合規(guī)建設(shè)勢(shì)在必行
隨著數(shù)字化進(jìn)程的不斷推進(jìn)���,醫(yī)衛(wèi)行業(yè)在自助繳費(fèi)、病例存檔���、康復(fù)周期管理�、社區(qū)醫(yī)院等業(yè)務(wù)環(huán)節(jié)逐步實(shí)現(xiàn)了互聯(lián)網(wǎng)的深度融合��。同時(shí)�����,醫(yī)院的信息系統(tǒng)中存貯著大量患者診療過(guò)程、臨床數(shù)據(jù)���、科研數(shù)據(jù)���、藥品衛(wèi)生等信息,隨著大數(shù)據(jù)分析等��、在線醫(yī)療�����、醫(yī)療數(shù)據(jù)共享的落地���,在提升就診效率�、針床診斷準(zhǔn)確性的同時(shí)�,帶來(lái)了諸多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
本文將為您解讀醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的現(xiàn)狀與特性�,分享高效智能的安全運(yùn)營(yíng)解決方案。
01
現(xiàn)狀與特性
在系統(tǒng)層面上����,醫(yī)衛(wèi)行業(yè)有超百余套不同種類的業(yè)務(wù)系統(tǒng),例如��,醫(yī)療器械制造、HIS���、LIS�����、PACS系統(tǒng)等醫(yī)院數(shù)據(jù)合規(guī)��,業(yè)務(wù)系統(tǒng)之間均存在錯(cuò)綜復(fù)雜的關(guān)聯(lián)接口���。為保障業(yè)務(wù)連續(xù)性,業(yè)務(wù)系統(tǒng)�、數(shù)據(jù)庫(kù)等的漏洞修復(fù)工作都比較謹(jǐn)慎。其次���,在中國(guó)醫(yī)院協(xié)會(huì)的信息化調(diào)查報(bào)告中,絕大多數(shù)醫(yī)院的安全防護(hù)設(shè)備接入率小于50%�。再次,醫(yī)衛(wèi)系統(tǒng)作為我國(guó)重要的信息基礎(chǔ)設(shè)施����,是黑客的重點(diǎn)攻擊對(duì)象,規(guī)模性攻擊事件層出不窮�����。綜上,醫(yī)衛(wèi)行業(yè)的整體網(wǎng)絡(luò)安全防御態(tài)勢(shì)并不樂(lè)觀�。
同時(shí),醫(yī)療行業(yè)存在著大量數(shù)據(jù)未分類分級(jí)��、數(shù)據(jù)可用性未評(píng)估�����、數(shù)據(jù)傳輸保護(hù)不完備等現(xiàn)象�,缺乏對(duì)數(shù)據(jù)安全的全生命周期防護(hù)。
基于以上業(yè)務(wù)系統(tǒng)眾多�、關(guān)聯(lián)性高、數(shù)據(jù)敏感度高等原因����,2019年12月,關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)試點(diǎn)在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上對(duì)醫(yī)衛(wèi)行業(yè)提出了更高的網(wǎng)絡(luò)安全要求����。2020年6月,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》���、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼列入立法工作計(jì)劃���。
在面臨系統(tǒng)合規(guī)的安全運(yùn)營(yíng)中����,醫(yī)衛(wèi)行業(yè)的網(wǎng)絡(luò)和系統(tǒng)運(yùn)維缺乏專職的安全技術(shù)人員或管理人員�����,安全設(shè)備多為設(shè)備廠商或第三方技術(shù)人員進(jìn)行運(yùn)維��,運(yùn)維人員往往通過(guò)不安全的方式接入內(nèi)網(wǎng)開(kāi)展工作����。因此,建設(shè)完善的網(wǎng)絡(luò)安全防御體系����,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作勢(shì)在必行。
02
現(xiàn)行方案存在的問(wèn)題
從服務(wù)團(tuán)隊(duì)的大量項(xiàng)目實(shí)踐中�,我們了解到現(xiàn)行應(yīng)用于醫(yī)衛(wèi)行業(yè)的解決方案仍是以部署設(shè)備為主,一定程度上讓醫(yī)衛(wèi)行業(yè)的政企客戶具備了一定的防護(hù)能力醫(yī)院數(shù)據(jù)合規(guī)�����,但并未解決安全運(yùn)營(yíng)人員管理��、攻防能力提升��、設(shè)備協(xié)調(diào)聯(lián)動(dòng)等問(wèn)題�。同時(shí)在系統(tǒng)合規(guī)層面上,缺乏完整閉環(huán)的安全運(yùn)營(yíng)解決方案����。
03
下一代安全運(yùn)營(yíng)解決方案
基礎(chǔ)防護(hù) /
醫(yī)衛(wèi)行業(yè)的基礎(chǔ)安全防護(hù)重點(diǎn)在防勒索、抗DDoS流量攻擊��、網(wǎng)頁(yè)篡改等滲透攻擊行為��,下一代安全運(yùn)營(yíng)將日志數(shù)據(jù)中的異常情況通過(guò)AI和知識(shí)圖譜等工具�,及時(shí)發(fā)現(xiàn)并預(yù)警,形成風(fēng)險(xiǎn)評(píng)估報(bào)告����。同時(shí),加強(qiáng)漏洞發(fā)現(xiàn)與修復(fù)����、郵件應(yīng)用防護(hù)、終端數(shù)據(jù)安全等服務(wù)的聯(lián)動(dòng)�����,形成主動(dòng)防御態(tài)勢(shì)。
數(shù)據(jù)安全 /
在滿足基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)下�,對(duì)大量醫(yī)療數(shù)據(jù)進(jìn)行分級(jí)分類管理,參考“數(shù)據(jù)發(fā)現(xiàn)-分類分級(jí)-違規(guī)監(jiān)控-追溯反制”基礎(chǔ)流程進(jìn)行全生命周期管理����。建立醫(yī)療數(shù)據(jù)使用管理制度,與相關(guān)方明確權(quán)責(zé)關(guān)系���;涉及醫(yī)療數(shù)據(jù)的共享時(shí)����,應(yīng)在明確隱私邊界的前提下進(jìn)行數(shù)據(jù)脫敏�、篩選等預(yù)處理,滿足不同場(chǎng)景下高效安全調(diào)用的需求���。
同時(shí)配合全周期數(shù)據(jù)存儲(chǔ)���、加密、脫敏�、傳輸、使用��、審計(jì)���、備份�����、云平臺(tái)監(jiān)管等安全措施���,構(gòu)建覆蓋云平臺(tái)、服務(wù)器�、終端、大數(shù)據(jù)平臺(tái)的全方位的數(shù)據(jù)安全管理能力����。
合規(guī)管理 /
在滿足通用法律法規(guī)和醫(yī)療行業(yè)法律法規(guī)下,輔助省級(jí)監(jiān)管平臺(tái)和醫(yī)療機(jī)構(gòu)對(duì)用于互聯(lián)網(wǎng)診療平臺(tái)的系統(tǒng)進(jìn)行三級(jí)及以上的信息安全等級(jí)保護(hù)���。
持續(xù)運(yùn)營(yíng) /
圍繞等保合規(guī)技術(shù)�、管理層面中十個(gè)維度��,結(jié)合《醫(yī)療保障信息平臺(tái)建設(shè)指南》劃分業(yè)務(wù)區(qū)域和網(wǎng)絡(luò)功能域��、根據(jù)鏈路負(fù)載情況及業(yè)務(wù)關(guān)鍵性進(jìn)行整體架構(gòu)設(shè)計(jì)���、構(gòu)建上述基礎(chǔ)安全防護(hù)聯(lián)動(dòng)體系�����、構(gòu)建以資產(chǎn)為核心覆蓋“威脅檢測(cè)-安全防護(hù)-安全審計(jì)”的智能化安全運(yùn)營(yíng)中心等智能化協(xié)調(diào)管控平臺(tái)��。
04
成功案例
更多定制化安全運(yùn)營(yíng)解決方案�,
請(qǐng)撥打咨詢服務(wù)熱線。
遠(yuǎn)禾科技客戶安全團(tuán)隊(duì)提供7*24小時(shí)運(yùn)維支持�����!
