聚焦數字經濟與數據安全，助力寧波信息化建設與發展！

6月19日，由寧波市委網信辦指導，寧波市計算機信息網絡安全協會、寧波市互聯網發展聯合會主辦的“2019寧波市信息網絡安全高峰論壇”圓滿召開！

一、2019寧波市信息網絡安全高峰論壇主論壇

會議現場

寧波市委、網信辦、公安局主管領導，金融、醫療、教育、電力相關重要行業信息化負責人，行業專家學者，安全廠商代表和“2019寧波市第二屆網絡安全大賽”獲獎選手共500余人到場參會。安華金和作為“2019寧波市第二屆網絡安全大賽”的贊助支持單位受邀出席高峰論壇并做主題分享。

論壇旨在全面貫徹落實習近平總書記關于網絡強國的戰略思想，圍繞“數字經濟與數據安全”這一主題，為我國的信息化建設以及寧波未來網絡安全防護與數字經濟發展出謀劃策。

寧波市委常委、宣傳部部長萬亞偉致辭

中國工程院院士沈昌祥做主題演講

市委領導為網絡安全大賽優勝隊伍頒獎

二、“智慧醫療 安全護航”分論壇

安華金和華東區技術總監林鷺出席“智慧醫療 安全護航”分論壇并做《醫療行業數據安全解決方案》內容分享：

“智慧醫療 安全護航”分論壇

1、危機四伏

根據對2018年上半年數據泄露事件的統計，醫療保健行業以27%的占比“遙遙領先”——“互聯網+”醫療、網絡黑產、非法統方等問題令醫療行業成為數據泄露的重災區：

1、當醫療遇見互聯網后

如今，日新月異的互聯網已滲透到醫療行業的各個環節，醫院等機構相對封閉的數據使用環境被逐漸打破，信息在高速生產、傳輸、使用、存儲的過程中，面臨著前所未有的安全風險。

2、當醫療數據遇見黑客

大數據時代下，數據的價值正在不斷攀升，其中與百姓生命健康緊密相關的醫療衛生數據成為黑客眼中的“金礦”，以營利為目的竊取個人隱私數據的攻擊行為層出不窮，且數據泄露后多被用于精準詐騙、隱私勒索和誘導式推銷等極具危害性的不法行為。

3、當“統方”的目的不純

統方，原本是醫院為了解醫生用藥情況而進行的一項工作，如今卻成了醫藥回扣黑鏈的代名詞。這種不法行為不僅會帶來數據安全問題，更可能導致無辜病患的切身利益受到損害。

2、難點眾多

隨著《網絡安全法》、等保2.0以及《全國醫院信息化建設標準與規范(試行)》等法律規范、制度標準的相繼發布，國家對醫療行業數據安全保護的重視和要求進一步明確。新時期、新環境下，醫療行業想要真正做到滿足合規與發展的協調統一，有待解決的難點還很多：

1、各醫療系統繁雜，不清楚數據資產在哪？怎么治理？又在流向何方？

2、智慧醫療下的數據流動更加活躍而廣泛，逐漸為網絡攻擊打開口子？

3、醫療數據明文存儲，可直接接觸者眾多，該如何規范核心數據訪問？

4、因第三方導致數據泄露的事件頻出，該如何規范數據的共享和使用？

5、非法統方長期暗地滋生難于治理，如何真正實現對統方行為的管控？

3、解決方案

安華金和依托多年來在醫療行業豐富的數據安全治理實踐經驗積累，提出如下方案思路：

醫療行業數據安全“五重防護”

1、全面自檢梳理

對現有醫療核心系統的數據庫及數據資產進行全方位梳理，及時發現包含患者隱私信息的數據庫用戶分布及權限詳情，深度挖掘僵尸庫和病患敏感數據情況；對包含患者敏感數據的表、模式、庫進行敏感度評分，并進一步對醫療數據進行分類分級；同時，對醫療核心數據資產進行周期性動態分析和異常評測，實時掌握其變化及使用趨勢，實現對風險的預估。

2、內外威脅防護

通過專業度及成熟度較高的數據庫“弱點”評估技術，對現有醫療核心數據庫的運行狀態進行周期性監控和綜合風險評估，充分暴露并證明數據庫自身的安全漏洞、弱配置項、缺省配置項、弱口令、缺省口令、易受攻擊代碼、程序后門、權限寬泛等安全風險，從而對數據庫進行有針對性的安全加固。

3、規范數據訪問

采用多級權限管控手段，在不影響人員正常工作的前提下，通過相關技術準確識別敏感數據訪問行為。對業務展示層中普通患者或特殊身份患者(如國家高干、明星)等身份信息進行脫敏處理；對運維側的患者敏感信息進行脫敏處理，防止運維側大批量數據泄露。

4、規范數據使用

根據各類醫療系統的開發測試，以及醫療數據分析人員或第三方醫療疾病大數據分析公司需要使用數據的情況，通過專業技術對敏感數據進行自動識別和統一管理，針對共享數據中包含的患者個人隱私數據，采用脫敏算法將敏感數據轉化為虛構數據，隱藏真正的患者敏感信息，防止各機構內部對隱私數據的濫用。 

5、加強統方治理

對于需要進行合法統方工作的藥房管理人員和藥劑師的統方行為進行敏感數據遮蔽；對運維側的醫生姓名、編號、藥品數量等字段進行脫敏；對其他一切無需統方人員的統方行為進行“攔截+告警”；對于黑客入侵數據庫實施的統方行為進行“攔截+告警”，同時對藥品編號、數量等信息進行加密。                                                                                      三、 圓桌論壇

圓桌論壇

在本次高峰論壇的最后一個重要環節中，安華金和區域銷售總監范正宇和寧波市委網信辦葉子偉處長，寧波市衛生信息中心、寧波市健康醫療大數據研究中心朱春倫處長等一同出席圓桌論壇對話交流。期間，幾位代表針對在當前網絡安全檢查及等保2.0等合規檢查過程中經常出現的數據庫漏洞修復難點，以及數據庫防火墻在接入網絡后怎樣既能確保安全防護，又不會誤攔截合法請求等熱門話題進行了深入探討。

在談及數據庫漏洞修復問題時，范正宇表示：這是當前很多用戶遇到的現實問題，建議用戶使用數據庫漏洞“虛擬補丁”技術來解決。“虛擬補丁”技術可以通過前置防護的方式，將防護規則啟用在數據庫前端的數據庫防火墻類設備上，從而有效攔截針對數據庫漏洞的攻擊以及對數據庫進行惡意掃描的行為。此外，通過對“虛擬補丁”規則庫的定期更新，還可以讓后端的數據庫系統獲得持續性安全保護。因此，只有選擇具備專業數據庫漏洞挖掘與研究能力的安全團隊及其產品和服務，才能夠保證在第一時間獲得最新的數據庫漏洞防御能力。

中國現已邁入網絡安全保護的嶄新階段，各行各業均需順應數字經濟發展趨勢。作為中國數據安全治理的提出者和踐行者，安華金和將持續深入技術研發，不斷優化提升產品和服務水平，為廣大客戶提供行業領先的、高效可靠的數據安全解決方案！