网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


如何化解医疗行业数据安全危机?

2015-07-28 11:13 推荐: 浏览: 31 views 字号:

摘要: 近日,网络安全事故频发,医疗行业也未能幸免。先有美国第二大医疗保险服务商Anthem公司信息系统被黑客攻破,超过7800万客户信息泄露,而后美国健康保险公司”PremeraBlueCross”的信息系统遭到网络攻击,造成了1100万客户...

近日,网络安全事故频发,医疗行业也未能幸免。先有美国第二大医疗保险服务商Anthem公司信息系统被黑客攻破,超过7800万客户信息泄露,而后美国健康保险公司”PremeraBlueCross”的信息系统遭到网络攻击,造成了1100万客户信息泄露……医疗行业作为关系广大民生的重要行业,亟需提高警惕,以防被黑客盯上。

随着国内数字化医疗建设加速,病患的数据通常会流经多个系统、跨越多个单位和安全领域,在医院的网站、挂号系统、医生使用的电子病历系统、医疗设备、医院数据管理系统、政府卫生单位的信息交换系统甚至是POS系统中‘旅行’,这些环节中的任何一个防护弱点被黑客利用,都可能导致难以预计的后果。

如今,医疗行业IT团队所面临的威胁环境也发生了变化。首先,病患资料的黑市需求量增大,价格不菲,自然吸引了黑客的目光。另外,在地下黑市,黑客所需要的东西一应俱全,价格低廉的攻击程序可以轻松购买到。他们看准了医疗卫生行业相对薄弱的安全防护体系,在数据横跨的多个系统中寻找攻击点,这可能包括用户新筹建的移动医疗系统、云计算平台,医疗设备、物联网技术供应商等,这些都超出了传统数据防泄露技术的范畴。

在“身份窃取资源中心”( Identity Theft Resource Center)抓取到的2014年数据泄露事件中,有42.5%的事件发生在医疗、保健产业,这个数字比任何行业都要多。在国内,医疗机构近两年发生的数据泄密事件也比比皆是,很多漏洞集中在一些省市的疾控中心和卫生系统,导致数千万用户的医疗数据面临泄露的风险。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息,不仅侵害到了用户隐私,甚至可能被黑客当做网络犯罪的工具,导致患者遭受严重的经济损失。

近年来,虽然医疗卫生行业的网络安全防护水平有了较大提升,但依然不足以化解日益精进的安全威胁。作为中国医药卫生信息化首选品牌、优秀数据安全厂商,昂楷科技注意到医疗机构已成为网络犯罪的“重灾区”,是时候重新审视安全防护体系的有效性,利用最新的数据库审计系统保护核心数据安全势在必行。 为此,Henry建议IT团队采用以下五个步骤化解危机:

第一, 从根源解决用户信息保密。

从数据库级别进行防控,从根源上彻底控制客户数据信息的泄露,将个人身份证、社保参保信息、财务、薪酬、房屋等关键数据,使用文档加密技术,进行加密存储,防止个人隐私信息集中泄露、统计行为批量进行;

第二, 进行数据访问行为审计监控,重点加强数据库审计技术。

对数据库的访问行为进行监控和审计,对正在发生的数据库窃密行为能够实时预警、及时制止;还可提供有效的电子证据;

第三, 加强运维审计管理。

对内部数据库、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放 ,能够从事前、事中、事后的多角度、全方位进行安全防护。

第四, 变相互制约为权责分明,完善IT内控机制。

建立独立于数据库系统的安全权限体系,进行权限精细控制, 从内控的角度来看,系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计,帮助监督人员获得有效的技术手段,从而完善企业IT内控机制,无关人员不能看到个人具体信息。

第五、满足法规要求。

医疗法规框架很复杂,从网络安全的角度来看,有多种框架和标准必须遵守,包括HIPAA,HITECH及PCI DSS。国内用户不仅可以参考以上法规条文,更可以借助《信息安全等级保护制度》,作为促进安全管理能力提升的抓手。

联系站长租广告位!

中国首席信息安全官
关闭
关闭