js1996官网

20240925181105_9935数字经济的安全基石

申请试用
20210521154239_9197

媒体报路

首页 > 关于js1996官网 > js1996官网动态 > 2021 > 正文

山东省立医院:建设监测系统是数据安全防护的点睛之笔

阅读量:


导读

医院必要一个可能纵观全局的监测系统 ,将分散的数据防护能力串联起来。

山东第一医科大学从属省立医院(以下简称山东省立医院)始建于1897年 ,迄今已有124年汗青。医院盛开床位3758张 ,2020年度门脊仫总量为323万 ,出院人次近17万 ,手术台次13.36万。在信息化建设方面 ,近年来逐步推出了团队阶梯式预约、互联网惠农门诊、线上自动缴费、线上自主查问和下载查抄检验汇报等一系列便民服务。同时 ,为应对智慧医院建设所带来的网络安全风险 ,医院特设网络安全治理员岗位 ,专职掌管医院网络安全防护工作。
山东省立医院信息网络治理办公室主任王永杰说:“医院信息系统的利用已从院内延长至院表 ,从医生端延长至患者端。从前相对封关的医院网络天堑已齐全被突破 ,医院时刻要警惕网络安全风险。其中 ,数据安全风险问题日益凸显。数据的价值效益是一把双刃剑 ,数据的价值越高 ,其被恶意利用后所带来的风险就越大。
山东省立医院信息网络治理办公室副主任包国峰分析 ,医院网络安全风险重要来自于五个方面:首先 ,主题风险来自于人 ,尤其要强化医院工作人员的网络安全防护意识 ;其次是设备接入风险 ,蕴含各类终端、服务器、网络设备的接入风险及医疗设备的接入风险 ;第三是病毒入侵风险 ,医疗行业已成为勒索病毒的重要攻击对象之一 ;第四是医院业务系统上云后所面对的互联网安全风险 ;最后是医疗数据流动所带来的数据安全风险。
为此 ,山东省立医院一方面依照医院现实需要推动信息化建设 ,满足医院诊疗业务、运营治理和患者就医需要 ;另一方面 ,始终高度器沉网络安全治理 ,设立专人担任网络安全员 ,并加强与专业力量的合作 ,引入有关步骤论发展网络安全、数据防护的运营保险。
20211130110825_6716

山东省立医院信息网络治理办公室主任王永杰(左)、副主任包国峰(右)

医疗数据安全面对“四大风险”

2021年 ,《中华人民共和国数据安全法》《中华人民共和国幼我信息 ;しā等司法的出台与执行 ,使得医疗机构面对的数据安全与合规压力陡然增长 ,自动躲避数据安全风险 ,全面保险医疗数据安全 ,对于医疗机构而言 ,可谓如饥似渴。
医疗机构采集、存储、处置的数据 ,除去医院自身的运营数据表 ,很大一部门都是患者的幼我信息 ,蕴含《幼我信息 ;しā分刑岬降拿舾杏孜倚畔 ,如生物鉴别信息、就诊纪录、医治和用药等信息。包国峰暗示 ,依法为患者 ;ぁ⒅卫砗谜庑┦ ,让其在诊疗过程中阐扬出更大的价值 ,是医院信息部门的责任与使命。他以为 ,医疗机构数据安全风险重要聚焦在以下四个方面:
第一 ,数据互联互通的大趋向导致医疗数据露出面增长。医院在实现信息互联互通、达成高档级电子病历系统利用水平及建设互联网医院的过程中 ,不成预防线会促使数据在分歧系统、分歧院区甚至分歧医院间流转 ,也会晤对来自互联网端、物联网端的数据接见要求。包国峰说:“数据通路数量的增长 ,导致出现数据安全问题的概率也在成倍增长。”
第二 ,医疗数据复杂度增长 ,导致数据安全治理难题。医院信息系统产生的数据正变得日益复杂 ,早期的医疗数据重要产自HIS及电子病历系统 ,此刻PACS、LIS ,甚至医疗设备、物联网设备时刻都在产生着重大数据。各类医疗数据体式不一、内容错杂 ,不足安全分级分类尺度 ,无法界说安全 ;さ燃 ,数据安全治理难题 ,导致安全战术难以细粒度执行。
第三 ,数据防护伎俩及思想较为落后 ,无法应对新的安全挑战。包国峰以为 ,传统的基于数据库审计与接见节造的数据安整个系已无法应对目前的数据使用场景 ,如:数据在内部流转或者表部互换时的API接口的安全问题、自动化拟人化的恶意代码导致的数据失窃问题、账号失控后攻击者伪造身份接见数据的问题等。
最后是第三方运维所带来的安全问题。医院信息化团队往往人手有限 ,却必要治理和守护数十个甚至上百个信息系统 ,在这种压力下 ,系统原厂运维或者第三方运维是医院不成预防的选择。“在这些运维工作中 ,若是医院信息部门没有把安全治理工作做到位 ,就会产生巨大的安全缺口。”包国峰举例说 ,“若是运维人员身份鉴别与安全权限节造工作不到位 ,‘拖库’‘删库’等风险就会陡增 ;若是不足对远程运维端口的审批、节造与监测 ,数据远程窃取难度将大大降低。

医院数据安全防护“四步走”

王永杰以为 ,要想做好医院数据安全工作 ,除技术与产品表 ,还必要一套可能在医院落地、获得现实成效的安全防护步骤。
为此 ,山东省立医院结合js1996官网信息所提出的“CAPE(Check、Assort、Protect、Examine ,风险核查、数据梳理、数据 ;ぁ⒓嗫卦ぞ┦莅踩卫砟P汀 ,构建了一套较为齐全、能在医院落地实操的数据安全防护步骤。
包国峰介绍 ,结合这一步骤论 ,医院发展数据安全 ;つ芄环炙牟阶撸
首先 ,确 ;肪嘲踩。“第一步的主张是看清医院现有网络安全问题 ,这决定着安全战术的造订。”包国峰介绍说 ,能够通过缝隙扫描、配置核查等技术伎俩 ,摸清当前医院重要信息系统存在的安全风险 ,随后进行针对性的建复工作 ,保险医院数据环境安全。
其次 ,梳理数据资产。摸清 ;ざ韵 ,梳理出数据资产清单 ,对沉要、敏感的数据资产进行象征。包国峰暗示 ,可在此步骤中同步实现《数据安全法》所划定的数据分级分类工作。
再次 ,加强安全 ;。结合前两步成就 ,即可造订出较为求实、有效的安全 ;ふ绞。在此步骤中 ,可针对性使用接见节造、行为审计、脱敏、加密等安全防护伎俩。
最后 ,建设监测系统。这一步是数据安全 ;さ墓丶 ,也是点睛之笔。“通过前三步的工作 ,医院已成立起根基的数据 ;つ芰 ,但这种能力是分散的 ,视角相对孤立。”包国峰以为 ,医院必要一个可能纵观全局的监测系统 ,将分散的数据防护能力串联起来 ,实时相识数据流动过程中的风险走向、数据泄露的产生原因、表部攻击的强杜纂威胁水平、医院应采取何种防护伎俩等。包国峰强调 ,医院需以长远的眼光来对待信息化建设的投入 ,安全设备的堆叠无法成为安全保险 ,只有从全局着手 ,成立监测预警思想 ,能力做到事无大幼 ,把好医院网络安全防护的关口。
同时 ,单纯依附医院的信息部门 ,也很难做好网络安全防护工作。“医院网络安全治理更应采取合作运营模式。”包国峰暗示 ,今时分歧昔日 ,当前网络安全技术发展极为迅速 ,医院所面对的安全威胁也在不休变动。从前“产品、配战术、管三年”的安全建设步骤很难应对当前的网络安全局势。部门医院信息部门仍存在一个普遍近况 ,即医院很难找到相宜的、专业的网络安全人才。“所以 ,但愿安全厂商可能通过提供服务或全天候运营等更为矫捷的方式 ,援手医院做好网络安全防护。也但愿安全厂商所提供的服务可能更切近医院的业务 ,和医院信息化团队成立更为缜密的合作关系。
关关

20240102184719_8730

客服在线征询入口 ,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用 ,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】