近年來(lái)��,我國(guó)對(duì)醫(yī)療信息服務(wù)體系的重視程度持續(xù)提升,“互聯(lián)網(wǎng)+醫(yī)療健康”相關(guān)實(shí)踐不斷深入��。伴隨互聯(lián)網(wǎng)����、大數(shù)據(jù)技術(shù)的高速發(fā)展與普及應(yīng)用,以信息系統(tǒng)為支撐�,完善醫(yī)療管理體系、改進(jìn)醫(yī)療服務(wù)質(zhì)量����、深化醫(yī)藥衛(wèi)生體制改革、提升衛(wèi)生服務(wù)系統(tǒng)效率,已成為當(dāng)前醫(yī)療行業(yè)工作的重要目標(biāo)與發(fā)展方向���。
在業(yè)務(wù)和服務(wù)模式的轉(zhuǎn)變過(guò)程中�,醫(yī)療信息化系統(tǒng)的應(yīng)用愈發(fā)廣泛�,數(shù)據(jù)已成為醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)持續(xù)、穩(wěn)定�����、健康發(fā)展至關(guān)重要的資產(chǎn)����;與此同時(shí),醫(yī)療數(shù)據(jù)因包含病例����、處方等大量醫(yī)患隱私信息,也面臨著敏感數(shù)據(jù)管理方面的重重難題�����。醫(yī)療行業(yè)關(guān)系國(guó)計(jì)民生����,醫(yī)療數(shù)據(jù)一旦遭受篡改、破壞或泄露���,勢(shì)必對(duì)醫(yī)療機(jī)構(gòu)的聲譽(yù)以及醫(yī)患雙方的隱私和健康安全構(gòu)成嚴(yán)重威脅����,甚至影響社會(huì)的穩(wěn)定和諧����!正因如此,加強(qiáng)醫(yī)療數(shù)據(jù)安全防護(hù)建設(shè)勢(shì)在必行�!
安全威脅
1、患者隱私信息批量泄露
患者從掛號(hào)就診到開(kāi)方用藥���、再到住院手術(shù)����,過(guò)程中需要錄入大量的個(gè)人隱私信息���;而這些數(shù)據(jù)對(duì)包括醫(yī)藥���、廣告、中介�、保險(xiǎn)等醫(yī)療產(chǎn)業(yè)鏈上的相關(guān)利益方同樣具有極高的價(jià)值。在此背景下,以“醫(yī)療信息倒賣”為主要形式的黑產(chǎn)滋生蔓延���,比如:通過(guò)雇傭黑客入侵醫(yī)療機(jī)構(gòu)系統(tǒng)��,或收買醫(yī)療機(jī)構(gòu)業(yè)務(wù)人員���、信息中心人員、第三方維護(hù)及開(kāi)發(fā)人員�����,對(duì)患者數(shù)據(jù)進(jìn)行批量竊取等�。
2、外發(fā)測(cè)試環(huán)境數(shù)據(jù)泄露
醫(yī)療數(shù)據(jù)要在流動(dòng)和使用中發(fā)揮價(jià)值����,而醫(yī)療機(jī)構(gòu)業(yè)務(wù)系統(tǒng)在進(jìn)行外部信息查詢、第三方開(kāi)發(fā)測(cè)試等場(chǎng)景下恰恰需要使用大量的數(shù)據(jù)��;如果這些數(shù)據(jù)是由其內(nèi)網(wǎng)生產(chǎn)庫(kù)中直接抽取而來(lái)的��,則其中很可能包含未經(jīng)嚴(yán)格脫敏處理的真實(shí)敏感數(shù)據(jù)��;一旦發(fā)生泄露�����,醫(yī)療機(jī)構(gòu)難辭其咎,不僅聲譽(yù)與公信力將大打折扣�����,還要承擔(dān)相應(yīng)的經(jīng)濟(jì)損失與更多附帶危害�����、影響�。
3�����、非法訪問(wèn)醫(yī)療敏感數(shù)據(jù)
以住院費(fèi)用查詢系統(tǒng)為例�����,住院病人費(fèi)用明細(xì)清單一般包括:床位費(fèi)用�����、醫(yī)生診療費(fèi)用�、藥品費(fèi)用�����、檢查費(fèi)用等重要財(cái)務(wù)信息�����,此類數(shù)據(jù)如果出現(xiàn)異動(dòng)�,除小概率人為誤操作情況外���,通常意味著數(shù)據(jù)被非法訪問(wèn)�。然而�,不少醫(yī)療機(jī)構(gòu)尚不具備將正常數(shù)據(jù)維護(hù)操作與敏感數(shù)據(jù)非法篡改行為從權(quán)限上進(jìn)行劃分的能力;與此同時(shí)��,醫(yī)療信息系統(tǒng)常常存在院方內(nèi)部人員����、廠商程序開(kāi)發(fā)人員以及部署實(shí)施人員等多方經(jīng)手的情況,安全事件發(fā)生后難以有效界定問(wèn)題出在哪一邊�����。
4�、非法獲取醫(yī)療統(tǒng)方數(shù)據(jù)
多年以來(lái)���,有關(guān)醫(yī)藥代表與醫(yī)生、醫(yī)療機(jī)構(gòu)信息部門(mén)人員內(nèi)外勾結(jié)���,非法統(tǒng)方屢禁不止�����,甚至愈演愈烈,其中一個(gè)重要原因就是在數(shù)據(jù)安全防護(hù)技術(shù)�、理念和人員上的缺失,難以主動(dòng)預(yù)防IT部門(mén)����、其他業(yè)務(wù)科室以及系統(tǒng)維護(hù)等內(nèi)部人員通過(guò)數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)非法獲取醫(yī)療處方信息等違法違規(guī)行為。
防護(hù)原則
在918搏天堂看來(lái)����,醫(yī)療信息系統(tǒng)數(shù)據(jù)安全防護(hù)應(yīng)著眼客戶實(shí)際業(yè)務(wù)應(yīng)用安全需求,依據(jù)國(guó)家等分保相關(guān)政策規(guī)范和技術(shù)標(biāo)準(zhǔn)�����,符合《網(wǎng)絡(luò)安全法》��、《個(gè)人信息安全規(guī)范》、《健康醫(yī)療信息安全指南》等法律法規(guī)要求����,遵循整體規(guī)劃、適度保護(hù)���、集中管控��、靈活應(yīng)對(duì)的原則�,進(jìn)行方案設(shè)計(jì):
1����、分區(qū)分域
由于醫(yī)療信息系統(tǒng)中不同類型數(shù)據(jù)庫(kù)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)及其重要性存在差異,在安全防護(hù)上應(yīng)根據(jù)不同數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)架構(gòu)和軟硬件部署位置等進(jìn)行分區(qū)分域——將安全風(fēng)險(xiǎn)相同的系統(tǒng)和設(shè)備劃分在同一安全域����,采用一致的安全控制手段進(jìn)行防護(hù);而對(duì)于存儲(chǔ)在不同業(yè)務(wù)系統(tǒng)中的不同類型數(shù)據(jù)����,則通過(guò)動(dòng)態(tài)調(diào)整關(guān)聯(lián)到準(zhǔn)確的核心敏感數(shù)據(jù),并保障其安全性�����。同時(shí),分區(qū)分域應(yīng)在盡量少改變醫(yī)療信息系統(tǒng)網(wǎng)絡(luò)環(huán)境的前提下進(jìn)行��,快速有效地施行�。
2、縱深防御
為醫(yī)療信息系統(tǒng)搭建等級(jí)保護(hù)縱深防御體系�,建立檢查預(yù)警、主動(dòng)防御��、底線防守��、事后追溯等一系列防護(hù)機(jī)制����,并在不同的醫(yī)療信息系統(tǒng)執(zhí)行對(duì)應(yīng)的信息安全策略和機(jī)制����,從而將系統(tǒng)內(nèi)重要敏感數(shù)據(jù)遭受攻擊的風(fēng)險(xiǎn)盡可能地降低,以保障系統(tǒng)安全����、穩(wěn)定運(yùn)行。
3�、集中管控
對(duì)醫(yī)療信息系統(tǒng)內(nèi)的數(shù)據(jù)資源和用戶權(quán)限進(jìn)行統(tǒng)一梳理,制定適合的訪問(wèn)控制策略并嚴(yán)格執(zhí)行�����;同時(shí),對(duì)人員的數(shù)據(jù)訪問(wèn)行為進(jìn)行全面審計(jì)����,并對(duì)審計(jì)日志進(jìn)行分析,形成審計(jì)報(bào)告���,實(shí)現(xiàn)醫(yī)療數(shù)據(jù)安全防護(hù)的集中管理�、嚴(yán)密監(jiān)控��、及時(shí)響應(yīng)�。
4、動(dòng)態(tài)調(diào)整
醫(yī)療信息系統(tǒng)中的核心數(shù)據(jù)所面臨的安全風(fēng)險(xiǎn)并不是靜止不變的��,而會(huì)隨著相關(guān)組織架構(gòu)���、管控策略以及信息系統(tǒng)和操作流程的改變而改變�����;因此���,針對(duì)醫(yī)療信息系統(tǒng)中的核心敏感數(shù)據(jù)��,需要根據(jù)相關(guān)業(yè)務(wù)信息系統(tǒng)的變化情況����,對(duì)安全防護(hù)措施進(jìn)行動(dòng)態(tài)調(diào)整��,及時(shí)響應(yīng)變化��、解決問(wèn)題���。
解決思路
918搏天堂認(rèn)為�����,醫(yī)療數(shù)據(jù)安全建設(shè)不應(yīng)照搬傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式�����,也不是對(duì)數(shù)據(jù)安全產(chǎn)品的簡(jiǎn)單堆砌,而要用體系化的思維��,結(jié)合行業(yè)特性����,構(gòu)建以“數(shù)據(jù)使用安全”為核心的整體解決方案��,概述如下:
· 數(shù)據(jù)梳理
對(duì)醫(yī)療敏感數(shù)據(jù)以及醫(yī)務(wù)部����、信息中心的不同角色權(quán)限進(jìn)行梳理���。
· 入侵防御
面向醫(yī)聯(lián)體�����、區(qū)域健康平臺(tái)�、遠(yuǎn)程診療等場(chǎng)景����,對(duì)外部攻擊和內(nèi)部數(shù)據(jù)庫(kù)漏洞進(jìn)行有效防護(hù)。
· 權(quán)限管控
針對(duì)不同訪問(wèn)需求����,規(guī)范劃分醫(yī)護(hù)人員、IT信息人員�、第三方運(yùn)維人員、醫(yī)學(xué)科研人員等的訪問(wèn)權(quán)限��,實(shí)現(xiàn)對(duì)內(nèi)部數(shù)據(jù)操作行為的有效管控。
· 脫敏流轉(zhuǎn)
在醫(yī)療數(shù)據(jù)使用流轉(zhuǎn)過(guò)程中����,遵循數(shù)據(jù)資源的最小化使用原則,通過(guò)數(shù)據(jù)脫敏去標(biāo)識(shí)����、去隱私,真正實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)的安全���、高效利用����。
· 密文存儲(chǔ)
對(duì)重要醫(yī)療數(shù)據(jù)進(jìn)行加密存儲(chǔ)�����,從根源開(kāi)展數(shù)據(jù)防護(hù)�,滿足國(guó)家及行業(yè)的合規(guī)性要求。
· 監(jiān)管稽核
對(duì)醫(yī)療數(shù)據(jù)從產(chǎn)生到場(chǎng)景化使用的全生命周期進(jìn)行流向監(jiān)控與精準(zhǔn)分析�����。
行業(yè)深耕
作為專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商��,中國(guó)數(shù)據(jù)安全治理理念的提出者和踐行者��,918搏天堂多年深耕醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)�,深入了解醫(yī)療行業(yè)客戶的需求和痛點(diǎn),積累了大量���、寶貴的行業(yè)實(shí)踐經(jīng)驗(yàn)���,并已樹(shù)立起一批行業(yè)標(biāo)桿案例!部分案例展示:
中日友好醫(yī)院
北京協(xié)和醫(yī)院
山東腫瘤醫(yī)院
航天中心醫(yī)院
廣東省中醫(yī)院
北京口腔醫(yī)院
山東省武警總醫(yī)院
河南省第二人民醫(yī)院
江蘇大學(xué)附屬醫(yī)院
北京大學(xué)深圳醫(yī)院
復(fù)旦大學(xué)附屬中山醫(yī)院
鄭州大學(xué)第一附屬醫(yī)院
衛(wèi)健委技術(shù)研究所
南京市衛(wèi)生信息中心
愛(ài)康國(guó)賓
中美大健康
產(chǎn)品咨詢:4000 258 365 
