近年來,《網絡安全法》、《數據安全法》、《個人信息保護法》以及多部醫療健康行業的法律法規不斷公布和生效,數據安全合規建設已成為醫療行業安全建設的重要內容。如今,越來越多的醫療機構對數據安全持續關注,但由于自身網絡復雜、業務特殊、系統繁多、數據價值大等特性,仍面臨嚴峻的安全威脅與問題難點。
為了解決這些問題和挑戰,針對醫療機構復雜業務場景下面臨的不同防護訴求,美創科技形成多種場景化解決對策,助力醫療機構有效提升數據安全的防范能力,滿足安全合規要求。
由于醫療行業業務復雜、數據帶有大量業務屬性、數據體量大、格式復雜多樣,數據分類分級工作若單純依靠人工梳理,準確率低、周期長,且受限于人員專業能力,分類分級工作推進進度緩慢。
美創數據安全分類分級平臺(醫療行業版)內置專業醫療行業的數據分類分級模板(可落地參考標準),并引入自然語言處理、統計模型、特征分析、機器學習等技術,實現高效智能的分類分級,大幅縮短建設周期,并多維呈現數據資產目錄與分類分級結果。
《醫療衛生機構網絡安全管理辦法》第二十二條 (三):各醫療衛生機構應按照有關法規標準,選擇合適的數據存儲架構和介質在境內存儲,并采取備份、加密等措施加強數據的存儲安全。
美創 數據庫透明加密系統 在不涉及業務系統改造、不影響現有業務流程、不改變現有系統架構的“三不”情況下,實現重要數據的診療記錄加密存儲同時支持國密SM4算法。
同時, 數據庫透明加密系統具備商密證書,可以支持等保三級及以下等級的系統進行密評,首創在不影響業務正常運行、無需業務系統升級改造的情況下達到密評的相關要求。
醫院信息中心第三方運維、外包開發場景下存在大權限賬號,越權及未經授權的訪問風險;人為誤操作無法避免;新系統上線,老系統運維人員有意無意破壞產生安全缺口;遠程工具漏洞使運維風險加大;數據可能落地運維公司等隱患,導致數據泄漏,內部統方事件頻發。
美創 數據庫防水壩 針對敏感資產及敏感操作,提供圍繞數據庫訪問全會話的最小化權控能力,通過在不可信的內部環境建立可信防線,解決人的安全問題。數據庫防水壩集成了數據庫準入控制、敏感資產/敏感SQL/數據庫賬號授權、動態訪問控制、敏感數據脫敏、誤操作恢復、訪問行數控制等能力,有效解決數據庫運維場景面臨的賬號共享、敏感數據泄露、刪庫跑路、越權操作、意外刪除等各類數據安全問題。
醫院院內臨床科研平臺因其特殊性,經常需要大量數據來支撐研究,這些數據在流轉過程中基本都以明文的方式進行傳輸,而其中包含了大量敏感數據與重要數據,比如患者姓名、身份證號、手機號、住址、用藥信息、醫保賬號,一旦泄露,相關責任人需要承擔法律責任,同時也對個人造成不良影響,因此需要針對敏感數據與重要數據進行脫敏處理。
美創 靜態 脫敏系統 內置醫療脫敏規則,可實現自動化發現源數據中的敏感數據,對敏感數據按需進行漂白、變形、遮蓋等處理,并很大程度保證脫敏后數據的一致性和業務的關聯性,具備豐富數據源支持,庫到庫、庫到文件、文件到文件、文件到庫等完全不落地的脫敏,高效脫敏策略,脫敏數據完整性審查校驗,支持數據可逆脫敏算法復敏等能力優勢。
勒索病毒是醫療行業面臨的主流威脅之一,需要對文檔、數據庫文件、終端、啞終端等進行主動防護。
美創 諾亞防勒索系統 集內核級別防護機制、主機防護、基線防護、威脅情報、誘捕機制、 智能學習模型等創新技術,實時監控各類進程對數據文件的讀寫操作,快速識別、阻斷非法入侵行為,旨在通過嚴密的防御機制,主動抵御各類已知道、未知勒索病毒的侵襲。
目前,美創科技已形成多維度勒索病毒防御體系,通過“針對勒索的 應急響應服務、諾亞防勒索、容災備份、勒索防護保險 ”一體化方案組合拳,幫助醫療用戶有效抵御勒索威脅。
醫療數據庫數量眾多,無法監控數據庫運行效率;信息中心運維人員少、工作繁雜;當數據庫有性能瓶頸時無數據支撐;無法自動發現鎖表進程,導致業務中斷或緩慢。
美創 數據庫運行安全管理平臺融合AI技術和大數據模型,提供智能監控、預測和趨勢分析,功能覆蓋數據庫日常運維場景,實現海量數據庫資產自動化運維。 平臺可主動發現運行故障自動處理鎖表、自動回收日志空間,自動發現高耗能資源SQL占用以減輕對實際業務影響。同時可通過接入美創運維云,提供數據庫運行狀態主動預警、故障診斷和遠程專家服務。
API接口在 智慧就醫服務與互聯網就診服務廣泛使用,但面臨API資產雜亂、API調用的數據風險不可知、數據流轉鏈路不透明,從而引發數據安全風險隱患。
美創 API安全監測與訪問控制系統 是為了解決應用API接口訪問場景下的安全問題推出的一款Web應用側數據安全產品。系統基于API資產治理、身份治理、流量管控、訪問鑒權、機器學習等多種核心技術,幫助用戶梳理龐雜的應用及接口,繪制接口畫像和接口訪問軌跡,監測敏感數據與重要數據流動風險,識別接口調用的異常用戶行為,有效解決智慧就醫服務與互聯網就診服務在API交互過程的敏感個人信息與重要數據的合規流動問題。
災備建設是醫療信息化建設過程中必不可少的基礎安全保障,電子病歷分級測評、互聯互通測評、智慧管理分級評估等均對此提出要求。目前,醫療行業臨床業務容災建設面臨: 災備實現散雜多亂等難點,難高效管理運營;各業務系統耦合性高,牽一發動全身;急診隨時有,需要7*24小時穩定運行,缺乏演練窗口;臨床業務系統升級頻繁(如EMR每周一次小版本迭代)。
美創 新一代災備一體化平臺 基于云端架構,聚焦打造“1個管控中心+多個災備能力”, 覆蓋數據級容災、業務級容災建設,提供了災備集中監控、統一調度、預案管理、演練切換、可視觀測等日常災備管理和運營能力,有效保障業務RPO/RTO目標。
《電子病歷系統應用水平分級評價》、《醫療健康信息互聯互通標準化成熟度測評》、《公立醫院高質量發展評價指標》、《醫院智慧服務分級評估標準體系》等醫療機構測評指南中,均對數據安全保護設置評審內容、評審指標、等級要求,數據安全能力成為醫院數字化發展的重要指標。
電子病歷系統應用水平分級評價場景
醫院信息互聯互通標準化成熟度測評: 災備一體化平臺、數據庫透明加密、數據分類分級、數據脫敏、數據庫防水壩等。
電子病歷系統應用水平分級評價標準: 供數服務、數據匯聚、災備一體化平臺等。
醫療行業網絡安全管理辦法: 數據安全治理、數據安全制度設計、數據安全風險評估、數據分類分級、數據全生命周期安全加固等。
智慧服務分級評價標準: 數據安全治理、數據分類分級、數據庫防水壩等。
《數據安全法》、《個人信息保護法》一系列法律法規接連落地,不斷增加與升級合規監管呼嘯而至,《電子病歷系統應用水平分級評價》、《醫療健康信息互聯互通標準化成熟度測評》、《公立醫院高質量發展評價指標》、《醫院智慧服務分級評估標準體系》等醫療機構測評指南中,均對數據安全保護設置評審內容、評審指標、等級要求,數據安全能力成為醫院數字化發展的重要指標。
數據安全正當時!從基于 數據安全治理的咨詢規劃、圍繞數據全生命周期的安全產品體系、再到綜合數據安全運營平臺及服務,美創科技全力守護數據安全,面對瞬息萬變、不確定的風險與挑戰、美創科技也將竭盡所能,不斷深入業務場景和持續創新,讓數據流通使用變得更加合規、高效、安全。
浙公網安備 33010502006954號 
