加强数字中国建设是党中央、国务院深刻把握世界科技革命和数字时代的发展趋势,面对世界百年未有之大变局,从全局和战略高度作出的重大决策部署。2035年我国数字经济将迈向繁荣成熟期,形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展基础、产业体系发展水平将位居世界前列。数据作为数字经济的关键要素,数字经济安全体系亟待进一步增强。在国家顶层战略引导下,我国近年来相继出台了《数据安全法》、《个人信息保护法》等重磅法律政策,数据安全备受关注,各医疗机构正逐步根据相关政策和指导对数据安全进行建设。
随着数字医疗体系不断发展,智慧型数字化医院逐步发展成为医疗服务体系的重要组成部分。医疗数据作为数字医疗体系的核心资产,涉及大量医院经营数据及患者医疗等私密信息,产生极高价值的同时也成为不法分子网络攻击的首选目标,主要特点有:
一是,相比外部黑客攻击,发生在内部的数据泄露更加令人防不胜防。美国电信巨头Verizon发布的年度数据泄露报告中显示,医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业,内部威胁占比60%以上。
二是,医疗行业信息系统数量多,数据流动性大、流通环境复杂。如医疗机构的医生需要录入、调阅病人数据;病患信息需要在院内流转、互通;临床研究数据需要存储、使用;公共卫生数据需要上传、共享……但由于医疗机构自身数据安全运维体系脆弱,缺乏数据安全专项运维人才,导致医疗机构数据安全体系不健全,高价敏感信息变得唾手可得。
三是,医疗机构过去往往选择将部分业务托管给外部单位,以达成减负目的。但随着数据安全法、个人信息保护法等相关法律法规的落地实施,对管理者来说,职责边界也随业务扩张而外延,引入的安全风险逐步增多,安全保障工作难以维持,例如因第三方丢失数据引发的安全事件时有发生。
如何保护医疗数据安全?
网御星云结合多年项目实践的探索与积累,为医疗行业数据安全规划提供参考建议:
一、安全顶层设计,完善医疗数据资产统筹治理
通过对医疗数据情况进行梳理、分析数据应用场景、规划数据安全体系架构,针对数据的合规性、数据安全责任、基于数据全生命周期的管控策略数据安全防护等进行统筹分析和设计,形成覆盖全面的数据安全整体规划方案。
二、满足合规要求,加强数据安全基础能力建设
对标网络安全等级保护2.0、数据安全成熟度模型(DSMM)、《全国公共卫生信息化建设标准与规范》等相关国家和行业标准,构建覆盖医疗数据全生命周期的数据安全防护体系。
三、聚集安全能力,构建数据安全协同监管体系
建设数据安全协同管控机制,对相关数据资产进行集中管理、对数据安全风险进行分析和管控,将分散的数据静态脱敏系统、数据动态脱敏系统、页面水印、数据库审计、数据库访问网关和数据防泄露等安全能力组件进行统一调度,为数据安全运营提供支撑,通过可视化分析和展示能力,实现数据安全“挂图作战”。
四、规范人员行为,优化数据安全访问机制建设
基于零信任模型,以身份为中心,从运维管理和业务访问两个层面,管控人员数据行为。
运维层面:将各个业务系统运维访问通道进行网络收口,建设统一的运维登录入口,收缩网络攻击暴露面,提供统一数据访问策略统计、分析、稽核和展示,包括对所有上层应用的访问进行细粒度授权,防止越权访问等现象发生,结合各类的审计手段,及时发现和预警异常行为,确保数据运维过程安全。
业务层面:以保护业务/数据为目标,通过相关技术,构建客户边缘安全接入、业务应用安全访问、访问持续认证及动态鉴权的安全栈能力,实现业务应用访问的“安全、可信、合规”。
五、保障数据过程,提升数据安全流通监管建设
建设数据流通安全监管系统,对数据流通的全过程进行管控,解决数据在多方利用、开发、共享、交换等过程中的责任不透明、数据行为不透明、数据意图不透明等问题,保障医疗数据的安全接入、数据的有序分发、数据的通信传输路由以及数据的合规脱敏处理,实现数据使用合规合法使用。
六、保障安全运行,完善数据安全总体运营能力
建立数据安全管理机制,以风险评估为检查手段,发现业务建设过程中存在的安全风险,明确数据安全技术体系的部署位置;以梳理服务为辅助手段,梳理数据安全资源权限、数据资产摸底,将梳理结果在数据安全技术体系上进行安全策略的管控;以安全监测分析服务为支撑,及时进行安全事件处置闭环,并优化安全事件处置流程和数据安全事件场景及规则;最后以数据安全赋能服务进行知识转移,从组织结构、职责权限、制度流程的运转、技术工具的使用、安全意识的提升等方面全面提升数据安全能力。
网御星云医疗行业数据安全规划,为新形势下医疗数据安全问题提供了全方位解决方案参考,助力医疗机构数据安全防护水平不断提升,让医疗机构的数字化转型之路变得更安全!