如何全面规避医疗数据安全风险?“一中心三大管控域”打开新思路!

作为医院的核心基础设施,数据库已然演变成了一种具有“资产”属性的重要元素。而随着不断变化的医疗业务场景和日趋严格的合规性要求,如何让安全全方位贯穿医疗数据的生命周期,是一项系统性的建设工作,难点诸多。

基于多年的数据安全项目建设实践积累和大量客户交流调研,我们整理了当前医疗行业在数据安全建设上面临的六大问题。

六大数据安全问题亟需解决

数据库多元现象严重

医院所使用的业务系统多来自不同的供应商,底层所使用的数据库各不相同,而不同数据库在数据存储模型、查询语言、优化策略等多个方面均存在显著差异,在访问控制、数据加密、审计分析等安全机制上也存在明显不同,这些都使得建立统一的安全管理标准和技术手段变得困难重重。

传统运维方式导致账号管理混乱

当前医院还是以传统的数据库运维方式为主,如通过远程到堡垒机/云桌面使用其所提供的数据库连接工具,或通过委托第三方运维的模式。这两种情况都会导致核心数据库账号和密码被非关键人员掌握,账号易发难收,传播风险大;一个账号多人使用,出现问题无法定位和追责;部分账号权限过高,账号使用行为缺乏监控等问题。

数据互联互通导致敏感数据扩散风险剧增

随着医联体、医共体的建设,以电子病历为核心的数据互联互通使得医疗机构之间能够更方便地共享患者信息,有效提高诊疗效率和准确性。同时,保险、养老和药物研发等行业对病患数据的需求也日益增长。而在这些数据传输和共享的过程中,敏感数据的扩散风险也在急剧增加。如何保障数据互联互通过程的隐私数据安全成为亟待解决的重要问题。

应用层面的患者隐私数据泄露

医疗机构中存放的大量患者隐私数据会在各种应用系统中流转和调阅查询。如医护工作站、医疗业务OA系统以及数据共享给第三方的接口,一旦应用系统的数据结果中包含了不适宜对外展示的敏感信息,极易引发数据安全合规风险。

等级保护和电子病历评级合规性要求日益严格

随着国家对医疗健康行业的数据保护高度重视,新发布的《医疗卫生机构网络安全管理办法》及电子病历评级、互联互通评级都对数据安全提出了具体要求。等级保护不低于第三级;电子病历访问操作行为记录保存六个月以上;防止非授权客户端随意接入网络……医疗数据安全的合规性要求日益严格。

国产数据库升级替换,信创支持为刚需

随着信创领域2+8+N在医疗行业逐步铺开,针对国产数据库的安全管控在各个医疗机构都已成为刚需。

新一代数据安全解决方案,更全面、更精准、更智能

基于前述医疗行业亟待解决的六大数据安全难题,我们构建了一套整体解决方案,以「一个中心三大安全管控域」为核心架构,协同联动各安全组件,通过事前-事中-事后的全过程管控,打造更全面、更精准、更智能的数据安全防护体系。

image.png

一个中心是什么?

「一个中心」作为整体数据安全管控中心平台,充当着医疗数据安全管控的“智慧大脑”与“总指挥台”。 该中心不仅汇聚了全面的安全信息和策略,更是安全管理的决策与调度之源。

通过这一中心平台,我们可以精准地对「三大安全管控域」内的各类安全组件进行策略的下发与数据的回收,从而实现整体架构的六大核心能力:身份认证、资产管理、组织角色、策略编排、行为审计、风险大盘。 这一系列能力的整合与协同,能够为医疗业务提供持续的风险评估与分析,达到更全面、更精准、更智能的安全防护效果。

三大安全管控域

「三大安全管控域」从账号安全管理、访问操作管理和访问工具管理三个关键维度出发,全面覆盖医疗数据的各类业务场景,构筑起一道坚实的关键数据保护链。这一体系能够持续进行风险识别、安全防御、安全响应和分析提升,形成一个完整且高效的安全风险管理闭环。通过这种方式,不仅确保了数据库和应用的合规访问,更为患者隐私数据提供了强有力的保护,实现安全与效率的双重保障。

其中账号安全管理主打实现数据库账号治理,旨在为企业管理好“数据库访问的钥匙”——即账号密码。通过持续监测、分析、梳理HIS等核心数据库账号使用情况,精准识别风险账号行为并形成有效整改建议,避免HIS等厂商人员滥用、共用或分享传播数据库账号。

此外,通过账号安全管理,还能进一步增强医疗应用的数据库密码密文保护,有效防止厂商开发运维人员直接从应用配置中窃取关键数据库账号密码。

访问操作管理则包含数据库安全客户端、应用脱敏、防统方三个维度。

数据库安全客户端可通过当前图尔兹主打产品CloudQuery来实现。

CloudQuery数据库安全客户端旨在为企业提供“统一的数据库安全访问入口”,基于“实名制”的个人身份账号进行精细化访问权限管控、动态数据脱敏保护和操作日志审计,防止越权访问、高危操作和数据泄漏等,所有操作行为可精准审计到人,可有效实现HIS等厂商人员的数据库回收和操作行为管理。

应用脱敏则可通过采用应用脱敏网关来实现,旨在“防止应用侧的患者隐私数据泄露”。在面临难以对既有系统进行大规模改造或升级的情况下,我们可通过无入侵式的技术手段对页面展示和API接口进行脱敏处理,从而有效防止医护人员在通过页面调阅患者信息时出现的隐私数据泄露问题。同时在数据互联互通与共享的过程中,该技术也能避免不当泄露,为患者隐私提供了更加坚实的保护。

防统方侧,我们则采用 “基于个人身份防控统方操作” 的思路。通过内置各大 HIS厂商统方特征库,并结合CloudQuery数据库统一访问入口能力,实现对统方操作更有效的拦截预警和审计,可精准定位发起统方行为的具体个人,有效解决了传统基于网络防火墙方式的防统方拦截命中率低下、无法定位违规操作人员的问题。

而在访问工具管理方面,我们主打“构建数据库安全管控最后一公里闭环”的理念,通过桌面客户端+CloudQuery数据库安全客户端相结合,帮助信息部门封堵个人客户端工具的违规连接,确保只有经过授权的访问才能进行。同时,促使HIS厂商等相关开发运维人员通过统一的数据库安全访问入口进行数据库的查询提数及运维操作,避免出现漏网之鱼。

这就是图尔兹的新一代医疗数据安全产品方案——HySuite。 这是紧密围绕医疗数据使用场景打造的新一代安全管控能力平台,从数据访问的链路出发,以访问者身份精确识别为基础,提供数据库账号治理、数据库安全客户端、应用脱敏网关、防统方和桌面客户端管控安全组件,实现更全面、更精准、更智能的安全防护效果。

image.png

在HySuite新一代医疗数据安全方案中,包含了图尔兹五大面向医疗行业的自研安全产品:

  • DeRisk数据库账号治理: 数据库账号常态化使用监控和风险分析,提供持续治理建议
  • CloudQuery数据库安全客户端: 数据库统一安全访问入口,防止越权操作和数据泄露
  • AppSence应用脱敏网关: 应用页面展示和API调用隐私数据脱敏,防止应用成为泄密通道
  • AntiCim防统方: 内置各类HIS系统统方SQL特征库,监控处置非法统方行为
  • ClientLocker桌面客户端: 约束桌面客户端工具访问,收敛访问通道实现集中化管控闭环

这五大安全组件层层递进,从底层数据库->内部应用查阅->外部互联互通逐次进行落地。通过五大组件协同作用,我们能够全面管控好外部厂商人员、内部医护人员以及外部机构的数据访问操作,实现全方位无死角的安全防护。这正是「一个中心三大管控域」防护架构的核心体现,为数据的安全提供坚实保障。

5月17日-19日,图尔兹将携HySuite新一代医疗数据安全方案亮相CHIMA 2024,欢迎大家届时莅临图尔兹展位(B区-B27), 和我们沟通新一代的医疗数据安全方案,期待与各位医疗信息化专家同仁进行更充分、密切地交流!

image.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/320234.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue前端环境准备

vue-cli Vue-cli是Vue官方提供的脚手架,用于快速生成一个Vue项目模板 提供功能: 统一的目录结构 本地调试 热部署 单元测试 集成打包上线 依赖环境:NodeJs 安装NodeJs与Vue-Cli 1、安装nodejs(已经安装就不用了) node-…

Linux字符设备驱动(二) - 与设备驱动模型的关系

一,从/dev目录说起 从事Linux嵌入式驱动开发的人,都很熟悉下面的一些基础知识, 比如,对于一个char类型的设备,我想对其进行read wirte 和ioctl操作,那么: 1)我们通常会在内核驱动中…

tomcat-以服务的方式重启tomcat

背景 双击tomcat的bin目录下面的startup.bat,会留下一个cmd的窗口,很不优雅 使用service服务的方式启动,并且设置为自动启动 找到tomcat的bin目录输入cmd,按Enter,进入命令行界面。执行“service.bat install” 。&…

文件删了,回收站清空了怎么恢复?文件恢复软件一览

在日常生活和工作中,我们常常会遇到误删除文件的情况,有时甚至会因为清空了回收站而无法找回这些文件。这些文件可能包含重要的工作数据、个人照片或其他珍贵的回忆。那么,在这种情况下,我们该如何恢复这些被删除且清空回收站的文…

【项目分享】用 Python 写一个桌面倒计日程序!

事情是这样的,我们班主任想委托我做一个程序,能显示还有几天考试。我立即理解了这个意思,接下了这个项目。 话不多说,来看看这个项目吧—— 项目简介 仓库地址:https://gitee.com/yaoqx/desktop-countdown-day 这是 …

为何美国多IP服务器搭建蜘蛛池SEO更经济?

为何美国多IP服务器搭建蜘蛛池SEO更经济? 随着网络时代的不断演进,搜索引擎优化(SEO)已经成为企业和个人提升网站曝光度的必经之路。在这个过程中,蜘蛛池(Spider Pool)服务被广泛应用。但是有趣的是,美国多IP服务器搭建蜘蛛池SEO服务却相对…

计算机网络-ICMPv6基础概念

前面我们学习了IPv6的基础概念以及IPv6地址的格式与分类,在IPv4中我们通过ARP、广播、ICMP进行地址冲突检测、网络连通性,但是在IPv6中是没有广播和ARP的,都是通过ICMPv6来实现其功能,所以这里我们需要了解下ICMPv6。 一、ICMP协议…

一个基于ComfuUI Api的 AIGC自动绘画实现方案

工作流程图 基本原理已经弄通,下一步要开始编码搬砖了。整个自动绘画的流程如下,暂就不整高深U什么L了,写个简单明了能容易看懂的流程图。UI借用了下墨刀里的AI绘画公开原型 部署节点 整个系统的后端服务典型部署需要3类节点 Aigc Server&…

mac/windows下安装docker,minikube

1、安装docker Get Started | Docker 下载安装docker 就行 启动后,就可以正常操作docker了 使用docker -v 验证是否成功就行 2、安装minikube,是基于docker-desktop的 2.1、点击设置 2.2、选中安装,这个可能需要一点时间 这样安装后&…

【研发管理】产品经理知识体系-组合管理

导读:新产品开发的组合管理是一个重要的过程,它涉及到对一系列新产品开发项目进行策略性选择、优先级排序、资源分配和监控。这个过程旨在确保企业能够最大化地利用有限的资源,以实现其战略目标。 目录 1、组合管理、五大目标 2、组合管理的…

OpenCV的周期性噪声去除滤波器(70)

返回:OpenCV系列文章目录(持续更新中......) 上一篇:OpenCV如何通过梯度结构张量进行各向异性图像分割(69) 下一篇 :OpenCV如何为我们的应用程序添加跟踪栏(71) 目录 目标 理论 如何消除傅里叶域中的周期性噪声? 源代码 解释 结果 目…

详解基于 RAG 的 txt2sql 全过程

前文 本文使用通义千问大模型和 ChromaDB 向量数据库来实现一个完整的 text2sql 的项目,并基于实际的业务进行效果的展示。 准备 在进行项目之前需要准备下面主要的内容: python 环境通义千问 qwen-max 模型的 api-keyChromaDB 向量数据库acge_text_…

Sharding Capital: 为什么投资全链流动性基础设施 Entangle ?

写在前面:Entangle 项目的名称取自于量子纠缠(Quantum entanglement),体现了项目对于构建连接、关联和互通的愿景。就像量子纠缠将不同的粒子联系在一起,Entangle 旨在通过其跨链流动性和合成衍生品的解决方案将不同的区块链网络连接在一起&a…

django设计模式理解FBV和CBV

在 Web 开发中,FBV(Function-Based Views)和 CBV(Class-Based Views)是两种常见的视图设计模式,用于处理 HTTP 请求并生成相应的响应。下面是它们的简要解释: Function-Based Views (FBV) 在 …

激发创新活力,泸州老窖锻造人才“铁军”(内附长江酒道短评)

执笔 | 姜 姜 编辑 | 古利特 刚刚站上300亿元新台阶&#xff0c;泸州老窖再次传来喜讯。 <<<左右滑动查看更多>>> 4月28日&#xff0c;四川省庆祝“五一”国际劳动节大会在成都召开。泸州老窖股份有限公司工业4.0项目秘书长赵丙坤、泸州老窖酿酒有限责任公…

VS Code 远程连接 SSH 服务器

文章目录 一、安装 Remote - SSH 扩展并连接远程主机二、免密连接远程主机1. 生成 SSH 密钥对2. 将公钥复制到远程服务器3. 配置 SSH 客服端4. 连接测试 随着技术的不断迭代更新&#xff0c;在 Linux 系统中使用 Vim、nano 等基于 Shell 终端的编辑器&#xff08;我曾经也是个 …

利用AI大模型和Echarts 绘制知识图谱,实现文本信息提取和图数据库操作

引言 随着信息时代的到来&#xff0c;海量的文本数据成为了我们获取知识的重要来源。然而&#xff0c;如何从这些文本数据中提取出有用的信息&#xff0c;并将其以可视化的方式展示出来&#xff0c;一直是一个具有挑战性的问题。近年来&#xff0c;随着人工智能技术的发展&…

热敏电阻符号与常见术语详细解析

热敏电阻是一种电阻器&#xff0c;其特点是电阻值随温度的变化而显著变化&#xff0c;这使得它们成为非常有用的温度传感器。它们可以由单晶、多晶或玻璃、塑料等半导体材料制成&#xff0c;并分为两大类&#xff1a;正温度系数热敏电阻&#xff08;#PTC热敏电阻#&#xff09;和…

纯血鸿蒙APP实战开发——短视频切换实现案例

短视频切换实现案例 介绍 短视频切换在应用开发中是一种常见场景&#xff0c;上下滑动可以切换视频&#xff0c;十分方便。本模块基于Swiper组件和Video组件实现短视频切换功能。 效果图预览 使用说明 上下滑动可以切换视频。点击屏幕暂停视频&#xff0c;再次点击继续播放…

场外个股期权和场内个股期权的优缺点是什么?

场外个股期权和场内个股期权的优缺点 场外个股期权是指在沪深交易所之外交易的个股期权&#xff0c;其本质是一种金融衍生品&#xff0c;允许投资者在股票交易场所外以特定价格买进或卖出证券。场内个股期权是以单只股票作为标的资产的期权合约&#xff0c;其内在价值是基于标…