医疗卫生数据安全如何保障?昂楷与百余名卫生信息部门负责人探讨数据安全治理之道

发布时间:2018-06-30 作者:昂楷资讯

为进一步提升网络与信息安全工作人员的安全意识与技术水平,6月27日,由重庆市卫生信息中心承办的2018重庆市卫生计生信息安全培训会圆满落下帷幕。


重庆市各区县卫生计生委、辖区内主要医疗机构信息部门负责人及技术骨干共计200余人参加了本次培训,昂楷科技受邀在会上进行技术演讲。


昂楷技术总监张勤保带来了《医疗卫生的数据安全治理》的主题演讲,就医疗卫生数据安全面临的风险与挑战、数据库安全防护建设的思路和理念,与到场嘉宾分享昂楷数据库安全治理之道。


▲昂楷技术总监张勤保发表主题演讲



医疗卫生数据安全面临的风险与挑战

卫生信息化安全的目标受信息化水平的影响,在不同时期有着不同的体现:在第一阶段,是以医院管理和医疗活动为中心(HIS)面向医院管理,提升医院管理效率;在第二阶段,则是以患者为中心,以临床为主线(CIS)提升医护人员服务效率,提高医疗质量;而在如今所处的第三阶段,是以医疗信息整合与协同为特征,跨区域医疗资源共享整合。


张勤保指出:随着医疗卫生信息化水平的不断发展,数据的交换共享要求显著提升,移动互联网的应用,医疗数据安全治理迎来新的挑战。


针对医疗卫生的数据安全治理思路

医院的业务系统、检查系统、影像系统中包含着大量重要隐私数据,若遭遇内部的“监守自盗”或是外部的“恶意攻击”,导致患者信息、药品价格、统方数据泄漏,后果将不堪设想!


那么,面对这些问题,昂楷该如何“对症下药”?张勤保在现场给出了答案:



● 发现分类:通过自动化扫描工具,数据资产梳理工具,发现所有数据库、应用程序和客户端、发现敏感数据所处位置。


● 评估加固:通过渗透测试或采用自动化评估工具对目前主流的数据库(ORACLE、MySQL、Caché...),针对漏洞扫描、弱口令检测、权限配置、默认账号、配置核查、基线监控等内容进行评估,以达到修复漏洞、增强口令、优化权限、输出合规报告的效果。


● 监视控制:通过数据库状态监控对特权账号 、网络攻击、越权访问等进行监控和深入分析,达到数据的100%可视;当异常行为出现时,可通过数据库防火墙实时防御。


● 审计报告:通过数据库审计对事件分析与取证,预测风险趋势并生成合规报表。



昂楷按照以上4点思路,针对数据的全生命周期(数据生成、数据存储、数据使用、数据传输、数据共享、数据销毁),构建起全方位的立体安全防护体系。


医疗卫生的数据库安全防护建设理念

张勤保还深入介绍了昂楷的数据库安全防护建设理念:在进行数据安全防护时,精准可视是不可缺少的前提,而联动联防则是最为重要的关键环节。


“以前的信息安全产品都是以一个的独立个体来运作,这样的形式容易导致信息安全孤岛的产生,而现在我们考虑的则是产品之间的联动,要让众多产品形成一个互通互联的整体,进而做到联动联防为数据库提供完善的安全保护”,他解释说。



联动联防就是要以安全态势感知平台为枢纽,汇总数据库安全产品捕捉的风险行为,经智能分析后进行工单派发或策略下发,将防火墙、准入控制、用户认证等“外防”手段与数据库防火墙、数据库审计、医疗防统方、状态监控等“内控”手段相结合,通过双重保障化解来自内部和外部的风险,实现自动化智能数据库安全管理。



▲昂楷现场交流展位


返回上一级

400-622-8990