物联网  >   智能医疗  >  正文

智慧医疗|聚焦医疗行业敏感身份数据保护

  

 

  近日,深圳市南山区卫计局及下属五家医院,龙岗区卫计局及下属十三家医院携手竹云,建设智能身份安全管理平台,打通医疗身份数据孤岛,实现身份数据的集中管控,为智慧医疗保驾护航。

  智慧医疗的发展

  随着信息技术的迅速发展,我国医疗信息化建设正处于从临床信息化向区域信息化转变的阶段,各地积极开展以电子健康档案为核心的区域医疗信息平台的建设,实现跨机构、跨地域健康诊疗信息的互联互通和数据共享,为智慧医疗的发展奠定了基础。

  智慧医疗体系的建立极大的方便患者挂号就诊,通过卫生医疗信息集成平台,整合医疗资源,打通各部门、各系统间的 “信息孤岛”,使医务人员能便捷的查阅临床信息,为患者提供高效、无缝的医疗体验。

  伴随智慧医疗的深入推广,越来越多的患者个人信息和就诊记录连入网络,也增加了病人数据泄露的风险,保障医疗数据安全性成为各大医疗机构面临的一个难题。由于医疗数据具有较高价值,一直以来就是黑客和黑市交易的重点目标,而在利益的驱使下,医疗系统“内鬼”泄漏信息的事件更是频频发生。

  智慧医疗面临的挑战

  案例一

  2017年5月,关于“内鬼+黑客+杏仁泄露20万医生数据”的文章,被媒体广泛关注。据悉,广东两名贷款中介人与“内鬼“联手,在移动医生工作平台“杏仁医生”上窃取了352962条信息。杏仁医生第一时间回应事件属实,但数据没有外泄,同时承认一名涉案当事人为自己的前员工,其利用自己的账号权限,与他人勾结非法下载信息。

  案例二

  2017年9月,广元市旺苍县公安局破获一起新生婴幼儿信息泄露事件。成都市某社区卫生服务中心工作人员徐某,凭借掌握成都市“妇幼信息某管理系统”市级权限账号密码,多次将2016年至2017年的成都市新生婴儿信息及预产信息导出后,通过线下交易方式,将信息出售。累计非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万条。

  Verizon发布的一篇网络安全报告显示,在全世界范围内,医疗行业是内部威胁高于外部威胁的一个行业,内部从业人员对医疗数据的泄漏达到了惊人的程度。而81%的数据泄露事件都与身份信息被窃取有关。由于医疗信息化工作的特殊性,存在一些身份信息保护的薄弱环节。

  多维度人员

  在医院的IT环境中,大量不同类型的人员需要访问医疗数据,包括但不限于:医生、护士、实习生、行政人员、外包人员、供应商、病人和其他医务人员。此外,附属机构(即药房、医生办公室、保险公司)也需要获取病人的数据。

  弱密码管理

  医务人员多采用轮班制度,经常在不同科室、门诊和住院部之间轮岗,为快速登录系统,医务人员的账号密码多为弱密码,甚至空密码,而医疗机构中的办公电脑多为公用电脑,账号泄露的难度较低,几率较大。

  访问行为缺乏有效监管

  部分医疗核心系统缺乏必要的操作审计日志,无法对医务人员的行为进行有效监管。遇到紧急事件或查房时,医务人员临时离开岗位,来不及退出系统或忘记登出的情况时有发生,增加了账号被非法使用的风险。如果医嘱被非法篡改,无法进行明确的鉴定责任。

  缺乏明确的权限管控

  大型三甲综合医院医疗系统可多达上百个,不同系统由不同厂商提供,涉及到多家公司。服务器和网络设备由多家厂商共用,服务人员均可通过公用账号访问服务器数据,却没有明确的使用人和访问记录,事后责任追溯往往多家厂商互相推诿。部分科室也存在多位医务人员共用一个账号的情况,一旦发生安全事故,很难进行责任追溯。

  用户对系统的访问行为得不到有效监管,容易滋生内部人员的违规操作。上述两个案件中,涉案人员均是凭借个人账号权限,多次进入系统非法下载、导出数据,在案发之前这些异常行为均未被察觉和捕获。

  

 

  如何保护医疗行业敏感数据安全

  针对医疗行业面临的诸多信息安全隐患,竹云智能身份管理平台以”统一身份管理“、“统一权限管控”、“统一访问控制”和“统一合规审计”为核心,结合医疗信息化工作的特定业务场景,制定解决医疗行业系统互联互通的方案:

  统一身份是基础

  实现对不同纬度用户的电子身份全生命周期的自动化管控,针对不同类型用户设定不同的身份管理策略;同时增强核心应用系统的身份验证强度,保障核心业务数据的安全访问。智能身份安全管理平台可实现对多人共用一账号业务场景的管控,明确具体使用人,加强安全性监控;

  统一权限是关键

  加强对核心业务系统的权限管控,对各类权限进行明确的分级授权和权限审批,既能避免人为操作带来的权限滥用,又能进行实时审计及事后追溯;医务人员档案资质调阅及资质考核,维护医务人员从业资质和专业技术资质,资质审计等,都应根据医务人员的不同岗位职责设定相应的权限。组织内常存在一种情况,比如相关部门负责人将权限授予他人,存在多人共用一个账号密码,一旦出现问题,难以查出真正的责任人。智能身份安全管理平台可通过设置临时授权和委托授权,让权限开通和操作行为留痕。

  统一访问是高效

  国家卫计委相关文件明确要求“各医院需要采用多种身份认证方式(用户名/密码方式,USB key,动态口令,IC卡认证,生物特征认证等)相融合的方法建立身份认证体系”。医院目前认证方式多为用户名/密码,最多使用Ukey证书,远没有达到国家要求。通过竹云e账通融合认证,实现人脸、指纹、声纹等生物识别方式增强访问的安全性,通过e登录安全访问实现Ukey锁定window系统。

  统一审计是合规

  医疗数据事关重大,通过身份管理平台实现对每个用户的重要操作(用户登录,用户退出,增加,修改,删除关键数据)等进行记录,并对日志审计数据进行统计,查询,分析及生成审计报表。

上一篇:泰尔实验室开展智慧医疗类产品测试(智能监测床垫)

下一篇:小蘭护士,全面守护家人健康