Image
全國統一服務熱(re)線(xian)
0351-4073466

通過等保2.0分析系統脆弱性:安全區域邊界篇 & 安全計算環境篇

編輯:2022-02-25 16:08:18

安全區域邊界篇



安全區域邊(bian)界(jie)在近幾年變得越(yue)(yue)來(lai)(lai)越(yue)(yue)精(jing)細越(yue)(yue)來(lai)(lai)越(yue)(yue)模糊,因(yin)為攻(gong)擊的形(xing)式、病毒傳播的途徑層出不(bu)窮,我以攻(gong)擊者的角(jiao)度去看(kan),任何一(yi)個漏(lou)洞都可以成(cheng)為勒索(suo)病毒傳播和(he)利用的方式,我們要做到(dao)全面補丁壓力(li)重重,通過邊(bian)界(jie)劃(hua)分,依靠不(bu)同的邊(bian)界(jie)安全防護,在發生問題的情況下(xia)將損失降到(dao)最低。



1、邊(bian)界防(fang)護

a) 應保證跨越邊(bian)界(jie)的訪問和(he)數據流通(tong)過邊(bian)界(jie)設(she)備(bei)提供的受控接口(kou)進行(xing)通(tong)信;
b) 應能夠(gou)對非授權設備私(si)自聯到內(nei)部網絡(luo)的行(xing)為進行(xing)檢查或限制;
c) 應(ying)能夠對(dui)內部用戶非授權(quan)聯到外部網絡的行為進行檢查或限制;
d) 應限制無(wu)(wu)線網(wang)(wang)絡的使用,保證(zheng)無(wu)(wu)線網(wang)(wang)絡通過受控(kong)的邊界設備接入內(nei)部網(wang)(wang)絡。

自從出現了(le)(le)統(tong)(tong)方(fang)的(de)(de)(de)情(qing)況(kuang)后(hou),醫院(yuan)(yuan)對于終端準(zhun)(zhun)入(ru)(ru)的(de)(de)(de)關(guan)注度日益增加,出現了(le)(le)非法(fa)接入(ru)(ru)醫院(yuan)(yuan)內網(wang),獲(huo)取(qu)(qu)處方(fang)數據的(de)(de)(de)情(qing)況(kuang),在我(wo)(wo)看過大部分(fen)醫院(yuan)(yuan)準(zhun)(zhun)入(ru)(ru)系(xi)統(tong)(tong)后(hou),在數據盜(dao)取(qu)(qu)者面(mian)前(qian)這(zhe)個(ge)準(zhun)(zhun)入(ru)(ru)做了(le)(le)和沒有做一樣,這(zhe)真的(de)(de)(de)是(shi)一個(ge)防君子(zi)不防小人的(de)(de)(de)系(xi)統(tong)(tong),而(er)那些統(tong)(tong)方(fang)者肯定已經(jing)超出了(le)(le)君子(zi)的(de)(de)(de)范疇;通過傳(chuan)統(tong)(tong)的(de)(de)(de) IP/MAC 綁(bang)定很(hen)容易(yi)被繞(rao)過,缺(que)乏(fa)對終端上特征的(de)(de)(de)判斷,而(er)我(wo)(wo)目前(qian)更推薦是(shi)桌管 + 準(zhun)(zhun)入(ru)(ru)相結合,但(dan)這(zhe)也不能完全(quan)避免非法(fa)接入(ru)(ru)的(de)(de)(de)情(qing)況(kuang),并且醫院(yuan)(yuan)設備種類眾多,如設備儀器、攝像頭、門禁等,我(wo)(wo)曾經(jing)寫過一篇醫院(yuan)(yuan)零信任網(wang)絡安全(quan)架構的(de)(de)(de)文章,想象著能通過操作系(xi)統(tong)(tong)、網(wang)絡、安全(quan)結合大數據分(fen)析、 SDN 的(de)(de)(de)方(fang)式去嚴(yan)格控制醫院(yuan)(yuan)的(de)(de)(de)準(zhun)(zhun)入(ru)(ru),可能想象是(shi)美好的(de)(de)(de),但(dan)是(shi)國內的(de)(de)(de)產品還不能完全(quan)滿足這(zhe)個(ge)要(yao)求,因為結合了(le)(le)多個(ge)廠家的(de)(de)(de)領(ling)先技術。

我(wo)們(men)理解準入的(de)(de)時(shi)候其實很(hen)多(duo)時(shi)候已(yi)經走(zou)入一個(ge)死胡(hu)同(tong),我(wo)們(men)缺乏了對移(yi)(yi)動設(she)備接(jie)口、電腦(nao)接(jie)口、物(wu)聯網(wang)(wang)(wang)通(tong)信(xin)、 5G/4G 通(tong)信(xin)都有可能(neng)成為準入的(de)(de)缺口,通(tong)過這(zhe)些技術可以將(jiang)外部網(wang)(wang)(wang)絡中(zhong)(zhong)轉后接(jie)入到(dao)(dao)內(nei)網(wang)(wang)(wang),這(zhe)些其實在我(wo)們(men)的(de)(de)環境(jing)中(zhong)(zhong)已(yi)有很(hen)多(duo)案例。考慮大型設(she)備的(de)(de)質控(kong)問題,進口品牌廠商就會在設(she)備上安裝移(yi)(yi)動網(wang)(wang)(wang)絡 SIM 卡設(she)備,除(chu)了大型設(she)備,還有進口品牌的(de)(de)存儲上我(wo)也發(fa)現了這(zhe)個(ge)情(qing)況,所(suo)以我(wo)們(men)要管的(de)(de)不僅(jin)僅(jin)是能(neng)看到(dao)(dao)的(de)(de)這(zhe)張(zhang)(zhang)“有形(xing)網(wang)(wang)(wang)”,更是這(zhe)張(zhang)(zhang)不太(tai)能(neng)看到(dao)(dao)的(de)(de)“無形(xing)網(wang)(wang)(wang)”。

傳統(tong)的(de)網絡安全(quan)都(dou)(dou)設置了三個區域, T rust 、 U nTrust 和 DMZ , 而在當(dang)今的(de)網絡安全(quan)中(zhong),任何事物(wu)其實都(dou)(dou)不(bu)可(ke)能完全(quan)信(xin)任,我(wo)們不(bu)僅(jin)要防(fang)外敵,同(tong)時也(ye)要防(fang)內鬼,一臺(tai)中(zhong)勒索病毒(du)的(de)內網終端可(ke)能比來自互(hu)聯(lian)網的(de) DD oS 攻擊(ji)更(geng)加可(ke)怕,這樣(yang)看來要針(zhen)對每一臺(tai)終端都(dou)(dou)要有相應防(fang)火墻的(de)進出保護(hu),而且該防(fang)護(hu)墻也(ye)不(bu)限(xian)于(yu)傳統(tong)意義的(de)包過(guo)濾訪問控制,還要有 IPS 、 WAF 、 防(fang)毒(du)、行為管理等庫,同(tong)時要配合外部的(de)安全(quan)大(da)腦,聯(lian)動(dong)其他安全(quan)產品共(gong)同(tong)防(fang)御,想(xiang)到(dao)這里我(wo)又想(xiang)到(dao)了新冠病毒(du),可(ke)能不(bu)亞于(yu)防(fang)護(hu)生(sheng)物(wu)病毒(du)的(de)復雜度。

醫院(yuan)(yuan)有很多(duo)移動(dong)醫療業務場景,醫生(sheng) PAD 查(cha)房(fang),護(hu)理(li) PDA 掃碼發藥、庫(ku)房(fang) PDA 掃碼入(ru)(ru)庫(ku)等情況,有線(xian)的準入(ru)(ru)限制就(jiu)(jiu)如此薄(bo)弱,無(wu)線(xian)的準入(ru)(ru)限制就(jiu)(jiu)更加脆弱,曾(ceng)經(jing)我就(jiu)(jiu)聽(ting)說有醫院(yuan)(yuan)出現非(fei)法授權人員通(tong)過無(wu)線(xian)網絡(luo)進行(xing)統(tong)方(fang)的行(xing)為,這聽(ting)起來已經(jing)是一件沒(mei)什么技術含量的操作, PC 端的桌(zhuo)面管理(li)很多(duo)時候在移動(dong)終端上都沒(mei)有考(kao)慮,其(qi)實 MDM 移動(dong)終端管理(li)這項技術已經(jing)很早就(jiu)(jiu)有。

近幾年出(chu)現的(de)“零(ling)信任”模型,無非就(jiu)是(shi)在傳統網絡準入(ru)上(shang)更近一步,結合傳輸層(ceng)、應用層(ceng)的(de)判(pan)斷,對(dui)準入(ru)控制(zhi)更加細化,原先一個終端(duan)對(dui)于網絡接(jie)(jie)入(ru)只有(you)“是(shi)”或(huo)者(zhe)“否”,而零(ling)信任的(de)環境(jing)下就(jiu)算終端(duan)接(jie)(jie)入(ru)網絡,終端(duan)上(shang)的(de)程序是(shi)否能運(yun)(yun)行(xing)還要(yao)(yao)經過(guo)判(pan)斷,程序走的(de)網絡流量要(yao)(yao)經過(guo)層(ceng)層(ceng)過(guo)濾和安全防(fang)護(hu),就(jiu)和疫(yi)(yi)情防(fang)控一般,從外地過(guo)來的(de),首先判(pan)斷是(shi)不是(shi)中高(gao)風(feng)險地區(qu)(qu),如果是(shi)中高(gao)風(feng)險直接(jie)(jie)勸返或(huo)者(zhe)隔(ge)離(準入(ru)控制(zhi)),如果是(shi)低風(feng)險地區(qu)(qu),依然隔(ge)離多日通過(guo)多次核酸(suan)確(que)認后才能入(ru)境(jing)(沙箱(xiang)),境(jing)內(nei)我們(men)限制(zhi)了部分場(chang)所(suo)的(de)使用,如限制(zhi)了電(dian)影院、 KTV 、 棋牌室等風(feng)險場(chang)所(suo),限制(zhi)了入(ru)境(jing)人(ren)員可(ke)能去的(de)風(feng)險區(qu)(qu)域(桌面(mian)管(guan)理),通過(guo)各場(chang)所(suo)的(de)健康碼掃碼記錄形成(日志審計),時(shi)刻(ke)要(yao)(yao)佩戴口罩進(jin)入(ru)公共(gong)場(chang)所(suo)(防(fang)火(huo)墻),最后該人(ren)員依然出(chu)現了疫(yi)(yi)情癥狀,傳播的(de)范圍也可(ke)以控制(zhi)到最小(xiao),并(bing)且通過(guo)掃碼行(xing)程和其他運(yun)(yun)營商信號關(guan)聯出(chu)其時(shi)空(kong)伴隨者(zhe)(態勢(shi)感知),并(bing)一同(tong)隔(ge)離(殺毒軟件)。

2 、 訪問控制

a) 應在網(wang)絡邊界或區(qu)域之間根據訪問控(kong)制(zhi)策(ce)略設置訪問控(kong)制(zhi)規則,默(mo)認情況(kuang)下除允(yun)許(xu)通信(xin)外(wai)受控(kong)接(jie)口拒絕所有通信(xin);
b)應(ying)刪除(chu)多余(yu)或(huo)無效(xiao)的訪(fang)問(wen)控制規則,優化訪(fang)問(wen)控制列表,并保證訪(fang)問(wen)控制規則數量最(zui)小化;
c)應對源地址、目(mu)的(de)地址、源端(duan)口(kou)(kou)、目(mu)的(de)端(duan)口(kou)(kou)和協議等(deng)進(jin)行檢查(cha),以允(yun)許/拒絕數據(ju)包進(jin)出(chu);
d)應能(neng)根據會話(hua)狀態信息為數(shu)據流提供明(ming)確的允許/拒絕訪問的能(neng)力;
e)應對進出網絡(luo)的數(shu)據(ju)流實現基于(yu)應用協議(yi)和應用內容(rong)的訪問控制。

在我原(yuan)來工(gong)作的行(xing)業中,這(zhe)塊的內容(rong)其實是(shi)一(yi)項基(ji)本(ben)要(yao)求(qiu),每天有大(da)量的工(gong)作是(shi)對(dui)防火墻(qiang)上(shang)添加訪(fang)問控(kong)制策(ce)略,要(yao)對(dui)工(gong)單表格中的內容(rong)進(jin)行(xing)合(he)并同列項、歸(gui)類,還要(yao)在訪(fang)問沿途的防火墻(qiang)上(shang)開(kai)通對(dui)應的策(ce)略,工(gong)作繁(fan)雜,對(dui)技術的要(yao)求(qiu)其實不高,可能會遇到(dao)(dao)一(yi)些小問題,也就是(shi)長鏈接、 FTP 這(zhe)些開(kai)放時(shi)要(yao)注(zhu)意的問題。但是(shi)到(dao)(dao)了(le)醫(yi)療行(xing)業,我咨(zi)詢了(le)好幾家(jia)醫(yi)院,基(ji)本(ben)都沒(mei)有做訪(fang)問控(kong)制的,我分析了(le)一(yi)下有幾個原(yuan)因(yin):

①考慮(lv)性能(neng)問題,其實(shi)這已經不是(shi)問題,云數(shu)(shu)據(ju)中心、 IDC 等出口都有包過(guo)濾(lv)防(fang)火(huo)墻設備(bei),并(bing)且內部還有租戶單獨的(de)(de)(de)防(fang)火(huo)墻設備(bei),原單位的(de)(de)(de)迪(di)普防(fang)火(huo)墻號稱并(bing)發(fa)可(ke)以(yi)達到 8000 萬,當(dang)我(wo)用容器(qi)環境做并(bing)發(fa)鏈(lian)(lian)接(jie)(jie)測試的(de)(de)(de)時(shi)候打到過(guo) 500 萬,防(fang)火(huo)墻的(de)(de)(de) CPU 、 內存沒有一絲波動,而(er)(er)基本上沒有醫院的(de)(de)(de)數(shu)(shu)據(ju)中心鏈(lian)(lian)接(jie)(jie)并(bing)發(fa)能(neng)達到 500 萬的(de)(de)(de),而(er)(er)當(dang)時(shi) J uniper 的(de)(de)(de) ISG 設備(bei)最高只能(neng)達到 2 萬的(de)(de)(de)連接(jie)(jie)數(shu)(shu),幾千的(de)(de)(de)并(bing)發(fa),所以(yi)設備(bei)合不合適要看(kan)設備(bei)的(de)(de)(de)性能(neng)指標和新老,而(er)(er)這些(xie)都和投入的(de)(de)(de)成本有關,這些(xie)都要嚴格要求集成商(shang),不能(neng)配置(zhi)低配的(de)(de)(de)設備(bei),造(zao)成后(hou)續(xu)業務升級過(guo)程中不必要的(de)(de)(de)麻煩;

②缺乏(fa)規劃性(xing),因為(wei) IP 地(di)址的規劃和終端 IP 功能(neng)的規劃,可(ke)能(neng)在開通(tong)(tong)防(fang)火墻(qiang)的時(shi)候(hou)就要開通(tong)(tong)一(yi)個大(da)(da)段,這樣的做法不(bu)太(tai)符合最小化原(yuan)則,這時(shi)候(hou)其實先要考慮前期 I P 的規劃,不(bu)同的 IP 網段有不(bu)同的功能(neng),然后在開通(tong)(tong)防(fang)火墻(qiang)的時(shi)候(hou)可(ke)以盡可(ke)能(neng)的按照最小化原(yuan)則,而不(bu)至于有太(tai)大(da)(da)的工(gong)作(zuo)量;

③服(fu)務資產不清(qing),不清(qing)楚數據(ju)中(zhong)心(xin)服(fu)務開(kai)(kai)放(fang)端口的(de)(de)資產情況,大部(bu)分服(fu)務器端的(de)(de)軟件都由軟件廠家(jia)管理,并(bing)且開(kai)(kai)放(fang)端口醫院信息科(ke)的(de)(de)人不清(qing)楚,連(lian)乙方部(bu)署的(de)(de)人都不一(yi)定清(qing)楚,很難在(zai)這樣一(yi)個基礎下建(jian)立(li)起防火墻(qiang)開(kai)(kai)放(fang)的(de)(de)流程;

④高可用性的(de)擔心,在傳統(tong)的(de)防(fang)火(huo)墻(qiang)設計中(zhong),一般就考慮(lv)將(jiang)防(fang)火(huo)墻(qiang)串聯到(dao)網絡當中(zhong),實(shi)際(ji)在部署的(de)時候有很多種方式(shi),當時對于醫院這(zhe)樣的(de)環境,我(wo)們盡可能(neng)考慮(lv)最(zui)小影(ying)響(xiang),我(wo)推(tui)薦(jian)透明串聯 + 旁(pang)路 bypass 功能(neng)、策(ce)略路由(you)旁(pang)掛 +SLA 檢測、 vxlan 安全(quan)服務(wu)(wu)鏈引流(liu),其(qi)中(zhong)都要確保(bao)單臺防(fang)火(huo)墻(qiang)滿足(zu)網絡中(zhong)最(zui)大流(liu)量,并且(qie)能(neng)夠在出(chu)現故障時實(shi)現主主切(qie)換、主備切(qie)換、故障旁(pang)路,將(jiang)業務(wu)(wu)的(de)影(ying)響(xiang)降到(dao)最(zui)低,并且(qie)盡量確保(bao)那些長鏈接(jie)會話不受影(ying)響(xiang)。

在(zai)(zai)(zai)醫(yi)(yi)院(yuan)防火墻(qiang)部署的(de)(de)位(wei)置(zhi)上,我(wo)們要(yao)考(kao)慮(lv)信(xin)任和(he)非(fei)(fei)信(xin)任兩個方面,首先相對(dui)(dui)于內部網(wang)(wang)絡(luo),對(dui)(dui)互聯網(wang)(wang)和(he)專(zhuan)網(wang)(wang)我(wo)們應該(gai)列入非(fei)(fei)信(xin)任(專(zhuan)網(wang)(wang)包括醫(yi)(yi)保、衛生專(zhuan)網(wang)(wang)等一切非(fei)(fei)醫(yi)(yi)院(yuan)自(zi)己內部的(de)(de)網(wang)(wang)絡(luo)),相對(dui)(dui)于醫(yi)(yi)院(yuan)內網(wang)(wang),醫(yi)(yi)院(yuan)的(de)(de)外網(wang)(wang)也是(shi)非(fei)(fei)信(xin)任區,相對(dui)(dui)于數據中(zhong)心網(wang)(wang)絡(luo),醫(yi)(yi)院(yuan)的(de)(de)門診(zhen)、住院(yuan)等辦公網(wang)(wang)段也是(shi)非(fei)(fei)信(xin)任區,在(zai)(zai)(zai)這(zhe)幾處我(wo)們都應該(gai)確保有(you)防火墻(qiang)防護,對(dui)(dui)應策略默認拒絕,按需開(kai)(kai)通服(fu)(fu)務(wu)。可能大(da)家(jia)覺得(de)部署這(zhe)么多(duo)(duo)防火墻(qiang)并沒有(you)感受到很(hen)大(da)的(de)(de)用(yong)處,大(da)家(jia)在(zai)(zai)(zai)想(xiang)想(xiang)勒(le)索病(bing)毒(du)通過什么方式傳(chuan)播(bo),見的(de)(de)最多(duo)(duo)的(de)(de)是(shi) SMB 服(fu)(fu)務(wu),其實(shi)只要(yao)是(shi)漏洞在(zai)(zai)(zai)我(wo)看來都有(you)可能被勒(le)索病(bing)毒(du)利用(yong),如(ru)(ru)果(guo)在(zai)(zai)(zai)全網(wang)(wang)終(zhong)端(duan)沒有(you)打上補丁的(de)(de)情況下(xia)(xia),我(wo)們除(chu)非(fei)(fei)有(you)自(zi)動化(hua)工(gong)具(ju)能夠(gou)批量(liang)對(dui)(dui)終(zhong)端(duan)進(jin)行防火墻(qiang)下(xia)(xia)發,那(nei)在(zai)(zai)(zai)便捷(jie)性(xing)和(he)實(shi)用(yong)性(xing)折中(zhong)的(de)(de)情況下(xia)(xia),我(wo)們還是(shi)會考(kao)慮(lv)使用(yong)網(wang)(wang)絡(luo)防火墻(qiang)對(dui)(dui)勒(le)索病(bing)毒(du)傳(chuan)播(bo)端(duan)口進(jin)行封堵,如(ru)(ru)果(guo)單位(wei)本來就建立了良好的(de)(de)按需開(kai)(kai)通訪問機制,在(zai)(zai)(zai)這(zhe)個時候也就不會有(you)很(hen)多(duo)(duo)擔(dan)憂。

3 、 入(ru)侵防范

a)應在(zai)關鍵網絡節(jie)點處檢(jian)測、防止(zhi)或限制從外部(bu)發起的(de)網絡攻(gong)擊(ji)行為;

b)應在(zai)關鍵網(wang)絡節點處(chu)檢測防(fang)止(zhi)或限制從(cong)內部發起的網(wang)絡攻擊(ji)行為(wei);

c)應采取技(ji)術措施對網(wang)(wang)絡行為進行分(fen)析,實(shi)現(xian)對網(wang)(wang)絡攻擊特別是新型網(wang)(wang)絡攻擊行為的分(fen)析;

d)當檢測(ce)到攻擊(ji)行為時。記錄攻擊(ji)源IP、攻擊(ji)類型、攻擊(ji)目(mu)標、攻擊(ji)時間(jian),在發生(sheng)嚴(yan)重入侵(qin)事件時應提供報警。

這里提到(dao)了(le)外(wai)到(dao)內(nei)(nei)(nei)的(de)(de)(de)網絡攻(gong)擊和(he)內(nei)(nei)(nei)到(dao)外(wai)的(de)(de)(de)網絡攻(gong)擊,外(wai)到(dao)內(nei)(nei)(nei)的(de)(de)(de)防護毋庸置疑(yi),而內(nei)(nei)(nei)到(dao)外(wai)的(de)(de)(de)防護其實也是我們(men)要考(kao)慮的(de)(de)(de),在網絡安全法頒布起,攻(gong)擊我國境內(nei)(nei)(nei)的(de)(de)(de)網絡資產都會受到(dao)法律的(de)(de)(de)制裁(cai),為了(le)保護自己單位不(bu)受影響,那(nei)對內(nei)(nei)(nei)到(dao)外(wai)攻(gong)擊的(de)(de)(de)防護自然而然要被納入管理的(de)(de)(de)范圍,像(xiang) C&C 攻(gong)擊、 DD o S 攻(gong)擊的(de)(de)(de)肉雞,像(xiang)對勒索病毒外(wai)聯的(de)(de)(de)防護都是我們(men)要考(kao)慮的(de)(de)(de),在保護他人的(de)(de)(de)同時保護了(le)自己。

對(dui)(dui)新型網(wang)絡攻(gong)擊(ji)行(xing)(xing)為(wei)(wei)的(de)(de)(de)(de)(de)(de)(de)(de)分析(xi),其實早(zao)在(zai) 2014 年我就(jiu)了解到了當時(shi)的(de)(de)(de)(de)(de)(de)(de)(de) APT 產(chan)品(pin)( 高級可持續(xu)威脅攻(gong)擊(ji) ),深(shen)思(si)現(xian)(xian)在(zai)的(de)(de)(de)(de)(de)(de)(de)(de)網(wang)絡架構(gou),如果(guo)要發現(xian)(xian)新型的(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)擊(ji)行(xing)(xing)為(wei)(wei),那我們(men)就(jiu)要排除掉一(yi)切以攻(gong)擊(ji)庫、病(bing)毒庫為(wei)(wei)基礎(chu)(chu)的(de)(de)(de)(de)(de)(de)(de)(de)設備(bei),包括傳(chuan)統的(de)(de)(de)(de)(de)(de)(de)(de)防火墻(qiang)、殺毒軟件(jian)等,在(zai)此基礎(chu)(chu)上,要聯(lian)動下(xia)一(yi)代墻(qiang)、態勢感知、 EDR 等新型安全(quan)產(chan)品(pin),甚至還要聯(lian)動產(chan)品(pin)公司外部的(de)(de)(de)(de)(de)(de)(de)(de)實時(shi)信息,關聯(lian)全(quan)球的(de)(de)(de)(de)(de)(de)(de)(de)安全(quan)情報,通過這樣(yang)(yang)的(de)(de)(de)(de)(de)(de)(de)(de)要求,我對(dui)(dui)這套體系的(de)(de)(de)(de)(de)(de)(de)(de)考慮(lv)是盡可能通過同(tong)(tong)一(yi)家(jia)公司的(de)(de)(de)(de)(de)(de)(de)(de)產(chan)品(pin)實現(xian)(xian),可以想(xiang)象一(yi)個中國人(ren)對(dui)(dui)一(yi)個不(bu)會說中國話(hua)的(de)(de)(de)(de)(de)(de)(de)(de)外國人(ren)說漢語(yu)的(de)(de)(de)(de)(de)(de)(de)(de)時(shi)候(hou)是什么樣(yang)(yang)的(de)(de)(de)(de)(de)(de)(de)(de)結果(guo),就(jiu)算雙方都是中國人(ren),不(bu)同(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)方言理(li)解起(qi)來其實也有困難(就(jiu)好(hao)像不(bu)同(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)產(chan)品(pin)線(xian)在(zai)傳(chuan)輸日志和分析(xi)日志的(de)(de)(de)(de)(de)(de)(de)(de)時(shi)候(hou)都有不(bu)同(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)方法),所以對(dui)(dui)新型網(wang)絡攻(gong)擊(ji)行(xing)(xing)為(wei)(wei)的(de)(de)(de)(de)(de)(de)(de)(de)分析(xi),其實任重而(er)道遠。

對于安(an)全(quan)日(ri)志(zhi)(zhi)的(de)(de)(de)(de)收集、記錄(lu)、分析(xi)(xi)、告(gao)警(jing)對整個(ge)安(an)全(quan)運營中心平(ping)臺(tai)也(ye)有很大的(de)(de)(de)(de)壓力,打個(ge)比方,在(zai)同(tong)一原地(di)址(zhi)對醫院多個(ge)互聯(lian)網(wang)地(di)址(zhi)進(jin)(jin)行攻(gong)(gong)擊(ji)時,原始的(de)(de)(de)(de)日(ri)志(zhi)(zhi)可(ke)能(neng)是成千上(shang)萬條的(de)(de)(de)(de),如果這成千上(shang)萬條的(de)(de)(de)(de)日(ri)志(zhi)(zhi)不(bu)經過分析(xi)(xi),直接(jie)告(gao)警(jing),可(ke)能(neng)告(gao)警(jing)的(de)(de)(de)(de)短(duan)信平(ping)臺(tai)、微(wei)信平(ping)臺(tai)都會搞垮,安(an)全(quan)日(ri)志(zhi)(zhi)分析(xi)(xi)匯聚的(de)(de)(de)(de)工作就尤為重(zhong)要,不(bu)僅(jin)要對同(tong)一攻(gong)(gong)擊(ji)源的(de)(de)(de)(de)不(bu)同(tong)攻(gong)(gong)擊(ji)進(jin)(jin)行匯總,還要對不(bu)同(tong)攻(gong)(gong)擊(ji)源的(de)(de)(de)(de)同(tong)種攻(gong)(gong)擊(ji)進(jin)(jin)行匯總,甚至還要關聯(lian)前后(hou)攻(gong)(gong)擊(ji)的(de)(de)(de)(de)線索進(jin)(jin)行溯源。

4 、安全審計
a)應在網(wang)絡邊界、重要網(wang)絡節(jie)點進行安(an)全審計(ji),審計(ji)覆蓋到每個用(yong)戶,對重要的用(yong)戶行為和(he)重要安(an)全事件進行審計(ji);
b)審計(ji)記錄(lu)應包括事件(jian)的日(ri)期(qi)和時間用戶(hu)、事件(jian)類型、事件(jian)是否(fou)成功及其他(ta)與(yu)審計(ji)相關的信息(xi);
c)應對審計記錄進行保護(hu),定期備份,避免受到未預期的刪除、修改或(huo)覆蓋等;
d)應能對(dui)遠(yuan)程訪(fang)問(wen)的用戶行(xing)為、訪(fang)問(wen)互聯網的用戶行(xing)為等單獨進行(xing)行(xing)為審計(ji)和數據分析(xi)。

說到審計看似(si)很簡單,只要把(ba)日志(zhi)(zhi)(zhi)傳遞到日志(zhi)(zhi)(zhi)審計服務器(qi)記(ji)錄,可以(yi)通過各式各樣的(de)參數查(cha)詢即可,但是日志(zhi)(zhi)(zhi)記(ji)錄全(quan)不(bu)(bu)全(quan)、有(you)沒(mei)有(you)遺漏(lou),我之前(qian)就碰到過好幾次溯(su)(su)源(yuan)到一(yi)(yi)半失(shi)敗的(de)情況,一(yi)(yi)次是訪問過程中有(you) NAT 設備,這個時間點(dian) NAT 的(de)日志(zhi)(zhi)(zhi)沒(mei)有(you),沒(mei)辦法把(ba)前(qian)后的(de)日志(zhi)(zhi)(zhi)關聯起來,一(yi)(yi)次是設備上的(de)攻(gong)擊(ji)源(yuan)地址(zhi)是白(bai)名(ming)單地址(zhi),而白(bai)名(ming)單地址(zhi)攻(gong)擊(ji)不(bu)(bu)記(ji)錄在日志(zhi)(zhi)(zhi)中,還有(you)很多(duo)次因為終(zhong)端上的(de)日志(zhi)(zhi)(zhi)沒(mei)有(you)開啟,導致最后一(yi)(yi)步溯(su)(su)源(yuan)失(shi)敗。

如(ru)果要(yao)(yao)(yao)將所有(you)資產的日(ri)志(zhi)進(jin)行(xing)審(shen)計記(ji)錄(lu),并且記(ji)錄(lu)到(dao)(dao)位,還要(yao)(yao)(yao)做備(bei)份,其實這個量遠遠已(yi)經超過了(le) HIS 數據(ju)(ju)庫(ku)的增長量,而且網絡安全法的要(yao)(yao)(yao)求是(shi)日(ri)志(zhi)記(ji)錄(lu) 180 天,我(wo)看了(le)下我(wo)們(men)光數據(ju)(ju)庫(ku)審(shen)計的日(ri)志(zhi)每(mei)天就有(you) 20 多(duo) GB ,180 天將近 4TB 的容量,我(wo)們(men)還有(you)網絡設備(bei)日(ri)志(zhi)、安全日(ri)志(zhi)、操作系統日(ri)志(zhi)、存儲日(ri)志(zhi)、應(ying)用日(ri)志(zhi)等等,加(jia)起來每(mei)天的量可能就達到(dao)(dao)上百 GB , 如(ru)此大量的細小(xiao)碎片化數據(ju)(ju),要(yao)(yao)(yao)做到(dao)(dao)日(ri)志(zhi)查詢(xun)(xun)(xun)不(bu)僅僅是(shi)一臺(tai)(tai)日(ri)志(zhi)審(shen)計服務器能做到(dao)(dao),我(wo)在購買數據(ju)(ju)庫(ku)審(shen)計的時候(hou)就測(ce)試了(le)多(duo)家廠家的產品,不(bu)是(shi)日(ri)志(zhi)遺漏(lou)保存,就是(shi)日(ri)志(zhi)查詢(xun)(xun)(xun)速度(du)慢,或者(zhe)是(shi)日(ri)志(zhi)查詢(xun)(xun)(xun)功能不(bu)全,如(ru)果是(shi)有(you)能力的醫(yi)院,其實建(jian)議還是(shi)單獨自建(jian)開(kai)源的日(ri)志(zhi)平(ping)臺(tai)(tai),對日(ri)志(zhi)流量進(jin)行(xing)清洗、匯總,通過相匹配的 NoSQL 數據(ju)(ju)庫(ku)記(ji)錄(lu),簡單方(fang)便(bian)的可以考慮下 Elastic Search ,在查詢(xun)(xun)(xun)速度(du)快的情況下,可視(shi)化也(ye)做的較好(hao)。

安全計算環境篇



個人認為計(ji)算(suan)(suan)環境(jing)(jing)(jing)下(xia)的(de)(de)(de)安全(quan)問題其實是(shi)最嚴重的(de)(de)(de),大(da)部分中(zhong)(zhong)高危漏洞(dong)都從(cong)計(ji)算(suan)(suan)環境(jing)(jing)(jing)下(xia)發(fa)現,被(bei)利(li)用最多的(de)(de)(de)也是(shi),而且計(ji)算(suan)(suan)環境(jing)(jing)(jing)的(de)(de)(de)網絡資(zi)(zi)產量也是(shi)最多的(de)(de)(de),各(ge)種虛擬化(hua)、容器化(hua)、 S erverless 等技術將(jiang)計(ji)算(suan)(suan)資(zi)(zi)源分成更小的(de)(de)(de)細(xi)塊,提(ti)高了安全(quan)管理員(yuan)的(de)(de)(de)能力要求,更是(shi)提(ti)高了像 CWPP 、 EDR 等安全(quan)軟件的(de)(de)(de)防(fang)護(hu)要求,在 “安全(quan)計(ji)算(suan)(suan)環境(jing)(jing)(jing)中(zhong)(zhong)”有些前面提(ti)到的(de)(de)(de)內容就不再(zai)贅述。



1 、身份鑒別
a) 應對登錄的用戶(hu)進行(xing)身份標識和鑒(jian)別(bie)(bie),身份標識具有唯(wei)一性,身份鑒(jian)別(bie)(bie)信息具有復雜(za)度要求并定(ding)期(qi)更(geng)換;
b) 應具有登(deng)錄失敗處理功能(neng),應配置并啟用結束(shu)會(hui)話、限制非(fei)法(fa)登(deng)錄次數和當登(deng)錄連接超時自動退出(chu)等相關措施;
c)當(dang)進行(xing)遠程管理時,應(ying)采取必要措施(shi)防(fang)止鑒別信息在網絡傳輸(shu)過(guo)程中被竊聽(ting);
d)應(ying)采用口令、密碼(ma)技(ji)(ji)術(shu)(shu)、生物技(ji)(ji)術(shu)(shu)等兩種(zhong)或(huo)兩種(zhong)以上(shang)組合的鑒(jian)別(bie)技(ji)(ji)術(shu)(shu)對用戶進行(xing)身份鑒(jian)別(bie),且其中一種(zhong)鑒(jian)別(bie)技(ji)(ji)術(shu)(shu)至少應(ying)使(shi)用密碼(ma)技(ji)(ji)術(shu)(shu)來實現。

在(zai)(zai)醫(yi)(yi)院中除了數據中心的(de)(de)服務器資(zi)源,還有醫(yi)(yi)護人員、行政人員使用(yong)的(de)(de)電(dian)腦(nao)都需要(yao)(yao)納(na)入安全計(ji)算環境的(de)(de)管轄范圍。大(da)家(jia)可(ke)以看(kan)看(kan)自己(ji)用(yong)的(de)(de)電(dian)腦(nao)是(shi)否(fou)設置了密碼,并且密碼的(de)(de)要(yao)(yao)求是(shi)否(fou)符合強口令(長度大(da)于 8 位(wei),包含大(da)小寫字(zi)母(mu)、數字(zi)、符號,并且不(bu)包含鍵盤上連續字(zi)符或者英(ying)文單詞),并且 3 個月更換一次密碼。在(zai)(zai) AAA 認(ren)(ren)證(zheng)(zheng)(zheng)體系( AAA 是(shi)認(ren)(ren)證(zheng)(zheng)(zheng)( Authentication )、授權( Authorization )和(he)計(ji)費(fei)( Accounting ) )中,第一關就是(shi)認(ren)(ren)證(zheng)(zheng)(zheng),在(zai)(zai)認(ren)(ren)證(zheng)(zheng)(zheng)的(de)(de)過(guo)程中可(ke)能會出現如無認(ren)(ren)證(zheng)(zheng)(zheng)、弱口令、認(ren)(ren)證(zheng)(zheng)(zheng)可(ke)以被繞過(guo)、明文密碼傳(chuan)輸等等問題,

不僅(jin)僅(jin)是在(zai)醫療行(xing)業,基本(ben)(ben)所(suo)有(you)(you)行(xing)業的(de)(de)(de)(de)內(nei)網環境都包含(han)了上述問題,在(zai)護網行(xing)動(dong)中,打入了內(nei)網環境后,大量使(shi)用重(zhong)復(fu)的(de)(de)(de)(de)弱口令,成(cheng)為被(bei)攻陷的(de)(de)(de)(de)重(zhong)要(yao)問題之一(yi),有(you)(you)很多護網的(de)(de)(de)(de)案例是拿(na)下(xia)了堡壘機的(de)(de)(de)(de)弱口令,而(er)堡壘機上直(zhi)接記(ji)錄了各(ge)類服(fu)務(wu)器(qi)的(de)(de)(de)(de)高權(quan)限賬號密(mi)碼,通(tong)過一(yi)點突(tu)破全網。我(wo)(wo)們大家可以(yi)看(kan)看(kan)自己的(de)(de)(de)(de)環境下(xia), PC 和服(fu)務(wu)器(qi)端是否存在(zai)無(wu)認(ren)(ren)證(zheng)、弱口令的(de)(de)(de)(de)情(qing)況,除(chu)了 RDP 、 SSH 等(deng)(deng)常見(jian)管理(li)服(fu)務(wu),還有(you)(you) Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer , 根(gen)據我(wo)(wo)一(yi)直(zhi)以(yi)來(lai)的(de)(de)(de)(de)工作經驗,很多開源軟件的(de)(de)(de)(de)早期版本(ben)(ben)對于 API 接口就根(gen)本(ben)(ben)沒有(you)(you)認(ren)(ren)證(zheng)機制,所(suo)以(yi)還有(you)(you)很多的(de)(de)(de)(de)開源服(fu)務(wu)如 Redis 、 Docker 、 Elastic Search 等(deng)(deng),有(you)(you)認(ren)(ren)證(zheng)的(de)(de)(de)(de)情(qing)況下(xia)是否使(shi)用了開源軟件的(de)(de)(de)(de)默認(ren)(ren)賬戶口令,這個(ge)也需要(yao)我(wo)(wo)們及時修改(gai),黑客可以(yi)通(tong)過一(yi)點突(tu)破,層層收集(ji)信息,最終(zhong)突(tu)破核心防(fang)線。

AAA 體系中(zhong)的(de)第(di)二步(bu)授權,其實是(shi)可以緩(huan)解第(di)一步(bu)問(wen)題的(de)一個(ge)手段,理論上要(yao)求(qiu)我們(men)(men)的(de) PC 端、服務(wu)器端不同的(de)軟(ruan)件需要(yao)通(tong)過(guo)不同的(de)用(yong)(yong)戶(hu)安裝(zhuang)(zhuang)、使(shi)(shi)用(yong)(yong),并且不同的(de)用(yong)(yong)戶(hu)只(zhi)能給予(yu)最小安裝(zhuang)(zhuang)、使(shi)(shi)用(yong)(yong)軟(ruan)件的(de)權限,而我們(men)(men)可以檢(jian)查(cha)下(xia)自己(ji)的(de)環境,應(ying)該是(shi)有很多直接使(shi)(shi)用(yong)(yong) administrator 、 root 等(deng)用(yong)(yong)戶(hu),并且這(zhe)些賬(zhang)號(hao)存在著復(fu)用(yong)(yong)的(de)情況,在使(shi)(shi)用(yong)(yong)過(guo)程中(zhong)很難分清楚現實生活(huo)中(zhong)的(de)哪個(ge)自然(ran)人使(shi)(shi)用(yong)(yong)了(le)這(zhe)個(ge)賬(zhang)戶(hu)進(jin)行了(le)相關(guan)操作,如果(guo)出現了(le)問(wen)題給后續(xu)溯(su)源(yuan)提升了(le)難度,我們(men)(men)這(zhe)時就(jiu)需要(yao)通(tong)過(guo) IP 、 上層(ceng)的(de)堡壘機日志等(deng)進(jin)行關(guan)聯溯(su)源(yuan)。

限(xian)制(zhi)登(deng)錄(lu)失(shi)敗(bai)(bai)次數(shu)(shu)是(shi)防(fang)止暴(bao)力破(po)解(jie)的(de)(de)(de)手段之一(yi),暴(bao)力破(po)解(jie)會(hui)(hui)通(tong)(tong)過(guo)一(yi)個(ge)密(mi)碼本對需要爆破(po)的(de)(de)(de)服(fu)務密(mi)碼進(jin)行不(bu)(bu)斷的(de)(de)(de)嘗試(shi),直到試(shi)到正確的(de)(de)(de)那(nei)個(ge)密(mi)碼或(huo)(huo)者(zhe)密(mi)碼本試(shi)完為止,正常(chang)人登(deng)錄(lu)一(yi)般(ban)都(dou)會(hui)(hui)記(ji)得自(zi)己的(de)(de)(de)密(mi)碼,當然(ran)在(zai)定期更換復(fu)雜密(mi)碼的(de)(de)(de)要求(qiu)下(xia),正常(chang)人也(ye)(ye)(ye)會(hui)(hui)記(ji)不(bu)(bu)住(zhu)密(mi)碼,這個(ge)問題(ti)我們后面(mian)再說。在(zai)限(xian)制(zhi)了(le)登(deng)錄(lu)失(shi)敗(bai)(bai)次數(shu)(shu),比如(ru)我們設置(zhi)了(le) 5 次,那(nei)通(tong)(tong)過(guo)某(mou)個(ge) IP 登(deng)錄(lu)失(shi)敗(bai)(bai) 5 次后這個(ge) IP 就會(hui)(hui)被鎖定,當然(ran)可(ke)以(yi)(yi)設置(zhi)別的(de)(de)(de) IP 還(huan)可(ke)以(yi)(yi)登(deng)錄(lu)這個(ge)服(fu)務。會(hui)(hui)話結束功能(neng)就類似于 W indows 自(zi)動鎖屏,作(zuo)為一(yi)個(ge)信息工作(zuo)者(zhe),在(zai)我們離開(kai)電腦時(shi)就應該考慮(lv)鎖屏的(de)(de)(de)操作(zuo),并(bing)且重新登(deng)錄(lu)要輸入賬號密(mi)碼,一(yi)個(ge)不(bu)(bu)會(hui)(hui)超時(shi)的(de)(de)(de)會(hui)(hui)話雖然(ran)方(fang)便了(le)我們自(zi)己,同樣也(ye)(ye)(ye)給惡意者(zhe)帶來了(le)方(fang)便,想想經過(guo)你(ni)(ni)辦公桌的(de)(de)(de)每個(ge)人都(dou)可(ke)以(yi)(yi)在(zai)登(deng)錄(lu)著的(de)(de)(de) HIS 服(fu)務器(qi)或(huo)(huo)者(zhe)核心交換機上敲(qiao)一(yi)個(ge) reboot ,最后造成(cheng)的(de)(de)(de)結果可(ke)想而知(zhi),雖然(ran)這個(ge)事故不(bu)(bu)是(shi)你(ni)(ni)直接操作(zuo)的(de)(de)(de),但也(ye)(ye)(ye)要負主要責(ze)任。

在(zai)醫院中(zhong)常見的(de)(de)(de)(de)(de)遠程管(guan)理(li)手段有(you) RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等,其(qi)中(zhong) TELNET 、 FTP 在(zai)流(liu)量(liang)(liang)(liang)劫持時(shi)(shi)可以直(zhi)接獲(huo)得賬戶(hu)(hu)口令信(xin)息(xi),可以通過(guo) SSH 、 SFTP 等方(fang)法替(ti)換,確保在(zai)賬號密碼認證(zheng)和(he)(he)數據(ju)流(liu)傳(chuan)輸(shu)過(guo)程中(zhong)都是(shi)加(jia)密的(de)(de)(de)(de)(de)。其(qi)實 Oracle 的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang)也(ye)非加(jia)密,在(zai)我(wo)(wo)咨詢了我(wo)(wo) OCM 的(de)(de)(de)(de)(de)朋友(you)和(he)(he)百度(du)后,發(fa)現(xian)其(qi)實 Oracle 流(liu)量(liang)(liang)(liang)也(ye)可以配置加(jia)密,但是(shi)我(wo)(wo)們很少會這(zhe)樣做,并且很少會有(you)人關(guan)(guan)心這(zhe)個問(wen)題(ti),還(huan)消耗客戶(hu)(hu)端(duan)(duan)(duan)和(he)(he)服務(wu)端(duan)(duan)(duan)額外的(de)(de)(de)(de)(de)性能(neng)。這(zhe)時(shi)(shi)候我(wo)(wo)們就(jiu)要(yao)想到什么時(shi)(shi)候我(wo)(wo)們的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang)會被(bei)(bei)截(jie)取(qu)走(zou),常見的(de)(de)(de)(de)(de)就(jiu)是(shi)內(nei)網(wang)(wang) ARP 欺騙,一臺攻(gong)擊主(zhu)機在(zai)客戶(hu)(hu)端(duan)(duan)(duan)請求(qiu)網(wang)(wang)關(guan)(guan) MAC 地(di)址(zhi)的(de)(de)(de)(de)(de)時(shi)(shi)候,將(jiang)自己的(de)(de)(de)(de)(de) MAC 地(di)址(zhi)告訴(su)客戶(hu)(hu)端(duan)(duan)(duan),說自己這(zhe)個 MAC 地(di)址(zhi)就(jiu)是(shi)網(wang)(wang)關(guan)(guan)的(de)(de)(de)(de)(de) MAC , 這(zhe)樣二層的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang)會先(xian)通過(guo)這(zhe)臺攻(gong)擊主(zhu)機轉發(fa)給真實的(de)(de)(de)(de)(de)網(wang)(wang)關(guan)(guan),所有(you)明(ming)文(wen)的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang)過(guo)了這(zhe)臺攻(gong)擊主(zhu)機后就(jiu)可以被(bei)(bei)它輕松的(de)(de)(de)(de)(de)獲(huo)取(qu)敏感信(xin)息(xi),我(wo)(wo)的(de)(de)(de)(de)(de)防護方(fang)法是(shi)通過(guo)桌管(guan)軟(ruan)件,將(jiang)每個網(wang)(wang)段主(zhu)機的(de)(de)(de)(de)(de)網(wang)(wang)關(guan)(guan) ARP 解(jie)析(xi)(xi)靜態的(de)(de)(de)(de)(de)寫到客戶(hu)(hu)端(duan)(duan)(duan)上,確保 ARP 解(jie)析(xi)(xi)時(shi)(shi)默認都先(xian)通過(guo)本地(di)記錄解(jie)析(xi)(xi),從而(er)不會被(bei)(bei)外部動(dong)態解(jie)析(xi)(xi)影響。另一種情況會被(bei)(bei)獲(huo)取(qu)的(de)(de)(de)(de)(de)是(shi)網(wang)(wang)內(nei)的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang)設備(bei),很多安(an)全設備(bei)、 APM 監控設備(bei)、深度(du)流(liu)量(liang)(liang)(liang)分析(xi)(xi)設備(bei)都需要(yao)抓取(qu)核心網(wang)(wang)絡的(de)(de)(de)(de)(de)流(liu)量(liang)(liang)(liang),當這(zhe)些流(liu)量(liang)(liang)(liang)被(bei)(bei)鏡像給設備(bei)后它們會將(jiang)它記錄下來,而(er)正式(shi)或者測試設備(bei)出(chu)現(xian)問(wen)題(ti)返廠時(shi)(shi),我(wo)(wo)們就(jiu)要(yao)叮(ding)囑工(gong)程師要(yao)清空本地(di)數據(ju),以免數據(ju)泄(xie)露(lu),在(zai)我(wo)(wo)的(de)(de)(de)(de)(de)工(gong)作中(zhong)就(jiu)聽(ting)到過(guo)通過(guo)安(an)全設備(bei)泄(xie)露(lu)大量(liang)(liang)(liang)公民(min)信(xin)息(xi)的(de)(de)(de)(de)(de)案例。

前面我(wo)(wo)們(men)(men)說到要(yao)(yao)定期修(xiu)改復雜密(mi)(mi)碼(ma)(ma),但是(shi)(shi)(shi)經常修(xiu)改會導致管理(li)(li)員記憶困難,這個(ge)時(shi)(shi)候(hou)我(wo)(wo)覺得雙(shuang)因(yin)(yin)(yin)子認(ren)證(zheng)也是(shi)(shi)(shi)幫助大家(jia)(jia)不(bu)(bu)用記復雜密(mi)(mi)碼(ma)(ma)的(de)好方法。雙(shuang)因(yin)(yin)(yin)素認(ren)證(zheng)分為(wei)所(suo)知和所(suo)有兩(liang)種,雙(shuang)因(yin)(yin)(yin)素的(de)證(zheng)據又分為(wei)秘密(mi)(mi)信息(xi)、個(ge)人物品、生理(li)(li)特征(zheng)三種類型,像口(kou)令、密(mi)(mi)碼(ma)(ma)就(jiu)是(shi)(shi)(shi)信息(xi),物理(li)(li) key 就(jiu)是(shi)(shi)(shi)個(ge)人物品,指(zhi)紋、虹(hong)膜(mo)、面部就(jiu)是(shi)(shi)(shi)生理(li)(li)特征(zheng),我(wo)(wo)們(men)(men)只要(yao)(yao)結合(he)兩(liang)種類型的(de)證(zheng)據,那就(jiu)符(fu)合(he)要(yao)(yao)求(qiu),可以通過(guo)物理(li)(li) KEY+ 動態密(mi)(mi)碼(ma)(ma)的(de)方式實現(xian)認(ren)證(zheng),此(ci)時(shi)(shi)就(jiu)不(bu)(bu)用記住原始的(de)靜態密(mi)(mi)碼(ma)(ma),大家(jia)(jia)可以想(xiang)象一(yi)下(xia)現(xian)在(zai)在(zai)登錄微信、支付寶、 QQ 等互聯網(wang)軟件的(de)時(shi)(shi)候(hou)基本很少使用密(mi)(mi)碼(ma)(ma),而智(zhi)能手(shou)機也將密(mi)(mi)碼(ma)(ma)和人臉識別(bie)關(guan)聯,方便(bian)大家(jia)(jia)認(ren)證(zheng)操作(zuo),同時(shi)(shi)又符(fu)合(he)安全要(yao)(yao)求(qiu)。在(zai)醫(yi)院(yuan)工作(zuo)的(de)過(guo)程中,我(wo)(wo)發現(xian)很多業(ye)(ye)務系(xi)(xi)統(tong)的(de)賬(zhang)號密(mi)(mi)碼(ma)(ma)不(bu)(bu)是(shi)(shi)(shi)同一(yi)套體系(xi)(xi),系(xi)(xi)統(tong)在(zai)認(ren)證(zheng)時(shi)(shi)也沒有做到雙(shuang)因(yin)(yin)(yin)子的(de)要(yao)(yao)求(qiu),我(wo)(wo)之前寫過(guo)一(yi)篇論文(wen),叫《基于 4A 系(xi)(xi)統(tong)的(de)醫(yi)院(yuan)零信任網(wang)絡安全模型》,也是(shi)(shi)(shi)我(wo)(wo)希望能通過(guo)安全技術提升醫(yi)護行(xing)政人員使用系(xi)(xi)統(tong)時(shi)(shi)的(de)便(bian)利性(xing)、規范對醫(yi)院(yuan)所(suo)有系(xi)(xi)統(tong)賬(zhang)戶(hu)體系(xi)(xi)管理(li)(li)、加(jia)強(qiang)醫(yi)院(yuan)業(ye)(ye)務系(xi)(xi)統(tong)使用時(shi)(shi)的(de)權限管理(li)(li)能力。

五級電(dian)子病歷(li)評(ping)審中提到了(le)系統備份、容災的(de)標準(zhun),對醫院(yuan)信息系統的(de)穩定性(xing)、可靠性(xing)、可用(yong)性(xing)有(you)了(le)明確的(de)要求,醫院(yuan)信息系統的(de)宕機、數(shu)據丟失會造成無法(fa)挽回的(de)影響(xiang);2021 年(nian)《數(shu)據安全(quan)(quan)法(fa)》和《個(ge)人信息保護法(fa)》出臺,我國在信息化高速發展的(de)當(dang)下,更加重視了(le)網(wang)絡安全(quan)(quan),證明了(le)網(wang)絡安全(quan)(quan)與信息化是(shi)一體(ti)之(zhi)兩翼、驅動之(zhi)雙輪。

2 、數據保密(mi)性(xing)

a) 應采用密(mi)碼技術保證重(zhong)要數據在(zai)傳輸(shu)過程中(zhong)的(de)保密(mi)性(xing),包括(kuo)但不(bu)限(xian)于鑒別(bie)數據、重(zhong)要業務數據和(he)重(zhong)要個人信(xin)息等;
b) 應采用(yong)密碼技術保證重要(yao)數(shu)(shu)據在存儲過程中的保密性(xing),包括但不(bu)限于鑒(jian)別數(shu)(shu)據、重要(yao)業務(wu)數(shu)(shu)據和(he)重要(yao)個人信息等。

信(xin)息(xi)安全(quan) CIA 三要素(su),保(bao)密(mi)性、完(wan)整性、可用性,這(zhe)里提到(dao)了數(shu)據(ju)的(de)(de)保(bao)密(mi)性,其(qi)實不(bu)管在哪個(ge)行業(ye),數(shu)據(ju)的(de)(de)保(bao)密(mi)性都很難(nan)做,我(wo)們可以看到(dao)大(da)量的(de)(de)公民數(shu)據(ju)在互聯(lian)網(wang)安全(quan)事件中泄露,我(wo)國之前的(de)(de)《網(wang)絡安全(quan)法(fa)》對數(shu)據(ju)安全(quan)沒有(you)具體的(de)(de)要求,而 2021 年的(de)(de)《數(shu)據(ju)安全(quan)法(fa)》和《個(ge)人信(xin)息(xi)保(bao)護法(fa)》才對數(shu)據(ju)安全(quan)有(you)了明確的(de)(de)要求,并且這(zhe)兩部(bu)法(fa)律給企業(ye)帶來了不(bu)小改造的(de)(de)壓(ya)力。

數(shu)(shu)(shu)據(ju)(ju)(ju)安全(quan)的(de)(de)(de)(de)保密(mi)(mi)性(xing)要(yao)求(qiu)(qiu)貫穿了(le)數(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)(de)產(chan)生、傳輸(shu)(shu)、處理、存(cun)儲、銷毀等(deng)過程,首先我們(men)要(yao)對(dui)(dui)數(shu)(shu)(shu)據(ju)(ju)(ju)進行(xing)保密(mi)(mi),就(jiu)要(yao)知道哪些(xie)數(shu)(shu)(shu)據(ju)(ju)(ju)應(ying)該保密(mi)(mi),此時要(yao)做的(de)(de)(de)(de)就(jiu)是(shi)(shi)(shi)數(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)(de)分類分級,在(zai)(zai)分級分類過程中涉及到(dao)對(dui)(dui)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)(de)發現(xian)(xian),敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)(ju)(ju)除(chu)了(le)結構(gou)化(hua)(hua)的(de)(de)(de)(de)還有(you)(you)(you)非結構(gou)化(hua)(hua)的(de)(de)(de)(de),除(chu)了(le)關系(xi)(xi)型的(de)(de)(de)(de)還有(you)(you)(you)非關系(xi)(xi)型的(de)(de)(de)(de),基本很(hen)難做到(dao)全(quan)覆(fu)蓋,比(bi)如在(zai)(zai)護網期間(jian)就(jiu)發現(xian)(xian)有(you)(you)(you)很(hen)多日(ri)志、配置(zhi)文件中帶著(zhu)敏(min)感(gan)(gan)的(de)(de)(de)(de)賬(zhang)號密(mi)(mi)碼等(deng)信(xin)息(xi),而(er)這些(xie)信(xin)息(xi)的(de)(de)(de)(de)配置(zhi)可(ke)(ke)(ke)能(neng)是(shi)(shi)(shi)套裝化(hua)(hua)軟件不能(neng)修改的(de)(de)(de)(de)。在(zai)(zai)發現(xian)(xian)了(le)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)(ju)(ju)后我們(men)就(jiu)要(yao)對(dui)(dui)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)(ju)(ju)進行(xing)加(jia)密(mi)(mi)、脫(tuo)(tuo)敏(min)、去(qu)(qu)標(biao)識(shi)(shi)化(hua)(hua)操(cao)作(zuo),在(zai)(zai)五級電子(zi)病歷的(de)(de)(de)(de)要(yao)求(qiu)(qiu)中也(ye)有(you)(you)(you)一(yi)(yi)(yi)條數(shu)(shu)(shu)據(ju)(ju)(ju)加(jia)密(mi)(mi)的(de)(de)(de)(de)要(yao)求(qiu)(qiu),數(shu)(shu)(shu)據(ju)(ju)(ju)加(jia)密(mi)(mi)其實(shi)(shi)(shi)有(you)(you)(you)兩種(zhong)做法(fa),一(yi)(yi)(yi)種(zhong)是(shi)(shi)(shi)在(zai)(zai)存(cun)儲層(ceng)(通(tong)(tong)過存(cun)儲設備進行(xing)加(jia)密(mi)(mi)),另一(yi)(yi)(yi)種(zhong)在(zai)(zai)系(xi)(xi)統(tong)層(ceng)(通(tong)(tong)過對(dui)(dui)操(cao)作(zuo)系(xi)(xi)統(tong)的(de)(de)(de)(de)配置(zhi)文件,或(huo)者對(dui)(dui)數(shu)(shu)(shu)據(ju)(ju)(ju)庫的(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)進行(xing)加(jia)密(mi)(mi)),第(di)一(yi)(yi)(yi)種(zhong)方法(fa)的(de)(de)(de)(de)難度較小(xiao),而(er)第(di)二種(zhong)方法(fa)的(de)(de)(de)(de)難度較大,需(xu)要(yao)考(kao)慮(lv)數(shu)(shu)(shu)據(ju)(ju)(ju)被加(jia)密(mi)(mi)的(de)(de)(de)(de)方法(fa)和被使用(yong)過程中的(de)(de)(de)(de)解密(mi)(mi),對(dui)(dui)于數(shu)(shu)(shu)據(ju)(ju)(ju)量(liang)小(xiao)可(ke)(ke)(ke)以(yi)(yi)考(kao)慮(lv)非對(dui)(dui)稱加(jia)密(mi)(mi),而(er)數(shu)(shu)(shu)據(ju)(ju)(ju)量(liang)大的(de)(de)(de)(de)只能(neng)使用(yong)對(dui)(dui)稱加(jia)密(mi)(mi),這也(ye)就(jiu)是(shi)(shi)(shi) SSL 的(de)(de)(de)(de)機制,通(tong)(tong)過非對(dui)(dui)稱加(jia)密(mi)(mi)秘鑰,然后通(tong)(tong)過秘鑰對(dui)(dui)稱加(jia)密(mi)(mi)數(shu)(shu)(shu)據(ju)(ju)(ju)流,在(zai)(zai)確保業務正常的(de)(de)(de)(de)情(qing)況下,實(shi)(shi)(shi)現(xian)(xian)安全(quan)的(de)(de)(de)(de)需(xu)求(qiu)(qiu)。針對(dui)(dui)脫(tuo)(tuo)敏(min)、去(qu)(qu)標(biao)識(shi)(shi)化(hua)(hua)操(cao)作(zuo)可(ke)(ke)(ke)以(yi)(yi)通(tong)(tong)過好幾處實(shi)(shi)(shi)現(xian)(xian),可(ke)(ke)(ke)以(yi)(yi)通(tong)(tong)過后端(duan)實(shi)(shi)(shi)現(xian)(xian),也(ye)可(ke)(ke)(ke)以(yi)(yi)通(tong)(tong)過前(qian)端(duan)實(shi)(shi)(shi)現(xian)(xian),通(tong)(tong)過后端(duan)實(shi)(shi)(shi)現(xian)(xian)時當(dang)數(shu)(shu)(shu)據(ju)(ju)(ju)從(cong)應(ying)用(yong)層(ceng)往前(qian)端(duan)傳輸(shu)(shu)時就(jiu)是(shi)(shi)(shi)去(qu)(qu)脫(tuo)(tuo)敏(min)、去(qu)(qu)標(biao)識(shi)(shi)化(hua)(hua)的(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju),甚至是(shi)(shi)(shi)在(zai)(zai)數(shu)(shu)(shu)據(ju)(ju)(ju)庫中就(jiu)是(shi)(shi)(shi)脫(tuo)(tuo)敏(min)、去(qu)(qu)標(biao)識(shi)(shi)化(hua)(hua)的(de)(de)(de)(de),而(er)在(zai)(zai)前(qian)端(duan)實(shi)(shi)(shi)現(xian)(xian),我們(men)可(ke)(ke)(ke)以(yi)(yi)在(zai)(zai)客(ke)戶(hu)端(duan)本地開(kai)啟(qi)代理,直接可(ke)(ke)(ke)以(yi)(yi)獲得明文的(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju),從(cong)安全(quan)性(xing)來考(kao)慮(lv)肯定是(shi)(shi)(shi)后端(duan)實(shi)(shi)(shi)現(xian)(xian)更安全(quan)。

我(wo)們在(zai)(zai)做數(shu)據加密(mi)、脫敏(min)(min)、去標識化時要(yao)考慮的(de)(de)(de)(de)(de)(de)(de)重要(yao)一(yi)(yi)點就是業(ye)(ye)務(wu)(wu)(wu)是否支(zhi)持,有(you)(you)些(xie)數(shu)據雖然是敏(min)(min)感數(shu)據,但是以(yi)密(mi)文(wen)呈現(xian)時是無法(fa)進行(xing)正常(chang)業(ye)(ye)務(wu)(wu)(wu)的(de)(de)(de)(de)(de)(de)(de)辦理(li)和交互(hu)的(de)(de)(de)(de)(de)(de)(de),如果(guo)要(yao)實現(xian)正常(chang)業(ye)(ye)務(wu)(wu)(wu)辦理(li)和交互(hu),可能(neng)需要(yao)改變流程(cheng)、規范(fan),并(bing)且付出巨(ju)大(da)的(de)(de)(de)(de)(de)(de)(de)代價(jia),在(zai)(zai)醫院以(yi)業(ye)(ye)務(wu)(wu)(wu)為中(zhong)心(xin)的(de)(de)(de)(de)(de)(de)(de)情況下,個人(ren)覺得短期(qi)內很(hen)(hen)難很(hen)(hen)難實現(xian),我(wo)個人(ren)在(zai)(zai)落(luo)地一(yi)(yi)個數(shu)據安全的(de)(de)(de)(de)(de)(de)(de)產品(pin)時就提出了(le)這(zhe)樣一(yi)(yi)個問題,該產品(pin)邏(luo)輯串聯在(zai)(zai)數(shu)據庫客戶端(duan)和數(shu)據庫服(fu)務(wu)(wu)(wu)器之間實現(xian)數(shu)據庫字(zi)(zi)段的(de)(de)(de)(de)(de)(de)(de)加密(mi)、脫敏(min)(min)、去標識化操(cao)作(zuo),而(er)我(wo)們的(de)(de)(de)(de)(de)(de)(de) HIS 業(ye)(ye)務(wu)(wu)(wu)每(mei)天都(dou)有(you)(you)大(da)量的(de)(de)(de)(de)(de)(de)(de)問題要(yao)處(chu)理(li),在(zai)(zai)處(chu)理(li)過(guo)程(cheng)中(zhong)需要(yao)通過(guo)這(zhe)些(xie)敏(min)(min)感的(de)(de)(de)(de)(de)(de)(de)數(shu)據進行(xing)確認、判斷(duan)、修改,不可能(neng)專門安排一(yi)(yi)個人(ren)每(mei)天在(zai)(zai)對字(zi)(zi)段做解密(mi)、加密(mi)的(de)(de)(de)(de)(de)(de)(de)操(cao)作(zuo),還需要(yao)配合專門的(de)(de)(de)(de)(de)(de)(de)流程(cheng)來(lai)規范(fan)這(zhe)個操(cao)作(zuo),在(zai)(zai)一(yi)(yi)個業(ye)(ye)務(wu)(wu)(wu)系統沒有(you)(you)穩定、技術(shu)人(ren)員(yuan)缺乏的(de)(de)(de)(de)(de)(de)(de)情況下,這(zhe)樣的(de)(de)(de)(de)(de)(de)(de)功能(neng)很(hen)(hen)難落(luo)地,就算(suan)落(luo)地了(le)也只(zhi)是很(hen)(hen)小的(de)(de)(de)(de)(de)(de)(de)范(fan)圍(wei),如何滿足二者需要(yao)靠廣大(da)讀者來(lai)幫忙想想辦法(fa)了(le)。

3 、 數據備份恢復

a) 應提供重要數據(ju)的本地數據(ju)備份與恢(hui)復功能(neng);
b) 應提(ti)供異地實(shi)時備份(fen)功能,利用通信網絡將(jiang)重要(yao)數據(ju)實(shi)時備份(fen)至備份(fen)場地;
c) 應提供重要(yao)數據(ju)處理系(xi)統的熱冗余,保證系(xi)統的高可用性。

我(wo)問了很(hen)多醫(yi)(yi)院,大家可(ke)能都建立了容(rong)(rong)(rong)災環境,但(dan)(dan)是(shi)(shi)很(hen)少有(you)醫(yi)(yi)院做(zuo)容(rong)(rong)(rong)災測試,對(dui)于(yu)五級(ji)(ji)電子病歷的(de)(de)(de)要(yao)求是(shi)(shi)每年至少一次(ci)的(de)(de)(de)容(rong)(rong)(rong)災演練(還需(xu)要(yao)結合業務場景),每季度至少一次(ci)的(de)(de)(de)數(shu)據全量恢(hui)復測試,一個沒有(you)測試過的(de)(de)(de)容(rong)(rong)(rong)災系統(tong)真的(de)(de)(de)很(hen)難讓人(ren)相信在出問題的(de)(de)(de)時(shi)候可(ke)以撐得住真實業務,也許容(rong)(rong)(rong)災的(de)(de)(de)切(qie)換(huan)過程沒有(you)問題,但(dan)(dan)是(shi)(shi)容(rong)(rong)(rong)災的(de)(de)(de)硬(ying)件資源、硬(ying)件配置、軟(ruan)件調整(zheng)等是(shi)(shi)否(fou)能讓用戶在較(jiao)短的(de)(de)(de)時(shi)間內進行邊便捷的(de)(de)(de)切(qie)換(huan)操,五級(ji)(ji)電子病歷對(dui)于(yu)數(shu)據丟(diu)失的(de)(de)(de)要(yao)求比較(jiao)松, 2 小(xiao)時(shi)以內即可(ke),但(dan)(dan)是(shi)(shi)醫(yi)(yi)院對(dui)于(yu)數(shu)據丟(diu)失是(shi)(shi)難以容(rong)(rong)(rong)忍的(de)(de)(de),對(dui)于(yu)信息化(hua)較(jiao)長時(shi)間都無(wu)法正常使(shi)用也是(shi)(shi)無(wu)法容(rong)(rong)(rong)忍的(de)(de)(de),我(wo)們要(yao)盡可(ke)能做(zuo)到 RPO 、 RTO 最小(xiao)化(hua)。

對于備(bei)(bei)(bei)(bei)份(fen)(fen),我(wo)(wo)(wo)盡量(liang)做到(dao) 321 原則, 3 份(fen)(fen)數(shu)據(ju)(ju)(ju)、 2 種不同介質、 1 份(fen)(fen)存(cun)(cun)于異(yi)地(di),結合第一(yi)(yi)點和第二點,我(wo)(wo)(wo)將(jiang)數(shu)據(ju)(ju)(ju)存(cun)(cun)放(fang)于起(qi)(qi)碼 2 種不同物理設備(bei)(bei)(bei)(bei)上(shang),存(cun)(cun)儲(chu) 3 份(fen)(fen),再結合第三點將(jiang)一(yi)(yi)份(fen)(fen)數(shu)據(ju)(ju)(ju)存(cun)(cun)儲(chu)于異(yi)地(di),兩份(fen)(fen)數(shu)據(ju)(ju)(ju)存(cun)(cun)于本(ben)地(di)。我(wo)(wo)(wo)們(men)醫(yi)院(yuan)有兩個院(yuan)區(qu),兩院(yuan)區(qu)直(zhi)線公里數(shu)其實小于 40 ㎞ , 而等保的(de)(de)(de)(de)異(yi)地(di)要求是(shi)直(zhi)線大(da)于 100 ㎞ , 對于沒有分院(yuan)的(de)(de)(de)(de)小伙伴們(men),其實我(wo)(wo)(wo)建(jian)議可(ke)以將(jiang)另一(yi)(yi)份(fen)(fen)數(shu)據(ju)(ju)(ju)存(cun)(cun)到(dao)異(yi)地(di)云(yun)上(shang),最起(qi)(qi)碼在(zai)(zai)(zai)本(ben)地(di)真的(de)(de)(de)(de)數(shu)據(ju)(ju)(ju)沒辦法恢復(fu)時還有一(yi)(yi)根救命稻(dao)草,雖(sui)然(ran)恢復(fu)的(de)(de)(de)(de)時間可(ke)能(neng)會(hui)長一(yi)(yi)點。我(wo)(wo)(wo)會(hui)將(jiang)兩院(yuan)區(qu)的(de)(de)(de)(de)數(shu)據(ju)(ju)(ju)做相互的(de)(de)(de)(de)異(yi)地(di)備(bei)(bei)(bei)(bei)份(fen)(fen),盡可(ke)能(neng)提高數(shu)據(ju)(ju)(ju)備(bei)(bei)(bei)(bei)份(fen)(fen)的(de)(de)(de)(de)頻率(lv),減(jian)少數(shu)據(ju)(ju)(ju)的(de)(de)(de)(de)丟(diu)失,核(he)心業務(wu)系(xi)統采用實時備(bei)(bei)(bei)(bei)份(fen)(fen)或者容災的(de)(de)(de)(de)方式,在(zai)(zai)(zai)使用較高頻率(lv)備(bei)(bei)(bei)(bei)份(fen)(fen)的(de)(de)(de)(de)情況下(xia),我(wo)(wo)(wo)們(men)對于備(bei)(bei)(bei)(bei)份(fen)(fen)、容災的(de)(de)(de)(de)硬件(jian)就有一(yi)(yi)定的(de)(de)(de)(de)要求,較差的(de)(de)(de)(de) HDD 盤(pan)是(shi)無法支撐起(qi)(qi)大(da)數(shu)據(ju)(ju)(ju)量(liang)、高并發的(de)(de)(de)(de)備(bei)(bei)(bei)(bei)份(fen)(fen)任務(wu),可(ke)能(neng)出現任務(wu)排隊,那(nei)就會(hui)得不償失;在(zai)(zai)(zai)備(bei)(bei)(bei)(bei)份(fen)(fen)上(shang)我(wo)(wo)(wo)們(men)就出現過一(yi)(yi)個問題(ti),之前工程師在(zai)(zai)(zai)配置 RMAN 備(bei)(bei)(bei)(bei)份(fen)(fen)保留(liu)的(de)(de)(de)(de)腳本(ben)操(cao)作是(shi)先(xian)刪(shan)除原來(lai)的(de)(de)(de)(de)備(bei)(bei)(bei)(bei)份(fen)(fen),在(zai)(zai)(zai)進行下(xia)一(yi)(yi)次(ci)備(bei)(bei)(bei)(bei)份(fen)(fen),如(ru)果前一(yi)(yi)次(ci)備(bei)(bei)(bei)(bei)份(fen)(fen)刪(shan)除了(le),后一(yi)(yi)次(ci)備(bei)(bei)(bei)(bei)份(fen)(fen)沒有成功,那(nei)就沒有了(le)全量(liang)數(shu)據(ju)(ju)(ju),這(zhe)樣的(de)(de)(de)(de)備(bei)(bei)(bei)(bei)份(fen)(fen)是(shi)沒有意義的(de)(de)(de)(de),大(da)家可(ke)以檢查下(xia)自己的(de)(de)(de)(de)環(huan)境(jing)是(shi)否存(cun)(cun)在(zai)(zai)(zai)這(zhe)樣的(de)(de)(de)(de)問題(ti)。

在備(bei)份(fen)(fen)的(de)(de)(de)類型(xing)上,分(fen)為物(wu)理(li)(li)備(bei)份(fen)(fen)和邏(luo)輯(ji)(ji)(ji)備(bei)份(fen)(fen), 21 年我就聽到(dao)了(le)(le)別的(de)(de)(de)醫院出現(xian)(xian)了(le)(le) Oracle 的(de)(de)(de)邏(luo)輯(ji)(ji)(ji)壞塊(kuai),出現(xian)(xian)壞塊(kuai)后(hou)數(shu)據(ju)(ju)庫無(wu)法(fa)正(zheng)常啟動(dong),而容災系統(tong)通(tong)過(guo) Oracle Data Guard 實現(xian)(xian), DG 屬于物(wu)理(li)(li)塊(kuai)同步,面對邏(luo)輯(ji)(ji)(ji)錯(cuo)(cuo)誤不會校驗(yan),而直接將這個邏(luo)輯(ji)(ji)(ji)錯(cuo)(cuo)誤同步給了(le)(le)容災庫,導致容災庫也無(wu)法(fa)正(zheng)常拉(la)起(qi),并(bing)(bing)且(qie)當(dang)時也沒有(you)配置(zhi)(zhi)長時間(jian)(jian)的(de)(de)(de)閃回空間(jian)(jian),導致最后(hou)花了(le)(le)很大的(de)(de)(de)代價(jia)才(cai)恢(hui)復了(le)(le)一部(bu)分(fen)丟失(shi)的(de)(de)(de)數(shu)據(ju)(ju),并(bing)(bing)且(qie)業務中斷了(le)(le)很久,可以通(tong)過(guo) OGG 解決這個問題,并(bing)(bing)且(qie) OGG 可以支持跨數(shu)據(ju)(ju)庫、操作系統(tong)類型(xing)之間(jian)(jian)的(de)(de)(de)數(shu)據(ju)(ju)復制,但是配置(zhi)(zhi)難度比 DG 大了(le)(le)很多;另外(wai)的(de)(de)(de)辦法(fa)是通(tong)過(guo) CDP 實現(xian)(xian) IO 級別的(de)(de)(de)備(bei)份(fen)(fen),當(dang)出現(xian)(xian)邏(luo)輯(ji)(ji)(ji)錯(cuo)(cuo)誤數(shu)據(ju)(ju)庫無(wu)法(fa)正(zheng)常使(shi)用的(de)(de)(de)時候,通(tong)過(guo) CDP 的(de)(de)(de) IO 回退(tui)到(dao)正(zheng)常的(de)(de)(de)時間(jian)(jian)點,當(dang)然(ran)中間(jian)(jian)丟失(shi)的(de)(de)(de)數(shu)據(ju)(ju)需要(yao)人工去彌(mi)補,這樣(yang)通(tong)過(guo)數(shu)據(ju)(ju)庫外(wai)部(bu)的(de)(de)(de)方式(shi)解決數(shu)據(ju)(ju)備(bei)份(fen)(fen)的(de)(de)(de)問題。

4、個人信息保護

a) 應僅采集(ji)和保存業務(wu)必需的用(yong)戶個(ge)人(ren)信息;
b) 應禁(jin)止(zhi)未授權訪問和(he)非法使(shi)用用戶個人信息(xi)。

這(zhe)兩點在《個(ge)人(ren)(ren)信(xin)(xin)息(xi)保護法(fa)》中(zhong)也有(you)明確提(ti)到,該(gai)法(fa)律中(zhong)多次提(ti)到了(le)收集(ji)個(ge)人(ren)(ren)信(xin)(xin)息(xi)要(yao)有(you)“詢問 - 確認”的(de)(de)(de)(de)(de)過程,并且(qie)在用戶(hu)不(bu)同意提(ti)供個(ge)人(ren)(ren)信(xin)(xin)息(xi)的(de)(de)(de)(de)(de)情況(kuang)下(xia),不(bu)能(neng)拒(ju)絕(jue)對(dui)用戶(hu)提(ti)供服務,只收集(ji)必需(xu)的(de)(de)(de)(de)(de)個(ge)人(ren)(ren)信(xin)(xin)息(xi),要(yao)告知用戶(hu)收集(ji)每種類(lei)型個(ge)人(ren)(ren)信(xin)(xin)息(xi)的(de)(de)(de)(de)(de)目的(de)(de)(de)(de)(de),告知用戶(hu)如何處理、傳遞、使用個(ge)人(ren)(ren)信(xin)(xin)息(xi)。在疫情當下(xia),全國(guo)的(de)(de)(de)(de)(de)醫院(yuan)都緊鑼密鼓的(de)(de)(de)(de)(de)推廣互(hu)(hu)聯(lian)網醫院(yuan),意味著(zhu)有(you)一個(ge)面(mian)向患(huan)者的(de)(de)(de)(de)(de)醫院(yuan)互(hu)(hu)聯(lian)網系(xi)統,患(huan)者可以(yi)直接面(mian)向這(zhe)個(ge)互(hu)(hu)聯(lian)網系(xi)統,那對(dui)系(xi)統的(de)(de)(de)(de)(de)提(ti)交信(xin)(xin)息(xi)、問詢交互(hu)(hu)有(you)了(le)更(geng)直接的(de)(de)(de)(de)(de)了(le)解(jie),我們在做互(hu)(hu)聯(lian)網系(xi)統的(de)(de)(de)(de)(de)時(shi)候(hou)要(yao)結合《網絡安(an)全法(fa)》、《數據安(an)全法(fa)》和《個(ge)人(ren)(ren)信(xin)(xin)息(xi)保護法(fa)》三駕馬車(che)來嚴格要(yao)求開(kai)發時(shi)的(de)(de)(de)(de)(de)安(an)全需(xu)求,自(zi)從三部法(fa)律上臺(tai)后有(you)多少互(hu)(hu)聯(lian)網 APP 因不(bu)符合要(yao)求被責令整改、罰款、下(xia)架(jia)等(deng),我們也該(gai)引以(yi)為戒。

文(wen)章來源:天億(yi)網絡(luo)安(an)全


Image
Image
版權所有(you):山西科信(xin)源科技股份有(you)限公(gong)司
咨詢熱線(xian):0351-4073466?
地址:(北區)山西省太原市迎(ying)澤區新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原市小(xiao)店區南中環街(jie)529 號(hao)清控創新基地A座(zuo)4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團