合規(guī)建設(shè)勢在必行
隨著數(shù)字化進(jìn)程的不斷推進(jìn)��,醫(yī)衛(wèi)行業(yè)在自助繳費(fèi)����、病例存檔、康復(fù)周期管理���、社區(qū)醫(yī)院等業(yè)務(wù)環(huán)節(jié)逐步實(shí)現(xiàn)了互聯(lián)網(wǎng)的深度融合。同時(shí)����,醫(yī)院的信息系統(tǒng)中存貯著大量患者診療過程、臨床數(shù)據(jù)��、科研數(shù)據(jù)����、藥品衛(wèi)生等信息��,隨著大數(shù)據(jù)分析等�����、在線醫(yī)療�����、醫(yī)療數(shù)據(jù)共享的落地,在提升就診效率�����、針床診斷準(zhǔn)確性的同時(shí)�����,帶來了諸多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����。
本文將為您解讀醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)安全運(yùn)營的現(xiàn)狀與特性��,分享高效智能的安全運(yùn)營解決方案����。
01
現(xiàn)狀與特性
在系統(tǒng)層面上���,醫(yī)衛(wèi)行業(yè)有超百余套不同種類的業(yè)務(wù)系統(tǒng)�,例如�����,醫(yī)療器械制造、HIS����、LIS、PACS系統(tǒng)等醫(yī)院數(shù)據(jù)合規(guī)���,業(yè)務(wù)系統(tǒng)之間均存在錯(cuò)綜復(fù)雜的關(guān)聯(lián)接口���。為保障業(yè)務(wù)連續(xù)性��,業(yè)務(wù)系統(tǒng)���、數(shù)據(jù)庫等的漏洞修復(fù)工作都比較謹(jǐn)慎�����。其次���,在中國醫(yī)院協(xié)會(huì)的信息化調(diào)查報(bào)告中���,絕大多數(shù)醫(yī)院的安全防護(hù)設(shè)備接入率小于50%。再次�,醫(yī)衛(wèi)系統(tǒng)作為我國重要的信息基礎(chǔ)設(shè)施,是黑客的重點(diǎn)攻擊對象��,規(guī)模性攻擊事件層出不窮����。綜上,醫(yī)衛(wèi)行業(yè)的整體網(wǎng)絡(luò)安全防御態(tài)勢并不樂觀����。
同時(shí)����,醫(yī)療行業(yè)存在著大量數(shù)據(jù)未分類分級(jí)、數(shù)據(jù)可用性未評(píng)估���、數(shù)據(jù)傳輸保護(hù)不完備等現(xiàn)象�����,缺乏對數(shù)據(jù)安全的全生命周期防護(hù)�。
基于以上業(yè)務(wù)系統(tǒng)眾多、關(guān)聯(lián)性高���、數(shù)據(jù)敏感度高等原因���,2019年12月,關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)試點(diǎn)在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上對醫(yī)衛(wèi)行業(yè)提出了更高的網(wǎng)絡(luò)安全要求��。2020年6月��,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》��、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼列入立法工作計(jì)劃����。
在面臨系統(tǒng)合規(guī)的安全運(yùn)營中,醫(yī)衛(wèi)行業(yè)的網(wǎng)絡(luò)和系統(tǒng)運(yùn)維缺乏專職的安全技術(shù)人員或管理人員�,安全設(shè)備多為設(shè)備廠商或第三方技術(shù)人員進(jìn)行運(yùn)維,運(yùn)維人員往往通過不安全的方式接入內(nèi)網(wǎng)開展工作��。因此���,建設(shè)完善的網(wǎng)絡(luò)安全防御體系����,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作勢在必行。
02
現(xiàn)行方案存在的問題
從服務(wù)團(tuán)隊(duì)的大量項(xiàng)目實(shí)踐中���,我們了解到現(xiàn)行應(yīng)用于醫(yī)衛(wèi)行業(yè)的解決方案仍是以部署設(shè)備為主����,一定程度上讓醫(yī)衛(wèi)行業(yè)的政企客戶具備了一定的防護(hù)能力醫(yī)院數(shù)據(jù)合規(guī)���,但并未解決安全運(yùn)營人員管理��、攻防能力提升��、設(shè)備協(xié)調(diào)聯(lián)動(dòng)等問題��。同時(shí)在系統(tǒng)合規(guī)層面上���,缺乏完整閉環(huán)的安全運(yùn)營解決方案�。
03
下一代安全運(yùn)營解決方案
基礎(chǔ)防護(hù) /
醫(yī)衛(wèi)行業(yè)的基礎(chǔ)安全防護(hù)重點(diǎn)在防勒索、抗DDoS流量攻擊��、網(wǎng)頁篡改等滲透攻擊行為����,下一代安全運(yùn)營將日志數(shù)據(jù)中的異常情況通過AI和知識(shí)圖譜等工具�����,及時(shí)發(fā)現(xiàn)并預(yù)警�����,形成風(fēng)險(xiǎn)評(píng)估報(bào)告����。同時(shí)����,加強(qiáng)漏洞發(fā)現(xiàn)與修復(fù)、郵件應(yīng)用防護(hù)���、終端數(shù)據(jù)安全等服務(wù)的聯(lián)動(dòng)�����,形成主動(dòng)防御態(tài)勢��。
數(shù)據(jù)安全 /
在滿足基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)下�����,對大量醫(yī)療數(shù)據(jù)進(jìn)行分級(jí)分類管理���,參考“數(shù)據(jù)發(fā)現(xiàn)-分類分級(jí)-違規(guī)監(jiān)控-追溯反制”基礎(chǔ)流程進(jìn)行全生命周期管理�。建立醫(yī)療數(shù)據(jù)使用管理制度��,與相關(guān)方明確權(quán)責(zé)關(guān)系���;涉及醫(yī)療數(shù)據(jù)的共享時(shí)���,應(yīng)在明確隱私邊界的前提下進(jìn)行數(shù)據(jù)脫敏、篩選等預(yù)處理�����,滿足不同場景下高效安全調(diào)用的需求����。
同時(shí)配合全周期數(shù)據(jù)存儲(chǔ)���、加密�����、脫敏�、傳輸、使用�、審計(jì)、備份�、云平臺(tái)監(jiān)管等安全措施,構(gòu)建覆蓋云平臺(tái)�、服務(wù)器、終端�����、大數(shù)據(jù)平臺(tái)的全方位的數(shù)據(jù)安全管理能力��。
合規(guī)管理 /
在滿足通用法律法規(guī)和醫(yī)療行業(yè)法律法規(guī)下��,輔助省級(jí)監(jiān)管平臺(tái)和醫(yī)療機(jī)構(gòu)對用于互聯(lián)網(wǎng)診療平臺(tái)的系統(tǒng)進(jìn)行三級(jí)及以上的信息安全等級(jí)保護(hù)�����。
持續(xù)運(yùn)營 /
圍繞等保合規(guī)技術(shù)�、管理層面中十個(gè)維度,結(jié)合《醫(yī)療保障信息平臺(tái)建設(shè)指南》劃分業(yè)務(wù)區(qū)域和網(wǎng)絡(luò)功能域、根據(jù)鏈路負(fù)載情況及業(yè)務(wù)關(guān)鍵性進(jìn)行整體架構(gòu)設(shè)計(jì)��、構(gòu)建上述基礎(chǔ)安全防護(hù)聯(lián)動(dòng)體系����、構(gòu)建以資產(chǎn)為核心覆蓋“威脅檢測-安全防護(hù)-安全審計(jì)”的智能化安全運(yùn)營中心等智能化協(xié)調(diào)管控平臺(tái)。
04
成功案例
更多定制化安全運(yùn)營解決方案�����,
請撥打咨詢服務(wù)熱線���。
遠(yuǎn)禾科技客戶安全團(tuán)隊(duì)提供7*24小時(shí)運(yùn)維支持���!
