查看原文
其他

史上最细医院信息化标准出炉,奉上“安全防护”解题思路!(下)

深耕医疗的美创 杭州美创科技有限公司 2022-10-18


2018年4月13日,国家卫生健康委员会网站发布了《关于印发全国医院信息化建设标准与规范(试行)的通知》(以下简称 “标准与规范”),明确了医院信息化建设的建设内容和建设要求。上文,我们从《标准与规范》涉及的容灾备份、网络设备管理的角度,逐条解析美创的应对之策。(上文回顾:史上最细医院信息化标准出炉,奉上“安全防护”解题思路!(上)


随着以数据为驱动的大数据技术在医疗行业的广泛应用,数据共享、开放让医疗数据过度“暴露”,大量个人信息、疾病信息、健康信息、临床信息等敏感数据频发泄露,医疗行业无疑已成为数据泄露的重灾区。而传统的“亡羊补牢”安全防护理念,往往无法满足核心数据保护需求,加之医疗行业存在明显的特征,医院的安全防护应当着眼于“数据安全”本身


《标准与规范》专门提到了“数据中心安全”,细分为防火墙 、安全审计设备、系统加固设备、数据加固设备 、入侵防范设备 、身份认证系统、访问控制系统 、安全管理系统。 


在医疗信息化领域,美创科技以数据安全保护为核心,帮助用户构建起零信任数据安全体系架构,从内部安全、外部安全、流动中的数据安全、防勒索以及业务高可用五个维度,建设真正围绕数据全生命周期的成熟、实用的医疗数据安全的整体解决方案。


美创针对医院数据中心的安全建设方案,具体包括以下内容: 





3

数据中心安全



数据库防火墙建设要求:



美创“解题思路”:

在互联网社会环境下,医院数据库安全面临的主要风险:


1)基于数据库漏洞的攻击。


2)基于业务系统漏洞的SQL注入攻击。其中以SQL注入攻击风险最大,因为通过任意传统安全设备可以使入侵者直达数据库。


美创数据库防火墙通过智能分析、评估,防止SQL注入和风险操作,可同时防御来自于外部的SQL注入攻击和对数据库漏洞的攻击。 



数据库审计建设要求:



美创“解题思路”:

在数据价值持续升温的今天,数据库安全审计已成为信息安全的基础防御手段。不但需要满足各类法令法规的要求,同时还是政府和企业降低自身运营风险的必要手段。


美创科技以安全事件为中心,以精确审计和全面审计为基础,通过贯穿于安全事件处理生命周期的全面管理的方式,构建数据库安全审计系统,全面保障数据库安全。 



网络防泄露建设要求: 



美创“解题思路”:

美创数据防泄露系统采用统一策略,以智能化的内容识别核心技术,对企业网络、终端、存储和应用系统中的敏感数据进行发现、监控和保护。


通过镜像旁路方式监控捕获来自多种网络通道的外发数据,在确保不对网络环境造成任何影响的情况下,发现并记录经由网络外发的敏感数据泄露事件,帮助客户分析事件发生原因,追踪到相应责任人,采取补救措施以消除影响,挽回损失并避免安全事故的再次发生。


帮助用户监控、阻止和保护敏感数据通过Web通道外泄。网络保护同时支持HTTP和HTTPS协议,对网络数据流量实时进行内容恢复和扫描,从而实现对通过Web方式泄露的敏感信息进行监控和阻断并上传日志通知用户。 



存储数据防泄露建设要求: 



美创“解题思路”:

不管是在云端、网关、终端,还是移动端,也不管未来的数据载体如何变化,只要有数据的存在和流动,美创DLP都可以提供统一的解决方案,帮助您发现、监控和保护敏感数据。


通过扫描网络上的数据库服务器、文件服务器和邮件服务器中的数据,使用户掌握敏感信息在网络存储设备上的分布和不当存储,发现敏感信息泄露的潜在风险。网络数据发现和可以生成完整的敏感信息地图,帮助用户完善数据安全保护技术和制度。 



数据库加密建设要求:



美创“解题思路”:

美创数据库透明加密系统是一款基于透明加密技术的数据库防泄露系统,该系统通过数据库存储加密等安全方法,实现了数据库数据存储保密的完整性,降低敏感数据泄露的发生,确保数据安全。


加密敏感数据,避免有意或无意接触敏感数据;透明访问加密数据,无需改变业务应用;满足合规要求,轻松实现法规遵循;监视敏感数据访问,及时告警。 



主机恶意代码防范建设要求:



美创“解题思路”:

针对肆虐的勒索病毒,美创科技自主研发了专门针对勒索病毒的安全防护产品——“诺亚”防勒索系统。采用独特的底层白名单技术,对文档、数据库文件,以及终端(ATM、加油站等),都可以彻底摆脱勒索病毒的困扰。 



个人隐私保护建设要求:



美创“解题思路”:

从数据的生命周期可清晰地看出,“个人隐私保护的关键点”存在于数据的全生命周期保护,漏洞攻击、拖库等亦是数据泄露的重要原因。保护个人隐私数据安全,需要有针对性地从根源解决问题。


美创通过建立三权分立、敏感数据分级分类,管好运维人员、员工客户、黑客三类人,构建由内而外的敏感数据纵深防御体系。美创数据库防水坝从数据库准入、应用变更和部署、危险操作控制、敏感数据保护、误操作防御、误操作恢复、运维审计、工作报表等方面全方位支持数据库运维安全管理,满足运维安全内部控制和各类法规法令(等级保护、SOX、PCI、企业内控条例等)的要求。 



日志管理系统建设要求:



美创“解题思路”:

美创日志审计与安全分析系统 ,是一款具备海量数据高效存储与实时数据分析的安全服务平台,助力企业级客户从 IT 运维走向 IT 运营。


美创日志审计与安全分析系统是一款软硬一体化产品,使用全量日志采集+审计机制,全面覆盖应用、中间件、服务设备及安全设备,达到“全量+定制解析+图形展示+策略预警”的立体审计效果。


系统采用三权分立的模式,包括三个模块,资产管理模块、日志管理模块、系统管理模块,各模块的功能与职责不同,权限不同,相互监督。如系统超级管理员具有所有模块的操作读写权限;而一般管理员只能对日志或资产进行查看操作,不能对系统模块有操作的行为。 



美创科技在医疗信息化领域成绩斐然,为浙江、江苏、北京、广东、广西、海南、湖南、江西、福建、山东等数百家三甲医院构建了数据流动安全的整体解决方案,满足了用户在运维安全、 数据脱敏、数据加密、防统方等敏感数据安全方面的需求;为全国数百家医院构建了全业务容灾系统和云容灾系统,提供运维一体机和数据库运维服务,解决了 HIS 等业务系统的高可用需求,保障医院数据中心的稳定运行。


美创科技也将遵循《标准与规范》要求,不断完善产品与服务,为医院信息化建设及发展提供医疗信息化解决整体方案,积极助推医院信息化建设向纵深化、专业化发展。



微信公众号回复“报告”二字,即可获取完整报告原文。



阅读推荐


围观

史上最细医院信息化标准出炉,奉上“安全防护”解题思路!(上)

热文

邀请函 | 美创科技渠道认证培训第一期招募开始了!

热文

一个U盘引发的“血案”


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存