近日,一個法院判決引起了大家的關注,被告人夏某某因破壞醫療行業提供公共服務的計算機信息系統,致使醫院受到嚴重影響,造成經濟損失約800萬元,犯破壞計算機信息系統罪,判處有期徒刑五年零六個月。此次事件不經讓我們思考,作爲一家大型醫院,爲何數據安全壁壘如此薄弱,又該如何防止此類事件再次發生?
事件回顧
作爲鄭大一附院開發的“軟件信息系統”維護人員,夏某某在2017年10月31日,參與並直接操作了院方“HIS數據庫”的賬號密碼修改儀式,並在未經授權或許可的情況下,私自記錄了該賬號密碼。
2018年12月24日,夏某某再次在未經授權或許可的情況下,利用其記錄的賬號密碼,將私自編寫的“數據庫性能觀測程序”和鎖表語句,私自連接鄭大一附院“HIS數據庫”,導致該鎖表語句在“HIS數據庫”運行。
該命令執行後鎖定fin_opr_register表,使其不能進行其它活動,並導致“HIS數據庫”鎖定。造成鄭大一附院鄭東院區、惠濟院區、醫學院院區所有門診、臨牀計算機業務受到惡意語句攻擊,造成 1489臺電腦、169臺掛號機、108臺報到機全部無法工作,掛號、叫號、支付、藥房、檢查、檢驗等,所有門急診相關業務全部停止服務,大量患者積壓在門診無法就診,嚴重影響醫院的正常醫療工作,醫院測算損失超過800萬元。
經過調查,夏某某因違反國家規定,擅自對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果特別嚴重,犯破壞計算機信息系統罪,故判處有期徒刑五年零六個月。
事件關鍵點
回顧整個事件,我們不難發現,此案件並不複雜,而整個過程中,雙方都存在問題:
1、院方沒有管理核心權限,沒有做到對外包人員適度權限管控,運維在未經授權或許可的情況下,私自獲取了HIS的DBA賬號,並非法使用。
2.運維私自編寫數據庫性能觀測工具,並使用該工具私自連接醫院“HIS數據庫”。
3、運維可通過遠程隨意連接醫院的數據庫,導致“HIS數據庫”鎖定,醫院業務癱瘓,因此引發嚴重後果。
4、事件發生前,醫院信息系統沒有危險預警系統,也沒有阻斷措施,發生後,沒有及時有效的事件追蹤及解決手段,導致癱瘓兩小時之久。
事件反思
此次私自編寫“數據庫性能觀測程序”和鎖表語句,私自連接鄭大一附院“HIS數據庫”,造成系統癱瘓事件,看似是簡單的管理權限操作行爲,但實際反映出的卻是目前多數企業對數據安全缺乏瞭解。而如何有章法地、循序漸進地、在預算範圍內保障安全,是整個行業都需重視和思考的問題。
類似鄭大一附院等企業的正確做法,首先應該分析平臺的敏感數據分佈情況,再梳理各數據庫的各類user使用場景,針對不同重要等級的數據庫採用不同的數據安全防護手段。
比如針對客戶業務數據,要防止被惡意私自改動、泄露和刪除,就需要部署數據庫防火牆。數據庫防火牆“串聯”在數據庫訪問路徑中,可以對數據庫訪問進行SQL語句分析和風險阻斷。當有人進行此類操作時,含有相關語句的操作請求會先經過數據庫防火牆,數據庫防火牆則會根據企業事先配置的策略進行實時分析,發現危險行爲則立即啓動阻斷功能,從而阻止類似事件的發生。
昂楷數據庫防火牆解決方案
昂楷數據庫防火牆是一種主動的、實時的、基於數據庫協議分析與控制技術的數據庫安全防護系統,實現對數據庫的訪問行爲權限控制、惡意及危險操作阻斷、可疑行爲審計、數據庫攻擊防護、數據庫狀態監控、操作行爲審計、綜合報表等功能。
此外昂楷數據庫防火牆具有非常細粒度的策略設置條件等功能,可以基於用戶賬號及IP、操作行爲、數據庫或表、列、影響行數、操作時間等等,制定靈活多變的數據防護策略,能夠覆蓋各種具體實際的用戶使用場景,做到張弛有度,當特殊情況需要對某用戶操作放行時,只需要通過必要的審批確認後由可信管理員更改一下數據庫防火牆的策略即可。
昂楷數據庫安全綜合治理平臺
還可部署昂楷數據庫安全綜合治理平臺,統一整合包含昂楷科技或者其他廠商提供的各數據庫安全產品作戰單元,整合終端安全、網絡安全作戰單元,利用大數據關聯分析引擎、AI分析引擎統一分析各單元的威脅情報,進行態勢研判,並可智能的通過全自動或半自動的模式指揮調度各作戰單元對威脅進行防控。
通過安全態勢評估報告,對於用戶操作、數據庫狀態的安全威脅進行預警,對於用戶高危行爲操作、數據庫攻擊行爲聯動阻斷。數據庫安全綜合治理平臺作爲統一的指揮調度中心,下發指令到級聯設備,能夠進行有效聯動和預警,達成合成作戰、聯防聯控目標。
此次事件的發生相信給所有相關人員都敲響了警鐘,而在建設互聯網醫療的同時,也需要進一步加強醫療數據保護,以防止類似的事件再度發生。數據安全事件帶來的危害是巨大而明顯的,無論是個人泄露、沒經授權惡意修改、企業內鬼亦或是黑客入侵,數據防護都需要全民長期參與,也需要各行各業的共同努力。