合规建设势在必行

随着数字化进程的不断推进，医卫行业在自助缴费、病例存档、康复周期管理、社区医院等业务环节逐步实现了互联网的深度融合。同时，医院的信息系统中存贮着大量患者诊疗过程、临床数据、科研数据、药品卫生等信息，随着大数据分析等、在线医疗、医疗数据共享的落地，在提升就诊效率、针床诊断准确性的同时，带来了诸多的网络安全风险。

本文将为您解读医卫行业网络安全运营的现状与特性，分享高效智能的安全运营解决方案。

01

现状与特性

在系统层面上，医卫行业有超百余套不同种类的业务系统，例如，医疗器械制造、HIS、LIS、PACS系统等医院数据合规，业务系统之间均存在错综复杂的关联接口。为保障业务连续性，业务系统、数据库等的漏洞修复工作都比较谨慎。其次，在中国医院协会的信息化调查报告中，绝大多数医院的安全防护设备接入率小于50%。再次，医卫系统作为我国重要的信息基础设施，是黑客的重点攻击对象，规模性攻击事件层出不穷。综上，医卫行业的整体网络安全防御态势并不乐观。

同时，医疗行业存在着大量数据未分类分级、数据可用性未评估、数据传输保护不完备等现象，缺乏对数据安全的全生命周期防护。

基于以上业务系统众多、关联性高、数据敏感度高等原因，2019年12月，关键信息基础设施网络安全标准试点在网络安全等级保护的基础上对医卫行业提出了更高的网络安全要求。2020年6月，《关键信息基础设施安全保护条例》、《数据安全法》和《个人信息保护法》相继列入立法工作计划。

在面临系统合规的安全运营中，医卫行业的网络和系统运维缺乏专职的安全技术人员或管理人员，安全设备多为设备厂商或第三方技术人员进行运维，运维人员往往通过不安全的方式接入内网开展工作。因此，建设完善的网络安全防御体系，落实网络安全等级保护建设工作势在必行。

02

现行方案存在的问题

从服务团队的大量项目实践中，我们了解到现行应用于医卫行业的解决方案仍是以部署设备为主，一定程度上让医卫行业的政企客户具备了一定的防护能力医院数据合规，但并未解决安全运营人员管理、攻防能力提升、设备协调联动等问题。同时在系统合规层面上，缺乏完整闭环的安全运营解决方案。

03

下一代安全运营解决方案

基础防护 /

医卫行业的基础安全防护重点在防勒索、抗DDoS流量攻击、网页篡改等渗透攻击行为，下一代安全运营将日志数据中的异常情况通过AI和知识图谱等工具，及时发现并预警，形成风险评估报告。同时，加强漏洞发现与修复、邮件应用防护、终端数据安全等服务的联动，形成主动防御态势。

数据安全 /

在满足基础的网络安全防护下，对大量医疗数据进行分级分类管理，参考“数据发现-分类分级-违规监控-追溯反制”基础流程进行全生命周期管理。建立医疗数据使用管理制度，与相关方明确权责关系；涉及医疗数据的共享时，应在明确隐私边界的前提下进行数据脱敏、筛选等预处理，满足不同场景下高效安全调用的需求。

同时配合全周期数据存储、加密、脱敏、传输、使用、审计、备份、云平台监管等安全措施，构建覆盖云平台、服务器、终端、大数据平台的全方位的数据安全管理能力。

合规管理 /

在满足通用法律法规和医疗行业法律法规下，辅助省级监管平台和医疗机构对用于互联网诊疗平台的系统进行三级及以上的信息安全等级保护。

持续运营 /

围绕等保合规技术、管理层面中十个维度，结合《医疗保障信息平台建设指南》划分业务区域和网络功能域、根据链路负载情况及业务关键性进行整体架构设计、构建上述基础安全防护联动体系、构建以资产为核心覆盖“威胁检测-安全防护-安全审计”的智能化安全运营中心等智能化协调管控平台。

04

成功案例

更多定制化安全运营解决方案，

请拨打咨询服务热线。

远禾科技客户安全团队提供7*24小时运维支持！