手段，与现有的信息系统基础安全建设相配合，为医院长远发展助力。

建设方案

根据对医院以及业务系统安全建设现状分析，美创科技对内网业务区、内网有线及无线终端接入等层面进行等保三级及数据安全建设，包括对生产核心系统的应用和数据实现容灾及统一备份、内部运维风险管控以及数据库安全持续监控运行等内容。

一）内网业务区

1、业务连续性保障

通过美创备份一体机，对该医院电子病历、lis、PACS等核心业务系统实现容灾和备份。容灾系统的备份是真正的实时备份，备份数据随时可用，避免了传统备份无法解决的备份窗口和数据丢失问题。同时备份数据的随时可用，大大减少了业务系统的停机时间，提高容灾系统的利用率。

容灾系统对于发生频率比较高的误操作也可以很好的防范，同时对于已经发生的误操作，容灾系统可以做到基于数据库、表空间、数据块等细粒度的闪回，帮助用户快速的找回误删除的数据。且容灾端的数据可提供查询功能，使客户的部分业务可以迁移到容灾端进行负载分担，减少生产端的压力。

2、内部风险管控

目前医院各类核心业务系统（如HIS/LIS/PACS等）数据库服务器中存放了大量的核心业务数据，对医院来说是举足轻重的，如果这些数据遭到破坏、篡改或窃取，可能会给医院带来毁灭性的影响。通过美创数据库防水坝对访问人员权限的细粒度控制，对敏感数据的分级分类，重点监测所有敏感数据的操作行为，防止非法操作以及授权用户违规操作造成的严重后果。

3、全面、精确审计

由于该医院业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时具备回收站技术，在数据库出现关键错误时及时响应，避免由于数据库故障带来的数据损失。

美创数据库审计系统能够实时地、智能地解析网络上和被审计数据库相关的登录、注销，对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作，实现对各类数据库访问行为的监控和记录，并对异常访问行为进行实时告警，从而在网络上建立起一套数据安全告警和审计机制，为数据库系统的安全运行及事后审计提供有力保障。

二）内网运维区

1、智能运维

通过美创数据库运行安全管理平台实现数据中心运行状态的一体化监控；同时提供丰富多样的数据库运维工具，包括日常管理、故障处理、性能调优三大类；利用这些工具可以实现数据库的智能化运维。运维人员利用数据库运行安全管理平台可有效提升对数据中心的自动化运维水平，实现对数据中心的主动运维服务。

2、运维访问管理

运维安全管理系统使用统一入口的方式，用户在访问帐号资源时首先登录该系统进行统一身份识别、然后依据系统授予的访问权限和行为控制策略，登录到目标帐号进行操作。实现对运维设备的单点登录和统一运维管理。

方案价值

1、通过美创数据库审计与数据库防水坝，实现医院数据事前、事中、事后全方位安全防护。很好的解决了医院对各数据库所有访问和操作行为审计，实现精准到操作人，一旦出现事件，能够迅速定位，事中检测、事后追责溯源，对数据库的潜在威胁者予以震慑，最大程度的减少各种违规行为。

2、通过美创数据库防水坝系统和运维安全管理系统，实现双堡垒模式联动机制安全防护。解决医院运维过程中运维操作不透明、第三方业务运维单位运维过程存在数据安全风险问题。提供多维度的权限控制和授权管理，实现不同细粒度的数据安全标记，全面保障运维的安全要求，保护院内敏感重要数据信息，防止运维过程中数据泄露的安全风险。

3、通过美创数据库运行安全管理平台和数据库人工运维支撑服务，实现医院核心业务系统数据库全生命周期一体化监控及数据库的智能化运维，完成一站式主动交付服务。

4、通过等保三级建设和数据安全加固相结合，将医院信息化建设打造成一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。