HIT专家网
来源:HIT专家网 记者:孙鹏
移动医疗安全的核心问题是边界安全被打破,需要重构安全新边界。
今年5月,“勒索病毒”使医院成为了受威胁“重灾区”之一,这给国内医疗机构敲响了安全警钟。在刚刚结束的CHIMA 2017信息安全专题拓导课上,北京启迪思创科技有限公司(以下简称:启迪思创)联合创始人兼CTO段继平发表了主题演讲,重点介绍了该公司在移动医疗安全领域的应用方案。启迪思创营销总经理沈廷财还接受了媒体的采访。
医疗机构对移动医疗安全的新需求
沈廷财表示,国内医疗信息化建设正全面走向移动化,在技术和需求的双向驱动下,正不断涌现出诸如移动护理、移动查房、慢病随访等各种移动医疗业务场景。他认为,移动医疗面临的安全问题主要是安全防护技术落地难、数据泄漏出口多,最大的难点在于移动化业务各自独立而缺乏平台化安全管理,同时在安全合规方面也存在较大问题。现阶段,从整体上看,医疗机构在移动医疗安全领域主要存在四点新需求。
启迪思创营销总经理 沈廷财
首先,在安全防护技术应用方面,安全隔离、安全检测、安全审计等基础防护策略很难在移动化场景中应用,医疗系统的信息安全建设多年来执行等保的防护思路,而等保的基本防护策略是以安全隔离为基础的。由于移动化的业务和数据是落地到移动终端上,通过隔离技术实现安全防护不能从网络边界、终端边界等方面入手,只能从终端手机的操作系统之上考虑隔离技术的实现,这就大大提高了安全防护的技术难度。
其次,移动医疗对于信息安全构成挑战。沈廷财认为,要做好数据防泄漏的策略部署,首先就要找到所有的数据泄漏出口,从数据的原始产生、存储、传输、阅读、修改、数据的销毁等环节,严格设定数据使用的场景,不给数据泄漏提供出口。
再次,由于移动化业务系统建设基本采用各自独立的建设模式,医院急需建设一个统一的移动化安全应用。从安全和管理上来看,信息系统建设的基本建设思路是要遵循顶层设计,建设基础性平台来支持应用的持续扩展。而在实际的移动化业务中,一些基础的支撑模块具备共性要求,如统一用户中心、统一单点登录、统一消息推送等。这些基础的支撑模块构建一个统一的底层防护平台,不仅能将降低应用扩展成本、提升安全能力,而且标准化、基础平台的性能和兼容性也不需要移动化应用考虑。
最后是安全合规问题。沈廷财表示,新的国家《网络安全法》从今年6月1日开始实施,安全合规是医疗信息系统必须要首先满足的基础性要求。“对于医疗信息系统,重点是符合安全等级保护的相关标准,如果每一个移动业务系统在建设时都要考虑等保标准的满足,对于建设者来说存在很大困扰。”沈廷财说,“能否通过构建一个基础性的安全平台,让所有移动业务都能在此平台上运行,由平台保证安全合规和安全能力,移动业务的安全合规完全继承平台的安全能力,这种解决方案能一次性解决安全合规的问题,信息安全管理者何乐而不为?”
启迪思创的解决应对之道
据沈廷财介绍,针对医疗机构在移动安全领域面临的四点新需求,启迪思创提供了以移动安全管理平台(简称为“MSP”)为核心的解决方案。
在安全技术方面,启迪思创独创了“安全空间”技术。“我们在移动终端(如手机)上,独创性的构建了一个虚拟化的、干净的、能够独立运行且具备隔离、检测、审计等安全技术于一体的‘安全空间’。它能与移动终端的原生操作系统天然隔离,相互没有任何交互,能够确保重要数据不外传,恶意数据进不来。”沈廷财表示,“安全空间”只能运行管理员授权的应用、文件和其他数据,所有非授权数据无法进入和运行。同时,“安全空间”完全独自运行,内部的套件齐全,如即时通讯、安全相机、安全浏览器、安全邮件等均满足办公的要求,所有工作内容在其中都能完成。
此外,“安全空间”在彻底安全隔离的基础上,还配置安全检测、异常检测和审计、合规检测和审计等基础安全能力。“可以说,启迪思创在移动终端上建立了一个完全独立的私有安全空间,这个空间只能和后台的管理服务器以及其他空间交互,这就构建了一张安全网络,也可以叫移动化业务安全运行的小生态。”沈廷财说。
从数据防泄漏的角度看,安全防护的核心对象是数据,因此,启迪思创基于安全空间技术,构建了一个闭环的、可控的数据生命周期安全防护的体系。沈廷财介绍,数据的产生是由管理员严格定义,而应用的分发、文件的分发都是通过策略定义完成的。数据的存储和传输采用的是加密机制,加密算法支持国密等机制,传输则通过SLL技术来实现,以确保数据不被破解。而数据的阅读是采用打水印的技术来防止拍照或截屏泄漏,打水印的数据可追溯至泄漏终端。数据的修改是通过严格控制复制粘贴、转发等功能来进行。在数据销毁方面,当手机丢失后能一键远程擦除数据,如果设备更替,系统支持相应的配置流程。“对于专用的工作场景,我们的技术能通过策略配置来固化工作场景,无法跳回原生桌面。所以,我们的技术在数据防泄漏层面防护全面无死角。”沈廷财说。
据了解,启迪思创采取产品开放策略,现已形成多个能力中心,可与各APP业务深度结合,通过启迪思创的移动安全平台,可以提供统一用户能力,统一单点登录,统一消息推送等业务支撑性的开放接口。对于管理者来说,统一的用户管理中心可以解决各业务系统独立管理用户的问题,对于终端用户来说,登录统一的安全平台就能一次性登录各业务系统。同时,统一的消息推送还可以归类、排序、单一窗口提示。“当然,启迪思创的安全能力也是天然继承过来的,如果应用自身想集成这个安全能力,我们也提供各类即成SDK包供选择。”沈廷财说。
“安全空间”重构安全新边界
启迪思创始终认为,现阶段,移动医疗安全的核心问题就是边界安全被打破,而其在移动安全领域的理念就是通过“虚拟隔离”、“闭环安全”和“基础服务”三重方式来重构安全新边界,在移动端形成独立完善的移动“安全空间”。
沈廷财表示,与市场上其他厂商提供的类似沙箱功能相比,启迪思创的“安全空间”的优势主要体现在三个方面。
第一,一般具备类似沙箱功能的安全应用只是把APP图标放到一个统一的界面里面,但是APP应用程序和APP数据实际上都是在原生系统里面安装和存放,而启迪思创的“安全空间”的APP应用程序和APP数据都是存在“安全空间”中。前者是视觉上的隔离,后者才是真正实现隔离。
第二,要想实现类似沙箱的功能就需要对APP进行二次封装,嵌入安全代码。而启迪思创“安全空间”不需要对APP本身做任何改动。
第三,“安全空间”的安全控制能力达到设备级别,不需要设备厂商授权就可以实现禁应用、禁4G移动数据、数据擦除等。“这些以往都是必须由设备厂商开通权限才可以做的事情,因此,我们的兼容性性很强,不仅可以跨平台、跨应用还可以跨设备。”沈廷财说。
沈廷财表示,在移动安全管理平台打开之后,用户在数据储存与数据使用方面不会体验到任何变化,但从安全防护上来说,所有在“安全空间”里存储和使用的应用数据,在存储的时候都会被加密,只有合法身份的用户在进行读取和使用的时候才会对数据进行解密。
HIT专家网了解到,目前,启迪思创在国内已服务于百余家各级医疗机构,其中包括北京协和医院、中国医科大学附属第一医院等全国性、区域性的知名医院。
总结来看,在现阶段的实际应用中,启迪思创的产品正帮助医疗信息化管理者解决三个问题。一是解决安全的问题,安全合规、安全隔离、数据防泄漏等;二是解决移动化应用建设的基础支撑问题,包括统一用户管理、单点登录、统一消息推送、统一安全管理等;三是解决管理的问题,通过启迪思创构建的安全空间,形成工作场景的小生态,启迪思创产品的后台可以对于终端、应用、数据统一进行管理和呈现,形成态势图,管理者能够第一时间了解这个生态的安全现状和使用现状。
【相关链接】
北京启迪思创科技有限公司(以下简称:启迪思创),是一家以安全为核心的移动化基础服务商,秉承“让移动更安全,让安全更智能”的使命,面向全球企业级用户提供创新的移动安全解决方案。
目前,启迪思创的核心产品——移动安全管理平台(简称“MSP”)已被广泛应用于政府、公安、央企、军工、金融、证券、保险、能源、医疗、教育及流通等领域,辐射数千万企业级移动终端用户。
未来,启迪思创计划依托云计算、大数据等新兴技术在移动化、物联网以及人工智能领域,持续创新,不断优化用户体验,以更安全智能的方式,切实解决企业移动化进程中的各种安全和应用基础问题,帮助企业用户和移动软件开发商(ISV)专注于核心竞争力的提升。
评论前必须登录!
注册