美创科技医疗行业数据安全典型风险场景及应对措施

近年来，《网络安全法》、《数据安全法》、《个人信息保护法》以及多部医疗健康行业的法律法规不断公布和生效，数据安全合规建设已成为医疗行业安全建设的重要内容。如今，越来越多的医疗机构对数据安全持续关注，但由于自身网络复杂、业务特殊、系统繁多、数据价值大等特性，仍面临严峻的安全威胁与问题难点。

为了解决这些问题和挑战，针对医疗机构复杂业务场景下面临的不同防护诉求，美创科技形成多种场景化解决对策，助力医疗机构有效提升数据安全的防范能力，满足安全合规要求。

01

医疗数据安全分类分级

由于医疗行业业务复杂、数据带有大量业务属性、数据体量大、格式复杂多样，数据分类分级工作若单纯依靠人工梳理，准确率低、周期长，且受限于人员专业能力，分类分级工作推进进度缓慢。

美创数据安全分类分级平台（医疗行业版）内置专业医疗行业的数据分类分级模板（可落地参考标准），并引入自然语言处理、统计模型、特征分析、机器学习等技术，实现高效智能的分类分级，大幅缩短建设周期，并多维呈现数据资产目录与分类分级结果。

02

重要数据加密存储

《医疗卫生机构网络安全管理办法》第二十二条 （三）：各医疗卫生机构应按照有关法规标准，选择合适的数据存储架构和介质在境内存储，并采取备份、加密等措施加强数据的存储安全。

美创数据库透明加密系统在不涉及业务系统改造、不影响现有业务流程、不改变现有系统架构的“三不”情况下，实现重要数据的诊疗记录加密存储同时支持国密SM4算法。

同时，数据库透明加密系统具备商密证书，可以支持等保三级及以下等级的系统进行密评，首创在不影响业务正常运行、无需业务系统升级改造的情况下达到密评的相关要求。

03

信息中心数据运维安全

医院信息中心第三方运维、外包开发场景下存在大权限账号，越权及未经授权的访问风险；人为误操作无法避免；新系统上线，老系统运维人员有意无意破坏产生安全缺口；远程工具漏洞使运维风险加大；数据可能落地运维公司等隐患，导致数据泄漏，内部统方事件频发。

美创数据库防水坝针对敏感资产及敏感操作，提供围绕数据库访问全会话的最小化权控能力，通过在不可信的内部环境建立可信防线，解决人的安全问题。数据库防水坝集成了数据库准入控制、敏感资产/敏感SQL/数据库账号授权、动态访问控制、敏感数据脱敏、误操作恢复、访问行数控制等能力，有效解决数据库运维场景面临的账号共享、敏感数据泄露、删库跑路、越权操作、意外删除等各类数据安全问题。

04

临床科研数据脱敏

医院院内临床科研平台因其特殊性，经常需要大量数据来支撑研究，这些数据在流转过程中基本都以明文的方式进行传输，而其中包含了大量敏感数据与重要数据，比如患者姓名、身份证号、手机号、住址、用药信息、医保账号，一旦泄露，相关责任人需要承担法律责任，同时也对个人造成不良影响，因此需要针对敏感数据与重要数据进行脱敏处理。

美创静态脱敏系统内置医疗脱敏规则，可实现自动化发现源数据中的敏感数据，对敏感数据按需进行漂白、变形、遮盖等处理，并最大程度保证脱敏后数据的一致性和业务的关联性，具备丰富数据源支持，库到库、库到文件、文件到文件、文件到库等完全不落地的脱敏，高效脱敏策略，脱敏数据完整性审查校验，支持数据可逆脱敏算法复敏等能力优势。

05

医疗勒索病毒防护

勒索病毒是医疗行业面临的主流威胁之一，需要对文档、数据库文件、终端、哑终端等进行主动防护。

美创诺亚防勒索系统集内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、 智能学习模型等创新技术，实时监控各类进程对数据文件的读写操作，快速识别、阻断非法入侵行为，旨在通过严密的防御机制，主动抵御各类已知道、未知勒索病毒的侵袭。

目前，美创科技已形成多维度勒索病毒防御体系，通过“针对勒索的应急响应服务、诺亚防勒索、容灾备份、勒索防护保险”一体化方案组合拳，帮助医疗用户有效抵御勒索威胁。

06

医疗数据库智能运维

医疗数据库数量众多，无法监控数据库运行效率；信息中心运维人员少、工作繁杂；当数据库有性能瓶颈时无数据支撑；无法自动发现锁表进程，导致业务中断或缓慢。

美创数据库运行安全管理平台融合AI技术和大数据模型，提供智能监控、预测和趋势分析，功能覆盖数据库日常运维场景，实现海量数据库资产自动化运维。平台可主动发现运行故障自动处理锁表、自动回收日志空间，自动发现高耗能资源SQL占用以减轻对实际业务影响。同时可通过接入美创运维云，提供数据库运行状态主动预警、故障诊断和远程专家服务。

07

互联网诊疗平台API接口防护

API接口在智慧就医服务与互联网就诊服务广泛使用，但面临API资产杂乱、API调用的数据风险不可知、数据流转链路不透明，从而引发数据安全风险隐患。

美创API安全监测与访问控制系统是为了解决应用API接口访问场景下的安全问题推出的一款Web应用侧数据安全产品。系统基于API资产治理、身份治理、流量管控、访问鉴权、机器学习等多种核心技术，帮助用户梳理庞杂的应用及接口，绘制接口画像和接口访问轨迹，监测敏感数据与重要数据流动风险，识别接口调用的异常用户行为，有效解决智慧就医服务与互联网就诊服务在API接口交互过程的敏感个人信息与重要数据的合规流动问题。

08

医疗临床业务容灾建设

灾备建设是医疗信息化建设过程中必不可少的基础安全保障，电子病历分级测评、互联互通测评、智慧管理分级评估等均对此提出要求。目前，医疗行业临床业务容灾建设面临：灾备实现散杂多乱等难点，难高效管理运营；各业务系统耦合性高，牵一发动全身；急诊随时有，需要7*24小时稳定运行，缺乏演练窗口；临床业务系统升级频繁(如EMR每周一次小版本迭代)。

美创新一代灾备一体化平台基于云端架构，聚焦打造“1个管控中心+多个灾备能力”，覆盖数据级容灾、业务级容灾建设,提供了灾备集中监控、统一调度、预案管理、演练切换、可视观测等日常灾备管理和运营能力,有效保障业务RPO/RTO目标。

09

医院等级评审

《电子病历系统应用水平分级评价》、《医疗健康信息互联互通标准化成熟度测评》、《公立医院高质量发展评价指标》、《医院智慧服务分级评估标准体系》等医疗机构测评指南中，均对数据安全保护设置评审内容、评审指标、等级要求，数据安全能力成为医院数字化发展的重要指标。

电子病历系统应用水平分级评价场景

医院信息互联互通标准化成熟度测评：灾备一体化平台、数据库透明加密、数据分类分级、数据脱敏、数据库防水坝等。

电子病历系统应用水平分级评价标准：供数服务、数据汇聚、灾备一体化平台等。

医疗行业网络安全管理办法：数据安全治理、数据安全制度设计、数据安全风险评估、数据分类分级、数据全生命周期安全加固等。

智慧服务分级评价标准：数据安全治理、数据分类分级、数据库防水坝等。

《数据安全法》、《个人信息保护法》一系列法律法规接连落地，不断增加与升级合规监管呼啸而至，《电子病历系统应用水平分级评价》、《医疗健康信息互联互通标准化成熟度测评》、《公立医院高质量发展评价指标》、《医院智慧服务分级评估标准体系》等医疗机构测评指南中，均对数据安全保护设置评审内容、评审指标、等级要求，数据安全能力成为医院数字化发展的重要指标。

数据安全正当时！从基于数据安全治理的咨询规划、围绕数据全生命周期的安全产品体系、再到综合数据安全运营平台及服务，美创科技全力守护数据安全，面对瞬息万变、不确定的风险与挑战、美创科技也将竭尽所能，不断深入业务场景和持续创新，让数据流通使用变得更加合规、高效、安全。