导读:随着信息化技术日益深入到医院的日常运营中,医院信息系统的安全工作迎来了新的挑战,重庆市某医院信息化系统的网络安全已处于相当高的水准,但在患者的数据安全保护方面,还存在不足之处。医院经过多轮的产品功能测试后,最终选择了美创科技数据安全整体解决方案,实现了多场景下数据安全的防护、数据状态实时动态监控,整体防护效果大幅度提升。
在“新医改”政策和数字化技术的双重推动下,我国医疗行业的数字化转型取得了长足的进步,医疗数据成为国家重要的基础性战略资源,与此同时,随着信息化技术日益深入到医院的日常运营中,医院信息系统的安全工作迎来了新的挑战,敏感数据及隐私泄露、非法篡改等问题日益凸显。
重庆市某医院作为承担我国西南地区数百万人口医疗任务的三甲医院,近年来一直将“智慧医院”建设列为重点工作来落实,通过不断创造条件,强力推进,使智慧化医疗等级和水平不断提升;通过进一步深化信息平台建设,积极推进互联网医院建设,运用5G信息技术,延伸医疗服务的广度和深度,为广大群众提供方便快捷、优质优廉的医疗服务。
1需求背景
该院经过多年的建设,信息化系统的网络安全已处于相当高的水准,各类安全产品都已上线,但在患者的医疗数据安全保护方面,还存在不足之处,具体如下:
▶ 互联网医院的建成,使业务数据暴露在外网,无法防止恶意的窃取、加密等对医疗数据的破坏行为;
▶ 医院运维人员的操行审计仅靠堡垒机的事后审计,无法在数据库层面上做细粒度的管理,且无法做到危险操作的“及时阻断”;
▶ 第三方的开发测试团队仍然在使用医疗业务真实数据,存在医疗数据外泄的风险;
2方案内容
医院经过对接多家安全厂商,多轮的产品功能测试后,最终,在原来仅使用美创诺亚防勒索系统的基础上,选择了美创科技数据安全整体解决方案,实现了在多个数据使用场景下数据安全的防护,实时动态监控数据状态,并保障多个安全产品联动防护效果的整体提升,实现医疗数据安全防护。
部署示意图
PART1.外部攻击威胁防御
依托美创数据库防火墙系统,分析从业务端发起的数据库访问请求,启用机器智能学习业务系统语句,防范SQL注入攻击,以及利用数据库漏洞发起的攻击行为。同时,依赖于数据库的虚拟补丁技术,应对上级的监管部门的安全技术检查。
PART2.规范内部运维人员行为
通过美创数据库防水坝系统,从运维人员登陆数据库的方式、敏感数据的分级分类、访问权限的细粒度划分、危险操作梳理、启用运维工单系统等多方面,管理第三方运维人员的运维工作,从内部消除患者数据安全威胁。
PART3.流动数据安全防护
依托美创数据脱敏系统,结合各种应用场景的需求,通过内置的丰富脱敏规则自动发现和梳理敏感数据,基于丰富的脱敏算法和不同的脱敏场景需求,实现敏感数据变形,漂白和替换,同时保持脱敏后数据的业务一致性;同时针对不同类别的脏数据提供智能化报表分析,进而优化和提升数据质量,辅助数据管理,在避免数据泄露的前提下,满足开发测试商的数据使用需求。
PART4.全面、精确审计
依托美创数据库安全审计系统,以数据资产安全访问合规为出发点,包含直连访问流量在内,以入库流量的精确审计、全面审计及大数据引擎检索为基础,致力于数据库安全审计的日常化运营、可疑分析和安全报告,全面管理起整个数据库安全事件的生命周期,满足医疗卫生行业的相关合规要求。
PART5.统一安全管理
通过美创数据风险感知平台与数据安全统一管控平台,将多个独立的安全产品进行统一的管理,实现安全策略统一下发、告警信息统一收集、报表统一生成、安全设备统一监管。
3客户收益
1、建立数据资产为核心、由内而外的层层防御体系,强调核心数据保护和防御;
2、敏感数据安全风险感知平台配合网络态势感知平台,全面解析资产威胁,完善医院的整体风险评估体系;
3、患者数据分类分级管理,并从业务、运维等多角度进行安全管控,做到全网无死角,安全管理无短板;
4、多设备的统一管控,既可建立统一全局的安全策略,也减轻了安全人员的工作量;
5、满足《中华人民共和国网络安全法》、等级保护2.0等法律法规和主管部门相关要求。
来源:freebuf.com 2021-03-18 13:28:40 by: 杭州美创科技
请登录后发表评论
注册