合規(guī)建設(shè)勢在必行
隨著數(shù)字化進程的不斷推進���,醫(yī)衛(wèi)行業(yè)在自助繳費����、病例存檔����、康復(fù)周期管理���、社區(qū)醫(yī)院等業(yè)務(wù)環(huán)節(jié)逐步實現(xiàn)了互聯(lián)網(wǎng)的深度融合����。同時��,醫(yī)院的信息系統(tǒng)中存貯著大量患者診療過程����、臨床數(shù)據(jù)����、科研數(shù)據(jù)��、藥品衛(wèi)生等信息���,隨著大數(shù)據(jù)分析等����、在線醫(yī)療��、醫(yī)療數(shù)據(jù)共享的落地�,在提升就診效率、針床診斷準(zhǔn)確性的同時����,帶來了諸多的網(wǎng)絡(luò)安全風(fēng)險。
本文將為您解讀醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)安全運營的現(xiàn)狀與特性��,分享高效智能的安全運營解決方案�。
01
現(xiàn)狀與特性
在系統(tǒng)層面上,醫(yī)衛(wèi)行業(yè)有超百余套不同種類的業(yè)務(wù)系統(tǒng)��,例如,醫(yī)療器械制造����、HIS、LIS�、PACS系統(tǒng)等醫(yī)院數(shù)據(jù)合規(guī),業(yè)務(wù)系統(tǒng)之間均存在錯綜復(fù)雜的關(guān)聯(lián)接口����。為保障業(yè)務(wù)連續(xù)性,業(yè)務(wù)系統(tǒng)�、數(shù)據(jù)庫等的漏洞修復(fù)工作都比較謹(jǐn)慎。其次��,在中國醫(yī)院協(xié)會的信息化調(diào)查報告中����,絕大多數(shù)醫(yī)院的安全防護設(shè)備接入率小于50%。再次��,醫(yī)衛(wèi)系統(tǒng)作為我國重要的信息基礎(chǔ)設(shè)施����,是黑客的重點攻擊對象��,規(guī)模性攻擊事件層出不窮。綜上���,醫(yī)衛(wèi)行業(yè)的整體網(wǎng)絡(luò)安全防御態(tài)勢并不樂觀�。
同時�����,醫(yī)療行業(yè)存在著大量數(shù)據(jù)未分類分級����、數(shù)據(jù)可用性未評估、數(shù)據(jù)傳輸保護不完備等現(xiàn)象���,缺乏對數(shù)據(jù)安全的全生命周期防護��。
基于以上業(yè)務(wù)系統(tǒng)眾多����、關(guān)聯(lián)性高����、數(shù)據(jù)敏感度高等原因,2019年12月��,關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)試點在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上對醫(yī)衛(wèi)行業(yè)提出了更高的網(wǎng)絡(luò)安全要求。2020年6月��,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》�、《數(shù)據(jù)安全法》和《個人信息保護法》相繼列入立法工作計劃。
在面臨系統(tǒng)合規(guī)的安全運營中���,醫(yī)衛(wèi)行業(yè)的網(wǎng)絡(luò)和系統(tǒng)運維缺乏專職的安全技術(shù)人員或管理人員��,安全設(shè)備多為設(shè)備廠商或第三方技術(shù)人員進行運維����,運維人員往往通過不安全的方式接入內(nèi)網(wǎng)開展工作�。因此,建設(shè)完善的網(wǎng)絡(luò)安全防御體系�����,落實網(wǎng)絡(luò)安全等級保護建設(shè)工作勢在必行����。
02
現(xiàn)行方案存在的問題
從服務(wù)團隊的大量項目實踐中,我們了解到現(xiàn)行應(yīng)用于醫(yī)衛(wèi)行業(yè)的解決方案仍是以部署設(shè)備為主����,一定程度上讓醫(yī)衛(wèi)行業(yè)的政企客戶具備了一定的防護能力醫(yī)院數(shù)據(jù)合規(guī),但并未解決安全運營人員管理�、攻防能力提升、設(shè)備協(xié)調(diào)聯(lián)動等問題�����。同時在系統(tǒng)合規(guī)層面上����,缺乏完整閉環(huán)的安全運營解決方案。
03
下一代安全運營解決方案
基礎(chǔ)防護 /
醫(yī)衛(wèi)行業(yè)的基礎(chǔ)安全防護重點在防勒索�����、抗DDoS流量攻擊��、網(wǎng)頁篡改等滲透攻擊行為��,下一代安全運營將日志數(shù)據(jù)中的異常情況通過AI和知識圖譜等工具�����,及時發(fā)現(xiàn)并預(yù)警�����,形成風(fēng)險評估報告。同時����,加強漏洞發(fā)現(xiàn)與修復(fù)、郵件應(yīng)用防護�、終端數(shù)據(jù)安全等服務(wù)的聯(lián)動,形成主動防御態(tài)勢�����。
數(shù)據(jù)安全 /
在滿足基礎(chǔ)的網(wǎng)絡(luò)安全防護下��,對大量醫(yī)療數(shù)據(jù)進行分級分類管理��,參考“數(shù)據(jù)發(fā)現(xiàn)-分類分級-違規(guī)監(jiān)控-追溯反制”基礎(chǔ)流程進行全生命周期管理����。建立醫(yī)療數(shù)據(jù)使用管理制度,與相關(guān)方明確權(quán)責(zé)關(guān)系����;涉及醫(yī)療數(shù)據(jù)的共享時,應(yīng)在明確隱私邊界的前提下進行數(shù)據(jù)脫敏�、篩選等預(yù)處理,滿足不同場景下高效安全調(diào)用的需求����。
同時配合全周期數(shù)據(jù)存儲、加密���、脫敏�、傳輸���、使用�、審計����、備份、云平臺監(jiān)管等安全措施��,構(gòu)建覆蓋云平臺�、服務(wù)器、終端���、大數(shù)據(jù)平臺的全方位的數(shù)據(jù)安全管理能力�。
合規(guī)管理 /
在滿足通用法律法規(guī)和醫(yī)療行業(yè)法律法規(guī)下��,輔助省級監(jiān)管平臺和醫(yī)療機構(gòu)對用于互聯(lián)網(wǎng)診療平臺的系統(tǒng)進行三級及以上的信息安全等級保護��。
持續(xù)運營 /
圍繞等保合規(guī)技術(shù)、管理層面中十個維度��,結(jié)合《醫(yī)療保障信息平臺建設(shè)指南》劃分業(yè)務(wù)區(qū)域和網(wǎng)絡(luò)功能域��、根據(jù)鏈路負(fù)載情況及業(yè)務(wù)關(guān)鍵性進行整體架構(gòu)設(shè)計��、構(gòu)建上述基礎(chǔ)安全防護聯(lián)動體系���、構(gòu)建以資產(chǎn)為核心覆蓋“威脅檢測-安全防護-安全審計”的智能化安全運營中心等智能化協(xié)調(diào)管控平臺�����。
04
成功案例
更多定制化安全運營解決方案����,
請撥打咨詢服務(wù)熱線����。
遠(yuǎn)禾科技客戶安全團隊提供7*24小時運維支持!
