解決醫療機構“臨床業務資料合規流動”與“重要資料安全防護”兩大難題。
2023年11月11日,在
2023年南湖HIT論壇
上,HIT專家網聯合
杭州美創科技股份有限公司(以下簡稱
美創科技
)
釋出《醫療資料安全風險分析及防範實踐》白皮書2023年最新版。白皮書回顧了2022年醫療行業數字安全和網路安全的整體發展情況,為目前面臨的重難點問題提供解決思路並展示了實踐案例。
美創科技技術專家葛宏彬
介紹,美創科技提供資料分類分級、資料流動風險評估、資料安全運營管控、醫療資料合規安全等方面的支援,有效解決醫療機構“臨床業務資料合規流動”與“重要資料安全防護”兩大難題,為醫療機構免除數字化轉型過程中的安全之憂。
杭州美創科技股份有限公司技術專家葛宏彬
數字化轉型是各行業降本增效的有效途徑,特別是醫療行業,數字+醫療的服務模式不僅幫助醫療機構降低運營管理的成本和壓力,還使醫療資源得到更高效的利用和調配。葛宏彬介紹,數字化轉型帶來的變化主要體現在三個方面:
第一,業務變化。
系統的深度數字化帶動業務走向網際網路化,患者的線上諮詢、問診等需求逐步提升,醫療機構的業務數量和資料安全防護難度自然“水漲船高”。
第二,IT基礎設施變化。
醫療業務與資料成倍遞增,加劇了IT基礎設施的消耗,也對設施規模和質量提出了更高的要求。“以往醫療機構可能買幾臺伺服器、幾臺交換機、一些儲存裝置來搭建基礎設施,現在則要建造一個大的IT叢集,投入十幾臺甚至上百臺裝置以支撐一個業務系統。”
第三,資料變化。
醫療業務和設施規模擴大,系統從孤島化到互動化、連結化,其資料的海量化、資產化是大勢所趨。同時,大資料技術又催生了新的業務,資料資源被廣泛應用於臨床救治、管理分析和醫學科研,醫療資料安全的重要性不言而喻。
從資料安全的角度來看,醫院數字化轉型帶來了新的問題。“資料安全建設必須跟上醫院數字化轉型的步伐。”葛宏彬介紹,在以往的系統架構下,資料安全以管理好資料庫為主,強調“邊界安全”,為資料的網路出口打造一扇“安全門”;現今醫療資料成倍遞增,安全維護的工作量變大了,且醫療資料流動性增強,在資料上雲、系統運維或與其他機構合作過程中可能會“出域”,“長出腿來跑出門外”,傳統IT架構下的資料安全防護措施存在失效的風險。
近幾年,
《
資料安全法》
、
《
個人資訊保護法》
、《網路資料安全管理條例》、
《
關鍵資訊基礎設施安全保護條例》
、《資料出境安全評估辦法》等一系列法規相繼釋出,重點強調資料安全。醫療機構既要加強資料管控,又要響應法規、政策要求。同時,醫療機構資料的高價值和隱私性是駭客或非法組織關注的焦點,其對資料安全的干擾與威脅不容忽視。
醫療行業數字化發展離不開數字安全建設,業務發展要以保障資料安全為前提。葛宏彬介紹,目前醫療機構的資料安全需求主要集中在“重要資料安全防護”和“醫院等級評審相關的資料安全能力測評”兩方面,需重點關注存量敏感資料管理風險和資料流動與共享風險。
首先,應對存量敏感資料管理風險。
目前醫療機構主要存在八類資料安全隱患,涉及線上醫療資料、醫聯體訪問資料、臨床科研資料、醫保資料、醫療裝置維保資料、健康大資料中心資料、可穿戴健康裝置資料和醫療健康App資料。“醫療資料一經洩露,無法挽回,因此資料安全更多地是在事前、事中兩階段進行保障。”葛宏彬分析,防止醫療資料洩露,需從管理人員許可權和抵禦外部攻擊兩方面入手。
一方面,為滿足使用者資料庫安全運維管理需求,美創科技推出“資料庫防水壩”產品,建立完善的訪問記錄和許可權審批機制,解決共享賬戶責權不明、大許可權賬戶導致的資料洩露等問題。美創科技還自主研發資料庫安全審計系統,解析資料庫協議,並對其中的SQL語句和語法進行提取、分析、還原對應行為,根據預先設定的策略進行告警提醒和實時記錄,實現對資料庫的全面監控和審計。
另一方面,加強資料庫對外部攻擊的防禦能力,應對外部的SQL隱碼攻擊和勒索病毒攻擊。葛宏彬介紹:“資料勒索造成的損失無法估量,可能導致醫療業務再也無法開展,甚至危及病患生命安全。因此資料安全不僅要防止洩露,還要防止篡改、防止駭客加密資料。”
對此,美創資料庫防火牆對白名單之外的、符合SQL隱碼攻擊特徵的可疑非法操作進行阻斷,真正做到SQL危險操作的主動檢測、預防、實時審計;美創諾亞防勒索系統主動防護已知和未知的勒索病毒,全面防範病毒攻擊,確保資訊系統的高可用性和資料安全性。
第二,關注醫療資料流動與共享風險。
醫療行業資料具有資料量大、來源廣泛、型別多樣、儲存複雜、實時性強的典型特徵,具有極高的應用價值。美創科技提供流動臨床資料脫敏、共享資料使用授權、資料利用安全評估以及上報資料追蹤溯源等安全功能,有效解決醫療機構臨床業務資料共享中存在的資料安全風險。針對迴流資料、資料多節點洩露、API介面二次封裝、涉疫資料安全銷燬等安全風險細分場景,美創科技也為醫療機構提供相應的解決方案。
“美創科技提供的是搭建資料安全保障體系的能力。我們會綜合考察醫療機構的情況,部署平臺+產品,有針對性地解決不同場景下的安全問題。”葛宏彬介紹,美創科技結合政策法規背景和醫療機構自身需求,透過“摸家底”“識風險”“建體系”三個步驟,幫助醫療機構梳理資料資產,評估安全能力,打造全鏈路、全週期的資料安全監測與管控體系。
針對醫療機構等級評審過程中的資料安全評測需要,美創科技深入解讀法律法規和重點業務系統的資料安全建設要求,對災備集中管控平臺(DRCC)、美創資料庫透明加密、資料分類分級、資料庫防水壩等安全產品進行調優,為使用者提供不同場景、不同評審要求下有所區別的解決方案。此外,美創科技為醫療機構提供
“密評”
儲存加密建設、涉疫資料安全保護、資料高鐵建設、資料出境安全等方面的能力支援。
“美創科技是一家懂資料、懂安全的資料安全企業。從資料庫、資料治理、資料資產轉向資料安全的發展歷程,使得美創科技對資料庫有較為深入的瞭解,能夠更好地對接醫療機構的需求。”葛宏彬介紹,美創科技已形成涵蓋諮詢服務、核心產品、資料安全運營服務的三大體系,賦能醫療行業客戶總數超過5000家。美創科技將繼續深耕資料安全領域,為醫療機構數字化轉型和運營管理保駕護航
來自 “ ITPUB部落格 ” ,連結:https://blog.itpub.net/69973247/viewspace-3003024/,如需轉載,請註明出處,否則將追究法律責任。