6月19日，由寧波市委網(wǎng)信辦指導(dǎo)，寧波市計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)、寧波市互聯(lián)網(wǎng)發(fā)展聯(lián)合會(huì)主辦的“2019寧波市信息網(wǎng)絡(luò)安全高峰論壇”圓滿召開(kāi)！

一、2019寧波市信息網(wǎng)絡(luò)安全高峰論壇主論壇

會(huì)議現(xiàn)場(chǎng)

寧波市委、網(wǎng)信辦、公安局主管領(lǐng)導(dǎo)，金融、醫(yī)療、教育、電力相關(guān)重要行業(yè)信息化負(fù)責(zé)人，行業(yè)專家學(xué)者，安全廠商代表和“2019寧波市第二屆網(wǎng)絡(luò)安全大賽”獲獎(jiǎng)選手共500余人到場(chǎng)參會(huì)。安華金和作為“2019寧波市第二屆網(wǎng)絡(luò)安全大賽”的贊助支持單位受邀出席高峰論壇并做主題分享。

論壇旨在全面貫徹落實(shí)習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略思想，圍繞“數(shù)字經(jīng)濟(jì)與數(shù)據(jù)安全”這一主題，為我國(guó)的信息化建設(shè)以及寧波未來(lái)網(wǎng)絡(luò)安全防護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展出謀劃策。

寧波市委常委、宣傳部部長(zhǎng)萬(wàn)亞偉致辭

中國(guó)工程院院士沈昌祥做主題演講

市委領(lǐng)導(dǎo)為網(wǎng)絡(luò)安全大賽優(yōu)勝隊(duì)伍頒獎(jiǎng)

二、“智慧醫(yī)療 安全護(hù)航”分論壇

安華金和華東區(qū)技術(shù)總監(jiān)林鷺出席“智慧醫(yī)療 安全護(hù)航”分論壇并做《醫(yī)療行業(yè)數(shù)據(jù)安全解決方案》內(nèi)容分享：

“智慧醫(yī)療 安全護(hù)航”分論壇

1、危機(jī)四伏

根據(jù)對(duì)2018年上半年數(shù)據(jù)泄露事件的統(tǒng)計(jì)，醫(yī)療保健行業(yè)以27％的占比“遙遙領(lǐng)先”——“互聯(lián)網(wǎng)＋”醫(yī)療、網(wǎng)絡(luò)黑產(chǎn)、非法統(tǒng)方等問(wèn)題令醫(yī)療行業(yè)成為數(shù)據(jù)泄露的重災(zāi)區(qū)：

1、當(dāng)醫(yī)療遇見(jiàn)互聯(lián)網(wǎng)后

如今，日新月異的互聯(lián)網(wǎng)已滲透到醫(yī)療行業(yè)的各個(gè)環(huán)節(jié)，醫(yī)院等機(jī)構(gòu)相對(duì)封閉的數(shù)據(jù)使用環(huán)境被逐漸打破，信息在高速生產(chǎn)、傳輸、使用、存儲(chǔ)的過(guò)程中，面臨著前所未有的安全風(fēng)險(xiǎn)。

2、當(dāng)醫(yī)療數(shù)據(jù)遇見(jiàn)黑客

大數(shù)據(jù)時(shí)代下，數(shù)據(jù)的價(jià)值正在不斷攀升，其中與百姓生命健康緊密相關(guān)的醫(yī)療衛(wèi)生數(shù)據(jù)成為黑客眼中的“金礦”，以營(yíng)利為目的竊取個(gè)人隱私數(shù)據(jù)的攻擊行為層出不窮，且數(shù)據(jù)泄露后多被用于精準(zhǔn)詐騙、隱私勒索和誘導(dǎo)式推銷等極具危害性的不法行為。

3、當(dāng)“統(tǒng)方”的目的不純

統(tǒng)方，原本是醫(yī)院為了解醫(yī)生用藥情況而進(jìn)行的一項(xiàng)工作，如今卻成了醫(yī)藥回扣黑鏈的代名詞。這種不法行為不僅會(huì)帶來(lái)數(shù)據(jù)安全問(wèn)題，更可能導(dǎo)致無(wú)辜病患的切身利益受到損害。

2、難點(diǎn)眾多

隨著《網(wǎng)絡(luò)安全法》、等保2．0以及《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》等法律規(guī)范、制度標(biāo)準(zhǔn)的相繼發(fā)布，國(guó)家對(duì)醫(yī)療行業(yè)數(shù)據(jù)安全保護(hù)的重視和要求進(jìn)一步明確。新時(shí)期、新環(huán)境下，醫(yī)療行業(yè)想要真正做到滿足合規(guī)與發(fā)展的協(xié)調(diào)統(tǒng)一，有待解決的難點(diǎn)還很多：

1、各醫(yī)療系統(tǒng)繁雜，不清楚數(shù)據(jù)資產(chǎn)在哪？怎么治理？又在流向何方？

2、智慧醫(yī)療下的數(shù)據(jù)流動(dòng)更加活躍而廣泛，逐漸為網(wǎng)絡(luò)攻擊打開(kāi)口子？

3、醫(yī)療數(shù)據(jù)明文存儲(chǔ)，可直接接觸者眾多，該如何規(guī)范核心數(shù)據(jù)訪問(wèn)？

4、因第三方導(dǎo)致數(shù)據(jù)泄露的事件頻出，該如何規(guī)范數(shù)據(jù)的共享和使用？

5、非法統(tǒng)方長(zhǎng)期暗地滋生難于治理，如何真正實(shí)現(xiàn)對(duì)統(tǒng)方行為的管控？

3、解決方案

安華金和依托多年來(lái)在醫(yī)療行業(yè)豐富的數(shù)據(jù)安全治理實(shí)踐經(jīng)驗(yàn)積累，提出如下方案思路：

醫(yī)療行業(yè)數(shù)據(jù)安全“五重防護(hù)”

1、全面自檢梳理

對(duì)現(xiàn)有醫(yī)療核心系統(tǒng)的數(shù)據(jù)庫(kù)及數(shù)據(jù)資產(chǎn)進(jìn)行全方位梳理，及時(shí)發(fā)現(xiàn)包含患者隱私信息的數(shù)據(jù)庫(kù)用戶分布及權(quán)限詳情，深度挖掘僵尸庫(kù)和病患敏感數(shù)據(jù)情況；對(duì)包含患者敏感數(shù)據(jù)的表、模式、庫(kù)進(jìn)行敏感度評(píng)分，并進(jìn)一步對(duì)醫(yī)療數(shù)據(jù)進(jìn)行分類分級(jí)；同時(shí)，對(duì)醫(yī)療核心數(shù)據(jù)資產(chǎn)進(jìn)行周期性動(dòng)態(tài)分析和異常評(píng)測(cè)，實(shí)時(shí)掌握其變化及使用趨勢(shì)，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的預(yù)估。

2、內(nèi)外威脅防護(hù)

通過(guò)專業(yè)度及成熟度較高的數(shù)據(jù)庫(kù)“弱點(diǎn)”評(píng)估技術(shù)，對(duì)現(xiàn)有醫(yī)療核心數(shù)據(jù)庫(kù)的運(yùn)行狀態(tài)進(jìn)行周期性監(jiān)控和綜合風(fēng)險(xiǎn)評(píng)估，充分暴露并證明數(shù)據(jù)庫(kù)自身的安全漏洞、弱配置項(xiàng)、缺省配置項(xiàng)、弱口令、缺省口令、易受攻擊代碼、程序后門、權(quán)限寬泛等安全風(fēng)險(xiǎn)，從而對(duì)數(shù)據(jù)庫(kù)進(jìn)行有針對(duì)性的安全加固。

3、規(guī)范數(shù)據(jù)訪問(wèn)

采用多級(jí)權(quán)限管控手段，在不影響人員正常工作的前提下，通過(guò)相關(guān)技術(shù)準(zhǔn)確識(shí)別敏感數(shù)據(jù)訪問(wèn)行為。對(duì)業(yè)務(wù)展示層中普通患者或特殊身份患者（如國(guó)家高干、明星）等身份信息進(jìn)行脫敏處理；對(duì)運(yùn)維側(cè)的患者敏感信息進(jìn)行脫敏處理，防止運(yùn)維側(cè)大批量數(shù)據(jù)泄露。

4、規(guī)范數(shù)據(jù)使用

根據(jù)各類醫(yī)療系統(tǒng)的開(kāi)發(fā)測(cè)試，以及醫(yī)療數(shù)據(jù)分析人員或第三方醫(yī)療疾病大數(shù)據(jù)分析公司需要使用數(shù)據(jù)的情況，通過(guò)專業(yè)技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別和統(tǒng)一管理，針對(duì)共享數(shù)據(jù)中包含的患者個(gè)人隱私數(shù)據(jù)，采用脫敏算法將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)，隱藏真正的患者敏感信息，防止各機(jī)構(gòu)內(nèi)部對(duì)隱私數(shù)據(jù)的濫用。

5、加強(qiáng)統(tǒng)方治理

對(duì)于需要進(jìn)行合法統(tǒng)方工作的藥房管理人員和藥劑師的統(tǒng)方行為進(jìn)行敏感數(shù)據(jù)遮蔽；對(duì)運(yùn)維側(cè)的醫(yī)生姓名、編號(hào)、藥品數(shù)量等字段進(jìn)行脫敏；對(duì)其他一切無(wú)需統(tǒng)方人員的統(tǒng)方行為進(jìn)行“攔截＋告警”；對(duì)于黑客入侵?jǐn)?shù)據(jù)庫(kù)實(shí)施的統(tǒng)方行為進(jìn)行“攔截＋告警”，同時(shí)對(duì)藥品編號(hào)、數(shù)量等信息進(jìn)行加密。                                                                                      三、 圓桌論壇

圓桌論壇

在本次高峰論壇的最后一個(gè)重要環(huán)節(jié)中，安華金和區(qū)域銷售總監(jiān)范正宇和寧波市委網(wǎng)信辦葉子偉處長(zhǎng)，寧波市衛(wèi)生信息中心、寧波市健康醫(yī)療大數(shù)據(jù)研究中心朱春倫處長(zhǎng)等一同出席圓桌論壇對(duì)話交流。期間，幾位代表針對(duì)在當(dāng)前網(wǎng)絡(luò)安全檢查及等保2．0等合規(guī)檢查過(guò)程中經(jīng)常出現(xiàn)的數(shù)據(jù)庫(kù)漏洞修復(fù)難點(diǎn)，以及數(shù)據(jù)庫(kù)防火墻在接入網(wǎng)絡(luò)后怎樣既能確保安全防護(hù)，又不會(huì)誤攔截合法請(qǐng)求等熱門話題進(jìn)行了深入探討。

在談及數(shù)據(jù)庫(kù)漏洞修復(fù)問(wèn)題時(shí)，范正宇表示：這是當(dāng)前很多用戶遇到的現(xiàn)實(shí)問(wèn)題，建議用戶使用數(shù)據(jù)庫(kù)漏洞“虛擬補(bǔ)丁”技術(shù)來(lái)解決�！疤摂M補(bǔ)丁”技術(shù)可以通過(guò)前置防護(hù)的方式，將防護(hù)規(guī)則啟用在數(shù)據(jù)庫(kù)前端的數(shù)據(jù)庫(kù)防火墻類設(shè)備上，從而有效攔截針對(duì)數(shù)據(jù)庫(kù)漏洞的攻擊以及對(duì)數(shù)據(jù)庫(kù)進(jìn)行惡意掃描的行為。此外，通過(guò)對(duì)“虛擬補(bǔ)丁”規(guī)則庫(kù)的定期更新，還可以讓后端的數(shù)據(jù)庫(kù)系統(tǒng)獲得持續(xù)性安全保護(hù)。因此，只有選擇具備專業(yè)數(shù)據(jù)庫(kù)漏洞挖掘與研究能力的安全團(tuán)隊(duì)及其產(chǎn)品和服務(wù)，才能夠保證在第一時(shí)間獲得最新的數(shù)據(jù)庫(kù)漏洞防御能力。

中國(guó)現(xiàn)已邁入網(wǎng)絡(luò)安全保護(hù)的嶄新階段，各行各業(yè)均需順應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展趨勢(shì)。作為中國(guó)數(shù)據(jù)安全治理的提出者和踐行者，安華金和將持續(xù)深入技術(shù)研發(fā)，不斷優(yōu)化提升產(chǎn)品和服務(wù)水平，為廣大客戶提供行業(yè)領(lǐng)先的、高效可靠的數(shù)據(jù)安全解決方案！