前阵子,全球最大社交网站 Facebook被爆超5千万用户的个人资料遭盗用,这一事故直接造成Facebook股价跌落了11.4%,市值在两天之内蒸发了600亿美元。甚至传出Facebook将会因为这次事件遭到2兆美元的天价罚款,相当于目前企业市值的4倍。
究其原因,该事故与Facebook平台上的一家数据分析公司有关,而这家公司恰恰是2016年特朗普竞选团队所僱用的的数据分析公司,用来分析预测,并涉嫌以此进行社交媒体操作影响大选中的选民行为。此次数据泄露事件直接导致Facebook信用受挫,CSO引咎辞职。
无疑,随着以数据为驱动的大数据技术在各个行业的应用,数据的共享和交换给企业带来了巨大价值,利用大数据、云计算等技术管理和使用客户数据成为了企业的核心竞争力,像很多依托于互联网和云计算快速发展的新型医疗健康企业,数据便是其核心命脉,而这些数据包含大量的个人信息、疾病信息、健康信息、临床信息等涉及隐私的敏感信息。一旦数据泄漏,将是关乎企业生命的损失。
新医疗领域存在的数据安全顾虑
新型医疗健康企业,很多是依托于云计算的,企业数据上云之后,对于数据安全存在诸多顾虑:
开放的多租户云环境,造成传统的黑客攻击、拖库、SQL注入等数据安全问题没有效解决,反而被放大了;
特别是在多租户的环境下,云租户的数据如何去保障不让第三方获得;
而资源共享又带来了安全隔离、是否会互相影响的担忧。
云的架构不同于传统环境,典型分为了IaaS、PaaS、SaaS三层,甚至目前各大云厂商还提供了DBaaS层。且每一层都会有一部分是由云厂商进行管理,用户无法实现绝对控制,这就造成了用户数据控制权的部分和全部丧失。
数据所有权和法规遵从性的挑战
企业业务无论是部署在公有云还是私有云,都面临着一个切实的问题,那就是数据所有权和法规遵从性的安全挑战。
围绕个人隐私信息、大数据带来的数据风险,相应的法律法规不断完善,早在2011年,国家卫生计生委印发了《卫生行业信息安全等级保护工作的指导意见》提到要依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。 2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议正式通过了中华人民共和国网络安全法。
具有关键作用的部分法规和规范还包括:《网络安全等级保护》、《重要数据出境安全评估指南》、《个人信息保护法》,等等。一些涉及到国际业务的医疗企业或机构,还会面临着类似欧盟发布的GDPR(一般数据保护条例)等文件的管控。合规性遵从越来越成为影响云端数据安全的重要因素。
如何在充分保护敏感隐私数据的前提下,实现数据的共享和交换?如何避免黑客或竞争对手对客户数据恶意窃取?敏感数据共享和交换如何能够符合法规,符合等级保护和网络安全法的要求?成为新医疗领域的核心诉求。
云时代的医疗企业安全防护
传统的解决方案更多是在应用、主机乃至网络包的层面进行一些控制。而现如今这种防护手段远远不够。像今年1月刷爆朋友圈的江西省妇幼保健院的病毒勒索事件就是工作人员在安装破解版的PL/SQL Developer时,不慎感染Ransom_RUSHQL.A 勒索病毒,致使当天医院服务器CPU持续100%,数据库被SQL RUSH Team锁死。
对于这一事件的始末,安华金和联合创始人兼CTO杨海峰进行了深度分析,他认为,病毒通过合法的数据库连接后,向医院数据库系统里植入了高权限进而自动运行的存储程序。同时,利用数据库系统内部的执行存储程序包的一些机制,来达到攻击效果。这实际上是一种组合的攻击。系统一旦被植入攻击程序后,造成的损失往往较大,轻则系统瘫痪,重则数据发生破坏性的损失。针对这类攻击,传统的防护措施不容易解决,需要采取数据侧的防护措施。
在数据安全方面,2017年安华金和在中国率先提出了以数据安全治理理念为支撑的数据安全整体技术支撑方案,安华金和成立至今9年以来,基于对用户数据安全风险的不断思考,和数据安全防护案例实践提炼而成。它的意义在于,数据仅仅被保护不是最终目标,而是需要被安全、合理地使用起来,从而实现其价值最大化。传统的安全防护,往往是以区域的隔离、安全域的划分为基础。而数据安全治理是以数据的分类分级为基础,保障数据被合理和安全的流动和使用。此外,传统的安全防护往往是以外部的黑客攻击和入侵者为主要防护对象。而数据安全治理在此基础上,更关注的是管控内部的数据使用者,让他们合理、合规地使用数据,从而创造价值。
大数据架构下的安全防御
一般而言,企业数据上云后,分为公共和私有两块。并且一般普遍采用Hadoop架构进行数据的存储和共享。安华金和核心围绕数据的安全使用和共享提供一套完整的解决方案。针对Hadoop这种分布式计算平台,安华金和产品进行了相应的适配,从而让用户的数据保护和使用感受和传统的关系型数据库维持一致。这包括数据采集、数据入库,以及在Hadoop框架下进行数据开发和数据共享等安全环节。只有做好做些,才能确保在整个数据开发和运维过程中,大数据框架的正常运行。
另外,在数据存储上,安华金和还提供了相应的数据加密类产品。在数据开发的过程中,提供相应的数据脱敏产品。让开发者不直接接触真实的数据,而去接触脱敏后的数据。从而确保数据即使被泄露,也不是真实的数据。
区块链技术与云安全技术的结合
经过几代发展,区块链在技术上已经相对成熟,但它在医疗行业的应用场景还尚待发掘。作为一家关注医疗行业数据安全的云服务商,安华金和同样在探究云安全如何与区块链相结合。在杨海峰看来,两者的结合点主要会在数据的加密、审计数据的可信,以及数据溯源这三个方向。
目前来看,区块链在医疗行业的应用是一个相对早期的阶段。要真正将两者融合,还涉及到很多上下游的关联技术。如今,安华金和已经开始与一些电信运营商进行一些前瞻性合作,希望能在不久的将来,能在这一领域取得相应的突破。