一、行業背景
“互(hu)聯網+醫(yi)(yi)療”、“智慧醫(yi)(yi)療”等(deng)(deng)(deng)新興產(chan)業(ye)強勢(shi)進入醫(yi)(yi)療行業(ye)各個(ge)環節,高效(xiao)的(de)(de)信息交互(hu)提供了醫(yi)(yi)療系統(tong)的(de)(de)辦公效(xiao)率,同�������(tong)時在數(shu)據安全方面(mian)也(ye)面(mian)臨(lin)巨大(da)的(de)(de)挑戰。移動(dong)醫(yi)(yi)療、AI醫(yi)(yi)療影(ying)像、電(dian)子病歷等(deng)(deng)(deng)等(deng)(deng)(deng)數(shu)字化程序的(de)(de)普及,使大(da)量個(ge)人信息、醫(yi)(yi)療數(shu)據被(bei)竊取售賣用(yong)于推(tui)銷,內部人員(yuan)造成(cheng)的(de)(de)官方遺囑和(he)處方的(de)(de)泄露也(ye)讓醫(yi)(yi)院造成(cheng)極大(da)的(de)(de)經(jing)濟(ji)損失。而且,一些醫(yi)(yi)藥(yao)(yao)公司緊隨其(qi)后,大(da)力發展信息化辦公的(de)(de)同(tong)時,如何(he)保護核心醫(yi)(yi)藥(yao)(yao)技術資產(chan)已經(jing)成(cheng)為不少(shao)醫(yi)(yi)藥(yao)(yao)企業(ye)的(de)(de)重點關注。
《關于印發國家(jia)健康醫療大數據標準(zhun)、安全(quan)和(he)服務管理辦法(試行(xing))的通知》正(zheng)�����式下(xia)發,醫療行(xing)業互聯網安全(quan)生態(tai)產(chan)業的數據安全(quan)從(cong)數據分類分級、分級管理、身份認證、審計溯源(yuan)四(si)大方面都(dou)做出了明確指(zhi)引。
二、醫療數(shu)據安全風險分析
1) 由于醫療數據(ju)的個(ge)體價值巨(ju)大,醫生或者護(hu)士只需簡單地獲(������huo)得權限(xian)之(zhi)內(nei)的數據(ju)就可�������以獲(huo)得巨(ju)大收益。終(zhong)端對個(ge)人的身份認證(zheng)及訪問審(shen)計是內(nei)部人員泄(xie)密的一大風險(xian);
2) 在(zai����)醫療行(xing)業,業務(wu)系(xi)統(tong)一般依托于軟(ruan)件開發廠商的服務(wu)和(he)外包運維人員來(lai)開�����發和(he)管理,醫療系(xi)統(tong)和(he)數據對第三方廠商也存在(zai)著泄(xie)露的風險。
3) 醫患(huan)關(guan)系沖突事件加劇,醫囑��������相關(guan)資(zi)料的防(fang)(fang)(fang)篡改、防(fang)(fang)(fang)銷(xi�����ao)毀達到有效的溯源取證(zheng)防(fang)(fang)(fang)抵賴也是數據(ju)安(an)全建設(she)的必要(yao)環節。
4) 外部(bu)攻擊風險,由于醫療數據有著(zhu)得天獨厚(hou)的(de)價(jia)值,從而很(hen�������)容易引起(qi)大(da)量黑客攻擊行(xin������g)為。
5) 醫藥������核(he)心(xin)技術資料(liao)容易泄露,對企業經濟造(zao)成極大損(sun)失(shi)。
三、解決方案
1、數(shu)據安全準(zhun)入網(wang)關
通����(tong)過(guo)軟硬一體(ti)化結合(he)的方式為應(ying)(ying)用系(xi)統(tong)提供安(an)全保障,應(ying)(ying)用安(an)全網關可以為應(ying)(ying)用體(ti)統(tong)提供安(an)全準入(ru)和數(shu)(shu)據(ju)(ju)加解(jie)密(mi)雙重(zhong)防護,安(an)全準入(ru)通(tong)過(guo)終端身份識(shi)別(bie)、應(ying)(ying)用系(xi)統(tong)仿冒、傳輸(shu)隧道加密(mi)等多方面(mian)進行應(ying)(ying)用數(shu)(shu)據(ju)(ju)安(an)全訪問控制,數(shu)(shu)據(ju)(ju)加密(mi)通(tong)過(guo)對(dui)醫療(liao)業務核心數(shu)(shu)據(ju)(ju)進行下載自動加密(mi),解(jie)決(jue)醫療(liao)機構核心數(shu)(shu)據(ju)(ju)易泄露、被(bei)篡改、非法訪問的安(an)全問題。
2、數據分級管控
依照《關(guan)(guan)于(yu)印發國家健(jian)康醫(yi)(yi)(yi)療大數(shu)據(ju)標(biao)準(zhun)、安(an)全和(he)服(fu)務管理辦法(試行(xing))的通知》相關(guan)(guan)數(shu)據(ju)安(an)全要求,必(bi)須對數(shu)據(ju)分(fen)類分(fen)級(ji)管理,通過“密(mi)級(ji)標(biao)識”、“透明加(jia)密(mi)”及“權限管控(kong)”模塊(kuai),實現根(gen)據(ju)數(shu)�������據(ju)價值(zhi)(zhi)等(deng)級(ji),自動進(jin)行(xing)分(fen)級(ji)管控(kong)。對高價值(zhi)(zhi)等(deng)級(ji)的數(shu)據(ju),例如制藥(yao)配方(fang)、關(guan)(guan)鍵醫(yi)(yi)(yi)療科研成果(guo)等(deng),進(jin)行(xing)嚴格的權限管控(kong),防止泄(xie)密(mi)的同時,限制其在醫(yi)(yi)(yi)院內(nei)部的使用范圍;�����對于(yu)一般價值(zhi)(zhi)等(deng)級(ji)的數(shu)據(ju),例如醫(yi)(yi)(yi)囑、處(chu)方(fang)、個人信(xin)息等(deng)進(jin)行(xing)加(jia)密(mi)管控(kong)、防止泄(xie)露后(hou)對醫(yi)(yi)(yi)院及病患(huan)造成損失;對于(yu)可(ke)公開(kai)的文件,選擇不對其進(jin)行(xing)管控(kong),滿足業務使用需求,平衡安(an)全與(yu)效率。
四、方案收益
1.建設先進、自主、靈活、全面、智(zhi)能的立體化數據安全防(fang)護(hu)體系;
2.建設滿足合(he)規要求的分級(ji)分類數據保護管理(li)體系;
3.提供身份訪問(wen)控制安全和審計(ji)溯(su)源管理;
4.提供(gong)可有(you)效降低泄密風險,提升防護�������能力(li),提升監管(guan)能力(li)的技(ji)術(s������hu)體系(xi);
5.提供可(ke)有效提升企(qi)業數據安(an)全審計、管理、風險分析的(de)可(ke)視(s������hi)化管理平臺;
�������6. 提供(gong)高效、全(quan)面(mian)、完整、規(gui)范的(de)數據(ju)安(an)全(quan)運營服務(wu)。
