近年来,《网络安全法》、《数据安全法》、《个人信息保护法》以及多部医疗健康行业的法律法规不断公布和生效,数据安全合规建设已成为医疗行业安全建设的重要内容。如今,越来越多的医疗机构对数据安全持续关注,但由于自身网络复杂、业务特殊、系统繁多、数据价值大等特性,仍面临严峻的安全威胁与问题难点。
为了解决这些问题和挑战,针对医疗机构复杂业务场景下面临的不同防护诉求,美创科技形成多种场景化解决对策,助力医疗机构有效提升数据安全的防范能力,满足安全合规要求。
0 1
医疗数据安全分类分级
由于医疗行业业务复杂、数据带有大量业务属性、数据体量大、格式复杂多样,数据分类分级工作若单纯依靠人工梳理,准确率低、周期长,且受限于人员专业能力,分类分级工作推进进度缓慢。
美创数据安全分类分级平台(医疗行业版)内置专业医疗行业的数据分类分级模板(可落地参考标准),并引入自然语言处理、统计模型、特征分析、机器学习等技术,实现高效智能的分类分级,大幅缩短建设周期,并多维呈现数据资产目录与分类分级结果。
02
重要数据加密存储
《医疗卫生机构网络安全管理办法》第二十二条 (三):各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。
美创**数据库透明加密系统**在不涉及业务系统改造、不影响现有业务流程、不改变现有系统架构的"三不"情况下,实现重要数据的诊疗记录加密存储同时支持国密SM4算法。
同时,数据库透明加密系统具备商密证书,可以支持等保三级及以下等级的系统进行密评,首创在不影响业务正常运行、无需业务系统升级改造的情况下达到密评的相关要求。
03
信息中心数据运维安全
医院信息中心第三方运维、外包开发场景下存在大权限账号,越权及未经授权的访问风险;人为误操作无法避免;新系统上线,老系统运维人员有意无意破坏产生安全缺口;远程工具漏洞使运维风险加大;数据可能落地运维公司等隐患,导致数据泄漏,内部统方事件频发。
美创数据库防水坝针对敏感资产及敏感操作,提供围绕数据库访问全会话的最小化权控能力,通过在不可信的内部环境建立可信防线,解决人的安全问题。数据库防水坝集成了数据库准入控制、敏感资产/敏感SQL/数据库账号授权、动态访问控制、敏感数据脱敏、误操作恢复、访问行数控制等能力,有效解决数据库运维场景面临的账号共享、敏感数据泄露、删库跑路、越权操作、意外删除等各类数据安全问题。
04
临床科研数据脱敏
医院院内临床科研平台因其特殊性,经常需要大量数据来支撑研究,这些数据在流转过程中基本都以明文的方式进行传输,而其中包含了大量敏感数据与重要数据,比如患者姓名、身份证号、手机号、住址、用药信息、医保账号,一旦泄露,相关责任人需要承担法律责任,同时也对个人造成不良影响,因此需要针对敏感数据与重要数据进行脱敏处理。
美创静态 脱敏系统内置医疗脱敏规则,可实现自动化发现源数据中的敏感数据,对敏感数据按需进行漂白、变形、遮盖等处理,并最大程度保证脱敏后数据的一致性和业务的关联性,具备丰富数据源支持,库到库、库到文件、文件到文件、文件到库等完全不落地的脱敏,高效脱敏策略,脱敏数据完整性审查校验,支持数据可逆脱敏算法复敏等能力优势。
05
医疗勒索病毒防护
勒索病毒是医疗行业面临的主流威胁之一,需要对文档、数据库文件、终端、哑终端等进行主动防护。
美创诺亚防勒索系统集内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、 智能学习模型等创新技术,实时监控各类进程对数据文件的读写操作,快速识别、阻断非法入侵行为,旨在通过严密的防御机制,主动抵御各类已知道、未知勒索病毒的侵袭。
目前,美创科技已形成多维度勒索病毒防御体系,通过"针对勒索的应急响应服务、诺亚防勒索、容灾备份、勒索防护保险"一体化方案组合拳,帮助医疗用户有效抵御勒索威胁。
06
医疗数据库智能运维
医疗数据库数量众多,无法监控数据库运行效率;信息中心运维人员少、工作繁杂;当数据库有性能瓶颈时无数据支撑;无法自动发现锁表进程,导致业务中断或缓慢。
美创数据库运行安全管理平台融合AI技术和大数据模型,提供智能监控、预测和趋势分析,功能覆盖数据库日常运维场景,实现海量数据库资产自动化运维。平台可主动发现运行故障自动处理锁表、自动回收日志空间,自动发现高耗能资源SQL占用以减轻对实际业务影响。同时可通过接入美创运维云,提供数据库运行状态主动预警、故障诊断和远程专家服务。
07
互联网诊疗平台API接口防护
API接口在智慧就医服务与互联网就诊服务广泛使用,但面临API资产杂乱、API调用的数据风险不可知、数据流转链路不透明,从而引发数据安全风险隐患。
美创API安全监测与访问控制系统是为了解决应用API接口访问场景下的安全问题推出的一款Web应用侧数据安全产品。系统基于API资产治理、身份治理、流量管控、访问鉴权、机器学习等多种核心技术,帮助用户梳理庞杂的应用及接口,绘制接口画像和接口访问轨迹,监测敏感数据与重要数据流动风险,识别接口调用的异常用户行为,有效解决智慧就医服务与互联网就诊服务在API接口交互过程的敏感个人信息与重要数据的合规流动问题。
08
医疗临床业务容灾建设
灾备建设是医疗信息化建设过程中必不可少的基础安全保障,电子病历分级测评、互联互通测评、智慧管理分级评估等均对此提出要求。目前,医疗行业临床业务容灾建设面临:灾备实现散杂多乱等难点,难高效管理运营;各业务系统耦合性高,牵一发动全身;急诊随时有,需要7*24小时稳定运行,缺乏演练窗口;临床业务系统升级频繁(如EMR每周一次小版本迭代)。
美创**新一代灾备一体化平台**基于云端架构,聚焦打造"1个管控中心+多个灾备能力",覆盖数据级容灾、业务级容灾建设,提供了灾备集中监控、统一调度、预案管理、演练切换、可视观测等日常灾备管理和运营能力,有效保障业务RPO/RTO目标。
09
医院等级评审
《电子病历系统应用水平分级评价》、《医疗健康信息互联互通标准化成熟度测评》、《公立医院高质量发展评价指标》、《医院智慧服务分级评估标准体系》等医疗机构测评指南中,均对数据安全保护设置评审内容、评审指标、等级要求,数据安全能力成为医院数字化发展的重要指标。
电子病历系统应用水平分级评价场景
**医院信息互联互通标准化成熟度测评:**灾备一体化平台、数据库透明加密、数据分类分级、数据脱敏、数据库防水坝等。
**电子病历系统应用水平分级评价标准:**供数服务、数据汇聚、灾备一体化平台等。
**医疗行业网络安全管理办法:**数据安全治理、数据安全制度设计、数据安全风险评估、数据分类分级、数据全生命周期安全加固等。
**智慧服务分级评价标准:**数据安全治理、数据分类分级、数据库防水坝等。
《数据安全法》、《个人信息保护法》一系列法律法规接连落地,不断增加与升级合规监管呼啸而至,《电子病历系统应用水平分级评价》、《医疗健康信息互联互通标准化成熟度测评》、《公立医院高质量发展评价指标》、《医院智慧服务分级评估标准体系》等医疗机构测评指南中,均对数据安全保护设置评审内容、评审指标、等级要求,数据安全能力成为医院数字化发展的重要指标。
数据安全正当时!从基于**数据安全治理的咨询规划、围绕数据全生命周期的安全产品体系、再到综合数据安全运营平台及服务,**美创科技全力守护数据安全,面对瞬息万变、不确定的风险与挑战、美创科技也将竭尽所能,不断深入业务场景和持续创新,让数据流通使用变得更加合规、高效、安全。