医疗行业
助力“互联网+医疗”建设网络安全
医保局整体网络安全解决方案
国家医疗保障局于2019年6月分别下发了《医疗保障信息平台建设指南》、《医疗保障核心业务区网络安全接入规范》,按照建设指南“建设计划”要求中的“地方建设计划”要求,2019年底前完成设计、立项、招标等工作;2020年底前完成相关信息系统建设工作;2021年完成项目验收工作,国家医疗保障局派人参与省级验收工作。
01
政策要求
2018 年机构改革,医保局成立,同时为深入贯彻落实习近平新时代中国特色社会主义思想和党的十九大精神,全面建成中国特色医疗保障体系, 医疗保障局全面开展国家医疗保障信息平台建设,为新时代医疗保障事业的高质量发展提供新动能,促进国家治理体系和治理能力现代化,增强人民群众的获得感、幸福感、安全感。
为贯彻落实医疗保障信息化建设总体部署和国家医疗保障局《关于医疗保障信息化工作的指导意见》(医保发【2019】1 号)、《关于开展医疗保障信息化建设试点工作的通知》(医保发【2019】22 号)文件要求,指导和规范各地医疗保障信息化建设,高标准建成全国统一、互联互通的医疗保障信息平台,国家医疗保障局联合规划财务和法规司制定《地方医疗保障信息平台建设指南》,严格根据该指南设计规划地方医疗保障信息平台安全防护体系建设方案。
02
安全需求
互联网+医疗”的发展和医疗行业信息化的建设不断推进,使国家越来越重视医疗行业网络安全问题,但我国医疗行业网络安全建设起步较晚,目前的安全情况不容乐观。
1. 医疗行业成重要攻击目标
由于医疗行业各机构的特殊性,医疗医保信息都是属于需要紧急使用的敏感信息,一旦这些数据被加密勒索,就会造成很大影响。医疗行业资源分配不均衡导致医疗数据的价值远高于信用卡等数据信息,因此医疗行业的数据库是黑客都觊觎的东西,欺诈者利用这些精准信息可以进行电信诈骗、虚假医疗广告营销等违法活动。
2. 勒索病毒等攻击给医疗行业带来危害严重
2017年以来,医疗行业已成为攻击者实施勒索的最主要目标,有29%的勒索软件的攻击目标是各类医疗相关机构。除勒索外,医疗业务资源被黑客滥用于挖矿,亦会破坏企业内部IT环境、数据中心的正常运行秩序以及关键应用的交付,同样使得业务连续性遭受极大安全威胁。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。
3. 医疗信息泄露问题不可小觑
随着业务网应用的深入,各种移动办公、远程办公、移动挂号等便捷式服务的出现,势必会有交叉进行数据交互的情况存在。医院网络具有开放网络的基本特征,具有很大的安全风险,医疗数据泄露事件频发。
4. 云计算的融合与发展带来网络安全新的问题
云计算在技术方面逐渐走向成熟,云端数据体量不断增长,全球因恶意攻击活动、云平台漏洞被利用及云账户配置错误造成的数据泄漏事件时有发生,涉及个人健康信息、财务信息、个人身份信息、知识产权等大量非公开数据,成为当前云计算为人们所带来的主要网络安全风险。
5. 大数据技术衍生新风险
现今时代是大数据时代,数据的产生、流通和应用愈加普遍和密集,信息系统的安全边界更加模糊,并可能引入新的、未知的安全漏洞和隐患。
解决方案
省/地市医疗保障信息平台数据中心采用租用专享云数据中心的方式部署,医疗保障核心业务区为非涉密网络,通过内外网数据交换区与医疗保障公共服务网进行连
接,省市医疗保障平台核心业务网络。本方案将从通用安全、云安全、网络安全态势感知以及安全服务体系设计四个维度来构建医保局整个网络安全体系。
依据国家信息安全等级保护制度和信息保障技术框架,根据系统在不同阶段的需求、业务特性及应用重点,采用层次化与区域化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
用户价值
医保局是国家新成立的部门,很多省市都是刚开始医疗保障信息平台的规划建设工作,尊龙凯时全国各个区域正在积极了解网络和配合跟进中,后续将逐步完善和改进解决方案。本次设计方案的几个核心优势点为:
1. 合法合规,本方案符合国家在医保局建设的政策要求,依据国家网络安全法,《关键信息基础设施安全保护条例(征求意见稿)》、严格按照等保2.0 安全标准进行方案设计,从通用安全、云安全、网络安全态势感知以及安全服务体系设计多个角度确保医疗保障信息平台符合三级等保要求的同时具备完善的安全保障能力。
2. 借助基础安全设施和安全态势感知平台的强大技术能力,通过使用具备安全合规、安全监测、安全策略分析等功能的安全态势感知运营平台,医疗保障局网络安全风险预警能力能得到全面提升。
3. 云计算环境下,通过建设统一的安全资源池,提供一个安全可视、可控、安全资源自动化部署、弹性扩展、平台开放的一体化安全资源平台,可以满足等保 2.0 中云计算环境的安全要求。
4. 产品与服务结合的安全模式。本方案设计了产品结合安全服务的模式,通过安全服务,提升信息系统的安全保障能力,弥补用户专业网络安全人员的不足。7*24 小时的应急响应服务,让医保信息平台在网络及重要系统任何时间发生任何安全问题都能够及时得到支持和解决。