瞄准医疗数据安全四大风险 东软DBA如何绝地阻击

安全 数据安全
作为与人民生活福利密切相关的保障性设施,医疗行业单位,尤其是大中型医院的信息化建设始终领先于社会同期平均水平,各业务环节几乎已全部纳入到IT信息链条中,并逐步呈现出自成体系的信息技术范畴。与之相应的,医疗单位也面临着其行业独有的数据安全风险。

[[198974]]

作为与人民生活福利密切相关的保障性设施,医疗行业单位,尤其是大中型医院的信息化建设始终领先于社会同期平均水平,各业务环节几乎已全部纳入到IT信息链条中,并逐步呈现出自成体系的信息技术范畴。与之相应的,医疗单位也面临着其行业独有的数据安全风险。

为解决以上问题,东软推出了以数据库审计系统(DBA)为依托的NetEye数据安全平台,面向医疗行业数据安全需求,提供成熟、可靠的整体解决方案,并在各个领域均表现出鲜明的优势特点。

一、防范非法统方

通过内置的专业防统方功能,东软 DBA能够实时检测针对HIS系统的非法统方行为,保护医疗单位合法权益,提高通过行业规章要求、等级保护等标准规范的能力。

(一) 准确度***。东软DBA了解HIS数据库结构,具备准确的统方模型定义,具备制订出业内精确度领先的统方策略的能力,是东软DBA在防统方领域***的先天优势。

(二) 误报率低。东软在医疗信息化领域审核二十余年,了解客户需求,熟悉各医疗流程的运维操作特点,如药库/药房管理、药品字典维护、药品/非药统计、就诊信息查询等,能够准确甄别误判环节,将误报率控制在可接受范围内。

(三) 漏报率优异。东软DBA不仅仅审计对指定数据对象的访问,而且还将通过其它技术手段进行辅助检测,防范个别内部人员通过数据库内部机制进行间接统方,如数据转存、设立视图、调用存储过程/函数等,截断逃避监管的隐蔽通道,实现良好的审计覆盖面。

(四) 层次化的检测阶梯。东软DBA的防统方策略,不是简单几条检测策略配置的罗列,而是在充分理解HIS数据库结构和业务特征的基础上,制订出的层次化的检测策略阶梯,并根据***率、可疑度、防漏审/漏报、防误报、执行效率等因素综合权衡,严谨选择每条检测规则的检测粒度以及所处的阶梯位置,从而使DBA防统方实现良好的检测性能和效果。

(五) 开箱即用。为便于客户对DBA防统方功能的高效运用,东软DBA将防统方功能单独封装为策略包和报表模块,每个策略包均针对特定品牌、特定版本的HIS系统而专门打造,用户可通过报表模块自动生成指定类型的防统方合规报表,降低部署难度,提高审计监管力度。

二、保护病患信息

病患信息是医疗单位重点保护的数据资产,此类信息广泛分布在HIS、EMR、CPR等系统的数据库中。一方面,病患信息数据需要面向正常业务系统提供全面访问服务;另一方面,又需要向特定的临时请求开放有限的访问权限,如医学科研课题研究、临床案例样本调查等。

东软DBA数据安全平台能够提供完善的敏感数据保护机制,满足客户的多种需求。

(一)基于数十种条件来严格描述各类用途的业务访问请求,为后续敏感数据保护提供访问源定义。

(二)按照可操作记录数量来约束数据扩散速度。

(三)按照字段类别来控制可访问数据范围。

(四)在可访问范围内,对其中的敏感数据进行事前静态、实时动态脱敏处理和事前静态加密处理。

东软DBA数据安全平台,妥善满足了医疗行业敏感数据的弹性保护需求,把以往简单粗暴的“允许、禁止”二元制策略,进一步优化为“允许、禁止、允许但需少量、允许但需脱敏”多元制保护体系。

三、监督IT服务

通常,在信息化建设过程中,医疗机构与IT服务商将在约定的工作界面内按照合同要求交付工作,保质、保量。然而,在实际操作过程中,难免出现分工界面不清晰或使用混乱、交付成果不明确等情况,极易引发一系列的安全隐患,如数据泄露、后门预留等。针对此风险,东软DBA数据安全平台可将IT服务工作限定在一个可控、可审计的范围内。

(一) 提供数据访问控制机制,约束IT服务人员的数据访问范围。

(二) 提供数据加密和脱敏机制,防止敏感数据泄露。

(三) 采用数据审计手段,监督对核心数据资产的全部访问。

(四) 采用运维审计手段,监控对核心系统的维护操作(NABH运维审计)。

(五) 设置审计报警策略,对高可疑度的访问、操作进行实时报警,及时通知安全管理员排查可疑行为。

东软DBA数据安全平台能够为医疗单位的信息化建设提供可靠的沙盒环境,监督、约束IT服务有序交付,避免对现网系统造成安全威胁。

四、增加纵深防御

从安全层面上来看,医疗单位信息系统是近似平坦的结构,几乎所有的桌面系统都可以访问所有的服务器资源,无论是应用业务服务器还是数据服务器,尤其是在应用层<->数据层之间,几乎是全连通的。这对安全防护非常不利。

东软DBA数据安全平台可方便、高效地增加医疗单位信息系统的防御纵深。

东软DBA数据安全平台,兼具数据库审计、数据库防火墙、数据库加密和数据库评估扫描模块功能,并内置SOX、等级保护、防统方、PCI等报表模板,可有力促进医疗单位进行内部监管强化、安全评测申报以及切实提高数据安全水平等工作。

责任编辑:武晓燕 来源: 51CTO
相关推荐

2023-05-04 09:09:32

IT技术人工智能

2023-07-05 10:43:45

IT风险能力

2016-03-30 11:51:55

2023-04-26 10:56:35

IT企业领导者

2024-07-22 15:56:44

2017-05-23 15:23:08

金融云

2022-08-17 15:09:08

区块链加密货币NFT

2011-03-10 15:17:59

2020-04-02 20:39:08

医疗数据数据泄漏数据安全

2021-03-09 16:55:52

区块链安全技术

2023-09-06 15:46:01

2009-06-04 08:49:40

2012-07-27 10:17:31

2018-06-06 14:15:12

2024-04-30 11:56:15

2011-03-04 13:17:33

2009-05-11 21:01:58

2022-05-16 09:18:47

物联网物联网安全

2023-03-14 10:18:02

2023-07-24 11:01:32

点赞
收藏

51CTO技术栈公众号