通過等保2.0分析系統脆弱性：安全區域邊界篇 & 安全計算環境篇

安全區域邊界篇

安全區域邊界在近幾年變得越來越精細越來越模糊，因為攻擊的形式、病毒傳播的途徑層出不窮，我以攻擊者的角度去看，任何一個漏洞都可以成為勒索病毒傳播和利用的方式，我們要做到全面更新檔壓力重重，通過邊界劃分，依靠不同的邊界安全防護，在發生問題的情況下将損失降到最低。

1、邊界防護

a) 應保證跨越邊界的通路和資料流通過邊界裝置提供的受控接口進行通信；b) 應能夠對非授權裝置私自聯到内部網絡的行為進行檢查或限制；c) 應能夠對内部使用者非授權聯到外部網絡的行為進行檢查或限制；d) 應限制無線網絡的使用，保證無線網絡通過受控的邊界裝置接入内部網絡。自從出現了統方的情況後，醫院對于終端準入的關注度日益增加，出現了非法接入醫院内網，擷取處方資料的情況，在我看過大部分醫院準入系統後，在資料盜取者面前這個準入做了和沒有做一樣，這真的是一個防君子不防小人的系統，而那些統方者肯定已經超出了君子的範疇；通過傳統的 IP/MAC 綁定很容易被繞過，缺乏對終端上特征的判斷，而我目前更推薦是桌管 + 準入相結合，但這也不能完全避免非法接入的情況，并且醫院裝置種類衆多，如裝置儀器、攝像頭、門禁等，我曾經寫過一篇醫院零信任網絡安全架構的文章，想象着能通過作業系統、網絡、安全結合大資料分析、 SDN 的方式去嚴格控制醫院的準入，可能想象是美好的，但是國内的産品還不能完全滿足這個要求，因為結合了多個廠家的領先技術。我們了解準入的時候其實很多時候已經走入一個死胡同，我們缺乏了對移動裝置接口、電腦接口、物聯網通信、 5G/4G 通信都有可能成為準入的缺口，通過這些技術可以将外部網絡中轉後接入到内網，這些其實在我們的環境中已有很多案例。考慮大型裝置的質控問題，進口品牌廠商就會在裝置上安裝移動網絡 SIM 卡裝置，除了大型裝置，還有進口品牌的存儲上我也發現了這個情況，是以我們要管的不僅僅是能看到的這張“有形網”，更是這張不太能看到的“無形網”。傳統的網絡安全都設定了三個區域， T rust 、 U nTrust 和 DMZ ， 而在當今的網絡安全中，任何事物其實都不可能完全信任，我們不僅要防外敵，同時也要防内鬼，一台中勒索病毒的内網終端可能比來自網際網路的 DD oS 攻擊更加可怕，這樣看來要針對每一台終端都要有相應防火牆的進出保護，而且該防護牆也不限于傳統意義的包過濾通路控制，還要有 IPS 、 WAF 、 防毒、行為管理等庫，同時要配合外部的安全大腦，關聯其他安全産品共同防禦，想到這裡我又想到了新冠病毒，可能不亞于防護生物病毒的複雜度。醫院有很多移動醫療業務場景，醫生 PAD 查房，護理 PDA 掃碼發藥、庫房 PDA 掃碼入庫等情況，有線的準入限制就如此薄弱，無線的準入限制就更加脆弱，曾經我就聽說有醫院出現非法授權人員通過無線網絡進行統方的行為，這聽起來已經是一件沒什麼技術含量的操作， PC 端的桌面管理很多時候在移動終端上都沒有考慮，其實 MDM 移動終端管理這項技術已經很早就有。近幾年出現的“零信任”模型，無非就是在傳統網絡準入上更近一步，結合傳輸層、應用層的判斷，對準入控制更加細化，原先一個終端對于網絡接入隻有“是”或者“否”，而零信任的環境下就算終端接入網絡，終端上的程式是否能運作還要經過判斷，程式走的網絡流量要經過層層過濾和安全防護，就和疫情防控一般，從外地過來的，首先判斷是不是中高風險地區，如果是中高風險直接勸返或者隔離（準入控制），如果是低風險地區，依然隔離多日通過多次核酸确認後才能入境（沙箱），境内我們限制了部分場所的使用，如限制了電影院、 KTV 、 棋牌室等風險場所，限制了入境人員可能去的風險區域（桌面管理），通過各場所的健康碼掃碼記錄形成（日志審計），時刻要佩戴口罩進入公共場所（防火牆），最後該人員依然出現了疫情症狀，傳播的範圍也可以控制到最小，并且通過掃碼行程和其他營運商信号關聯出其時空伴随者（态勢感覺），并一同隔離（防毒軟體）。

2 、 通路控制

a) 應在網絡邊界或區域之間根據通路控制政策設定通路控制規則，預設情況下除允許通信外受控接口拒絕所有通信；b)應删除多餘或無效的通路控制規則，優化通路控制清單，并保證通路控制規則數量最小化；c）應對源位址、目的位址、源端口、目的端口和協定等進行檢查，以允許/拒絕資料包進出；d）應能根據會話狀态資訊為資料流提供明确的允許/拒絕通路的能力；e）應對進出網絡的資料流實作基于應用協定和應用内容的通路控制。在我原來工作的行業中，這塊的内容其實是一項基本要求，每天有大量的工作是對防火牆上添加通路控制政策，要對工單表格中的内容進行合并同列項、歸類，還要在通路沿途的防火牆上開通對應的政策，工作繁雜，對技術的要求其實不高，可能會遇到一些小問題，也就是長連結、 FTP 這些開放時要注意的問題。但是到了醫療行業，我咨詢了好幾家醫院，基本都沒有做通路控制的，我分析了一下有幾個原因：①考慮性能問題，其實這已經不是問題，雲資料中心、 IDC 等出口都有包過濾防火牆裝置，并且内部還有租戶單獨的防火牆裝置，原機關的迪普防火牆号稱并發可以達到 8000 萬，當我用容器環境做并發連結測試的時候打到過 500 萬，防火牆的 CPU 、 記憶體沒有一絲波動，而基本上沒有醫院的資料中心連結并發能達到 500 萬的，而當時 J uniper 的 ISG 裝置最高隻能達到 2 萬的連接配接數，幾千的并發，是以裝置合不合适要看裝置的性能名額和新老，而這些都和投入的成本有關，這些都要嚴格要求內建商，不能配置低配的裝置，造成後續業務更新過程中不必要的麻煩；②缺乏規劃性，因為 IP 位址的規劃和終端 IP 功能的規劃，可能在開通防火牆的時候就要開通一個大段，這樣的做法不太符合最小化原則，這時候其實先要考慮前期 I P 的規劃，不同的 IP 網段有不同的功能，然後在開通防火牆的時候可以盡可能的按照最小化原則，而不至于有太大的工作量；③服務資産不清，不清楚資料中心服務開放端口的資産情況，大部分伺服器端的軟體都由軟體廠家管理，并且開放端口醫院資訊科的人不清楚，連乙方部署的人都不一定清楚，很難在這樣一個基礎下建立起防火牆開放的流程；④高可用性的擔心，在傳統的防火牆設計中，一般就考慮将防火牆串聯到網絡當中，實際在部署的時候有很多種方式，當時對于醫院這樣的環境，我們盡可能考慮最小影響，我推薦透明串聯 + 旁路 bypass 功能、政策路由旁挂 +SLA 檢測、 vxlan 安全服務鍊引流，其中都要確定單台防火牆滿足網絡中最大流量，并且能夠在出現故障時實作主主切換、主備切換、故障旁路，将業務的影響降到最低，并且盡量確定那些長連結會話不受影響。在醫院防火牆部署的位置上，我們要考慮信任和非信任兩個方面，首先相對于内部網絡，對網際網路和專網我們應該列入非信任（專網包括醫保、衛生專網等一切非醫院自己内部的網絡），相對于醫院内網，醫院的外網也是非信任區，相對于資料中心網絡，醫院的門診、住院等辦公網段也是非信任區，在這幾處我們都應該確定有防火牆防護，對應政策預設拒絕，按需開通服務。可能大家覺得部署這麼多防火牆并沒有感受到很大的用處，大家在想想勒索病毒通過什麼方式傳播，見的最多的是 SMB 服務，其實隻要是漏洞在我看來都有可能被勒索病毒利用，如果在全網終端沒有打上更新檔的情況下，我們除非有自動化工具能夠批量對終端進行防火牆下發，那在便捷性和實用性折中的情況下，我們還是會考慮使用網絡防火牆對勒索病毒傳播端口進行封堵，如果機關本來就建立了良好的按需開通通路機制，在這個時候也就不會有很多擔憂。

3 、 入侵防範

a）應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；b）應在關鍵網絡節點處檢測防止或限制從内部發起的網絡攻擊行為；c）應采取技術措施對網絡行為進行分析，實作對網絡攻擊特别是新型網絡攻擊行為的分析；d）當檢測到攻擊行為時。記錄攻擊源IP、攻擊類型、攻擊目标、攻擊時間，在發生嚴重入侵事件時應提供報警。這裡提到了外到内的網絡攻擊和内到外的網絡攻擊，外到内的防護毋庸置疑，而内到外的防護其實也是我們要考慮的，在網絡安全法頒布起，攻擊大陸境内的網絡資産都會受到法律的制裁，為了保護自己機關不受影響，那對内到外攻擊的防護自然而然要被納入管理的範圍，像 C&C 攻擊、 DD o S 攻擊的殭屍電腦，像對勒索病毒外聯的防護都是我們要考慮的，在保護他人的同時保護了自己。對新型網絡攻擊行為的分析，其實早在 2014 年我就了解到了當時的 APT 産品（ 進階可持續威脅攻擊 ），深思現在的網絡架構，如果要發現新型的攻擊行為，那我們就要排除掉一切以攻擊庫、病毒庫為基礎的裝置，包括傳統的防火牆、防毒軟體等，在此基礎上，要關聯下一代牆、态勢感覺、 EDR 等新型安全産品，甚至還要關聯産品公司外部的實時資訊，關聯全球的安全情報，通過這樣的要求，我對這套體系的考慮是盡可能通過同一家公司的産品實作，可以想象一個中國人對一個不會說中國話的外國人說漢語的時候是什麼樣的結果，就算雙方都是中國人，不同的方言了解起來其實也有困難（就好像不同的産品線在傳輸日志和分析日志的時候都有不同的方法），是以對新型網絡攻擊行為的分析，其實任重而道遠。對于安全日志的收集、記錄、分析、告警對整個安全營運中心平台也有很大的壓力，打個比方，在同一原位址對醫院多個網際網路位址進行攻擊時，原始的日志可能是成千上萬條的，如果這成千上萬條的日志不經過分析，直接告警，可能告警的短信平台、微信平台都會搞垮，安全日志分析彙聚的工作就尤為重要，不僅要對同一攻擊源的不同攻擊進行彙總，還要對不同攻擊源的同種攻擊進行彙總，甚至還要關聯前後攻擊的線索進行溯源。4 、安全審計a）應在網絡邊界、重要網絡節點進行安全審計，審計覆寫到每個使用者，對重要的使用者行為和重要安全事件進行審計；b）審計記錄應包括事件的日期和時間使用者、事件類型、事件是否成功及其他與審計相關的資訊；c）應對審計記錄進行保護，定期備份，避免受到未預期的删除、修改或覆寫等；d）應能對遠端通路的使用者行為、通路網際網路的使用者行為等單獨進行行為審計和資料分析。說到審計看似很簡單，隻要把日志傳遞到日志審計伺服器記錄，可以通過各式各樣的參數查詢即可，但是日志記錄全不全、有沒有遺漏，我之前就碰到過好幾次溯源到一半失敗的情況，一次是通路過程中有 NAT 裝置，這個時間點 NAT 的日志沒有，沒辦法把前後的日志關聯起來，一次是裝置上的攻擊源位址是白名單位址，而白名單位址攻擊不記錄在日志中，還有很多次因為終端上的日志沒有開啟，導緻最後一步溯源失敗。如果要将所有資産的日志進行審計記錄，并且記錄到位，還要做備份，其實這個量遠遠已經超過了 HIS 資料庫的增長量，而且網絡安全法的要求是日志記錄 180 天，我看了下我們光資料庫審計的日志每天就有 20 多 GB ，180 天将近 4TB 的容量，我們還有網絡裝置日志、安全日志、作業系統日志、存儲日志、應用日志等等，加起來每天的量可能就達到上百 GB ， 如此大量的細小碎片化資料，要做到日志查詢不僅僅是一台日志審計伺服器能做到，我在購買資料庫審計的時候就測試了多家廠家的産品，不是日志遺漏儲存，就是日志查詢速度慢，或者是日志查詢功能不全，如果是有能力的醫院，其實建議還是單獨自建開源的日志平台，對日志流量進行清洗、彙總，通過相比對的 NoSQL 資料庫記錄，簡單友善的可以考慮下 Elastic Search ，在查詢速度快的情況下，可視化也做的較好。

安全計算環境篇

個人認為計算環境下的安全問題其實是最嚴重的，大部分中高危漏洞都從計算環境下發現，被利用最多的也是，而且計算環境的網絡資産量也是最多的，各種虛拟化、容器化、 S erverless 等技術将計算資源分成更小的細塊，提高了安全管理者的能力要求，更是提高了像 CWPP 、 EDR 等安全軟體的防護要求，在 “安全計算環境中”有些前面提到的内容就不再贅述。

1 、身份鑒别a) 應對登入的使用者進行身份辨別和鑒别，身份辨別具有唯一性，身份鑒别資訊具有複雜度要求并定期更換；b) 應具有登入失敗處理功能，應配置并啟用結束會話、限制非法登入次數和當登入連接配接逾時自動退出等相關措施；c)當進行遠端管理時，應采取必要措施防止鑒别資訊在網絡傳輸過程中被竊聽；d)應采用密碼、密碼技術、生物技術等兩種或兩種以上組合的鑒别技術對使用者進行身份鑒别，且其中一種鑒别技術至少應使用密碼技術來實作。在醫院中除了資料中心的伺服器資源，還有醫護人員、行政人員使用的電腦都需要納入安全計算環境的管轄範圍。大家可以看看自己用的電腦是否設定了密碼，并且密碼的要求是否符合強密碼（長度大于 8 位，包含大小寫字母、數字、符号，并且不包含鍵盤上連續字元或者英文單詞），并且 3 個月更換一次密碼。在 AAA 認證體系（ AAA 是認證（ Authentication ）、授權（ Authorization ）和計費（ Accounting ） ）中，第一關就是認證，在認證的過程中可能會出現如無認證、弱密碼、認證可以被繞過、明文密碼傳輸等等問題，不僅僅是在醫療行業，基本所有行業的内網環境都包含了上述問題，在護網行動中，打入了内網環境後，大量使用重複的弱密碼，成為被攻陷的重要問題之一，有很多護網的案例是拿下了堡壘機的弱密碼，而堡壘機上直接記錄了各類伺服器的高權限賬号密碼，通過一點突破全網。我們大家可以看看自己的環境下， PC 和伺服器端是否存在無認證、弱密碼的情況，除了 RDP 、 SSH 等常見管理服務，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ， 根據我一直以來的工作經驗，很多開源軟體的早期版本對于 API 接口就根本沒有認證機制，是以還有很多的開源服務如 Redis 、 Docker 、 Elastic Search 等，有認證的情況下是否使用了開源軟體的預設賬戶密碼，這個也需要我們及時修改，黑客可以通過一點突破，層層收集資訊，最終突破核心防線。AAA 體系中的第二步授權，其實是可以緩解第一步問題的一個手段，理論上要求我們的 PC 端、伺服器端不同的軟體需要通過不同的使用者安裝、使用，并且不同的使用者隻能給予最小安裝、使用軟體的權限，而我們可以檢查下自己的環境，應該是有很多直接使用 administrator 、 root 等使用者，并且這些賬号存在着複用的情況，在使用過程中很難厘清楚現實生活中的哪個自然人使用了這個賬戶進行了相關操作，如果出現了問題給後續溯源提升了難度，我們這時就需要通過 IP 、 上層的堡壘機日志等進行關聯溯源。限制登入失敗次數是防止暴力破解的手段之一，暴力破解會通過一個密碼本對需要爆破的服務密碼進行不斷的嘗試，直到試到正确的那個密碼或者密碼本試完為止，正常人登入一般都會記得自己的密碼，當然在定期更換複雜密碼的要求下，正常人也會記不住密碼，這個問題我們後面再說。在限制了登入失敗次數，比如我們設定了 5 次，那通過某個 IP 登入失敗 5 次後這個 IP 就會被鎖定，當然可以設定别的 IP 還可以登入這個服務。會話結束功能就類似于 W indows 自動鎖屏，作為一個資訊工作者，在我們離開電腦時就應該考慮鎖屏的操作，并且重新登入要輸入賬号密碼，一個不會逾時的會話雖然友善了我們自己，同樣也給惡意者帶來了友善，想想經過你辦公桌的每個人都可以在登入着的 HIS 伺服器或者核心交換機上敲一個 reboot ，最後造成的結果可想而知，雖然這個事故不是你直接操作的，但也要負主要責任。在醫院中常見的遠端管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TELNET 、 FTP 在流量劫持時可以直接獲得賬戶密碼資訊，可以通過 SSH 、 SFTP 等方法替換，確定在賬号密碼認證和資料流傳輸過程中都是加密的。其實 Oracle 的流量也非加密，在我咨詢了我 OCM 的朋友和百度後，發現其實 Oracle 流量也可以配置加密，但是我們很少會這樣做，并且很少會有人關心這個問題，還消耗用戶端和服務端額外的性能。這時候我們就要想到什麼時候我們的流量會被截取走，常見的就是内網 ARP 欺騙，一台攻擊主機在用戶端請求網關 MAC 位址的時候，将自己的 MAC 位址告訴用戶端，說自己這個 MAC 位址就是網關的 MAC ， 這樣二層的流量會先通過這台攻擊主機轉發給真實的網關，所有明文的流量過了這台攻擊主機後就可以被它輕松的擷取敏感資訊，我的防護方法是通過桌管軟體，将每個網段主機的網關 ARP 解析靜态的寫到用戶端上，確定 ARP 解析時預設都先通過本地記錄解析，進而不會被外部動态解析影響。另一種情況會被擷取的是網内的流量裝置，很多安全裝置、 APM 監控裝置、深度流量分析裝置都需要抓取核心網絡的流量，當這些流量被鏡像給裝置後它們會将它記錄下來，而正式或者測試裝置出現問題返廠時，我們就要叮囑工程師要清空本地資料，以免資料洩露，在我的工作中就聽到過通過安全裝置洩露大量公民資訊的案例。前面我們說到要定期修改複雜密碼，但是經常修改會導緻管理者記憶困難，這個時候我覺得雙因子認證也是幫助大家不用記複雜密碼的好方法。雙因素認證分為所知和所有兩種，雙因素的證據又分為秘密資訊、個人物品、生理特征三種類型，像密碼、密碼就是資訊，實體 key 就是個人物品，指紋、虹膜、面部就是生理特征，我們隻要結合兩種類型的證據，那就符合要求，可以通過實體 KEY+ 動态密碼的方式實作認證，此時就不用記住原始的靜态密碼，大家可以想象一下現在在登入微信、支付寶、 QQ 等網際網路軟體的時候基本很少使用密碼，而智能手機也将密碼和人臉識别關聯，友善大家認證操作，同時又符合安全要求。在醫院工作的過程中，我發現很多業務系統的賬号密碼不是同一套體系，系統在認證時也沒有做到雙因子的要求，我之前寫過一篇論文，叫《基于 4A 系統的醫院零信任網絡安全模型》，也是我希望能通過安全技術提升醫護行政人員使用系統時的便利性、規範對醫院所有系統賬戶體系管理、加強醫院業務系統使用時的權限管理能力。五級電子病曆評審中提到了系統備份、容災的标準，對醫院資訊系統的穩定性、可靠性、可用性有了明确的要求，醫院資訊系統的當機、資料丢失會造成無法挽回的影響；2021 年《資料安全法》和《個人資訊保護法》出台，大陸在資訊化高速發展的當下，更加重視了網絡安全，證明了網絡安全與資訊化是一體之兩翼、驅動之雙輪。

2 、資料保密性

a) 應采用密碼技術保證重要資料在傳輸過程中的保密性，包括但不限于鑒别資料、重要業務資料和重要個人資訊等；b) 應采用密碼技術保證重要資料在存儲過程中的保密性，包括但不限于鑒别資料、重要業務資料和重要個人資訊等。資訊安全 CIA 三要素，保密性、完整性、可用性，這裡提到了資料的保密性，其實不管在哪個行業，資料的保密性都很難做，我們可以看到大量的公民資料在網際網路安全事件中洩露，大陸之前的《網絡安全法》對資料安全沒有具體的要求，而 2021 年的《資料安全法》和《個人資訊保護法》才對資料安全有了明确的要求，并且這兩部法律給企業帶來了不小改造的壓力。資料安全的保密性要求貫穿了資料的産生、傳輸、處理、存儲、銷毀等過程，首先我們要對資料進行保密，就要知道哪些資料應該保密，此時要做的就是資料的分類分級，在分級分類過程中涉及到對敏感資料的發現，敏感資料除了結構化的還有非結構化的，除了關系型的還有非關系型的，基本很難做到全覆寫，比如在護網期間就發現有很多日志、配置檔案中帶着敏感的賬号密碼等資訊，而這些資訊的配置可能是套裝化軟體不能修改的。在發現了敏感資料後我們就要對敏感資料進行加密、脫敏、去辨別化操作，在五級電子病曆的要求中也有一條資料加密的要求，資料加密其實有兩種做法，一種是在存儲層（通過儲存設備進行加密），另一種在系統層（通過對作業系統的配置檔案，或者對資料庫的資料進行加密），第一種方法的難度較小，而第二種方法的難度較大，需要考慮資料被加密的方法和被使用過程中的解密，對于資料量小可以考慮非對稱加密，而資料量大的隻能使用對稱加密，這也就是 SSL 的機制，通過非對稱加密秘鑰，然後通過秘鑰對稱加密資料流，在確定業務正常的情況下，實作安全的需求。針對脫敏、去辨別化操作可以通過好幾處實作，可以通過後端實作，也可以通過前端實作，通過後端實作時當資料從應用層往前端傳輸時就是去脫敏、去辨別化的資料，甚至是在資料庫中就是脫敏、去辨別化的，而在前端實作，我們可以在用戶端本地開啟代理，直接可以獲得明文的資料，從安全性來考慮肯定是後端實作更安全。我們在做資料加密、脫敏、去辨別化時要考慮的重要一點就是業務是否支援，有些資料雖然是敏感資料，但是以密文呈現時是無法進行正常業務的辦理和互動的，如果要實作正常業務辦理和互動，可能需要改變流程、規範，并且付出巨大的代價，在醫院以業務為中心的情況下，個人覺得短期内很難很難實作，我個人在落地一個資料安全的産品時就提出了這樣一個問題，該産品邏輯串聯在資料庫用戶端和資料庫伺服器之間實作資料庫字段的加密、脫敏、去辨別化操作，而我們的 HIS 業務每天都有大量的問題要處理，在處理過程中需要通過這些敏感的資料進行确認、判斷、修改，不可能專門安排一個人每天在對字段做解密、加密的操作，還需要配合專門的流程來規範這個操作，在一個業務系統沒有穩定、技術人員缺乏的情況下，這樣的功能很難落地，就算落地了也隻是很小的範圍，如何滿足二者需要靠廣大讀者來幫忙想想辦法了。

3 、 資料備份恢複

a) 應提供重要資料的本地資料備份與恢複功能；b) 應提供異地實時備份功能，利用通信網絡将重要資料實時備份至備份場地；c) 應提供重要資料處理系統的熱備援，保證系統的高可用性。我問了很多醫院，大家可能都建立了容災環境，但是很少有醫院做容災測試，對于五級電子病曆的要求是每年至少一次的容災演練（還需要結合業務場景），每季度至少一次的資料全量恢複測試，一個沒有測試過的容災系統真的很難讓人相信在出問題的時候可以撐得住真實業務，也許容災的切換過程沒有問題，但是容災的硬體資源、硬體配置、軟體調整等是否能讓使用者在較短的時間内進行邊便捷的切換操，五級電子病曆對于資料丢失的要求比較松， 2 小時以内即可，但是醫院對于資料丢失是難以容忍的，對于資訊化較長時間都無法正常使用也是無法容忍的，我們要盡可能做到 RPO 、 RTO 最小化。對于備份，我盡量做到 321 原則， 3 份資料、 2 種不同媒體、 1 份存于異地，結合第一點和第二點，我将資料存放于起碼 2 種不同實體裝置上，存儲 3 份，再結合第三點将一份資料存儲于異地，兩份資料存于本地。我們醫院有兩個院區，兩院區直線公裡數其實小于 40 ㎞ ， 而等保的異地要求是直線大于 100 ㎞ ， 對于沒有分院的小夥伴們，其實我建議可以将另一份資料存到異地雲上，最起碼在本地真的資料沒辦法恢複時還有一根救命稻草，雖然恢複的時間可能會長一點。我會将兩院區的資料做互相的異地備份，盡可能提高資料備份的頻率，減少資料的丢失，核心業務系統采用實時備份或者容災的方式，在使用較高頻率備份的情況下，我們對于備份、容災的硬體就有一定的要求，較差的 HDD 盤是無法支撐起大資料量、高并發的備份任務，可能出現任務排隊，那就會得不償失；在備份上我們就出現過一個問題，之前工程師在配置 RMAN 備份保留的腳本操作是先删除原來的備份，在進行下一次備份，如果前一次備份删除了，後一次備份沒有成功，那就沒有了全量資料，這樣的備份是沒有意義的，大家可以檢查下自己的環境是否存在這樣的問題。在備份的類型上，分為實體備份和邏輯備份， 21 年我就聽到了别的醫院出現了 Oracle 的邏輯壞塊，出現壞塊後資料庫無法正常啟動，而容災系統通過 Oracle Data Guard 實作， DG 屬于實體塊同步，面對邏輯錯誤不會校驗，而直接将這個邏輯錯誤同步給了容災庫，導緻容災庫也無法正常拉起，并且當時也沒有配置長時間的閃回空間，導緻最後花了很大的代價才恢複了一部分丢失的資料，并且業務中斷了很久，可以通過 OGG 解決這個問題，并且 OGG 可以支援跨資料庫、作業系統類型之間的資料複制，但是配置難度比 DG 大了很多；另外的辦法是通過 CDP 實作 IO 級别的備份，當出現邏輯錯誤資料庫無法正常使用的時候，通過 CDP 的 IO 回退到正常的時間點，當然中間丢失的資料需要人工去彌補，這樣通過資料庫外部的方式解決資料備份的問題。

4、個人資訊保護

a) 應僅采集和儲存業務必需的使用者個人資訊；b) 應禁止未授權通路和非法使用使用者個人資訊。這兩點在《個人資訊保護法》中也有明确提到，該法律中多次提到了收集個人資訊要有“詢問 - 确認”的過程，并且在使用者不同意提供個人資訊的情況下，不能拒絕對使用者提供服務，隻收集必需的個人資訊，要告知使用者收集每種類型個人資訊的目的，告知使用者如何處理、傳遞、使用個人資訊。在疫情當下，全國的醫院都緊鑼密鼓的推廣網際網路醫院，意味着有一個面向患者的醫院網際網路系統，患者可以直接面向這個網際網路系統，那對系統的送出資訊、問詢互動有了更直接的了解，我們在做網際網路系統的時候要結合《網絡安全法》、《資料安全法》和《個人資訊保護法》三駕馬車來嚴格要求開發時的安全需求，自從三部法律上台後有多少網際網路 APP 因不符合要求被責令整改、罰款、下架等，我們也該引以為戒。