方案背景

某医院是国内成立最早的四家肿瘤专科医院之一,是浙江省规模最大的三级甲等肿瘤专科医院,也是中国首批三级甲等医院。近年来,医院不断重视和加强信息化建设,深化 “最多跑一次改革”,大力开展“医防融合 ”、智慧医疗、自动化办公等等信息化工作,伴随着医疗应用系统不断增多,医院实现了数据互联互通、资源共享,但医院缺乏足够、专业的运维人员,不得不依靠第三 方运维团队,因此运维环节的数据泄露成为重要的安全隐患之一。

零信任是美创安全产品非常重要的一个理论框架,SDP(SoftwareDefinedPerimeter) 作为数据访问安全的新边界,是一个很好的实践方式,启盟也已将SDP 融入零信任 2.0 架构中。零信任并不是没有边界,是把原来静态的物理边界转变成了动态的虚拟边 界,通过软件定义边界,把数据控制在一个最小授权的安全边界内,最大程度保障数据 的安全。

美创的安全产品以资产和身份为核心,从资产出发,以身份为中心,建立安全访问体系。安全从资产的定义开始,明确保护对象,由内而外地确定资产的动态访问边界,实时调整访问边界,实现最小访问原则;以身份为中心进行身份治理,建立动态身份体系,通过身份行为分析、关联分析识别身份、识别风险,为身份圈定动态、虚拟的访问边界, 将安全问题降到最低。

方案概述和应用场景
针对某医院的需求,启盟从内部运维风 险管控的角度出发,提出如下解决方案:
运维侧的安全管理,是数据安全防护的有效手段,我们通过先定义高价值目标—— 敏感数据 ,然后定义访问边界,以杜绝超级用户访问,根据SDP 架构 ,数据的保护边界可以实现最小化,比如到数据库内的每张表,甚至每个字段。通过将资源隐藏在SDP 网关后面,所有希望发起访问的用户都要进行授权和认证,然后才能正常访问被授权的资源,实现数据保护。美创数据库防水坝系统基于以上逻辑架构,实现 敏感数据管控、身份识 别、数据库准入、行为阻断、授权管理、监控预警等功能 ,补齐数据安全短板。

该方案解决了如下问题:
1) 敏感数据管控

敏感数据分类是数据和运维安全的基础性工作,同时也是重点工作,可以通过表格、Schema、业务单元三个层面进行分级分类。清楚保护目标才能实施更加安全的保护措施, 数据安全和运维安全真正需要保护的在于1%~10%左右的敏感数据,必须把敏感数据从普 通业务数据中脱离出来进行独立管理,SDP 将敏感信息隐藏在用户自己的黑云里,使得 这些关键IT 资产对外不可见。
2) 准入控制

SDP 要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权。身份管理通过应用程序名、IP 地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U 盾等因素进行任意组合,形成新的登陆认证规则,同时支持签名登陆验证和数字证书认证方式,符合规则予以准入,反之则阻断;对于应用防假冒,识别真实应用特征,防止人为恶意将其他的应用改成业务系统应用,假冒应用访问数据库,进行非法操作;对于撞库攻击,建立用户信息白名单,限制同一个IP 的请求次数和请求频率来防止;对于直连控制,在反向代理部署模式下,可对直连数据库的行为进行控制;免密登 陆实现通过安全客户端免密登录数据库,避免密码泄露。

3) 敏感数据访问控制

针对敏感数据集合的访问,通过授权才可访问,不具备访问权限的操作,明确阻断拒绝。敏感数据集合支持设置访问规则,访问规则中可设定精细化的访问因子,如应用程序名、IP 地址 、操作系统账户、数据库实例名、时间 、U 盾等条件,满足条件方可访问敏感数据集合。通过隐藏网络资源,SDP 可减小攻击界面,并清除用户扫描网络和在网络中横 向移动的可能性。

4) 高危性操作防护

数据库存在众多特权账号,如系统管理员、数据库管理员、开发人员等,可执行DDL、DML、代码类的高危操作,并存在误操作的可能。为解决此类问题,结合访问控制功能,执行delete、update等高风险操作时要求携带where条件,符合要求才可进行操作, 从而起到误操作防范的作用。
5) 全面运维审计

可对数据库查询、新增 、修改 、删除等行为进行监控,可对事件进行搜索、管理 ,并能够锁定操作终端,可基于单个会话进行事件回溯,符合等保三级的核心要求,符合网络安全法关于对个人隐私数据信息的保护,符合HIPAA法案、PCI-DSS法案、SOX 法案、 GLBA法案的要求,保护敏感数据资产的安全审计,为运维管理提供极大的便利。

6) 实时安全风险感知

实时展示数据库的安全情况,出现风险时可快速定位当前被攻击的数据库及发起攻击的客户端,同时对注入攻击、漏洞攻击、敏感访问、系统运行、流量等进行24 小时实时 监控,让数据库更安全,让运维更轻松。

7) 遵循法规提供报表

内置支持各种法规遵循所需的管理性报表,简化法规遵循管理和审计流程。总计 提供众多安全报表,全方位覆盖运维安全各层面的需求,同时提供由N 张报表所合并而成的综合性报表,提高报表的可读性。针对 等级保护、企业内控条例、SOX、PCI、HIPAA、GLBA 等多种法规遵循还提供不同的分类报表,使合规更简单。
优势 特点和应用价值

1、通过美创数据安全产品,数据库运维访问环节得到强力有效的管控保障,建立医 院内部数据安全使用管控体系、完善了整体的信息安全架构。

2、基于人员与数据资产的内部数据安全管控能力,有效防止数据从运维端内部泄露, 提升医院整体数据安全防御能力。
3、满足《中华人民共和国网络安全法》、《中华人民共和国数据安全法》(草案) 以及医疗行业等相关政策法规要求。

经验总结

作为用户方,数据安全的价值体现度、参与度还有提升空间。因此要从管理层到每一位工作人员,需要充分了解数据安全的重要性,数据安全不仅仅是合规事项、IT 内部控制事项,而是关系到每个业务领域每个职能领域每个科室每个人的事项,在数据安全建设方面要保证充足的资源投入,跨业务部门合作,全员参与,保障数据安全工作在医疗行业有效落地。作为数据安全建设支撑单位,需要深入了解用户的使用场景,充分考虑影响因素,为用户提供整体数据安全建设方案,结合行业发展动向和技术发 展趋势,提供高兼容性、高可扩展的产品。
本文在编写过程中参考了 CSA 2021中国零信任全景图 再次表示感谢

零信任解决方案在某医院落地实例学习记录相关推荐

  1. 【零信任落地案例】指掌易某集团灵犀・SDP零信任解决方案

    1方案背景 随着移动信息化的高速发展,以智能手机,智能平板为代表的移动智能设备 逐步深入到企业办公领域.基于当前移动办公的趋势,某集团也逐步将业务从 PC端向移动端进行迁移.一方面,移动技术的发展让移 ...

  2. 从理念到大型实践,揭开腾讯零信任iOA安全方案的“落地密码”

    随着企业数字化转型的不断深化,远程办公.移动办公逐渐成为主流办公形式,但在复杂多变的安全环境下,如何应对来自内外部的潜在安全风险也成为了企业的必修课题. 在1月23日举办的TGO鲲鹏会杭州年度家宴上, ...

  3. 【零信任落地案例】陆军军医大学第一附属医院零信任安全架构主要构成

    1方案背景 陆军军医大学第一附属医院又名西南医院,是一所现代化综合性"三级甲等" 医院.近年来随着远程问诊.互联网医疗等新型服务模式的不断丰富,医院业务 相关人员.设备和数据的流动 ...

  4. 【零信任落地案例】北京芯盾时代电信运营商零信任业务安全解决方案落地项目

    1方案背景 随着5G.人工智能.云计算和移动互联网等技术的发展,企业不断深化信 息化建设,云应用.移动办公等越来越普及,关键业务越来越多地依托于互联网 开展,移动成为设备.业务和人员的显著特点,企业I ...

  5. 对话猿辅导:阿里云远程办公零信任落地创新安全

    简介: 大型实战场景验证,灵活应对复杂环境. 2020,一场突如其来的新冠疫情,引发了史上最大规模的远程办公.疫情让安全问题暴露得更加突出,与疫情的对抗也是阿里云安全的战场. 9月18日,2020云栖 ...

  6. 案例|这家公司想解开零信任落地难题,拿自己做了1个“实验”

    难道做零信任,只是为了纵享丝滑办公体验? 好比练习武术,所谓"外练筋骨皮,内练一口气",别人看到的是你体格健硕,只有你自己能感受到,体质变好了,抵抗力提高了,身体倍儿棒. 归根到底 ...

  7. 密信零信任安全解决方案

    一.初步了解密信零信任安全解决方案 密信零信任安全解决方案基于PKI技术,依托已经建设的密信云密码基础设施和已经提供的密信云密码服务,为用户提供可靠的零信任安全,不仅解决信任问题,最重要的是解决所有安 ...

  8. 行业案例 | 易安联零信任SDP解决方案,让企业经营更高效

    引言 随着5G.云计算.大数据.物联网等技术飞速发展,企业规模日益壮大,各大型企业靠OA.ERP.CRM等信息化手段管理企业的依赖性越来越强.但业务系统建设初期,各系统彼此独立,员工需要切换账号去访问 ...

  9. 国内首个零信任技术标准发布 腾讯安全牵头编制

    7月7日,中国电子工业标准化技术协会发布了国内首个零信任技术实现标准--T/CESA 1165-2021<零信任系统技术规范>团体标准,填补了国内零信任领域的技术标准空白. (<零信 ...

最新文章

  1. 亿级流量场景下如何为HTTP接口限流?看完我懂了!!
  2. 协方差与相关系数的再理解
  3. 华擎主板bios设置图解_华硕、华擎主板升级BIOS 支持全核5GHz处理器酷睿i99900KS
  4. javascript数组中数字和非数字下标的区别
  5. (转)Inno Setup入门(三)——指定压缩方式
  6. java itext word_Java使用iText生成word文件的解决方案 | 学步园
  7. Spring REST Controller,在GET方式下,有多个参数时的处理
  8. node js unknown option -v._mac os上搭建node环境(nvm, node.js, npm)
  9. [jquery视频教程 初级+高级][25课程]
  10. VB调用周立功CAN接口卡接口库函数
  11. YALMIP学习总结
  12. Some file crunching failed, see logs for details解决办法
  13. ICTCLAS2008汉语词性标注集
  14. 【联盛德W806上手笔记】四、PWM模块
  15. java版餐饮管理系统
  16. jmeter中服务器名称IP,以及下面的路径填写
  17. 词法分析二(词法分析程序)
  18. echarts_series总结
  19. Linux 网络访问控制
  20. 解决 error while loading shared libraries: libicui18n.so.63: cannot open shared object file

热门文章

  1. pytorch快速上手-使用自动标注软件Openlabeling和yolov5快速完成目标检测
  2. 【非常简单bug管理工具-TAPD 】
  3. 设计一个个人纳税计算程序
  4. 英伟达Flex-unity插件
  5. 产品界的三大定律 --周宏桥
  6. Mac下7z格式文件解压
  7. 国际高中成绩差但是想读名校怎么办(文末附自救指南)
  8. 【学习记录】阿里天池SQL练习题1-python与SQL方式比较
  9. 自定义view仿写今日头条点赞动画
  10. UDIMM、RDIMM和LRDIMM