《数据安全法》出台，医疗行业数据安全建设指南

2021-06-17 09:33

《中华人民共和国数据安全法》(简称《数据安全法》)将于2021年9月1日起施行。《数据安全法》的出台对医疗数据的合规与安全提出了新要求。医疗行业应当依法提升数据安全意识,依法建立健全数据安全管理制度,同时要积极采用相关信息技术方案,依法对数据全生命周期(采集、传输、存储、处理、交换、销毁)进行保护,采取数字化、智能化的数据安全保护技术或产品,以实现或提升数据安全保护效率。

01三个视角看数据安全

《数据安全法》定义了一个明确的保护对象:数据,指任何以电子或者其他方式对信息的记录。数据安全与传统的网络安全之间最大的区别是,后者没有明确的保护对象,更多的是从攻击行为来分析,并进行宽泛保护。数据安全本身和网络安全是互补的关系:当保护对象确定后,相应的保护手段就会比较明确。

如图1所示,数据安全保护应该从资产、风险、入侵三个视角开展。

图1

资产视角—零信任V2．0

零信任安全(或零信任网络、零信任架构、零信任)最早由约翰·金德维格(JohnKindervag)在2010年提出,美创科技同期并行提出零信任安全体系,并加以实践,是全球最早的零信任安全体系架构构建者和实践者之一。2020年,美创科技在零信任1．0架构的基础上提出了零信任2．0架构,其最核心的变化在于重新定义了边界,让零信任架构变得更加清晰(如图2所示)。

图2

风险视角—风险治理V1．0

风险治理是人和技术的界面。“人”总是从风险来认知安全,也是安全管理的中轴线。美创科技提出了稳定、可遵循的风险治理方法论V1．0,主张从六大维度来进行风险治理和评估,并且按照严重程度、发生概率构建风险评分系统,这六大维度分别是:资产、身份、行为、合规、入侵生命周期、访问上下文。

入侵视角—入侵生命周期V1．0

传统的入侵防护一般是根据不同阶段所具有的固有特征,采用不同的防御手段,例如依据漏洞特点针对性地添加相关防护策略等。而入侵生命周期关注入侵过程中涉及的资产、身份和行为。

02为医疗行业数据安全护航

美创科技在数据安全建设方面持续领先,医疗行业是美创科技关注的重点行业之一,面向医疗行业推出数据安全综合解决方案,如图3所示。

图3

现状调研:从医疗数据域的角度看医院的数据分布

《从医院的五个数据域解剖安全风险》一文详细分析了医院的5个数据域(图4):以患者服务为中心的生产数据域、以诊断治疗改善为中心的数据利用域、以运营管理和改善为中心的数据利用域、以测试开发为中心的数据利用域、以交换和共享(互联互通)为中心的数据流动域。此外,还有以流程管控为中心的管理领域,比如HRP、OA、采购、库存、财务等。

图4

安全治理:从未知到已知,从无序到有序

数据安全治理包括数据资产发现、数据分类分级、安全风险评估、安全建设规划等几个重要阶段。只有做好数据安全治理,才能更清楚数据资产在哪里、风险有哪些,才能有的放矢地指导数据安全建设的方向。因此,数据安全治理是数据安全建设的重要前提,也是必要保障。

1)数据发现和分级分类

数据发现和分级分类已成为数据安全领域公认的基础工程。其中,数据发现包括资产梳理,目的在于理清数据资产分布、数据流向,同时明确敏感数据的分布情况,确定敏感数据的U/C矩阵。

2)合规性评估和安全风险评估

在数据安全治理过程中,合规是基础和底线。要全面学习《网络安全法》《数据安全法》《个人信息保护法(草案)》等法律法规,将组织现状与其对标分析,以充分了解组织的数据安全合规情况。

数据安全风险评估则需参照国家标准《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019),从组织建设、制度规范、技术工具和人员能力四个维度,对数据生命周期各个阶段所采取的安全措施情况进行综合评估后,得出的风险结果;基于现有数据安全能力评估结果,进一步分析与数据生命周期安全目标之间的差距,量化差距大小,再将分析的结果落实到数据生命周期各个阶段的具体安全防护措施中。

3)定制化构建数据安全体系

数据安全体系规划是基于前面各阶段的成果,量体裁衣,以业务需求为导向,采用层次化、开放式、SOA耦合架构,利用数据安全相关技术和理念定制化构建的安全体系。数据安全体系遵循统一组织规划建设、统一安全架构设计、统一总体服务功能、统一安全管理的原则,覆盖数据全生命周期管控、风险控制和资产保护等,帮助组织建立数据安全能力,并参考PDCA方法论持续治理。

如图5所示,数据安全体系可分阶段建设,包括数据内控合规、数据全域可管、数据全局可视等阶段。

图5

安全防护:多场景全方位保护数据安全

以数据为中心,数据在哪里,安全就在哪里。因此应根据数据所处场景,分别从内部安全、入侵安全、数据流动安全、终端安全、云安全、运行安全等多个场景进行安全防护,如图6所示。

图6

1)内部安全

内部安全,是防止数据被内部人员恶意操作或误操作导致的数据破坏和数据泄露。主要包括几大措施:针对数据库管理员、安全管理员、数据管理员和审计管理员等“特权用户”,将其权责分开,收回DBA特权用户的数据访问权限,让其只能从事数据库管理和维护工作;对访问身份及应用进行分类,再根据数据分类分级结果,为不同的访问身份授予不同类别、不同级别的数据访问权限;对运维人员、开发人员返回脱敏后的数据;对高危操作加以管控;对所有访问事件进行审计以及日志记录。

2)入侵安全

入侵安全是防止数据被外部攻击。基于用户身份鉴别、SQL白名单比对、SQL注入特征库比对,根据事先定好的策略对SQL操作采取阻断、告警、通过措施。另外还可通过自学习模型来发现用户的异常SQL操作,及时阻断或告警,以避免造成损失。

3)数据流动安全

数据流动才会产生更大价值,但如果没有采取保护措施,数据就会走向失控。数据流动包括内部流动和外部流动,如图7所示,医院数据流动包括如下几个方向。对于不同的流动方向,应采取不同的保护措施,包括:静态脱敏、动态脱敏、数据水印、数据加密等,同时对于所有的流动事件应进行审计和日志记录。

图7

4)终端安全

终端安全中包含的一个重要功能就是防勒索。仅允许可信任程序对受保护数据库文件执行相关操作(包括设置某些数据仅允许被指定应用程序访问,设置某些应用程序仅允许访问指定数据,设置某些数据仅允许被生成它的应用程序访问等);创建应用程序白名单,不在白名单的程序无法启动。

5)云安全

云安全包括通过云灾备来保护本地数据安全,以及保护云上数据的安全。不论是公有云、私有云、政务云、行业云,上云后数据越发集中,由于基础设施、人为事故等带来的灾难范围将会放大更多倍,所以更加需要做好数据保护。

6)运行安全

通过采取容灾备份等措施,避免因自然灾害、人为操作等原因导致的业务中断,保障数据完整性和业务连续性,降低RPO和RTO值。此外,容灾备份还支持:将容灾对象资源池化管理,提供灵活编排可行性;一键切换开关,使得切换过程不再复杂,保障准确性;提供桌面级模拟演练功能,让演练常态化,保障系统可用性;支持在容灾中进行数据恢复验证,确保数据准确再反向同步还原;容灾站点在线分担生产负载或作为业务数据源,实现投资保护。

采用聚合全景大屏和单个资产聚焦大屏(如图8所示),对所有数据库对象实现聚合监控及单一对象的详细监控,分层展示数据库运行状态,实现直观、精准、高效的运行风险可视化管理。运维人员可以直观清晰地了解到各数据库对象及其对应的业务系统的整体运行情况,确保业务系统的连续稳定可用。告警自动关联运维工具,实现告警发现到故障解决的运维闭环。