AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
醫療行業
助力“互聯網+醫療”建設網絡安全
醫保局整體網絡安全解決方案
國家醫療保障局于2019年6月分別下發了《醫療保障信息平臺建設指南》、《醫療保障核心業務區網絡安全接入規范》,按照建設指南“建設計劃”要求中的“地方建設計劃”要求,2019年底前完成設計、立項、招標等工作;2020年底前完成相關信息系統建設工作;2021年完成項目驗收工作,國家醫療保障局派人參與省級驗收工作。
01
政策要求
? ? ? ?2018 年機構改革,醫保局成立,同時為深入貫徹落實習近平新時代中國特色社會主義思想和黨的十九大精神,全面建成中國特色醫療保障體系, 醫療保障局全面開展國家醫療保障信息平臺建設,為新時代醫療保障事業的高質量發展提供新動能,促進國家治理體系和治理能力現代化,增強人民群眾的獲得感、幸福感、安全感。
? ? ? ?為貫徹落實醫療保障信息化建設總體部署和國家醫療保障局《關于醫療保障信息化工作的指導意見》(醫保發【2019】1 號)、《關于開展醫療保障信息化建設試點工作的通知》(醫保發【2019】22 號)文件要求,指導和規范各地醫療保障信息化建設,高標準建成全國統一、互聯互通的醫療保障信息平臺,國家醫療保障局聯合規劃財務和法規司制定《地方醫療保障信息平臺建設指南》,嚴格根據該指南設計規劃地方醫療保障信息平臺安全防護體系建設方案。
02
安全需求
? ? ? 互聯網+醫療”的發展和醫療行業信息化的建設不斷推進,使國家越來越重視醫療行業網絡安全問題,但我國醫療行業網絡安全建設起步較晚,目前的安全情況不容樂觀。
1.?醫療行業成重要攻擊目標
由于醫療行業各機構的特殊性,醫療醫保信息都是屬于需要緊急使用的敏感信息,一旦這些數據被加密勒索,就會造成很大影響。醫療行業資源分配不均衡導致醫療數據的價值遠高于信用卡等數據信息,因此醫療行業的數據庫是黑客都覬覦的東西,欺詐者利用這些精準信息可以進行電信詐騙、虛假醫療廣告營銷等違法活動。
2.?勒索病毒等攻擊給醫療行業帶來危害嚴重
2017年以來,醫療行業已成為攻擊者實施勒索的最主要目標,有29%的勒索軟件的攻擊目標是各類醫療相關機構。除勒索外,醫療業務資源被黑客濫用于挖礦,亦會破壞企業內部IT環境、數據中心的正常運行秩序以及關鍵應用的交付,同樣使得業務連續性遭受極大安全威脅。勒索、挖礦已經成為影響醫療業務連續性的主要威脅。
3.?醫療信息泄露問題不可小覷
隨著業務網應用的深入,各種移動辦公、遠程辦公、移動掛號等便捷式服務的出現,勢必會有交叉進行數據交互的情況存在。醫院網絡具有開放網絡的基本特征,具有很大的安全風險,醫療數據泄露事件頻發。
4.?云計算的融合與發展帶來網絡安全新的問題
云計算在技術方面逐漸走向成熟,云端數據體量不斷增長,全球因惡意攻擊活動、云平臺漏洞被利用及云賬戶配置錯誤造成的數據泄漏事件時有發生,涉及個人健康信息、財務信息、個人身份信息、知識產權等大量非公開數據,成為當前云計算為人們所帶來的主要網絡安全風險。
5.?大數據技術衍生新風險
現今時代是大數據時代,數據的產生、流通和應用愈加普遍和密集,信息系統的安全邊界更加模糊,并可能引入新的、未知的安全漏洞和隱患。
解決方案
省/地市醫療保障信息平臺數據中心采用租用專享云數據中心的方式部署,醫療保障核心業務區為非涉密網絡,通過內外網數據交換區與醫療保障公共服務網進行連
接,省市醫療保障平臺核心業務網絡。本方案將從通用安全、云安全、網絡安全態勢感知以及安全服務體系設計四個維度來構建醫保局整個網絡安全體系。
依據國家信息安全等級保護制度和信息保障技術框架,根據系統在不同階段的需求、業務特性及應用重點,采用層次化與區域化相結合的安全體系設計方法,幫助構建一套覆蓋全面、重點突出、節約成本、持續運行的安全防御體系。
用戶價值
醫保局是國家新成立的部門,很多省市都是剛開始醫療保障信息平臺的規劃建設工作,安恒信息全國各個區域正在積極了解網絡和配合跟進中,后續將逐步完善和改進解決方案。本次設計方案的幾個核心優勢點為:
1. 合法合規,本方案符合國家在醫保局建設的政策要求,依據國家網絡安全法,《關鍵信息基礎設施安全保護條例(征求意見稿)》、嚴格按照等保2.0 安全標準進行方案設計,從通用安全、云安全、網絡安全態勢感知以及安全服務體系設計多個角度確保醫療保障信息平臺符合三級等保要求的同時具備完善的安全保障能力。
2. 借助基礎安全設施和安全態勢感知平臺的強大技術能力,通過使用具備安全合規、安全監測、安全策略分析等功能的安全態勢感知運營平臺,醫療保障局網絡安全風險預警能力能得到全面提升。
3. 云計算環境下,通過建設統一的安全資源池,提供一個安全可視、可控、安全資源自動化部署、彈性擴展、平臺開放的一體化安全資源平臺,可以滿足等保 2.0?中云計算環境的安全要求。
4. 產品與服務結合的安全模式。本方案設計了產品結合安全服務的模式,通過安全服務,提升信息系統的安全保障能力,彌補用戶專業網絡安全人員的不足。7*24 小時的應急響應服務,讓醫保信息平臺在網絡及重要系統任何時間發生任何安全問題都能夠及時得到支持和解決。
