縣域醫共體下的資料安全風險與治理
9月17日-18日,由浙江省衛生資訊學會舉辦的“2020浙江省衛生資訊學會數字醫共體專委會年會暨首屆浙中智慧醫療大會”在義烏市隆重召開。美創科技作為浙江省衛生資訊學會會員單位受邀出席本次會議,解決方案專家張建林現場分享《縣域醫共體下的資料安全風險與治理》。
近幾年,醫共體建設作為基層醫改的重要舉措,正在全國各地加速推進。醫共體透過整合縣鄉兩級醫療衛生資源,大大提高了基層醫療機構的服務能力和水平,但相伴而生的是,隨著各醫療機構互聯互通,資料跨安全域流動帶來大量的資料接觸和互動,資料全生命週期各階段面臨的安全問題更加複雜。
張建林表示:隨著各級醫院參與醫共體建設,資料和業務互通共享,資料流動更加頻繁,特別是醫共體這種跨安全域的流動,資料很容易失控,安全風險成倍增長。對此,基於縣域醫共體複雜的資料安全問題,美建立議需多場景分析、基於資料流動和人的風險,有框架地進行資料安全能力建設。
醫共體的資料資源中心整合了醫共體所有成員單位的醫療資料,但因歷史原因,各成員單位的業務系統由不同廠商開發、資料標準不統一,作業系統和資料庫都是異構的,在資料集中的過程中會存在一些資料質量問題。大量低質異構資料的存在,如果不瞭解這些資料、不掌握資料特點,安全建設也就成了無源之水、無本之木,無法實施精準的、正確的安全策略。
低質異構的資料安全保護
縣域醫共體資料資源中心通常包括四大庫,其中:臨床資料庫中包括患者所有的醫療資料;基礎資料庫匯聚醫共體各成員單位機構、科室、人員和術語字典等各類基礎資料;運營資料庫中包括各成員單位的所有健康運營資料;醫療資源庫包括了醫共體內專家、床位、藥品、檢驗等各類醫療資源資料。
這些資料敏感且具有高價值性,內部具有大許可權賬戶的運維開發人員接觸到這些資料,或外部駭客利用應用或資料庫漏洞進行竊取,都會造成資料洩露風險。
資料資源中心內外部威脅
醫共體模式下,伴隨著雙向轉診和服務下沉,醫療資料也在雙向流動。相較於傳統的靜態資料安全保護,資料流動場景下,我們不僅要關注資料在儲存、訪問時的安全,還要考慮資料在傳輸、交換過程中的安全。
資料流動風險
醫共體模式下,資料共享交換的場景非常普遍。如:醫共體資訊平臺透過區域網與牽頭醫院進行資料交換,透過醫療業務專網與成員單位進行資料交換,透過醫保專網與醫保局進行資料交換、資料分析,透過醫療業務專網與衛健的全民健康資訊平臺進行資料交換,還透過網際網路與一些省級應用進行資料的交換和分享,這隨之帶來資料失控風險:
(1)在醫療資料外流的情況下,傳統網路邊界弱化,無法對外流的資料進行有效的保護。
(2)資料外發以後,就處於失控狀態,在傳輸過程可能被竊取,到達交換機構之後,資料被如何使用,是否會被交易給第三方機構,我們無法控制。
資料失控風險
對於資料安全,國家陸續出tai一系列法律法規,基於醫共體單位的資料安全,各省衛健委也紛紛釋出專門檔案,對資料安全提出詳細的要求。如:2019年浙江省衛生健康委員會發布的《浙江省縣域醫共體資訊化建設指南(試行)》中提出,醫共體資訊化建設要強化風險意識,強化新的管理模式下資料和系統的可靠性和安全性,加強網路和資料安全,保護公民隱私,促進資訊化有序發展。
針對當前縣域醫共體面臨的風險挑戰,美創科技建議資料安全建設工作需以資料安全治理為中心框架,制定覆蓋資料全生命週期全場景的安全策略,推動資料安全體系有效落地。
醫共體資料安全治理方案
對資料資產和訪問主體進行梳理,包括:
❖ 透過資料特性、統計模型、機器學習、語義分析、內容指紋匹配等技術手段,把“暗資料”變成“明資料”,再變成分類有序的資料。
❖ 對訪問主體進行梳理,瞭解單位內部有哪些人員,通常用哪些資料庫賬戶、透過哪些工具、在哪臺主機、哪個IP、在哪個時間進行資料的訪問。從而結合安全能力,對訪問者的身份進行多維度的、持續的驗證。
透過專門的風險分析工具和技術手段,展開全面風險評估工作,為建立行之有效的資料安全措施提供判斷依據。
❖ 資料庫安全管控能力:透過資料庫防火牆、資料庫防水壩、資料庫審計等產品加強資料庫安全管控,防止外部駭客入侵和內部人員越權訪問、違規操作,並實現全面精確的審計監控,構建全方位資料庫安全管控體系。
❖ 資料脫敏能力:利用靜態脫敏技術進行資料漂白、變形、遮蔽,避免敏感資料流入開發測試環境等非生產環境或共享到第三方機構過程中,存在的洩露風險。
❖ 資料水印能力:特殊共享場景中,對資料進行水印標記,在資料溯源過程中識別資料脫敏的操作人及流向資訊,為在資料洩漏時提供追溯依據。
❖ 資料安全監管能力:對資料安全態勢進行分析和呈現,為資料安全執行管理提供支撐,推動資料安全策略、機制持續改進,提升資料安全能力趨向成熟。
進行標準化、常態化、動態化的資料安全評估,對安全防護能力進行持續管理和最佳化。
美創科技專家分享《縣域醫共體下的資料安全風險與治理》,與參會者共探在醫共體探索過程中取得的經驗與成效,助推縣域醫共體互聯互通。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2723600/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 聚焦醫共體 | 綠盟科技出席並分享縣域醫共體網路安全建設方案
- 醫共體安全守護養成記(四)丨 縣域醫共體雲平臺安全防護能力建設
- 醫共體安全守護養成記(三)丨 四招提升縣域醫共體安全威脅感知和應對能力
- 醫共體安全守護養成記(一)丨醫共體安全策略
- 如何消除冗餘資料的安全風險?
- EHR供應商披露安全問題 警示醫療系統軟體安全風險
- 資料安全治理
- 網站安全公司講解資料安全風險分析網站
- 您的資料安全嗎?如何評估和降低資料風險
- 軟體安全風險正與DevOps齊頭並進!dev
- 醫共體安全守護養成記(二)丨醫共體縱深防禦體系建設
- CHITEC 2020|美創醫療資料安全、資料治理新看點,先睹為快
- 南湖HIT論壇|《醫療資料安全風險分析及防範實踐(2023)》正式釋出
- 資料治理的興與衰,如何進行資料治理?
- 美創科技葛宏彬:夯實安全基礎,對醫療資料風險“逐個擊破”
- 資料護航 安全立方—海泰方圓資料安全治理立體式框架框架
- 醫藥企業數字化轉型加劇安全風險,“三個關鍵舉措”築牢資料安全基石
- 浪潮網路千縣工程解決方案 助推縣域醫療“智慧化”升級
- 資產、入侵和風險三個視角構建金融行業資料安全體系行業
- 超高併發下,Redis熱點資料風險破解Redis
- 2020國家網安周:從源頭抓好網路安全風險治理
- 資料治理之資料的“管”與“用”
- 【技術向】OPC安全風險與防禦
- "Hotpatch"潛在的安全風險
- 雲遷移的安全風險
- 如何實現雲資料治理中的資料安全?
- 如何做好資料安全治理
- 合規之資料安全治理
- AI繁榮下的隱憂——Google Tensorflow安全風險剖析AIGo
- Crunchbase:2019年全球共完成2948億美元風險投資
- 綠盟科技:以智慧的方法落實資料安全風險評估
- 強化資料風險意識 提升社會“安全感”
- 中移智庫:中企出海過程中應對資料安全與隱私合規風險的策略分析(附下載)
- 保障醫共體業務系統安全,綠盟科技在行動
- 北京金融科技產業聯盟第十期監管科技分享匯:《資料安全法》下金融資料安全風險評估研究與實踐產業
- 關於資料安全風險評估,你不知道的這些事!
- 資料治理之資料梳理與建模
- 業務資料治理體系化思考與實踐