醫療行業數據安全解決方案

一、行業背景

“互聯網+醫療”、“智慧醫療”等新興產業強勢進入醫療行業各個環節，高效的信息交互提供了醫療系統的辦公效率，同時在數據安全方面也面臨巨大的挑戰。移動醫療、AI醫療影像、電子病歷等等數字化程序的普及，使大量個人信息、醫療數據被竊取售賣用于推銷，內部人員造成的官方遺囑和處方的泄露也讓醫院造成極大的經濟損失。而且，一些醫藥公司緊隨其后，大力發展信息化辦公的同時，如何保護核心醫藥技術資產已經成為不少醫藥企業的重點關注。

《關于印發國家健康醫療大數據標準、安全和服務管理辦法（試行）的通知》正式下發，醫療行業互聯網安全生態產業的數據安全從數據分類分級、分級管理、身份認證、審計溯源四大方面都做出了明確指引。

二、醫療數據安全風險分析

1) 由于醫療數據的個體價值巨大，醫生或者護士只需簡單地獲得權限之內的數據就可以獲得巨大收益。終端對個人的身份認證及訪問審計是內部人員泄密的一大風險；

2) 在醫療行業，業務系統一般依托于軟件開發廠商的服務和外包運維人員來開發和管理，醫療系統和數據對第三方廠商也存在著泄露的風險。

3) 醫患關系沖突事件加劇，醫囑相關資料的防篡改、防銷毀達到有效的溯源取證防抵賴也是數據安全建設的必要環節。

4) 外部攻擊風險，由于醫療數據有著得天獨厚的價值，從而很容易引起大量黑客攻擊行為。

5) 醫藥核心技術資料容易泄露，對企業經濟造成極大損失。

三、解決方案

1、數據安全準入網關

通過軟硬一體化結合的方式為應用系統提供安全保障，應用安全網關可以為應用體統提供安全準入和數據加解密雙重防護，安全準入通過終端身份識別、應用系統仿冒、傳輸隧道加密等多方面進行應用數據安全訪問控制，數據加密通過對醫療業務核心數據進行下載自動加密，解決醫療機構核心數據易泄露、被篡改、非法訪問的安全問題。

2、數據分級管控

依照《關于印發國家健康醫療大數據標準、安全和服務管理辦法（試行）的通知》相關數據安全要求，必須對數據分類分級管理，通過“密級標識”、“透明加密”及“權限管控”模塊，實現根據數據價值等級，自動進行分級管控。對高價值等級的數據，例如制藥配方、關鍵醫療科研成果等，進行嚴格的權限管控，防止泄密的同時，限制其在醫院內部的使用范圍；對于一般價值等級的數據，例如醫囑、處方、個人信息等進行加密管控、防止泄露后對醫院及病患造成損失；對于可公開的文件，選擇不對其進行管控，滿足業務使用需求，平衡安全與效率。

四、方案收益

1．建設先進、自主、靈活、全面、智能的立體化數據安全防護體系；

2．建設滿足合規要求的分級分類數據保護管理體系；

3．提供身份訪問控制安全和審計溯源管理；

4．提供可有效降低泄密風險，提升防護能力，提升監管能力的技術體系；

5．提供可有效提升企業數據安全審計、管理、風險分析的可視化管理平臺；

6. 提供高效、全面、完整、規范的數據安全運營服務。