安全区域边界篇
安全区域边界在近几年变得越来越精细越来越模糊,因为攻击的形式、病毒传播的途径层出不穷,我以攻击者的角度去看,任何一个漏洞都可以成为勒索病毒传播和利用的方式,我们要做到全面补丁压力重重,通过边界划分,依靠不同的边界安全防护,在发生问题的情况下将损失降到最低。
1、边界防护
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。自从出现了统方的情况后,医院对于终端准入的关注度日益增加,出现了非法接入医院内网,获取处方数据的情况,在我看过大部分医院准入系统后,在数据盗取者面前这个准入做了和没有做一样,这真的是一个防君子不防小人的系统,而那些统方者肯定已经超出了君子的范畴;通过传统的 IP/MAC 绑定很容易被绕过,缺乏对终端上特征的判断,而我目前更推荐是桌管 + 准入相结合,但这也不能完全避免非法接入的情况,并且医院设备种类众多,如设备仪器、摄像头、门禁等,我曾经写过一篇医院零信任网络安全架构的文章,想象着能通过操作系统、网络、安全结合大数据分析、 SDN 的方式去严格控制医院的准入,可能想象是美好的,但是国内的产品还不能完全满足这个要求,因为结合了多个厂家的领先技术。我们理解准入的时候其实很多时候已经走入一个死胡同,我们缺乏了对移动设备接口、电脑接口、物联网通信、 5G/4G 通信都有可能成为准入的缺口,通过这些技术可以将外部网络中转后接入到内网,这些其实在我们的环境中已有很多案例。考虑大型设备的质控问题,进口品牌厂商就会在设备上安装移动网络 SIM 卡设备,除了大型设备,还有进口品牌的存储上我也发现了这个情况,所以我们要管的不仅仅是能看到的这张“有形网”,更是这张不太能看到的“无形网”。传统的网络安全都设置了三个区域, T rust 、 U nTrust 和 DMZ , 而在当今的网络安全中,任何事物其实都不可能完全信任,我们不仅要防外敌,同时也要防内鬼,一台中勒索病毒的内网终端可能比来自互联网的 DD oS 攻击更加可怕,这样看来要针对每一台终端都要有相应防火墙的进出保护,而且该防护墙也不限于传统意义的包过滤访问控制,还要有 IPS 、 WAF 、 防毒、行为管理等库,同时要配合外部的安全大脑,联动其他安全产品共同防御,想到这里我又想到了新冠病毒,可能不亚于防护生物病毒的复杂度。医院有很多移动医疗业务场景,医生 PAD 查房,护理 PDA 扫码发药、库房 PDA 扫码入库等情况,有线的准入限制就如此薄弱,无线的准入限制就更加脆弱,曾经我就听说有医院出现非法授权人员通过无线网络进行统方的行为,这听起来已经是一件没什么技术含量的操作, PC 端的桌面管理很多时候在移动终端上都没有考虑,其实 MDM 移动终端管理这项技术已经很早就有。近几年出现的“零信任”模型,无非就是在传统网络准入上更近一步,结合传输层、应用层的判断,对准入控制更加细化,原先一个终端对于网络接入只有“是”或者“否”,而零信任的环境下就算终端接入网络,终端上的程序是否能运行还要经过判断,程序走的网络流量要经过层层过滤和安全防护,就和疫情防控一般,从外地过来的,首先判断是不是中高风险地区,如果是中高风险直接劝返或者隔离(准入控制),如果是低风险地区,依然隔离多日通过多次核酸确认后才能入境(沙箱),境内我们限制了部分场所的使用,如限制了电影院、 KTV 、 棋牌室等风险场所,限制了入境人员可能去的风险区域(桌面管理),通过各场所的健康码扫码记录形成(日志审计),时刻要佩戴口罩进入公共场所(防火墙),最后该人员依然出现了疫情症状,传播的范围也可以控制到最小,并且通过扫码行程和其他运营商信号关联出其时空伴随者(态势感知),并一同隔离(杀毒软件)。
2 、 访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;d)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力;e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。在我原来工作的行业中,这块的内容其实是一项基本要求,每天有大量的工作是对防火墙上添加访问控制策略,要对工单表格中的内容进行合并同列项、归类,还要在访问沿途的防火墙上开通对应的策略,工作繁杂,对技术的要求其实不高,可能会遇到一些小问题,也就是长链接、 FTP 这些开放时要注意的问题。但是到了医疗行业,我咨询了好几家医院,基本都没有做访问控制的,我分析了一下有几个原因:①考虑性能问题,其实这已经不是问题,云数据中心、 IDC 等出口都有包过滤防火墙设备,并且内部还有租户单独的防火墙设备,原单位的迪普防火墙号称并发可以达到 8000 万,当我用容器环境做并发链接测试的时候打到过 500 万,防火墙的 CPU、 内存没有一丝波动,而基本上没有医院的数据中心链接并发能达到 500 万的,而当时 J unIPer 的 ISG 设备最高只能达到 2 万的连接数,几千的并发,所以设备合不合适要看设备的性能指标和新老,而这些都和投入的成本有关,这些都要严格要求集成商,不能配置低配的设备,造成后续业务升级过程中不必要的麻烦;②缺乏规划性,因为 IP 地址的规划和终端 IP 功能的规划,可能在开通防火墙的时候就要开通一个大段,这样的做法不太符合最小化原则,这时候其实先要考虑前期 I P 的规划,不同的 IP 网段有不同的功能,然后在开通防火墙的时候可以尽可能的按照最小化原则,而不至于有太大的工作量;③服务资产不清,不清楚数据中心服务开放端口的资产情况,大部分服务器端的软件都由软件厂家管理,并且开放端口医院信息科的人不清楚,连乙方部署的人都不一定清楚,很难在这样一个基础下建立起防火墙开放的流程;④高可用性的担心,在传统的防火墙设计中,一般就考虑将防火墙串联到网络当中,实际在部署的时候有很多种方式,当时对于医院这样的环境,我们尽可能考虑最小影响,我推荐透明串联 + 旁路 bypass 功能、策略路由旁挂 +SLA 检测、 vxlan 安全服务链引流,其中都要确保单台防火墙满足网络中最大流量,并且能够在出现故障时实现主主切换、主备切换、故障旁路,将业务的影响降到最低,并且尽量确保那些长链接会话不受影响。在医院防火墙部署的位置上,我们要考虑信任和非信任两个方面,首先相对于内部网络,对互联网和专网我们应该列入非信任(专网包括医保、卫生专网等一切非医院自己内部的网络),相对于医院内网,医院的外网也是非信任区,相对于数据中心网络,医院的门诊、住院等办公网段也是非信任区,在这几处我们都应该确保有防火墙防护,对应策略默认拒绝,按需开通服务。可能大家觉得部署这么多防火墙并没有感受到很大的用处,大家在想想勒索病毒通过什么方式传播,见的最多的是 SMB 服务,其实只要是漏洞在我看来都有可能被勒索病毒利用,如果在全网终端没有打上补丁的情况下,我们除非有自动化工具能够批量对终端进行防火墙下发,那在便捷性和实用性折中的情况下,我们还是会考虑使用网络防火墙对勒索病毒传播端口进行封堵,如果单位本来就建立了良好的按需开通访问机制,在这个时候也就不会有很多担忧。
3 、 入侵防范
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;b)应在关键网络节点处检测防止或限制从内部发起的网络攻击行为;c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;d)当检测到攻击行为时。记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。这里提到了外到内的网络攻击和内到外的网络攻击,外到内的防护毋庸置疑,而内到外的防护其实也是我们要考虑的,在网络安全法颁布起,攻击我国境内的网络资产都会受到法律的制裁,为了保护自己单位不受影响,那对内到外攻击的防护自然而然要被纳入管理的范围,像 C&C 攻击、 DD o S 攻击的肉鸡,像对勒索病毒外联的防护都是我们要考虑的,在保护他人的同时保护了自己。对新型网络攻击行为的分析,其实早在 2014 年我就了解到了当时的 APT 产品( 高级可持续威胁攻击 ),深思现在的网络架构,如果要发现新型的攻击行为,那我们就要排除掉一切以攻击库、病毒库为基础的设备,包括传统的防火墙、杀毒软件等,在此基础上,要联动下一代墙、态势感知、 EDR 等新型安全产品,甚至还要联动产品公司外部的实时信息,关联全球的安全情报,通过这样的要求,我对这套体系的考虑是尽可能通过同一家公司的产品实现,可以想象一个中国人对一个不会说中国话的外国人说汉语的时候是什么样的结果,就算双方都是中国人,不同的方言理解起来其实也有困难(就好像不同的产品线在传输日志和分析日志的时候都有不同的方法),所以对新型网络攻击行为的分析,其实任重而道远。对于安全日志的收集、记录、分析、告警对整个安全运营中心平台也有很大的压力,打个比方,在同一原地址对医院多个互联网地址进行攻击时,原始的日志可能是成千上万条的,如果这成千上万条的日志不经过分析,直接告警,可能告警的短信平台、微信平台都会搞垮,安全日志分析汇聚的工作就尤为重要,不仅要对同一攻击源的不同攻击进行汇总,还要对不同攻击源的同种攻击进行汇总,甚至还要关联前后攻击的线索进行溯源。4 、安全审计a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。说到审计看似很简单,只要把日志传递到日志审计服务器记录,可以通过各式各样的参数查询即可,但是日志记录全不全、有没有遗漏,我之前就碰到过好几次溯源到一半失败的情况,一次是访问过程中有 NAT 设备,这个时间点 NAT 的日志没有,没办法把前后的日志关联起来,一次是设备上的攻击源地址是白名单地址,而白名单地址攻击不记录在日志中,还有很多次因为终端上的日志没有开启,导致最后一步溯源失败。如果要将所有资产的日志进行审计记录,并且记录到位,还要做备份,其实这个量远远已经超过了 HIS 数据库的增长量,而且网络安全法的要求是日志记录 180 天,我看了下我们光数据库审计的日志每天就有 20 多 GB ,180 天将近 4TB 的容量,我们还有网络设备日志、安全日志、操作系统日志、存储日志、应用日志等等,加起来每天的量可能就达到上百 GB , 如此大量的细小碎片化数据,要做到日志查询不仅仅是一台日志审计服务器能做到,我在购买数据库审计的时候就测试了多家厂家的产品,不是日志遗漏保存,就是日志查询速度慢,或者是日志查询功能不全,如果是有能力的医院,其实建议还是单独自建开源的日志平台,对日志流量进行清洗、汇总,通过相匹配的 NoSQL 数据库记录,简单方便的可以考虑下 Elastic Search ,在查询速度快的情况下,可视化也做的较好。
安全计算环境篇
个人认为计算环境下的安全问题其实是最严重的,大部分中高危漏洞都从计算环境下发现,被利用最多的也是,而且计算环境的网络资产量也是最多的,各种虚拟化、容器化、 S erverless 等技术将计算资源分成更小的细块,提高了安全管理员的能力要求,更是提高了像 CWPP 、 EDR 等安全软件的防护要求,在 “安全计算环境中”有些前面提到的内容就不再赘述。
1 、身份鉴别a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。在医院中除了数据中心的服务器资源,还有医护人员、行政人员使用的电脑都需要纳入安全计算环境的管辖范围。大家可以看看自己用的电脑是否设置了密码,并且密码的要求是否符合强口令(长度大于 8 位,包含大小写字母、数字、符号,并且不包含键盘上连续字符或者英文单词),并且 3 个月更换一次密码。在 AAA 认证体系( AAA 是认证( Authentication )、授权( Authorization )和计费( Accounting ) )中,第一关就是认证,在认证的过程中可能会出现如无认证、弱口令、认证可以被绕过、明文密码传输等等问题,不仅仅是在医疗行业,基本所有行业的内网环境都包含了上述问题,在护网行动中,打入了内网环境后,大量使用重复的弱口令,成为被攻陷的重要问题之一,有很多护网的案例是拿下了堡垒机的弱口令,而堡垒机上直接记录了各类服务器的高权限账号密码,通过一点突破全网。我们大家可以看看自己的环境下, PC 和服务器端是否存在无认证、弱口令的情况,除了 RDP 、 SSH 等常见管理服务,还有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer , 根据我一直以来的工作经验,很多开源软件的早期版本对于 API 接口就根本没有认证机制,所以还有很多的开源服务如 Redis 、 Docker 、 Elastic Search 等,有认证的情况下是否使用了开源软件的默认账户口令,这个也需要我们及时修改,黑客可以通过一点突破,层层收集信息,最终突破核心防线。AAA 体系中的第二步授权,其实是可以缓解第一步问题的一个手段,理论上要求我们的 PC 端、服务器端不同的软件需要通过不同的用户安装、使用,并且不同的用户只能给予最小安装、使用软件的权限,而我们可以检查下自己的环境,应该是有很多直接使用 administrator 、 root 等用户,并且这些账号存在着复用的情况,在使用过程中很难分清楚现实生活中的哪个自然人使用了这个账户进行了相关操作,如果出现了问题给后续溯源提升了难度,我们这时就需要通过 IP 、 上层的堡垒机日志等进行关联溯源。限制登录失败次数是防止暴力破解的手段之一,暴力破解会通过一个密码本对需要爆破的服务密码进行不断的尝试,直到试到正确的那个密码或者密码本试完为止,正常人登录一般都会记得自己的密码,当然在定期更换复杂密码的要求下,正常人也会记不住密码,这个问题我们后面再说。在限制了登录失败次数,比如我们设置了 5 次,那通过某个 IP 登录失败 5 次后这个 IP 就会被锁定,当然可以设置别的 IP 还可以登录这个服务。会话结束功能就类似于 W indows 自动锁屏,作为一个信息工作者,在我们离开电脑时就应该考虑锁屏的操作,并且重新登录要输入账号密码,一个不会超时的会话虽然方便了我们自己,同样也给恶意者带来了方便,想想经过你办公桌的每个人都可以在登录着的 HIS 服务器或者核心交换机上敲一个 reboot ,最后造成的结果可想而知,虽然这个事故不是你直接操作的,但也要负主要责任。在医院中常见的远程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等,其中 TELNET 、 FTP 在流量劫持时可以直接获得账户口令信息,可以通过 SSH 、 SFTP 等方法替换,确保在账号密码认证和数据流传输过程中都是加密的。其实 Oracle 的流量也非加密,在我咨询了我 OCM 的朋友和百度后,发现其实 Oracle 流量也可以配置加密,但是我们很少会这样做,并且很少会有人关心这个问题,还消耗客户端和服务端额外的性能。这时候我们就要想到什么时候我们的流量会被截取走,常见的就是内网 ARP欺骗,一台攻击主机在客户端请求网关 MAC 地址的时候,将自己的 MAC 地址告诉客户端,说自己这个 MAC 地址就是网关的 MAC , 这样二层的流量会先通过这台攻击主机转发给真实的网关,所有明文的流量过了这台攻击主机后就可以被它轻松的获取敏感信息,我的防护方法是通过桌管软件,将每个网段主机的网关 ARP 解析静态的写到客户端上,确保 ARP 解析时默认都先通过本地记录解析,从而不会被外部动态解析影响。另一种情况会被获取的是网内的流量设备,很多安全设备、 APM 监控设备、深度流量分析设备都需要抓取核心网络的流量,当这些流量被镜像给设备后它们会将它记录下来,而正式或者测试设备出现问题返厂时,我们就要叮嘱工程师要清空本地数据,以免数据泄露,在我的工作中就听到过通过安全设备泄露大量公民信息的案例。前面我们说到要定期修改复杂密码,但是经常修改会导致管理员记忆困难,这个时候我觉得双因子认证也是帮助大家不用记复杂密码的好方法。双因素认证分为所知和所有两种,双因素的证据又分为秘密信息、个人物品、生理特征三种类型,像口令、密码就是信息,物理 key 就是个人物品,指纹、虹膜、面部就是生理特征,我们只要结合两种类型的证据,那就符合要求,可以通过物理 KEY+ 动态密码的方式实现认证,此时就不用记住原始的静态密码,大家可以想象一下现在在登录微信、支付宝、 QQ 等互联网软件的时候基本很少使用密码,而智能手机也将密码和人脸识别关联,方便大家认证操作,同时又符合安全要求。在医院工作的过程中,我发现很多业务系统的账号密码不是同一套体系,系统在认证时也没有做到双因子的要求,我之前写过一篇论文,叫《基于 4A 系统的医院零信任网络安全模型》,也是我希望能通过安全技术提升医护行政人员使用系统时的便利性、规范对医院所有系统账户体系管理、加强医院业务系统使用时的权限管理能力。五级电子病历评审中提到了系统备份、容灾的标准,对医院信息系统的稳定性、可靠性、可用性有了明确的要求,医院信息系统的宕机、数据丢失会造成无法挽回的影响;2021 年《数据安全法》和《个人信息保护法》出台,我国在信息化高速发展的当下,更加重视了网络安全,证明了网络安全与信息化是一体之两翼、驱动之双轮。
2 、数据保密性
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。信息安全 CIA 三要素,保密性、完整性、可用性,这里提到了数据的保密性,其实不管在哪个行业,数据的保密性都很难做,我们可以看到大量的公民数据在互联网安全事件中泄露,我国之前的《网络安全法》对数据安全没有具体的要求,而 2021 年的《数据安全法》和《个人信息保护法》才对数据安全有了明确的要求,并且这两部法律给企业带来了不小改造的压力。数据安全的保密性要求贯穿了数据的产生、传输、处理、存储、销毁等过程,首先我们要对数据进行保密,就要知道哪些数据应该保密,此时要做的就是数据的分类分级,在分级分类过程中涉及到对敏感数据的发现,敏感数据除了结构化的还有非结构化的,除了关系型的还有非关系型的,基本很难做到全覆盖,比如在护网期间就发现有很多日志、配置文件中带着敏感的账号密码等信息,而这些信息的配置可能是套装化软件不能修改的。在发现了敏感数据后我们就要对敏感数据进行加密、脱敏、去标识化操作,在五级电子病历的要求中也有一条数据加密的要求,数据加密其实有两种做法,一种是在存储层(通过存储设备进行加密),另一种在系统层(通过对操作系统的配置文件,或者对数据库的数据进行加密),第一种方法的难度较小,而第二种方法的难度较大,需要考虑数据被加密的方法和被使用过程中的解密,对于数据量小可以考虑非对称加密,而数据量大的只能使用对称加密,这也就是 SSL 的机制,通过非对称加密秘钥,然后通过秘钥对称加密数据流,在确保业务正常的情况下,实现安全的需求。针对脱敏、去标识化操作可以通过好几处实现,可以通过后端实现,也可以通过前端实现,通过后端实现时当数据从应用层往前端传输时就是去脱敏、去标识化的数据,甚至是在数据库中就是脱敏、去标识化的,而在前端实现,我们可以在客户端本地开启代理,直接可以获得明文的数据,从安全性来考虑肯定是后端实现更安全。我们在做数据加密、脱敏、去标识化时要考虑的重要一点就是业务是否支持,有些数据虽然是敏感数据,但是以密文呈现时是无法进行正常业务的办理和交互的,如果要实现正常业务办理和交互,可能需要改变流程、规范,并且付出巨大的代价,在医院以业务为中心的情况下,个人觉得短期内很难很难实现,我个人在落地一个数据安全的产品时就提出了这样一个问题,该产品逻辑串联在数据库客户端和数据库服务器之间实现数据库字段的加密、脱敏、去标识化操作,而我们的 HIS 业务每天都有大量的问题要处理,在处理过程中需要通过这些敏感的数据进行确认、判断、修改,不可能专门安排一个人每天在对字段做解密、加密的操作,还需要配合专门的流程来规范这个操作,在一个业务系统没有稳定、技术人员缺乏的情况下,这样的功能很难落地,就算落地了也只是很小的范围,如何满足二者需要靠广大读者来帮忙想想办法了。
3 、 数据备份恢复
a) 应提供重要数据的本地数据备份与恢复功能;b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。我问了很多医院,大家可能都建立了容灾环境,但是很少有医院做容灾测试,对于五级电子病历的要求是每年至少一次的容灾演练(还需要结合业务场景),每季度至少一次的数据全量恢复测试,一个没有测试过的容灾系统真的很难让人相信在出问题的时候可以撑得住真实业务,也许容灾的切换过程没有问题,但是容灾的硬件资源、硬件配置、软件调整等是否能让用户在较短的时间内进行边便捷的切换操,五级电子病历对于数据丢失的要求比较松, 2 小时以内即可,但是医院对于数据丢失是难以容忍的,对于信息化较长时间都无法正常使用也是无法容忍的,我们要尽可能做到 RPO 、 RTO 最小化。对于备份,我尽量做到 321 原则, 3 份数据、 2 种不同介质、 1 份存于异地,结合第一点和第二点,我将数据存放于起码 2 种不同物理设备上,存储 3 份,再结合第三点将一份数据存储于异地,两份数据存于本地。我们医院有两个院区,两院区直线公里数其实小于 40 ㎞ , 而等保的异地要求是直线大于 100 ㎞ , 对于没有分院的小伙伴们,其实我建议可以将另一份数据存到异地云上,最起码在本地真的数据没办法恢复时还有一根救命稻草,虽然恢复的时间可能会长一点。我会将两院区的数据做相互的异地备份,尽可能提高数据备份的频率,减少数据的丢失,核心业务系统采用实时备份或者容灾的方式,在使用较高频率备份的情况下,我们对于备份、容灾的硬件就有一定的要求,较差的 HDD 盘是无法支撑起大数据量、高并发的备份任务,可能出现任务排队,那就会得不偿失;在备份上我们就出现过一个问题,之前工程师在配置 RMAN 备份保留的脚本操作是先删除原来的备份,在进行下一次备份,如果前一次备份删除了,后一次备份没有成功,那就没有了全量数据,这样的备份是没有意义的,大家可以检查下自己的环境是否存在这样的问题。在备份的类型上,分为物理备份和逻辑备份, 21 年我就听到了别的医院出现了 Oracle 的逻辑坏块,出现坏块后数据库无法正常启动,而容灾系统通过 Oracle Data Guard 实现, DG 属于物理块同步,面对逻辑错误不会校验,而直接将这个逻辑错误同步给了容灾库,导致容灾库也无法正常拉起,并且当时也没有配置长时间的闪回空间,导致最后花了很大的代价才恢复了一部分丢失的数据,并且业务中断了很久,可以通过 OGG 解决这个问题,并且 OGG 可以支持跨数据库、操作系统类型之间的数据复制,但是配置难度比 DG 大了很多;另外的办法是通过 CDP 实现 IO 级别的备份,当出现逻辑错误数据库无法正常使用的时候,通过 CDP 的 IO 回退到正常的时间点,当然中间丢失的数据需要人工去弥补,这样通过数据库外部的方式解决数据备份的问题。
4、个人信息保护
a) 应仅采集和保存业务必需的用户个人信息;b) 应禁止未授权访问和非法使用用户个人信息。这两点在《个人信息保护法》中也有明确提到,该法律中多次提到了收集个人信息要有“询问 - 确认”的过程,并且在用户不同意提供个人信息的情况下,不能拒绝对用户提供服务,只收集必需的个人信息,要告知用户收集每种类型个人信息的目的,告知用户如何处理、传递、使用个人信息。在疫情当下,全国的医院都紧锣密鼓的推广互联网医院,意味着有一个面向患者的医院互联网系统,患者可以直接面向这个互联网系统,那对系统的提交信息、问询交互有了更直接的了解,我们在做互联网系统的时候要结合《网络安全法》、《数据安全法》和《个人信息保护法》三驾马车来严格要求开发时的安全需求,自从三部法律上台后有多少互联网 APP 因不符合要求被责令整改、罚款、下架等,我们也该引以为戒。