启明星辰开出的医疗行业“数据安全”解决方案

发布时间 2021-08-06

随着智慧医疗渗透到医疗领域的各个环节,网上预约挂号、自助缴费、医生随访、移动护理、远程医疗等数字化场景的新数据爆发性增长,其中包含了大量涉及公民信息、健康数据、医疗数据、传染病数据等众多公民隐私、商业秘密甚至国家安全等方面的数据。


而医院作为掌握大量数据且价值密度极高的主体,早已将数据看作机构最重要的核心资产之一。


因此,医疗机构除了抵御来自非法入侵团队、内部人员、第三方人员等对数据的安全威胁,亦需要思考和逐步建立有效的数据安全防护、治理体系,既保证医疗数据、公民信息的安全,又充分挖掘和利用数据价值,推动医疗产业的快速发展,助力国家培育数据要素市场。


医疗行业数据安全需求分析


医疗行业的数据安全防护,首先必须合法合规,然后措施得当有针对性。因此,需要就如何结合行业要求和实际业务需求,建立医疗行业的数据安全治理体系开展讨论,将目前医疗行业最迫切的数据安全治理需求汇总如下:


1、合规性要求,随着我国《数据安全法》的出台实施,对数据安全、个人信息保护及隐私保护提出了要求,医疗行业各单位有义务开展并做好数据安全管理保护工作。


2、勒索病毒,攻击者加密了系统应用数据,勒索巨额赎金,影响业务正常运行,造成巨大经济损失;


3、黑产交易,具有较高价值的医疗信息数据被黑产觊觎,医疗数据泄露的同时,对患者造成二次伤害;


4、网络黄牛,控制了原本就紧张的优质医疗号源,造成医疗资源的浪费;


5、新技术带来的新风险,医疗业务移动到云上或链上后引发的云端、链端安全问题;


6、数据安全交换,院外互联网业务与院内系统交互时边界安全得不到保障;


7、运维安全,专业安全运维人员缺乏,甚至通过第三方运维人员来实现,应对安全事件较为被动;


8、管理安全,内部人员安全意识不强,没有进行体系化、系统化的管理,需要增强管理权限和监管能力。


……


根据医疗行业的业务需求,启明星辰集团医疗行业数据安全治理管控解决方案结合自身的数据安全防护能力,提出了以身份为中心,面向业务与数据的持续身份认证和动态授权,以场景化、能力化思路,建立统一的数据安全治理管控,引入数据安全运营机制,提升数据安全综合保障能力,大力提升医疗机构数据安全保障能力。


引入零信任安全防护理念


1.png


在医疗行业的数据安全建设过程中,最重要的是管住人、管住身份,启明星辰集团医疗行业数据安全治理管控解决方案提出“以身份为中心”的数据管控方案,引入零信任安全防护体系的防护理念,通过账号身份化来实现数据资产的安全管控。


以身份为中心,以“人”为中心刻画“数据”行为画像,依托行为基线分析评估数据的异常访问行为,实现账号的全生命周期管理。


集中维护包括自然人帐号(主帐号)和资源帐号(从帐号)在内的全部帐号以及相关的帐号属性,通过对不同的人员、终端、资源等划分唯一的身份,结合强身份认证系统,实现系统资源和业务资源的SSO单点登录,并授权用户相应的访问权限,实现资源访问时的安全管控,包括水印、脱敏、加密及文档的管控等。 


场景化的数据管控方案


结合数据全生命周期,通过对业务及数据风险的分析,启明星辰集团医疗行业数据安全治理管控解决方案梳理出了“三大类八种行为场景”的数据使用场景,针对各场景下不同的操作对象的数据安全的风险,通过相应的技术防护手段,采用统一的数据安全防护策略,逐一解决解决用户在不同场景下的数据安全问题,真正实现数据安全的可视、可控、可管。


2.png


数据安全运营保驾护航


为了保障医疗行业数据安全治理管控平台能够持续发挥管控能力,数据安全运营是必不可少的,参考国家相关法律法规及标准,结合医疗行业的业务场景特点,启明星辰集团医疗行业数据安全治理管控解决方案制定相应的数据安全运营管理制度,通过安全运营,不断更新完善数据安全技术防护策略,分析数据的风险情况,及时提出解决方案及应对措施,支撑整个平台的安全运行。一旦发生数据安全事件,可快速通过对采集到的日志、事件、流量等进行关联分析、风险分析,完成数据安全场景建模分析,实现溯源分析及泄露分析。


3.png


《网络安全法》《数据安全法》的及《个人信息保护法》草案的出台实施,数据安全越来越被各行各业所重视,尤其是医疗行业,其承载记录着我国公民的各类健康相关信息,数据安全保护已成为医疗行业必须要承担的责任与义务。


未来,启明星辰集团将继续贯彻落实“场景化安全思维”,精准捕捉用户业务场景安全需求,充分发挥自身优势积累,持续打磨升级数据安全管控产品与解决方案,为客户筑牢数据要素化市场安全体系,不断实现技术和产品的突破,为加快建设“数据强国”贡献民族信息安全领军企业的力量。