关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”

开栏的话2021年6月,国务院办公厅印发《关于推动公立医院高质量发展的意见》,明确指出要强化信息化支撑作用,引领公立医院高质量发展新趋势。2021年10月,国家卫生健康委和国家中医药管理局联合印发《公立医院高质量发展促进行动(2021-2025年)》,也明确提出将信息化作为医院基本建设的优先领域,建

开栏的话

2021年6月,国务院办公厅印发《关于推动公立医院高质量发展的意见》,明确指出要强化信息化支撑作用,引领公立医院高质量发展新趋势。

2021年10月,国家卫生健康委和国家中医药管理局联合印发《公立医院高质量发展促进行动(2021-2025年)》,也明确提出将信息化作为医院基本建设的优先领域,建设电子病历、智慧服务、智慧管理“三位一体”的智慧医院信息系统。在医院信息化建设中,如何加强数据安全保护,有效实施数据全生命周期安全管理,夯实信息化发展的安全底线,是值得医院管理者们思考的问题。健康报开设“关注医疗数据安全”专栏,邀请业内专家对上述问题进行探讨。

本期嘉宾

北京大学第三医院信息管理与大数据中心 

贾末 计虹

近年来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列信息安全相关法律法规的颁布实施,对网络安全建设、数据共享应用、个人信息保护提出了更高的要求。同时,随着互联网医疗的快速发展、互联互通建设的不断深入、临床科研等需求的不断增加,信息系统互联网暴露面日益增大,数据共享的范围和数据量持续扩大,内外网数据交互日益频繁,网络安全、数据安全、个人信息安全风险持续增加,新型网络攻击、程序漏洞、数据库脱库、科研数据流失、个人隐私泄漏风险始终存在。伴随着无线网络的全面覆盖,无线网近源攻击等风险持续增加。各类风险的跨界性、穿透性、关联性、扩散性特征明显增加,系统性风险持续增大。这些因素给医院网络及信息安全建设带来了更大的挑战。构建完善的信息安全保障体系,对于提升整体信息安全保障能力、推动公立医院高质量发展,具有重要的研究价值和现实意义。

强化制度建设 规范信息安全行为

制度是规范也是指导,是信息安全工作开展的重要保障。医院层面成立了网络安全领导小组与技术领导小组,科室成立了网络安全技术支持小组,明确岗位职责。以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础,不断制定完善各项规章制度。制定标准操作流程,严格落实系统与安全“同步规划、同步建设、同步使用”三同步要求,实现“需求调研、规划设计、项目实施、系统上线、运行维护”全流程的安全监测体系。制定数据使用安全责任书,明确“最小、够用、知情”的数据采集原则,严格落实网络安全每日监测制度,制定《网络安全设备日常巡检表》,通过每日巡检监测,发现问题,解决问题。加强面向不同人群的网络安全意识培训,规范安全行为,完善各类人员安全责任制度,构筑全员安全堡垒,防范网络钓鱼、近源攻击等事件发生。开展数据安全培训,探索科室安全员管理模式。医院不断加强数据安全管理建设,逐步实现数据安全管理的“规范化、制度化、程序化”,最终达到岗位有分工、执行有依据、日常有检查、全员有认知。

夯实安全基础 强化网络边界防护

实施终端准入控制,实现终端可信接入管控。医院构建网络版杀毒软件及虚拟补丁相结合的防护体系,实现主机病毒及漏洞安全防护。利用去隐私、脱敏、水印等技术,并结合多因子验证、密码复杂度校验等身份鉴别、访问控制、安全配置手段,确保数据应用安全。打造实时双活的容灾虚拟化数据中心,保障数据存储安全。明确网络边界划分,在不同边界区域通过防火墙策略、IPS(入侵防御系统)、WAF(网站应用级入侵防御系统)、防毒墙网关、NAT(网络地址转换)、端口控制及VLAN(虚拟局域网)划分等,实现边界访问防护隔离,提升互联网访问的边界安全防护。同时,通过数据传输、存储加密,防止信息泄露。加强系统整合,收敛互联网暴露面,提升安全风险应对能力。

依托预警监测 构建综合防御体系

构建动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全综合防控体系。借助态势感知等大数据分析平台,实现威胁监测、预警、响应处置、可视化决策一体化管理。通过流量采集分析,结合威胁情报、行为建模、机器学习、关联分析、可视化等技术,对全流量进行智能分析,实现海量网络流量数据的实时动态解析,实现对全网安全威胁的可视化实时展示,协助快速发现高级未知威胁攻击,构建事前安全感知防御、事中威胁预警响应、事后追踪溯源的安全主动防御体系,并实现威胁风险全流程闭环处置管理。

开展实战演练 多岗协同联动防御

加强实战化训练,以网络安全大赛、网络安全演练为抓手,网络安全、系统安全、应用安全、终端安全多岗协同,防火墙、WAF、态势感知、服务器深度防护、终端杀毒等全系统联动,访问策略、流量监测、日志分析等全要素综合研判。在实战中不断总结经验,完善应急预案,最终实现“网络入侵拦得住、异常流量识别准、恶意文件消得清、故障原因排查快,应急预案可落地”,不断提升综合防御实战能力。

注重隐私保护 提升个人信息安全

根据《数据安全法》《个人信息保护法》的有关要求,医院对数据采集、传输、存储、处理、交换、销毁实施全周期管理。明确“最小、够用、知情”数据采集原则,利用国密算法加强数据传输、存储加密,对数据进行分级分类管理,加强权限管控,逐级授权开放。对数据进行脱敏处理,建立数据安全审查制度,加强对科研等数据使用的监管。利用数据库审计,加大审核分析力度,对可疑数据进行排查,加强数据溯源管理。针对个人信息保护,在程序端增加去隐私化、匿名化处理,对涉及个人隐私的数据,增加知情同意提示。强化审核及个人信息分类管理。制定信息安全事件应急预案,对处理敏感个人信息的情形进行评估。

加强自主研发 保障核心数据安全

医院积极培养自主研发人才,开发自主可控的安全管理信息系统,实现对网络安全、数据安全、个人信息保护相关的核心资产信息的管理。通过多因子认证、国密算法以及新技术的自主探索应用,持续提升信息化核心资源的安全管理能力。网络安全建设永远在路上。下一步,医院将持续完善制度建设,保障基础环境安全;加强态势感知和主动预警能力;推动国密算法等安全加密措施的落地实施;持续加强数据监管审计、数据监测和应急能力。另外,对重要数据进行定期风险评估,部署新一代安全保护设备设施,开展实战演习、应急演练,提升网络安全风险应对及应急处置能力;筑牢网络安全防线,为医院高质量发展奠定坚实基础。

关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”插图1

关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”插图3

文:北京大学第三医院信息管理与大数据中心 贾末 计虹

编辑:肖薇 张漠 杨真宇

审核:徐秉楠 闫龑

喜欢就告诉我们您“在看”

关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”插图5

关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”插图7

原创文章,作者:浙江网,如若转载,请注明出处:https://www.zjw3.com/1324-1.html