欢迎访问智慧医疗网 | 网站首页
 
当前位置:首页 > 信息安全

医院信息中心如何保护医疗数据安全

发布时间:2024-09-06 来源:医盟网信息化联盟 浏览量: 字号:【加大】【减小】 手机上观看

打开手机扫描二维码
即可在手机端查看

一家医院的内部文件遭到泄露,院领导要求紧急展开调查。遗憾地是,以医院现有的技术手段,无法排查是谁泄露的,最终此次泄露事件由信息中心领导担责。


为什么是信息中心担责?


2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》中,明确指出:

坚持管业务就要管安全”’谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。

微信图片_20240906083041.png

医院当前采用通过网闸交换文件,并依赖Windows服务器进行文件访问,医护人员需前往指定电脑进行文件上传下载。尽管医院当前的文件交换访问方式在合规性上符合要求,但Windows共享的局限性让文件的共享无法追踪。

权限控制局限性:无法提供基于角色、科室或职称级别的细粒度权限控制,同时也无法控制敏感文件的下载权限。

日志管理缺失:缺乏内置的、易于使用的日志管理工具,因此无法实现对文件外泄行为的全面监控和审计。

医院信息中心,作为网闸与文件服务器的核心管理与运维部门,承担着确保数据安全与合规流转的重要职责。像此类文件通过网闸与文件服务器不当泄露至外部网络的情况,根据信息安全责任制原则,责任本该由“使用人”担责,但由于找不到“使用人”,则由信息中心承担。


国内医疗数据安全依然严峻


据奇安信威胁情报中心的最新监测数据显示,2023年我国医疗卫生行业泄露的数据量达到了90252.9万条,相当于344.7GB,其中不仅包含大量个人隐私信息,还涉及到诸多商业机密。

医疗信息被泄露而引发的争议已经发生了太多,例如2023年,“周海媚病历疑被泄露”就曾经登上微博热搜,又比如2020年9月广西一名医护人员非法下载新生儿和产妇的个人信息8.9万多条,并将其“转卖”给外部人员。

针对患者信息安全,国家卫健委制定并发布《患者安全专项行动方案(2023—2025年)》,要求“利用3年时间,进一步健全患者安全管理体系,完善制度建设,畅通工作机制,及时消除医疗过程中以及医院环境中的各类风险”


微信图片_20240906083044.png

医院工作人员泄露医院内部资料、患者信息,让医院的安全堤坝因内部细小的蚁穴而逐渐崩溃。


医院如何防信息泄密?


对于医院来说,信息安全不仅仅是事后措施,而是整个安全思维模式需要转变。就拿开头提到的案例,我们已经分析当前Windows服务器管理存在安全缺陷,如果不改变这种模式,类似的事件还会再次发生。

云盒子医院数据安全解决方案针对医院在文件交换、安全管理、用户行为追踪以及操作审计等方面的问题,提供了全面的解决方案。以下是具体阐述:


01

 文件如何安全交换至外网?


云盒子医院数据安全解决方案通过内外网文件交换平台,实现了文件的安全交换至外网。该平台采用“2+1模式”部署,配合医院内部已有的网闸,不改变医院原有的物理隔离网络架构。

文件交换过程如下:

(1)内网上传:医院内网电脑上传文件至云盒子内网服务器。

(2)安全审核:文件上传后,经过预设的安全审核机制,包括脱敏、加密、水印添加、自动审核和人工审核等步骤。高密级文件需经过审核员研判,确认是否符合外发标准。

(3)网闸摆渡:审核通过的文件通过双向网闸一键“摆渡”至外网文件服务器的交换区。

(4)外网下载:外网用户从外网文件交换区下载文件。

整个过程中,文件在内外网之间传输时都经过严格的安全审计和加密处理,确保文件的安全性和完整性。


02

 如何防止用户随意下载文件?


云盒子解决方案通过权限控制的方式防止用户随意下载文件。基于角色的访问控制(RBAC),为不同用户或用户组分配不同的权限,包括文件下载权限。未被授予下载权限的用户可以在线浏览、编辑,却无法下载文件。


03

 

 下载文件发生外泄如何溯源?


答案是水印信息。用户下载文件时自动嵌入账号、时间、IP等关键信息。值得一提的是云盒子隐水印。

隐水印的嵌入,不会增加文件大小,也不会额外占用存储空间,与原文件的像素差不超过1%,肉眼完全看不出文档上是否添加了水印,从而避免了水印对阅读体验的影响。当发现文件被泄露时,通过云盒子管理中心就能查看文件中的隐水印信息。


04

 如何进行操作审计?


云盒子医院解决方案内置了操作审计功能,确保医院能够全面追溯每一个文件的流向和操作行为。具体审计功能包括:

文件日志:记录文件的上传、下载、修改、删除等操作信息,包括操作人、操作时间、操作内容等。

人员活动记录:记录用户的登录、访问、操作等行为,形成完整的用户活动轨迹。

安全审计报表提供安全审计报表功能,医院可以根据需要生成各种审计报表,如文件操作报表、用户活动报表等,以便进行安全分析和合规性审查。

通过这些操作审计功能,医院可以实现对文件交换和使用的全面监控和管理,确保数据的安全性和合规性。


智慧医疗网 © 2022 版权所有   ICP备案号:沪ICP备17004559号-5