-
医疗经典案例-湖南航天医院
2023-11-02 10:49:33
湖南航天医院
医院简介
湖南航天医院(湖南师范大学附属航天医院)创建于1970年,是一所集医疗、教学、科研、急救、预防、保健、康复为一体的公立三级综合医院,是长沙市卫生健康委员会批复的首批互联网医院,长沙医学院教学医院。是中国胸痛中心认证单位、湖南卒中联盟成员单位、爱婴医院、湖南省医院协会城区基层公立医院管理专业委员会主委单位、长沙市产前筛查机构、中国医院6S管理联盟达标单位、长沙市医学会副会长单位、长沙市公共卫生协会副会长单位。是湘江新区药政管理技术指导中心、药品不良反应监测培训指导中心、慢病医防融合防治中心、湘江新区首个院感控制技术指导中心、国家卫健委医院管理研究所临床营养科建设示范单位、湖南省老年友善医疗机构。2022年,成为湖南省卫健委直接联系下属单位,是湖南省首批七家DRG支付方式改革试点医院之一。
医院需求
需求一:数据库访问情况的记录和审计,是国家网络安全法和等级保护的基本要求,也是最基本的数据安全需求,业务人员的数据库操作基本是合法的,但是也不能排除被利用或被攻击的情况。
需求二:医院信息系统有种类繁多的应用系统,其中不乏有需要对公众开放的系统,而WEB服务器被暴露在网络之中,攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。
需求三:医院数据库种类及数量较多,开发测试人员、第三方人员、下属单位、运维人员、外包人员都有权限访问数据库,但由于无法按照时间、IP、账户、语句等纬度对数据库用户的操作进行可信识别,导致非授权访问事件时有发生,存在数据库的违规操作安全隐患。
解决方案
方案一:通过数据库审计精确记录关键业务操作和关联具体业务操作人员,为事后追溯定责提供准确依据,同时对数据库运维操作和非法批量导出行为进行告警。
方案二:医院信息系统使用数据库安全防护系统对数据库的通讯过程进行精确的解析和控制,同时可以对应用建立应用特征模型,建立正常的访问SQL语句的语句模版,防止恶意操作和批量导出敏感信息的行为。数据库安全防护系统不同于传统的防火墙,传统的防火墙无法解析数据库协议,无法防止SQL注入等攻击;虽然目前已经有WAF这类产品能够防护SQL注入的攻击,但WAF产品只是解析HTTP协议,无法针对数据库的协议进行精确的解析,并且也有很多的SQL注入手段可以绕开WAF进攻数据库,而数据库安全防护系统对于SQL注入本身比WAF拦截得更为彻底,同时可以做到防止批量下载和后门程序。
方案三:通过建立数据运维行为流程化管理机制,对数据运维行为提供事前审批、事中控制、事后审计、定期报表等功能,将审批、控制和追责有效结合,避免内部运维人员的恶意操作和误操作行为,确保高效审批及准确执行。
