由 dawei 
浙我家(http://www.zhewojia.com)观点企业业务无论是部署在公有云还是私有云,都面临着一个切实的问题,那就是数据所有权和法规遵从性的安全挑战。
围绕个人隐私信息、大数据带来的数据风险,相应的法律法规不断完善,早在2011年,国家卫生计生委印发了《卫生行业信息安全等级保护工作的指导意见》提到要依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。 2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议正式通过了中华人民共和国网络安全法。
具有关键作用的部分法规和规范还包括:《网络安全等级保护》、《重要数据出境安全评估指南》、《个人信息保护法》,等等。一些涉及到国际业务的医疗企业或机构,还会面临着类似欧盟发布的GDPR(一般数据保护条例)等文件的管控。合规性遵从越来越成为影响云端数据安全的重要因素。
如何在充分保护敏感隐私数据的前提下,实现数据的共享和交换?如何避免黑客或竞争对手对客户数据恶意窃取?敏感数据共享和交换如何能够符合法规,符合等级保护和网络安全法的要求?成为新医疗领域的核心诉求。
云时代的医疗企业安全防护
传统的解决方案更多是在应用、主机乃至网络包的层面进行一些控制。而现如今这种防护手段远远不够。像今年1月刷爆朋友圈的江西省妇幼保健院的病毒勒索事件就是工作人员在安装破解版的PL/SQL Developer时,不慎感染Ransom_RUSHQL.A 勒索病毒,致使当天医院服务器CPU持续100%,数据库被SQL RUSH Team锁死。
对于这一事件的始末,安华金和联合创始人兼CTO杨海峰进行了深度分析,他认为,病毒通过合法的数据库连接后,向医院数据库系统里植入了高权限进而自动运行的存储程序。同时,利用数据库系统内部的执行存储程序包的一些机制,来达到攻击效果。这实际上是一种组合的攻击。系统一旦被植入攻击程序后,造成的损失往往较大,轻则系统瘫痪,重则数据发生破坏性的损失。针对这类攻击,传统的防护措施不容易解决,需要采取数据侧的防护措施。
在数据安全方面,2017年安华金和在中国率先提出了以数据安全治理理念为支撑的数据安全整体技术支撑方案,安华金和成立至今9年以来,基于对用户数据安全风险的不断思考,和数据安全防护案例实践提炼而成。它的意义在于,数据仅仅被保护不是最终目标,而是需要被安全、合理地使用起来,从而实现其价值最大化。传统的安全防护,往往是以区域的隔离、安全域的划分为基础。而数据安全治理是以数据的分类分级为基础,保障数据被合理和安全的流动和使用。此外,传统的安全防护往往是以外部的黑客攻击和入侵者为主要防护对象。而数据安全治理在此基础上,更关注的是管控内部的数据使用者,让他们合理、合规地使用数据,从而创造价值。