医院运维安全有多难?济南市儿童医院有“化解之道”

栏目: 数据库 · 发布时间: 5年前

内容简介:摘要: 医院利用信息化技术提高服务和运营水平已成趋势,越来越多的医疗信息化系统投入使用,医院运维人员实乃“寡不敌众”。于是乎,业务系统维护人员、第三方运维人员、开发人员等成了医院信息化运维的“主力军”。 医院系统承载着大量的个人信息...

摘要: 医院利用信息化技术提高服务和运营水平已成趋势,越来越多的医疗信息化系统投入使用,医院运维人员实乃“寡不敌众”。于是乎,业务系统维护人员、第三方运维人员、开发人员等成了医院信息化运维的“主力军”。 医院系统承载着大量的个人信息...

医院利用信息化技术提高服务和运营水平已成趋势,越来越多的医疗信息化系统投入使用,医院运维人员实乃“寡不敌众”。于是乎,业务系统维护人员、第三方运维人员、开发人员等成了医院信息化运维的“主力军”。

医院系统承载着大量的个人信息以及健康数据,运维环节的数据泄露是重要的安全隐患之一。虽然现有系统在完整性、可用性、保密性上加固了相应的保障措施,但大部分医院对于系统运维“主力军”却缺乏有效的管理与监控措施,一旦出现数据泄露,不仅会为医院带来经济损失,还可能造成极为负面的社会影响。

重重高压下,医院到底如何保障系统的信息安全,特别是运维环节? 作为济南区域医疗行业信息化建设的领军者,济南市儿童医院建立了运维安全体系。

  客户简介  

济南市儿童医院(山东大学齐鲁儿童医院)始建于1957年,是山东省唯一的集医疗、急救、预防、康复、保健、教学、科研为一体的综合性三级甲等儿童医院。复旦大学医院管理研究所发布“2016年度区域医院专科声誉排行榜”中,济南市儿童医院在华东区小儿内科声誉排行榜权威榜单中名列前十。

图:医院全景

  需求背景  

济南市儿童医院极为重视医院信息化建设,并将其作为衡量和提升医院医疗水平的重要标准。但随着信息化建设的深入,医院缺乏足够、专业的运维人员,不得不依靠第三方运维团队,安全风险大。济南市儿童医院深谙保障数据安全是信息化建设的重要一环,第一时间开展数据安全自查,发现存在以下几个问题:

  1. 医院现有的数据库账号密码管理,主要依托于HIS相关厂商和医院信息科管理人员双重认证登录,虽然在一定程度上保障了安全性,但却限制了人员的自由性,流程操作相对繁琐。
  2. 运维操作过程中,没有相关操作行为记录,在发生安全事件时难以快速定位账号的实际使用者和责任人。
  3. 运维人员使用绿色版运维工具,存在安全漏洞及操作后门,给数据库自身安全带来风险。
  4. 运维网络和业务网络相互交叉关联,存在一定程度上管理复杂、管理难度大。

  解决方案  

通过前期对济南市儿童医院数据安全排查,对运维人员、开发人员、业务操作人员等予以分类,部署 美创数据库防水坝(内控产品) ,实现数据库安全运维管理。

数据库防水坝给每一位数据库运维管理人员分配专属U-KEY,运维人员只能通过 专属U-KEY免密登录数据库 ,既避免了账号密码的泄露,又简化了登录操作流程。通过自动识别运维 工具 的类型、授权访问区域、以及访问的连接方式,配置应用程序防假冒功能,对运维工具及假冒应用程序进行访问控制。结合防水坝自身CA认证证书,根据访问 数据库人员的职责不同,分配不同的权限 ,如运维人员不可访问敏感数据、不可修改数据等。

同时,对运维人员及第三方运维团队实现精细化管理。美创数据库防水坝自带留痕功能, 能记录通过专属U-KEY登录数据库进行的相关操作 ,输出日常性运维工作日志和运维安全报告。通过查询审计记录,清晰可见操作内容,再 结合医院信息中心管理人员的审查 ,确保操作安全准确无误。

当医院数据需应用到开发、测试等环境时,利用美创数据库防水坝 对敏感数据信息进行动态数据脱敏 。针对用户业务系统的数据库数据类型不同、字段不同、用途不同进行自动的数据脱敏处理,从而保障用户生产系统中的敏感数据信息不被泄露。

图:部署图

  客户收益  

  • 通过分配专属U-KEY,解决了运维过程中账号管理混乱、运维操作不透明等安全访问控制和授权管理问题,在保障运维安全的前提下,简化了操作流程,提高了运维效率。
  • 对重要敏感数据的动态脱敏机制,减少生产库中客户敏感数据泄露风险。
  • 实现运维网络与业务网络的分离,网络管理通过普通堡垒机进行管控,数据库运维管控则通过数据库防水坝,让管理更专业、简便。
  • 符合国家规定的医疗系统的统方法规,实行对处方表、药品表等敏感资产的访问控制;符合等保三级、网络安全法、HIPAA、PCI-DSS、SOX、GLBA等要求。

医院运维安全有多难?济南市儿童医院有“化解之道”


以上所述就是小编给大家介绍的《医院运维安全有多难?济南市儿童医院有“化解之道”》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Java并发编程实战

Java并发编程实战

Brian Goetz、Tim Peierls、Joshua Bloch、Joseph Bowbeer、David Holmes、Doug Lea / 童云兰 / 机械工业出版社华章公司 / 2012-2 / 69.00元

本书深入浅出地介绍了Java线程和并发,是一本完美的Java并发参考手册。书中从并发性和线程安全性的基本概念出发,介绍了如何使用类库提供的基本并发构建块,用于避免并发危险、构造线程安全的类及验证线程安全的规则,如何将小的线程安全类组合成更大的线程安全类,如何利用线程来提高并发应用程序的吞吐量,如何识别可并行执行的任务,如何提高单线程子系统的响应性,如何确保并发程序执行预期任务,如何提高并发代码的性......一起来看看 《Java并发编程实战》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具