本溪市中心医院数据安全建设：保障数据完整性及业务连续性

本溪市中心医院数据安全建设：保障数据完整性及业务连续性 – 作者:杭州美创科技

近年来，随着医院信息化的日益扩展和深入，医疗业务和信息化的结合日益紧密，例如医院信息管理系统、电子病历建设等。以信息化改善医疗业务，以医疗业务推动信息化，两者不断互相推动促进。信息化的同时数据安全问题不容忽视，如何保障数据完整性及业务连续性？

本溪市中心医院是辽东地区一所集医疗、教学、科研、妇幼保健、康复、健康管理、疾病控制、职业病防治等功能为一体的综合性三级甲等医院。随着医院信息化进程的逐步深入，应用系统越来越多，环境日益复杂，需要建设的IT系统包含运行核心业务系统的多台物理机、以及多种类型的数据库等。

本溪市中心医院的手术麻醉、B超、院感、ERP、OA、财务等业务系统部署在X86平台物理机和虚拟化主机上，为提升业务系统运行连续性，降低数据丢失、信息系统宕机所带来的风险，需要加强业务系统的灾备建设，以满足数据安全与业务连续性的要求，具体需求如下：

❖ 对手术麻醉、B超、ERP等系统具备数据实时备份，保障关键时刻能够接管业务。
❖ 对数据库运维人员身份、权健、运维动作做到精准识别和细粒度管控，保障医疗数据安全，杜绝内部泄露。
❖ 对勒索病毒及其他恶意程序具备防护能力，保障医院在遭受勒索病毒攻击时业务开展不受影响。

解决方案

美创科技结合医院实际需求，从保障数据的完整及业务连续性出发，提出“CDP灾备一体机+诺亚防勒索系统+数据库防水坝”三位一体的综合解决方案，得到医院高度认可。

数据安全建设部署图

CDP灾备一体机

对于心电、B超、内镜、病理等部署在X86平台的重要业务系统，RTO<10min、 RPO<10min 。

采用美创CDP灾备一体机，通过基于主机并建立在连续时间点基础上的CDP（持续数据保护）技术，被保护的系统在运行时，所有新的写入操作都会被agent所捕获并同步复制到数据备份与恢复系统中，以实现数据镜像保护；同时在数据备份与恢复系统中将按预设的任务计划持续产生有一致性保障的快照点，以供后续快速恢复或应急接管使用，也可在通过生成时间更为精确的小颗粒进行还原和应急接管。

诺亚防勒索系统

通过在重要业务系统上部署美创诺亚防勒索系统，避免业务系统数据库、应用程序配置文件等被恶意加密，感染勒索病毒或被他恶意程序攻击导致业务中断。

美创诺亚防勒索系统采用主动防护的模式，利用底层驱动技术，监控所有进程的写操作，对文件的“写”操作判断，对于非法写操作进行阻断，从而对勒索病毒的写操作进行控制。即使被植入勒索病毒，勒索病毒也无法对文件进行加密。通过白名单机制监控所有进程，精准识别文件的操作行为，确保只有被允许的合法操作才能被执行，避免勒索病毒对文件加密和修改。即使业务系统未及时安装补丁，也可防止漏洞被利用进行勒索加密。

数据库防水坝

对于数据库运维管理中存在的用户名密码泄露、越权访问、高风险操作（批量更新、删除、输入导出等）、大权限用户的情况，通过美创数据库防水坝产品，对数据库运维过程细粒度管控，从数据库登陆、访问控制、动态脱敏、高风险操作语句控制、工单审批系统、运维审计等方面全方位支持数据库运维安全管理，增强数据库运维安全但不增加运维工作的复杂性。