医疗行业应用安全及数据保护解决方案

医疗

现状与挑战

1、经常发生医院患者及其他相关信息的泄密情况；

2、应用系统较多，数据安全成为重中之重；

3、各系统数据库权限滥用时有发生；

4、数据越来越多，传统备份机制缺乏效率，时间太长，而且无法验证备份数据的有效性；

5、传统的数据备份无法提供即时恢复，一旦发生意外引发的停机时间无法预计；

6、HIS服务器的集群架构，无法防御‘软’错误；

完善效益

1、防止来自医院网络外部的信息窃取；

2、增强核心业务数据库的审计能力；

3、实时监控内部人员各种违规行为，防止数据外泄；

4、一套解决方案提供服务器操作系统和数据的双重保障；

5、实时的提供数据备份与恢复，操作管理简单，恢复速度快；

6、大幅缩短了信息系统的意外停机时间；

7、不需任何配置，不影响医院日常运营，以最短的时间、对现有环境最小的影响下，轻松将本地保护延伸至远程；

IT环境

HIS系统：Windows集群+Oracle数据库

LIS系统/电子病历系统：IBM服务器+Oracle数据库

OA、ERP

集医疗、教学、科研为一体的市级大型综合三级甲等医院。目前的日门诊量达到1500人次左右，出院人数每年约8000人次。医院非常注重加强信息化建设，已经将病案、统计、物资管理、药剂、人事、教学、财务和科研各部门实行局域联网计算机管理，提高了工作效率和决策能力，增强了医院管理的整体效率。

医院信息系统是计算机技术对医院管理、临床医学、医院信息管理长期影响、渗透以及相互结合的产物，它与医院建设和医学科学技术的发展同步。然而随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生，各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段，多管齐下，对敏感数据进行实时监控，对违规操作进行追根溯源和智能控制，全面提升信息系统安全管理水平，有效遏制违法、违纪活动的发生。

信息系统应用安全方案

通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析，我们推荐采用内/外并重的安全解决方案（参见示意图），即：在现有的安全保障措施下，在互联网接入区增设WEB应用防火墙，防止来自医院外部的信息窃取；在不影响HIS系统、PACS系统、EMR系统等应用系统的前提下，在核心业务服务区增设数据库审计设备，通过对网络

中的海量、无序的数据进行处理、关联分析，实时监控内部人员的越权、违规操作，防止患者信息、医院经营/财务/科研等敏感数据的外泄，构筑八大安全防线，保护院方的核心利益。

防非法“统方”

医药购销领域商业贿赂给临床医生带来很大负面影响，非法“统方”是医药代表事实定量贿赂的主要依据，医院信息科、药剂科、开发商是提供“统方”的重要来源。应用数据库操作监控审计设备，对于来自HIS系统、EMR系统等业务系统的所有数据库操作行为保留操作痕迹，以便在追究法律责任或医疗纠纷时可提供回溯性认定；对于来自维护人员的远程数据库操作进行实时监控，实时阻断正在发生的非法“统方”违纪、违法行为，使工作人员从技术上远离“统方”禁区。

防恶意篡改

医院信息系统全面记录了患者的医疗活动，包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等，信息的真实性、可靠性、保密性颇受关注。然而为满足提高医疗活动效率和质量的需求，不仅医疗机构内部多个业务系统之间存在信息的流转，同时也不可或缺的需要开放一些对外的接口，比如：医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等，使得信息系统的安全风险剧增。部署WEB 应用防火墙，可以实时检测异常入侵，有效识别、阻止各类应用层黑客攻击，阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行为，保障信息的真实性。

防隐私泄密

包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如：亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于绝对的个人隐私，对这些敏感信息的阅读、复制、打印均需要设置相应的权限，并记录使用记录。WEB应用防火墙的部署，可以抵御外部利用技术漏洞的数据盗用、窃取、篡改行为，数据库审计设备的部署，可以从技术上监督医疗机构管理制度的落实情况，阻止患者信息、诊疗信息、费用信息的外泄。

防越权操作

为有效遏制“统方”行为，各医疗机构纷纷采取“角色分离、最小授权”的安全管理制度，对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。数据库审计设备的应用，不仅能够重点监控未通过业务系统（HIS、PACS等）进行的数据库操作（比如：误操作数据的纠正、应用程序BUG引起的数据调整），同时可以依据细粒度的审计规则（如：HIS系统中的价格数据维护，仅允许物价办公室专岗人员进行），发现越权操作行为并及时告警。

防权限滥用

安全不仅是技术问题，更多的是管理问题，人的因素才是关键。利益的驱使、法律意识的淡薄，导致部分人员利用职务之便，铤而走险，监守自盗，为自己及他人谋利益。数据库审计设备的部署，一方面给这些不法之徒树立了警示碑，另一方面从技术上对违规操作加大了监管力度，一旦发现疑似违规操作自动告警，为及时制止违法、违规行为赢得了时间。

防事后抵赖

一旦发生安全事件，攻击者或内部人员往往否认自己的操作行为。职权分离的数据库审计设备的部署，不仅满足了信息系统安全等级保护及企业内控的规范要求，同时，友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗，为公安机关查处违法案件提供有力的证据。

防保险欺诈

病历信息（如：法定医学证明及报告、收费收据等）在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要，这些信息若被不法分子利用，可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控，识别未授权操作，并实时短信告警或阻断操作。

防医疗纠纷

医闹事件不时见诸报端，不少患者家属认为医院的医疗鉴定不够客观，总是怀疑医院伪造、篡改病历。数据库审计设备能够公正、客观地记录所有的操作，真正实现4W全程审计（who谁、when什么时间段内、where通过什么途径、what对什么（数据）进行了哪些操作、结果如何）。一旦出现医疗纠纷，完整清晰的操作回放为医疗纠纷的快速处理提供科学依据，维护医院信誉。

数据保护方案

同时，由于医院各信息系统的数据量增长速度相当快，备份服务器和磁带设备的性能却没有改善，导致每天备份所需要的时间越来越长；需要恢复数据时，必须花费比以往更多的时间，但还是无法实时验证备份数据的安全性和一致性。此外，一旦数据库服务器出现突发性故障，除了修复硬件之外，还必须从磁带机中恢复服务器的系统和数据，恢复时间难以掌握，可能造成的营业损失更是难以计算。再者，重要的HIS服务器虽然已经通过集群架构加强了系统的容错能力，但对病毒、黑客入侵、人为操作失误等“软”错误还是没有抵御能力；两台以上的集群服务器共享一套存储系统，也容易产生单点故障，从而无法保障医疗信息管理系统持续不中断的提供服务。

全面防御故障与灾难，业务运行不中断

飞康公司的CDP连续数据保护方案为医院一系列的关键业务系统提供了全面保护。这套方案由本地保护和异地容灾两大部分组成：一期，在现有门诊楼网络中心部署一台CDP 存储管理器，通过安装在应用服务器上的DiskSafe软件，实时抓取应用服务器的I/O数据，通过旁路复制到CDP存储管理器，实现本地数据保护；二期，在新综合楼网络机房再部署