DNE医疗卫健态势感知系统_河南数字网络工程有限公司

医疗行业已成为发生数据泄露多的行业，未经授权的泄密成为医疗行业数据安全的风险。在国内近75%医疗卫生机构的内网中存在安全威胁问题，内部勒索、病毒、恶意软件频现，各种威胁漏洞、APT攻击等问题层出不穷，非法获取病人信息已经形成产业化的趋势，利用特种木马、0day漏洞、水坑攻击、钓鱼攻击甚至威胁更大的APT攻击，已是传统防火墙、IDS、杀毒软件等安全防护设备无法发现和阻止。
卫生健康委员会作为行业网络安全监管单位，在现有的技术和数据条件下也很难第一时间掌握我省医院的网络安全威胁形势和可持续威胁的攻击情况，同时基于国家对网络与信息系统网络安全等级保护的要求，需要做针对性的完善，因此为了应对各方面的需求，我们规划建设省卫生行业威胁感知分析系统项目，建立对可持续威胁发现的技术措施和能力体系，提升我省医疗卫生行业网络安全威胁发现的能力，进一步完善卫生行业的信息化建设和网络安全保障能力。建立并督促落实统一的网络安全运营中心，提升医疗卫生行业的风险管控能力，利用基于威胁感知分析系统和威胁情报来提升未知威胁的发现能力，协助医疗卫生行业从被动防御阶段向主动防御阶段转变。

技术方案

数字经济时代，安全是所有0前面的1。伴随“互联网+医疗健康”推进，医疗企业和机构所面临的网络信息安全风险也被成倍放大，提升安全风险防范意识，加强信息安全体系建设，才能有效保障和驱动医疗信息化的良性发展。当前，随着医疗信息化建设的提速，医疗信息安全建设保障工作需要得到普遍关注和重视；解决医疗信息安全相关威胁和挑战，需要继续加强在医疗信息安全领域的投入、建立系统化的网络安全防护保障体系。
一、互联互通数据安全
医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同，需要在各医疗机构、医联体信息平台之间实现数据（电子病历、电子健康档案等）的互联互通与信息共享。
在此场景下，医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料等敏感数据进行访问浏览，以及通过内部信息共享交换系统进行文件数据传输、存储等操作时，均可能导致医患隐私等重要信息面临泄露风险。
二、远程医疗数据安全
一方医疗机构为邀请其他医疗机构对其诊疗患者提供技术支持等医疗活动时，涉及近端／远端医院、患者、远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方。
在此场景下，近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。如果远程诊疗网络相关服务器和终端被非法人员使用，则数据在远程诊疗过程中将面临敏感数据被非法访问、窃取篡改、恶意上传等风险。
三、汇聚中心数据安全
汇聚中心是指区域卫生信息平台、健康医疗大数据中心、学会数据中心、医院内部数据中心等为医生、患者、第三方研究机构的“诊疗参考、健康管理、分析利用”等需求提供数据应用支撑的平台机构。
在此场景下，汇聚中心涉及跨机构数据汇聚，集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息。例如，A医院医生会通过汇聚中心调阅某患者在B医院就诊时的健康医疗信息，如果没有建立对中心数据分级标注以及颗粒度匹配等机制，将面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全风险。
四、临床研究数据安全
临床研究数据通常指由医院、学术研究机构和医疗企业发起的，以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究中，所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息。
在此场景下，参与临床研究的医患及有关信息，被临床试验电子系统的用户进行访问或被交由医疗机构进行使用等过程中面临诸多数据安全合规风险。
五、商保对接数据安全
商业保险公司通过与医疗机构建立连接的医疗信息系统，及时掌握个人健康医疗信息主体的诊疗情况及发生的相关费用信息。例如，个人属性信息、健康状况信息、医疗应用信息、医疗资金与支付信息、卫生资源信息等数据，从而根据商业保险机构的核赔规则自动进行支付结算等理赔业务。
在此场景下，投保用户的健康医疗信息将由医疗机构向商业保险机构进行披露，因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节存在数据泄露的风险。
六、器械维护数据安全
医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据，影像系统可能涉及病人的影像及其诊断报告，检验系统可能涉及病人的检验、检查报告及检验结果等信息。
在此场景下，医疗器械厂商在进行远程维护时，可能读取医疗器械产生的数据，用以分析应用的安全性和有效性。在以上流程中，数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险。医疗数据在不同场景下面临的大量数据“合法利用”的安全风险，需要制定切实有效的管控机制，构建数据安全治理体系。

系统平台