6月19日，由寧波市委網(wǎng)信辦指導，寧波市計算機信息網(wǎng)絡安全協(xié)會、寧波市互聯(lián)網(wǎng)發(fā)展聯(lián)合會主辦的“2019寧波市信息網(wǎng)絡安全高峰論壇”圓滿召開！

一、2019寧波市信息網(wǎng)絡安全高峰論壇主論壇

會議現(xiàn)場

寧波市委、網(wǎng)信辦、公安局主管領導，金融、醫(yī)療、教育、電力相關重要行業(yè)信息化負責人，行業(yè)專家學者，安全廠商代表和“2019寧波市第二屆網(wǎng)絡安全大賽”獲獎選手共500余人到場參會。安華金和作為“2019寧波市第二屆網(wǎng)絡安全大賽”的贊助支持單位受邀出席高峰論壇并做主題分享。

論壇旨在全面貫徹落實習近平總書記關于網(wǎng)絡強國的戰(zhàn)略思想，圍繞“數(shù)字經(jīng)濟與數(shù)據(jù)安全”這一主題，為我國的信息化建設以及寧波未來網(wǎng)絡安全防護與數(shù)字經(jīng)濟發(fā)展出謀劃策。

寧波市委常委、宣傳部部長萬亞偉致辭

中國工程院院士沈昌祥做主題演講

市委領導為網(wǎng)絡安全大賽優(yōu)勝隊伍頒獎

二、“智慧醫(yī)療 安全護航”分論壇

安華金和華東區(qū)技術總監(jiān)林鷺出席“智慧醫(yī)療 安全護航”分論壇并做《醫(yī)療行業(yè)數(shù)據(jù)安全解決方案》內(nèi)容分享：

“智慧醫(yī)療 安全護航”分論壇

1、危機四伏

根據(jù)對2018年上半年數(shù)據(jù)泄露事件的統(tǒng)計，醫(yī)療保健行業(yè)以27%的占比“遙遙領先”——“互聯(lián)網(wǎng)+”醫(yī)療、網(wǎng)絡黑產(chǎn)、非法統(tǒng)方等問題令醫(yī)療行業(yè)成為數(shù)據(jù)泄露的重災區(qū)：

1、當醫(yī)療遇見互聯(lián)網(wǎng)后

如今，日新月異的互聯(lián)網(wǎng)已滲透到醫(yī)療行業(yè)的各個環(huán)節(jié)，醫(yī)院等機構(gòu)相對封閉的數(shù)據(jù)使用環(huán)境被逐漸打破，信息在高速生產(chǎn)、傳輸、使用、存儲的過程中，面臨著前所未有的安全風險。

2、當醫(yī)療數(shù)據(jù)遇見黑客

大數(shù)據(jù)時代下，數(shù)據(jù)的價值正在不斷攀升，其中與百姓生命健康緊密相關的醫(yī)療衛(wèi)生數(shù)據(jù)成為黑客眼中的“金礦”，以營利為目的竊取個人隱私數(shù)據(jù)的攻擊行為層出不窮，且數(shù)據(jù)泄露后多被用于精準詐騙、隱私勒索和誘導式推銷等極具危害性的不法行為。

3、當“統(tǒng)方”的目的不純

統(tǒng)方，原本是醫(yī)院為了解醫(yī)生用藥情況而進行的一項工作，如今卻成了醫(yī)藥回扣黑鏈的代名詞。這種不法行為不僅會帶來數(shù)據(jù)安全問題，更可能導致無辜病患的切身利益受到損害。

2、難點眾多

隨著《網(wǎng)絡安全法》、等保2.0以及《全國醫(yī)院信息化建設標準與規(guī)范(試行)》等法律規(guī)范、制度標準的相繼發(fā)布，國家對醫(yī)療行業(yè)數(shù)據(jù)安全保護的重視和要求進一步明確。新時期、新環(huán)境下，醫(yī)療行業(yè)想要真正做到滿足合規(guī)與發(fā)展的協(xié)調(diào)統(tǒng)一，有待解決的難點還很多：

1、各醫(yī)療系統(tǒng)繁雜，不清楚數(shù)據(jù)資產(chǎn)在哪？怎么治理？又在流向何方？

2、智慧醫(yī)療下的數(shù)據(jù)流動更加活躍而廣泛，逐漸為網(wǎng)絡攻擊打開口子？

3、醫(yī)療數(shù)據(jù)明文存儲，可直接接觸者眾多，該如何規(guī)范核心數(shù)據(jù)訪問？

4、因第三方導致數(shù)據(jù)泄露的事件頻出，該如何規(guī)范數(shù)據(jù)的共享和使用？

5、非法統(tǒng)方長期暗地滋生難于治理，如何真正實現(xiàn)對統(tǒng)方行為的管控？

3、解決方案

安華金和依托多年來在醫(yī)療行業(yè)豐富的數(shù)據(jù)安全治理實踐經(jīng)驗積累，提出如下方案思路：

醫(yī)療行業(yè)數(shù)據(jù)安全“五重防護”

1、全面自檢梳理

對現(xiàn)有醫(yī)療核心系統(tǒng)的數(shù)據(jù)庫及數(shù)據(jù)資產(chǎn)進行全方位梳理，及時發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫用戶分布及權限詳情，深度挖掘僵尸庫和病患敏感數(shù)據(jù)情況；對包含患者敏感數(shù)據(jù)的表、模式、庫進行敏感度評分，并進一步對醫(yī)療數(shù)據(jù)進行分類分級；同時，對醫(yī)療核心數(shù)據(jù)資產(chǎn)進行周期性動態(tài)分析和異常評測，實時掌握其變化及使用趨勢，實現(xiàn)對風險的預估。

2、內(nèi)外威脅防護

通過專業(yè)度及成熟度較高的數(shù)據(jù)庫“弱點”評估技術，對現(xiàn)有醫(yī)療核心數(shù)據(jù)庫的運行狀態(tài)進行周期性監(jiān)控和綜合風險評估，充分暴露并證明數(shù)據(jù)庫自身的安全漏洞、弱配置項、缺省配置項、弱口令、缺省口令、易受攻擊代碼、程序后門、權限寬泛等安全風險，從而對數(shù)據(jù)庫進行有針對性的安全加固。

3、規(guī)范數(shù)據(jù)訪問

采用多級權限管控手段，在不影響人員正常工作的前提下，通過相關技術準確識別敏感數(shù)據(jù)訪問行為。對業(yè)務展示層中普通患者或特殊身份患者(如國家高干、明星)等身份信息進行脫敏處理；對運維側(cè)的患者敏感信息進行脫敏處理，防止運維側(cè)大批量數(shù)據(jù)泄露。

4、規(guī)范數(shù)據(jù)使用

根據(jù)各類醫(yī)療系統(tǒng)的開發(fā)測試，以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況，通過專業(yè)技術對敏感數(shù)據(jù)進行自動識別和統(tǒng)一管理，針對共享數(shù)據(jù)中包含的患者個人隱私數(shù)據(jù)，采用脫敏算法將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)，隱藏真正的患者敏感信息，防止各機構(gòu)內(nèi)部對隱私數(shù)據(jù)的濫用。 

5、加強統(tǒng)方治理

對于需要進行合法統(tǒng)方工作的藥房管理人員和藥劑師的統(tǒng)方行為進行敏感數(shù)據(jù)遮蔽；對運維側(cè)的醫(yī)生姓名、編號、藥品數(shù)量等字段進行脫敏；對其他一切無需統(tǒng)方人員的統(tǒng)方行為進行“攔截+告警”；對于黑客入侵數(shù)據(jù)庫實施的統(tǒng)方行為進行“攔截+告警”，同時對藥品編號、數(shù)量等信息進行加密。                                                                                      三、 圓桌論壇

圓桌論壇

在本次高峰論壇的最后一個重要環(huán)節(jié)中，安華金和區(qū)域銷售總監(jiān)范正宇和寧波市委網(wǎng)信辦葉子偉處長，寧波市衛(wèi)生信息中心、寧波市健康醫(yī)療大數(shù)據(jù)研究中心朱春倫處長等一同出席圓桌論壇對話交流。期間，幾位代表針對在當前網(wǎng)絡安全檢查及等保2.0等合規(guī)檢查過程中經(jīng)常出現(xiàn)的數(shù)據(jù)庫漏洞修復難點，以及數(shù)據(jù)庫防火墻在接入網(wǎng)絡后怎樣既能確保安全防護，又不會誤攔截合法請求等熱門話題進行了深入探討。

在談及數(shù)據(jù)庫漏洞修復問題時，范正宇表示：這是當前很多用戶遇到的現(xiàn)實問題，建議用戶使用數(shù)據(jù)庫漏洞“虛擬補丁”技術來解決。“虛擬補丁”技術可以通過前置防護的方式，將防護規(guī)則啟用在數(shù)據(jù)庫前端的數(shù)據(jù)庫防火墻類設備上，從而有效攔截針對數(shù)據(jù)庫漏洞的攻擊以及對數(shù)據(jù)庫進行惡意掃描的行為。此外，通過對“虛擬補丁”規(guī)則庫的定期更新，還可以讓后端的數(shù)據(jù)庫系統(tǒng)獲得持續(xù)性安全保護。因此，只有選擇具備專業(yè)數(shù)據(jù)庫漏洞挖掘與研究能力的安全團隊及其產(chǎn)品和服務，才能夠保證在第一時間獲得最新的數(shù)據(jù)庫漏洞防御能力。

中國現(xiàn)已邁入網(wǎng)絡安全保護的嶄新階段，各行各業(yè)均需順應數(shù)字經(jīng)濟發(fā)展趨勢。作為中國數(shù)據(jù)安全治理的提出者和踐行者，安華金和將持續(xù)深入技術研發(fā)，不斷優(yōu)化提升產(chǎn)品和服務水平，為廣大客戶提供行業(yè)領先的、高效可靠的數(shù)據(jù)安全解決方案！