新闻中心 >> 新闻中心详情

医院数据安全建设如何“迎考”等保2.0?

发布时间:2019-08-28作者:阅读次数: 分享到:

数字化时代,传统垂直、封闭式的IT架构正逐步走向开放、服务化,而随之而来的安全风险则成为每一个传统医院IT人员必须面对的问题。对此,国家和主管单位不断出台相关政策法规,从2017年的中华人民共和国网络安全法实施,到等级保护制度2.0标准出台,均对医院信息网络安全建设提出了要求。


8月23-24日,由卫宁健康主办,美创科技参与协办的上海区域智慧化医院建设沙龙在常州太湖湾开元名庭大酒店成功落下帷幕。卫宁健康高层相关领导出席了此次会议,美创科技葛宏彬受邀出席并在会上发表了题为《等保2.0形势下的数据安全建设探讨》的演讲,分享了美创在开放共享时代下的数据安全建设思路、方案与实践

图 会议现场


葛宏彬谈到,医疗数据安全涉及民生,当前,随着移动终端、应用上云的普及,过去医院严格的内外网边界逐步模糊,且医院网络越来越多的连接卫健委、新农合、医保平台、远程医疗等外部网络,医疗数据犹如“幼童抱金行于闹市”,被外部及内部威胁盗取风险大增。

图 葛宏彬谈等保2.0形势下的数据安全建设


从等保1.0时代,数据就是等级保护安全建设的核心内容,其主要划归在“技术要求-数据安全及备份恢复”条款、“技术要求-应用安全”和“技术要求-主机安全”的要求中。


2019年5月13日,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布(2019年12月1日开始实施),其中数据安全上升为网络安全空间,数据安全完全属于“安全通用要求-安全计算环境”。


对此,美创科技针对数据安全当前面临的安全威胁,以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件,并结合行业特性要求、监管单位要求、用户提出的额外安全需求进行数据安全等级保护建设方案。


该方案满足“安全通用要求-安全计算环境”标准,基于零信任安全体系,围绕数据产生、传输、存储、使用、共享、销毁的全生命周期,从外部威胁防御、内部风险控制、数据追责溯源、数据共享与交换安全以及业务连续性等层面,帮助企业由内而外的主动式防御体系。


数据梳理

1

葛宏彬强调,要想规避数据安全风险,数据资产梳理是非常重要的一步:知道企业究竟有多少数据、这些数据在哪里、有哪些类型的数据、有哪些是敏感数据,这些数据的敏感等级分别是什么?


对此,在“从数据去认识数据”的技术理念指导下美创科技创新提出了基于暗数据发现的数据资产梳理新主张,实现信息资产的探查,信息资产的识别,信息资产的分级分类,最后是数据资产梳理后应用。


内控管理中防止敏感数据泄漏

2

内控数据安全的核心是“敏感数据的保护”,美创以访问控制和核心数据保护为基础,针对人员(运维人员、开发人员、系统管理员)、程序(业务系统程序应用、运维平台工具)进行层层安全防御(合规准入、访问控制、数据防篡改、动态脱敏、合规审计)。


数据开放共享中的外部防御

3

数据安全要回归到源头加以防护,采用加密机制安全措施很重要。同时,SQL 注入、DDOS 攻击、漏洞攻击、拖库和撞库等外部攻击始终是政务数据安全的顽疾所在,美创数据库防火墙采用全面的数据库通讯协议解析,有效对外部攻击威胁进行检测和防御,让外部威胁不敢越“雷池”半步。


数据流动中的脱敏

4

为避免数据在流动过程中泄露的风险,在数据流出安全防护的领域之前,对其中的敏感数据进行脱敏处理成为主要的防护手段。



正如,国家卫健委医政医管局副局长焦雅辉曾在CHIMA大会上所说,医院的安全,不仅是患者的安全,还有信息系统的安全、数据的安全。其中数据安全可能容易被忽略,却至关重要。不仅关系到医院与所有患者的利益,还要从国家安全战略的高度考虑,认识到医院产生的医疗大数据是国家安全的重要组成。


“一定要绷紧医疗数据安全这根弦。”

服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1