HIT专家网
来源:HIT专家网 作者:李崇铭 整理
2023年11月11日,在2023年南湖HIT论坛上,HIT专家网联合杭州美创科技股份有限公司(以下简称美创科技)发布《医疗数据安全风险分析及防范实践》白皮书2023年最新版。白皮书回顾了2022年医疗行业数字安全和网络安全的整体发展情况,为目前面临的重难点问题提供解决思路并展示了实践案例。
美创科技资深技术专家葛宏彬介绍,美创科技提供数据分类分级、数据流动风险评估、数据安全运营管控、医疗数据合规安全等方面的支持,有效解决医疗机构“临床业务数据合规流动”与“重要数据安全防护”两大难题,为医疗机构免除数字化转型过程中的安全之忧。
新需求:夯实数字化转型的数据安全基础
数字化转型是各行业降本增效的有效途径,特别是医疗行业,数字+医疗的服务模式不仅帮助医疗机构降低运营管理的成本和压力,还使医疗资源得到更高效的利用和调配。葛宏彬介绍,数字化转型带来的变化主要体现在三个方面:
第一,业务变化。系统的深度数字化带动业务走向互联网化,患者的线上咨询、问诊等需求逐步提升,医疗机构的业务数量和数据安全防护难度自然“水涨船高”。
第二,IT基础设施变化。医疗业务与数据成倍递增,加剧了IT基础设施的消耗,也对设施规模和质量提出了更高的要求。“以往医疗机构可能买几台服务器、几台交换机、一些存储设备来搭建基础设施,现在则要建造一个大的IT集群,投入十几台甚至上百台设备以支撑一个业务系统。”
第三,数据变化。医疗业务和设施规模扩大,系统从孤岛化到交互化、连结化,其数据的海量化、资产化是大势所趋。同时,大数据技术又催生了新的业务,数据资源被广泛应用于临床救治、管理分析和医学科研,医疗数据安全的重要性不言而喻。
从数据安全的角度来看,医院数字化转型带来了新的问题。“数据安全建设必须跟上医院数字化转型的步伐。”葛宏彬介绍,在以往的系统架构下,数据安全以管理好数据库为主,强调“边界安全”,为数据的网络出口打造一扇“安全门”;现今医疗数据成倍递增,安全维护的工作量变大了,且医疗数据流动性增强,在数据上云、系统运维或与其他机构合作过程中可能会“出域”,“长出腿来跑出门外”,传统IT架构下的数据安全防护措施存在失效的风险。
近几年,《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《关键信息基础设施安全保护条例》、《数据出境安全评估办法》等一系列法规相继发布,重点强调数据安全。医疗机构既要加强数据管控,又要响应法规、政策要求。同时,医疗机构数据的高价值和隐私性是黑客或非法组织关注的焦点,其对数据安全的干扰与威胁不容忽视。
新对策:围绕数据安全场景,提供美创解决方案
医疗行业数字化发展离不开数字安全建设,业务发展要以保障数据安全为前提。葛宏彬介绍,目前医疗机构的数据安全需求主要集中在“重要数据安全防护”和“医院等级评审相关的数据安全能力测评”两方面,需重点关注存量敏感数据管理风险和数据流动与共享风险。
首先,应对存量敏感数据管理风险。目前医疗机构主要存在八类数据安全隐患,涉及在线医疗数据、医联体访问数据、临床科研数据、医保数据、医疗设备维保数据、健康大数据中心数据、可穿戴健康设备数据和医疗健康App数据。“医疗数据一经泄露,无法挽回,因此数据安全更多地是在事前、事中两阶段进行保障。”葛宏彬分析,防止医疗数据泄露,需从管理人员权限和抵御外部攻击两方面入手。
一方面,为满足用户数据库安全运维管理需求,美创科技推出“数据库防水坝”产品,建立完善的访问记录和权限审批机制,解决共享账户责权不明、大权限账户导致的数据泄露等问题。美创科技还自主研发数据库安全审计系统,解析数据库协议,并对其中的SQL语句和语法进行提取、分析、还原对应行为,根据预先设置的策略进行告警提醒和实时记录,实现对数据库的全面监控和审计。
另一方面,加强数据库对外部攻击的防御能力,应对外部的SQL注入和勒索病毒攻击。葛宏彬介绍:“数据勒索造成的损失无法估量,可能导致医疗业务再也无法开展,甚至危及病患生命安全。因此数据安全不仅要防止泄露,还要防止篡改、防止黑客加密数据。”
对此,美创数据库防火墙对白名单之外的、符合SQL注入特征的可疑非法操作进行阻断,真正做到SQL危险操作的主动检测、预防、实时审计;美创诺亚防勒索系统主动防护已知和未知的勒索病毒,全面防范病毒攻击,确保信息系统的高可用性和数据安全性。
第二,关注医疗数据流动与共享风险。医疗行业数据具有数据量大、来源广泛、类型多样、存储复杂、实时性强的典型特征,具有极高的应用价值。美创科技提供流动临床数据脱敏、共享数据使用授权、数据利用安全评估以及上报数据追踪溯源等安全功能,有效解决医疗机构临床业务数据共享中存在的数据安全风险。针对回流数据、数据多节点泄露、API接口二次封装、涉疫数据安全销毁等安全风险细分场景,美创科技也为医疗机构提供相应的解决方案。
“美创科技提供的是搭建数据安全保障体系的能力。我们会综合考察医疗机构的情况,部署平台+产品,有针对性地解决不同场景下的安全问题。”葛宏彬介绍,美创科技结合政策法规背景和医疗机构自身需求,通过“摸家底”“识风险”“建体系”三个步骤,帮助医疗机构梳理数据资产,评估安全能力,打造全链路、全周期的数据安全监测与管控体系。
针对医疗机构等级评审过程中的数据安全评测需要,美创科技深入解读法律法规和重点业务系统的数据安全建设要求,对灾备集中管控平台(DRCC)、美创数据库透明加密、数据分类分级、数据库防水坝等安全产品进行调优,为用户提供不同场景、不同评审要求下有所区别的解决方案。此外,美创科技为医疗机构提供“密评”存储加密建设、涉疫数据安全保护、数据高铁建设、数据出境安全等方面的能力支持。
“美创科技是一家懂数据、懂安全的数据安全企业。从数据库、数据治理、数据资产转向数据安全的发展历程,使得美创科技对数据库有较为深入的了解,能够更好地对接医疗机构的需求。”葛宏彬介绍,美创科技已形成涵盖咨询服务、核心产品、数据安全运营服务的三大体系,赋能医疗行业客户总数超过5000家。美创科技将继续深耕数据安全领域,为医疗机构数字化转型和运营管理保驾护航。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:陈曦】
评论前必须登录!
注册