查看原文
其他

中国科学院大学附属肿瘤医院:智慧医疗背后需要哪些“安全援军”?


中国科学院大学附属肿瘤医院(浙江省肿瘤医院)是国内成立最早的四家肿瘤专科医院之一,是浙江省规模最大的三级甲等肿瘤专科医院,也是中国首批三级甲等医院。


需求背景
近年来,医院不断重视和加强信息化建设,深化“最多跑一次改革”,大力开展“医防融合”、智慧医疗、自动化办公等等信息化工作,伴随着医疗应用系统不断增多,医院实现了数据互联互通、资源共享,但医院缺乏足够、专业的运维人员,不得不依靠第三方运维团队,因此运维环节的数据泄露成为重要的安全隐患之一。


同时,医院开展医疗服务对于信息化的依赖也不断增加,一旦发生数据库破坏、非计划停机等事件,造成数据丢失和业务停摆,会对整个医院的工作开展产生严重的影响,耽误治疗计划,影响医院声誉。

解决方案


内部运维管控+容灾体系建设



针对中国科学院大学附属肿瘤医院(浙江省肿瘤医院)的需求,美创科技从内部运维风险管控和业务连续性保障的角度出发,提出如下解决方案:

运维侧的安全管理,是数据安全防护的有效手段,通过美创数据库防水坝采取敏感数据管控、身份识别、数据库准入、行为阻断、授权管理、监控预警等技术手段,补齐数据安全短板。通过美创DBRA数据容灾系统,保障在生产库遭遇非计划性停机之后第一时间切换到容灾库,中间保证数据不丢失、停机时间最短。

部署示意图


面对集中存放且多而杂的数据,如何避免一刀切的管理方式?


医院采用美创数据库防水坝,通过自动扫描发现的方式高效、方便、全面的获取敏感信息,从Schema级别、表格或者表格列、业务单元三方面来进行数据的分级分类,再将分类结果加入敏感集合,后续可以针对敏感集合不同的敏感级分级开放权限,避免一刀切的数据管理模式。

运维团队庞大,人员多而杂,如何进行准确的人员识别,做到一人一号?


不管是外部人员使用自带电脑登录数据库,还是在任意地点登录数据库,数据库防水坝对于接入数据库的行为提供多维度的监控。身份管理通过应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾、安全客户端等因素进行任意组合,形成新的登陆认证规则,U盾和安全客户端具有唯一的可识别的数字证书,保证一人一号,合法登录,同时还可以对连接数据库的运维工具进行认证,只有指定运维工具可以连接,防止带毒工具或者带有后门的工具连入数据库。


数据库特权账户权限过大,如何其进行管控?


数据库防水坝的特权账号访问控制,可禁止DBA、SYSDBA、SchemaUser、Any等特权用户访问和操作敏感数据集合,限制DBA账户权限,或者将脱敏后数据进行返回,访问敏感数据集合需要经过授权审批,实现特权用户权限分离管理。


外部运维人员如果恶意删除数据,怎么应对?


医院通过采用美创数据库防水坝,可以阻断Drop Table,Truncate Table等操作,当运维人员必须进行某些危险性操作或者需要访问敏感数据时,可提交临时授权工单,由安全管理员进行逐级审批后方可进行操作,如果存在不小心删除数据的情形,也可以通过误删除恢复的功能将数据恢复回来。


假设数据遭到破坏,如何避免影响业务系统运行?


医院采用美创DBRA数据容灾系统,将HIS、LIS、PACS、EMR、集成平台等核心数据库采用日志传输的形式进行了数据实时同步,再利用DBRA中自动化的切换流程进行一键切换,保证RPO为0,RTO在3分钟以内。

如何利用容灾系统将容灾演练常态化?


美创DBRA数据容灾系统具备虚拟演练功能,可以在不断开生产库的前提下进行灾备切换,演练的处理过程是高度接近真实灾难发生时的处理过程,通过演练可以检验灾备系统的可用性、灾难恢复预案的可行性以及增加参演人员对灾难处理过程的感知度,参演人员对整个灾难处理流程的熟悉程度和各自负责任务的熟练程度,增加灾难处理过程中各环节参加人员配合的默契程度。

容灾系统除切换外,还有哪些价值?


提高生产系统性能,降低外围业务对生产系统的压力。通过美创DBRA数据容灾系统活动站点功能,可以将容灾系统作为只读站点,分担生产中心生产业务负载压力,最终将容灾中心价值最大化。


客户收益


防止内部数据泄露+保障业务连续性




1、通过美创数据库防水坝,数据库运维访问环节得到强力有效的管控保障,建立医院内部数据安全使用管控体系、完善了整体的信息安全架构。


2、基于人员与数据资产的内部数据安全管控能力,有效防止数据从运维端内部泄露,提升医院整体数据安全防御能力。


3、通过容灾体系的建立,极大的提高了中国科学院大学附属肿瘤医院系统数据的安全性,提供了生产系统与灾备系统之间相互切换、容灾系统可替代生产系统提供相关服务、保证核心数据零丢失等能力。


4、满足《中华人民共和国网络安全法》、《中华人民共和国数据安全法》(草案)以及医疗行业等相关政策法规要求。




01年度工作总结



请输入标题

请输入标题
01年度工作总结



请输入标题

请输入标题

点击“阅读原文”,提交试用申请

继续滑动看下一个
杭州美创科技股份有限公司
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存