前陣子,全球最大社交網(wǎng)站 Facebook被爆超5千萬用戶的個人資料遭盜用,這一事故直接造成Facebook股價跌落了11.4%,市值在兩天之內(nèi)蒸發(fā)了600億美元。甚至傳出Facebook將會因為這次事件遭到2兆美元的天價罰款,相當(dāng)于目前企業(yè)市值的4倍。
究其原因,該事故與Facebook平臺上的一家數(shù)據(jù)分析公司有關(guān),而這家公司恰恰是2016年特朗普競選團(tuán)隊所僱用的的數(shù)據(jù)分析公司,用來分析預(yù)測,并涉嫌以此進(jìn)行社交媒體操作影響大選中的選民行為。此次數(shù)據(jù)泄露事件直接導(dǎo)致Facebook信用受挫,CSO引咎辭職。
無疑,隨著以數(shù)據(jù)為驅(qū)動的大數(shù)據(jù)技術(shù)在各個行業(yè)的應(yīng)用,云服務(wù)器租用,數(shù)據(jù)的共享和交換給企業(yè)帶來了巨大價值,利用大數(shù)據(jù)、云計算等技術(shù)管理和使用客戶數(shù)據(jù)成為了企業(yè)的核心競爭力,像很多依托于互聯(lián)網(wǎng)和云計算快速發(fā)展的新型醫(yī)療健康企業(yè),數(shù)據(jù)便是其核心命脈,而這些數(shù)據(jù)包含大量的個人信息、疾病信息、健康信息、臨床信息等涉及隱私的敏感信息。一旦數(shù)據(jù)泄漏,將是關(guān)乎企業(yè)生命的損失。
新醫(yī)療領(lǐng)域存在的數(shù)據(jù)安全顧慮
新型醫(yī)療健康企業(yè),很多是依托于云計算的,云服務(wù)器租用,企業(yè)數(shù)據(jù)上云之后,對于數(shù)據(jù)安全存在諸多顧慮:
開放的多租戶云環(huán)境,造成傳統(tǒng)的黑客攻擊、拖庫、SQL注入等數(shù)據(jù)安全問題沒有效解決,反而被放大了;
特別是在多租戶的環(huán)境下,云租戶的數(shù)據(jù)如何去保障不讓第三方獲得;
而資源共享又帶來了安全隔離、是否會互相影響的擔(dān)憂。
云的架構(gòu)不同于傳統(tǒng)環(huán)境,典型分為了IaaS、PaaS、SaaS三層,甚至目前各大云廠商還提供了DBaaS層。且每一層都會有一部分是由云廠商進(jìn)行管理,用戶無法實現(xiàn)絕對控制,這就造成了用戶數(shù)據(jù)控制權(quán)的部分和全部喪失。
數(shù)據(jù)所有權(quán)和法規(guī)遵從性的挑戰(zhàn)
企業(yè)業(yè)務(wù)無論是部署在公有云還是私有云,都面臨著一個切實的問題,那就是數(shù)據(jù)所有權(quán)和法規(guī)遵從性的安全挑戰(zhàn)。
圍繞個人隱私信息、大數(shù)據(jù)帶來的數(shù)據(jù)風(fēng)險,相應(yīng)的法律法規(guī)不斷完善,早在2011年,國家衛(wèi)生計生委印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》提到要依據(jù)國家信息安全等級保護(hù)制度,遵循相關(guān)標(biāo)準(zhǔn)規(guī)范,在衛(wèi)生行業(yè)全面開展信息安全等級保護(hù)定級備案、建設(shè)整改和等級測評等工作。 2016年11月7日,第十二屆全國人民代表大會常務(wù)委員會第二十四次會議正式通過了中華人民共和國網(wǎng)絡(luò)安全法。
具有關(guān)鍵作用的部分法規(guī)和規(guī)范還包括:《網(wǎng)絡(luò)安全等級保護(hù)》、《重要數(shù)據(jù)出境安全評估指南》、《個人信息保護(hù)法》,等等。一些涉及到國際業(yè)務(wù)的醫(yī)療企業(yè)或機(jī)構(gòu),還會面臨著類似歐盟發(fā)布的GDPR(一般數(shù)據(jù)保護(hù)條例)等文件的管控。合規(guī)性遵從越來越成為影響云端數(shù)據(jù)安全的重要因素。
如何在充分保護(hù)敏感隱私數(shù)據(jù)的前提下,實現(xiàn)數(shù)據(jù)的共享和交換?如何避免黑客或競爭對手對客戶數(shù)據(jù)惡意竊取?敏感數(shù)據(jù)共享和交換如何能夠符合法規(guī),符合等級保護(hù)和網(wǎng)絡(luò)安全法的要求?成為新醫(yī)療領(lǐng)域的核心訴求。
云時代的醫(yī)療企業(yè)安全防護(hù)
傳統(tǒng)的解決方案更多是在應(yīng)用、主機(jī)乃至網(wǎng)絡(luò)包的層面進(jìn)行一些控制。而現(xiàn)如今這種防護(hù)手段遠(yuǎn)遠(yuǎn)不夠。像今年1月刷爆朋友圈的江西省婦幼保健院的病毒勒索事件就是工作人員在安裝破解版的PL/SQL Developer時,不慎感染Ransom_RUSHQL.A 勒索病毒,致使當(dāng)天醫(yī)院服務(wù)器CPU持續(xù)100%,數(shù)據(jù)庫被SQL RUSH Team鎖死。
對于這一事件的始末,安華金和聯(lián)合創(chuàng)始人兼CTO楊海峰進(jìn)行了深度分析,他認(rèn)為,病毒通過合法的數(shù)據(jù)庫連接后,向醫(yī)院數(shù)據(jù)庫系統(tǒng)里植入了高權(quán)限進(jìn)而自動運行的存儲程序。同時,利用數(shù)據(jù)庫系統(tǒng)內(nèi)部的執(zhí)行存儲程序包的一些機(jī)制,來達(dá)到攻擊效果。這實際上是一種組合的攻擊。系統(tǒng)一旦被植入攻擊程序后,造成的損失往往較大,輕則系統(tǒng)癱瘓,重則數(shù)據(jù)發(fā)生破壞性的損失。針對這類攻擊,傳統(tǒng)的防護(hù)措施不容易解決,需要采取數(shù)據(jù)側(cè)的防護(hù)措施。
在數(shù)據(jù)安全方面,2017年安華金和在中國率先提出了以數(shù)據(jù)安全治理理念為支撐的數(shù)據(jù)安全整體技術(shù)支撐方案,安華金和成立至今9年以來,基于對用戶數(shù)據(jù)安全風(fēng)險的不斷思考,和數(shù)據(jù)安全防護(hù)案例實踐提煉而成。它的意義在于,數(shù)據(jù)僅僅被保護(hù)不是最終目標(biāo),而是需要被安全、合理地使用起來,從而實現(xiàn)其價值最大化。傳統(tǒng)的安全防護(hù),往往是以區(qū)域的隔離、安全域的劃分為基礎(chǔ)。而數(shù)據(jù)安全治理是以數(shù)據(jù)的分類分級為基礎(chǔ),保障數(shù)據(jù)被合理和安全的流動和使用。此外,傳統(tǒng)的安全防護(hù)往往是以外部的黑客攻擊和入侵者為主要防護(hù)對象。而數(shù)據(jù)安全治理在此基礎(chǔ)上,更關(guān)注的是管控內(nèi)部的數(shù)據(jù)使用者,讓他們合理、合規(guī)地使用數(shù)據(jù),從而創(chuàng)造價值。
大數(shù)據(jù)架構(gòu)下的安全防御
