2016年的中国大数据产业峰会上，总理李克强关于构建信息基础设施安全保障体系，强调要在开放和发展中实现信息安全。强化信息网络和数据安全治理，建立和完善数据流动与利用监管立法，构建信息基础设施安全保障体系。依法依规打击信息滥用、侵犯隐私、网络诈骗、盗取商业秘密等行为，加强知识产权保护，保障公民的信息安全权益，净化网络空间。

为进一步推动医疗卫生行业网络安全建设工作，提高医疗卫生机构整体网路安全保障水平，山东省信息网络安全协会医疗分会4月在山东莱芜举办“第二届雪野湖医疗网络安全技术论坛”。本次会议覆盖山东区近200+医院，300+参会嘉宾。会议主题覆盖了山东省医院信息化建设的问题及重点工作，清晰勾画了山东区域内医疗行业信息化现状；公安部网络安全专家解读网络安全等保政策；北京协和医院、重庆大坪医院、滨州医学院附属医院等用户现身说法，从各自真实场景谈医院网络安全的挑战和应对、等保体系建设等课题。

本次大会邀请了数据安全厂商安华金和现场分享医疗行业数据安全建设经验。安华金和在医疗行业积累了丰富的数据安全服务经验。现场，安华金和方案部行业技术总监高升宇带来《构建医疗数据主动防御体系》主题分享。面对当前医疗行业各类信息系统数据库存在大量安全威胁和监管漏洞的现状，安华金和聚焦医疗数据，重点关注医疗患者隐私信息批量泄密，非法“统方”导致医药贿赂事件频频发生等信息安全问题，给出了主动防御的应对思路。针对目前存在泄密风险的技术原因和发生途径进行详细分析，提出综合性的医疗数据安全加固解决方案。

安华金和方案部行业技术总监高工带来《构建医疗数据主动防御体系》主题分享

在高工看来，安全建设事半功倍的关键在于防患于未然，所以要变被动应对为主动防御。安华金和面对医疗行业的数据安全威胁，以DBMS、访问路径、核心数据为三大核心，建立包含四道防线的数据安全纵深的防御体系。

第一道防线 ---- 检查预警

遵循“自动分析数据库弱点和漏洞→提供数据库安全加固建议”这一发现问题解决问题的思路。

第二道防线 ---- 主动防御

好做“三防”措施：1、防止非法人员操作；2、防止外部攻击破坏；3、防止内部超级权限。

非法统方行为管控：以建立“统方” 敏感数据组→建立应用关联防护体系→统方行为建模→建立频次操作、跨周期统方、批量查询策略基线→非法统方追溯分析为基本思路开展非法统方行为管控工作。

强化数据库运维审批：从身份识别→访问审批→流程管理，完善全流程的运维审批管理。

第三道防线 ---- 底线防守

数据脱敏 ---- 医疗数据去隐私化，防止泄漏真实数据给第三方

数据加密 ---- 防止医患数据泄露 “脱库”

阀值管控 ---- 规避批量恶意访问

第四道防线 ---- 事后追查外部威胁和内鬼作案

做好审计：以“第三方”的角度观察、”全、准、快、省”记录网络中对数据库的访问行为，有效追责、定责

医疗数据主动防御体系建设思路