美創科技葛宏彬:夯實安全基礎,對醫療數據風險“逐個擊破”
發布時間:2024-01-08
閱讀次數: 2261 次
解決醫療機構“臨床業務數據合規流動”與“重要數據安全防護”兩大難題。
2023年11月11日,在2023年南湖HIT論壇上,HIT專家網聯合杭州美創科技股份有限公司(以下簡稱美創科技)發布《醫療數據安全風險分析及防范實踐》白皮書2023年最新版。白皮書回顧了2022年醫療行業數字安全和網絡安全的整體發展情況,為目前面臨的重難點問題提供解決思路并展示了實踐案例。美創科技資深技術專家葛宏彬介紹,美創科技提供數據分類分級、數據流動風險評估、數據安全運營管控、醫療數據合規安全等方面的支持,有效解決醫療機構“臨床業務數據合規流動”與“重要數據安全防護”兩大難題,為醫療機構免除數字化轉型過程中的安全之憂。
杭州美創科技股份有限公司資深技術專家葛宏彬數字化轉型是各行業降本增效的有效途徑,特別是醫療行業,數字+醫療的服務模式不僅幫助醫療機構降低運營管理的成本和壓力,還使醫療資源得到更高效的利用和調配。葛宏彬介紹,數字化轉型帶來的變化主要體現在三個方面:第一,業務變化。系統的深度數字化帶動業務走向互聯網化,患者的線上咨詢、問診等需求逐步提升,醫療機構的業務數量和數據安全防護難度自然“水漲船高”。第二,IT基礎設施變化。醫療業務與數據成倍遞增,加劇了IT基礎設施的消耗,也對設施規模和質量提出了更高的要求。“以往醫療機構可能買幾臺服務器、幾臺交換機、一些存儲設備來搭建基礎設施,現在則要建造一個大的IT集群,投入十幾臺甚至上百臺設備以支撐一個業務系統。”第三,數據變化。醫療業務和設施規模擴大,系統從孤島化到交互化、連結化,其數據的海量化、資產化是大勢所趨。同時,大數據技術又催生了新的業務,數據資源被廣泛應用于臨床救治、管理分析和醫學科研,醫療數據安全的重要性不言而喻。從數據安全的角度來看,醫院數字化轉型帶來了新的問題。“數據安全建設必須跟上醫院數字化轉型的步伐。”葛宏彬介紹,在以往的系統架構下,數據安全以管理好數據庫為主,強調“邊界安全”,為數據的網絡出口打造一扇“安全門”;現今醫療數據成倍遞增,安全維護的工作量變大了,且醫療數據流動性增強,在數據上云、系統運維或與其他機構合作過程中可能會“出域”,“長出腿來跑出門外”,傳統IT架構下的數據安全防護措施存在失效的風險。近幾年,《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例》、《關鍵信息基礎設施安全保護條例》、《數據出境安全評估辦法》等一系列法規相繼發布,重點強調數據安全。醫療機構既要加強數據管控,又要響應法規、政策要求。同時,醫療機構數據的高價值和隱私性是黑客或非法組織關注的焦點,其對數據安全的干擾與威脅不容忽視。醫療行業數字化發展離不開數字安全建設,業務發展要以保障數據安全為前提。葛宏彬介紹,目前醫療機構的數據安全需求主要集中在“重要數據安全防護”和“醫院等級評審相關的數據安全能力測評”兩方面,需重點關注存量敏感數據管理風險和數據流動與共享風險。首先,應對存量敏感數據管理風險。目前醫療機構主要存在八類數據安全隱患,涉及在線醫療數據、醫聯體訪問數據、臨床科研數據、醫保數據、醫療設備維保數據、健康大數據中心數據、可穿戴健康設備數據和醫療健康App數據。“醫療數據一經泄露,無法挽回,因此數據安全更多地是在事前、事中兩階段進行保障。”葛宏彬分析,防止醫療數據泄露,需從管理人員權限和抵御外部攻擊兩方面入手。一方面,為滿足用戶數據庫安全運維管理需求,美創科技推出“數據庫防水壩”產品,建立完善的訪問記錄和權限審批機制,解決共享賬戶責權不明、大權限賬戶導致的數據泄露等問題。美創科技還自主研發數據庫安全審計系統,解析數據庫協議,并對其中的SQL語句和語法進行提取、分析、還原對應行為,根據預先設置的策略進行告警提醒和實時記錄,實現對數據庫的全面監控和審計。另一方面,加強數據庫對外部攻擊的防御能力,應對外部的SQL注入和勒索病毒攻擊。葛宏彬介紹:“數據勒索造成的損失無法估量,可能導致醫療業務再也無法開展,甚至危及病患生命安全。因此數據安全不僅要防止泄露,還要防止篡改、防止黑客加密數據。”對此,美創數據庫防火墻對白名單之外的、符合SQL注入特征的可疑非法操作進行阻斷,真正做到SQL危險操作的主動檢測、預防、實時審計;美創諾亞防勒索系統主動防護已知和未知的勒索病毒,全面防范病毒攻擊,確保信息系統的高可用性和數據安全性。第二,關注醫療數據流動與共享風險。醫療行業數據具有數據量大、來源廣泛、類型多樣、存儲復雜、實時性強的典型特征,具有極高的應用價值。美創科技提供流動臨床數據脫敏、共享數據使用授權、數據利用安全評估以及上報數據追蹤溯源等安全功能,有效解決醫療機構臨床業務數據共享中存在的數據安全風險。針對回流數據、數據多節點泄露、API接口二次封裝、涉疫數據安全銷毀等安全風險細分場景,美創科技也為醫療機構提供相應的解決方案。“美創科技提供的是搭建數據安全保障體系的能力。我們會綜合考察醫療機構的情況,部署平臺+產品,有針對性地解決不同場景下的安全問題。”葛宏彬介紹,美創科技結合政策法規背景和醫療機構自身需求,通過“摸家底”“識風險”“建體系”三個步驟,幫助醫療機構梳理數據資產,評估安全能力,打造全鏈路、全周期的數據安全監測與管控體系。針對醫療機構等級評審過程中的數據安全評測需要,美創科技深入解讀法律法規和重點業務系統的數據安全建設要求,對災備集中管控平臺(DRCC)、美創數據庫透明加密、數據分類分級、數據庫防水壩等安全產品進行調優,為用戶提供不同場景、不同評審要求下有所區別的解決方案。此外,美創科技為醫療機構提供“密評”存儲加密建設、涉疫數據安全保護、數據高鐵建設、數據出境安全等方面的能力支持。“美創科技是一家懂數據、懂安全的數據安全企業。從數據庫、數據治理、數據資產轉向數據安全的發展歷程,使得美創科技對數據庫有較為深入的了解,能夠更好地對接醫療機構的需求。”葛宏彬介紹,美創科技已形成涵蓋咨詢服務、核心產品、數據安全運營服務的三大體系,賦能醫療行業客戶總數超過5000家。美創科技將繼續深耕數據安全領域,為醫療機構數字化轉型和運營管理保駕護航。
浙公網安備 33010502006954號 
