互联网医院数据安全解决方案 – 作者:datasecurity

近年来,国家、地方陆续出台了一系列医保政策,支持互联网医院的在线诊疗服务。此次疫情突发,众多医院通过搭建面向家属和患者的互联网医疗服务平台,人们足不出户,就可隔空问诊求医问药,互联网医院迎来了新的发展高潮。
无论是一系列导向明确的扶持政策,还是传统医院自身业务的转型,互联网医院这只新引擎已经加速。

image.png互联网医院发展之路

但随着实体医院将诊疗活动延伸至互联网端,数据共享和流通成为刚性业务需求,静态的隔离保护措施难以控制数据在流动中的风险,关乎患者隐私、种类繁多的医疗数据也迎来愈加严峻的安全挑战,互联网医院需要通过动态变化的视角分析和判断数据安全风险。

image.png互联网医院面临的主要数据安全风险

互联网医院数据安全解决方案

2018年,国家卫生健康委研究制定《互联网医院管理办法(试行)》(以下简称《办法》)及其附录《互联网医院基本标准(试行)》等文件,规范数据应用管理,明确监管底线,确保医疗服务质量和安全。

 

《办法》中提到:互联网医院由互联网进行远程访问,会涉及到实体医疗机构的重要系统数据交换,同时根据互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。

image.png

随着细化行业政策和标准的出台,充分利用互联网技术提升服务质量的同时保障医疗数据安全,已成为医院不得不去思考的严肃命题。 对此,针对互联网医院面临的安全挑战,美创科技通过通盘整体的安全风险考虑,以数据为保护目标,从资产、入侵、风险三个视角,提出互联网医院数据安全解决方案。

image.png

互联网医院数据安全解决方案总体架构 有别于传统的数据安全方案,美创以15年专注的数据安全经验,沉淀为各类数据安全能力,并将能力池化,为互联网医院用户打造一个具备快速迭代,将资源和能力更好地输出的安全能力域。 该方案将互联网医院的业务体系进行多层划分,根据每层业务不同的特征,通过数据安全能力域持续应用到不同的场景之中:

 

针对基础设施层

鉴于大多数互联网医院的原生环境为云环境,因此根据云环境下不同资源域的特点采用准入控制等多种安全技术手段,实现对云环境下数据的立体安全保护和对数据安全等状态的主动侦测和主动式运维服务,做到真正的云上数据安全可控。
 

image.png

针对数据资源层

数据资源层是数据安全保护工作的重中之重,因此根据数据业务和运维等特征,结合数据生命周期管理,以数据安全为核心,实现针对入侵、内控、合规等各类场景,提供:

  • 针对数据生命周期安全的数据安全保护方案

  • 针对入侵的数据安全保护方案

  • 针对人员内控的数据安全保护方案以及数据安全合规解决方案等

最终帮助互联网医院用户实现数据安全的纵深防御。

 

针对业务应用层

业务层的数据安全保障工作最容易被忽略,通过业务动态安全保护方案,实时监测分析业务数据,实时发现业务僵尸账号、账号复用等安全威胁,实现发现违规事件实时告警相关人员,从而及时控制事件影响,消除安全隐患。

特别是针对医疗行业的“统方泄露”事件,提供事前构筑“统方”防御体系,事中授权和审批保障“统方”安全、及时通知可疑“统方”行为,事后审计溯源,形成全面的防统方安全管理体系,使防统方真正生效。


  针对终端应用层

提供终端安全漏洞发现和防护方案、终端数据防泄漏方案和终端防勒索方案这套终端安全保护三架马车方案,实现了全面、精准地检测系统中存在的各种脆弱性问题,实现敏感数据进行发现、监控和保护,有效避免被勒索病毒威胁的风险。
 

image.png

最后,提供安全管理和风险可视化方案,实现数据安全的统一管理和数据安全风险的统一可视,帮助互联网医院用户从整体上把握数据安全态势,以进行安全决策分析。 

image.png

此外,随着业务域的不断变化而产生的数据安全新需求,可通过美创的能力迭代循环链,不断地沉淀到数据安全能力池中,然后再反向应用到各类保护场景中。

文章来源:美创科技


来源:freebuf.com 2020-06-18 17:00:34 by: datasecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论