InterSystems公司在2018年對(duì)其后關(guān)系型數(shù)據(jù)庫進(jìn)行了重要更新�,將產(chǎn)品從Caché升級(jí)到了新版本的IRIS����。在國(guó)內(nèi)�����,東華醫(yī)為科技作為廣泛采用后關(guān)系型數(shù)據(jù)庫的領(lǐng)先企業(yè)�����,于2022年在其智慧醫(yī)院解決方案核心產(chǎn)品iMedical R8.5版本中����,采用了最新的IRIS數(shù)據(jù)平臺(tái),緊跟技術(shù)發(fā)展步伐��。
Caché升級(jí)至IRIS后,主要變革點(diǎn)體現(xiàn)在Portal接口升級(jí)為支持HTTPS加密傳輸�����,增強(qiáng)了數(shù)據(jù)交互的安全性����。此外,IRIS數(shù)據(jù)庫所采用的JDBC驅(qū)動(dòng)與Caché并不兼容�����,這一變化旨在引入全新的加密協(xié)議與增強(qiáng)型身份驗(yàn)證機(jī)制���,這些安全特性均被整合進(jìn)IRIS專屬的JDBC驅(qū)動(dòng)之中��,從而提升了數(shù)據(jù)訪問的安全防護(hù)級(jí)別����。IRIS在數(shù)據(jù)訪問的安全防護(hù)級(jí)別的提升,對(duì)外部安全產(chǎn)品技術(shù)提出了新要求���。HTTPS的加密傳輸和JDBC協(xié)議的升級(jí)需數(shù)據(jù)安全廠商具有對(duì)后關(guān)系型數(shù)據(jù)庫應(yīng)用場(chǎng)景下防護(hù)的豐富經(jīng)驗(yàn)和JDBC協(xié)議解析的技術(shù)基礎(chǔ)及迭代升級(jí)開發(fā)能力�。
IRIS在醫(yī)療場(chǎng)景下數(shù)據(jù)安全風(fēng)險(xiǎn)分析IRIS數(shù)據(jù)平臺(tái)在國(guó)內(nèi)的主要應(yīng)用場(chǎng)景集中在智慧醫(yī)院的HIS系統(tǒng)中����。作為醫(yī)院信息化的核心,HIS系統(tǒng)承載著大量患者隱私信息����、醫(yī)療就診記錄及醫(yī)學(xué)數(shù)據(jù)��,這些數(shù)據(jù)具有極高的敏感性��。針對(duì)IRIS在醫(yī)療場(chǎng)景下的應(yīng)用��,以下是對(duì)其數(shù)據(jù)安全風(fēng)險(xiǎn)的分析:
1�、數(shù)據(jù)資產(chǎn)不清����,難以聚焦安全重點(diǎn):IRIS 數(shù)據(jù)庫支撐著醫(yī)院核心業(yè)務(wù) HIS系統(tǒng)����,其保存著大量患者信息,若數(shù)據(jù)敏感程度��、分布不清�,將難以制定重點(diǎn)防護(hù)策略,有患者敏感信息防護(hù)遺漏風(fēng)險(xiǎn)�。
2、非法統(tǒng)方風(fēng)險(xiǎn):醫(yī)生/護(hù)士可通過HIS終端���、HIS開發(fā)/測(cè)試人員可通過專用M語言��、運(yùn)維人員可通過SSH直接登錄����,訪問IRIS數(shù)據(jù)庫�,存在非法統(tǒng)方風(fēng)險(xiǎn)。
3���、數(shù)據(jù)泄露和隱私侵犯風(fēng)險(xiǎn):作為核心信息系統(tǒng)的存儲(chǔ)單元�����,IRIS中存儲(chǔ)著大量的個(gè)人健康信息和醫(yī)療支付數(shù)據(jù)�����。如果這些數(shù)據(jù)被違規(guī)訪問后泄露����,將導(dǎo)致個(gè)人隱私侵犯和信任危機(jī)。
4��、非法訪問和入侵風(fēng)險(xiǎn):黑客可能入侵醫(yī)院的網(wǎng)絡(luò)系統(tǒng)�,對(duì)IRIS數(shù)據(jù)平臺(tái)采用爆破等攻擊方式獲取敏感數(shù)據(jù)或干擾系統(tǒng)的正常運(yùn)行。
5���、數(shù)據(jù)過度共享風(fēng)險(xiǎn):IRIS數(shù)據(jù)平臺(tái)及東華HIS系統(tǒng)開發(fā)/測(cè)試環(huán)境搭建�,醫(yī)療數(shù)據(jù)價(jià)值挖掘過程中����,直接從生產(chǎn)環(huán)境導(dǎo)出原始數(shù)據(jù)��,存在敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)��。
6、數(shù)據(jù)泄露事件無法溯源追責(zé):IRIS數(shù)據(jù)平臺(tái)經(jīng)過各種接口出現(xiàn)數(shù)據(jù)泄露事件時(shí)��,無法識(shí)別到數(shù)據(jù)泄露點(diǎn)���,及時(shí)進(jìn)行處置與追責(zé)����。
在2013年���,昂楷科技率先在國(guó)內(nèi)實(shí)現(xiàn)了對(duì)Caché數(shù)據(jù)庫的全方位安全審計(jì)功能���,并在此后持續(xù)在主動(dòng)防護(hù)及數(shù)據(jù)脫敏技術(shù)領(lǐng)域保持行業(yè)領(lǐng)先地位。
憑借多年對(duì)后關(guān)系型數(shù)據(jù)庫安全防護(hù)的深厚積累���,昂楷科技在IRIS數(shù)據(jù)庫的安全防護(hù)上同樣展現(xiàn)出了前沿優(yōu)勢(shì)���,已經(jīng)突破對(duì)Portal的https協(xié)議的行為審計(jì)解決方案,已經(jīng)實(shí)現(xiàn)對(duì)IRIS新JDBC協(xié)議的完整解析與應(yīng)用�,對(duì)IRIS多維度的防護(hù)技術(shù)與解決方案繼續(xù)領(lǐng)跑同行業(yè)競(jìng)爭(zhēng)者。
多維度IRIS數(shù)據(jù)庫數(shù)據(jù)安全方案圍繞事前數(shù)據(jù)����、安全狀況摸底����,事中行為監(jiān)測(cè)與控制��,事后行為分析與溯源展開����,重點(diǎn)對(duì)分類分級(jí)結(jié)果中的敏感數(shù)據(jù)進(jìn)行安全防護(hù)。
將IRIS數(shù)據(jù)安全防護(hù)體系劃分為四大核心區(qū)域:
數(shù)據(jù)資產(chǎn)管理區(qū):重點(diǎn)實(shí)施數(shù)據(jù)分類與分級(jí)系統(tǒng)����;
主動(dòng)防護(hù)組件區(qū):整合了數(shù)據(jù)庫防火墻、數(shù)據(jù)動(dòng)態(tài)脫敏及應(yīng)用動(dòng)態(tài)脫敏功能���;
旁路行為審計(jì)監(jiān)測(cè)區(qū):涵蓋了數(shù)據(jù)庫審計(jì)����、防統(tǒng)方系統(tǒng)以及動(dòng)態(tài)數(shù)據(jù)水印追溯技術(shù)��;
數(shù)據(jù)流轉(zhuǎn)管控工具區(qū):負(fù)責(zé)數(shù)據(jù)靜態(tài)脫敏處理與靜態(tài)數(shù)據(jù)水印的追蹤溯源工作�����。這樣的布局確保了全方位、多層次的數(shù)據(jù)安全保障����。
整體部署組網(wǎng)如下:
昂楷科技致力于為使用IRIS后關(guān)系型數(shù)據(jù)庫的客戶提供一套全面的數(shù)據(jù)安全保障體系���,包括高效的產(chǎn)品與專業(yè)服務(wù)��,確保數(shù)據(jù)安全無憂�����。
1����、IRIS數(shù)據(jù)資產(chǎn)梳理與分類分級(jí):通過主動(dòng)探索和識(shí)別�����,構(gòu)建了數(shù)據(jù)資產(chǎn)地圖并制定了數(shù)據(jù)分類分級(jí)清單為數(shù)據(jù)安全管理提供了統(tǒng)一基準(zhǔn)���。利用生成的清單賦能其他管理模塊�,增強(qiáng)了數(shù)據(jù)安全治理的效能�。
2、合規(guī)性與監(jiān)管加強(qiáng):實(shí)施細(xì)粒度的安全審計(jì)和非法統(tǒng)方行為監(jiān)控,滿足合規(guī)要求�����,加強(qiáng)醫(yī)療行業(yè)防統(tǒng)方監(jiān)管�����。
3���、訪問行為管控:從數(shù)據(jù)域和控制域兩個(gè)維度對(duì)IRIS數(shù)據(jù)資產(chǎn)訪進(jìn)行管控�,平衡日常運(yùn)維需求和敏感數(shù)據(jù)保護(hù)�。
4、數(shù)據(jù)共享管理:使用數(shù)據(jù)流轉(zhuǎn)管控工具提升共享管理效率與安全性���,通過脫敏處理減少敏感信息泄露風(fēng)險(xiǎn)�����。
5����、數(shù)據(jù)泄露溯源:應(yīng)用數(shù)據(jù)水印溯源和訪問行為審計(jì)技術(shù)�����,為數(shù)據(jù)泄露后的追責(zé)和取證提供可靠證據(jù)。
