医院文件泄密,信息中心担责,医院该如何构建数据安全体系?
一家医院的内部文件遭到泄露,院领导要求紧急展开调查。遗憾地是,以医院现有的技术手段,无法排查是谁泄露的,最终此次泄露事件由信息中心领导担责。
为什么是信息中心担责?
2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》中,明确指出:
“坚持‘管业务就要管安全’‘谁主管谁负责、谁运营谁负责、谁使用谁负责’的原则,落实网络安全责任制,明确各方责任。”
医院当前采用通过网闸交换文件,并依赖Windows服务器进行文件访问,医护人员需前往指定电脑进行文件上传下载。尽管医院当前的文件交换访问方式在合规性上符合要求,但Windows共享的局限性让文件的共享无法追踪。
- 权限控制局限性:无法提供基于角色、科室或职称级别的细粒度权限控制,同时也无法控制敏感文件的下载权限。
- 日志管理缺失:缺乏内置的、易于使用的日志管理工具,因此无法实现对文件外泄行为的全面监控和审计。
医院信息中心,作为网闸与文件服务器的核心管理与运维部门,承担着确保数据安全与合规流转的重要职责。像此类文件通过网闸与文件服务器不当泄露至外部网络的情况,根据信息安全责任制原则,责任本该由“使用人”担责,但由于找不到“使用人”,则由信息中心承担。
国内医疗数据安全依然严峻
据奇安信威胁情报中心的最新监测数据显示,2023年我国医疗卫生行业泄露的数据量达到了90252.9万条,相当于344.7GB,其中不仅包含大量个人隐私信息,还涉及到诸多商业机密。
医疗信息被泄露而引发的争议已经发生了太多,例如2023年,“周海媚病历疑被泄露”就曾经登上微博热搜,又比如2020年9月广西一名医护人员非法下载新生儿和产妇的个人信息8.9万多条,并将其“转卖”给外部人员。
针对患者信息安全,国家卫健委制定并发布《患者安全专项行动方案(2023—2025年)》,要求“利用3年时间,进一步健全患者安全管理体系,完善制度建设,畅通工作机制,及时消除医疗过程中以及医院环境中的各类风险”
医院工作人员泄露医院内部资料、患者信息,相当于堤坝从内部溃于蚁穴。
医院如何防信息泄密?
对于医院来说,信息安全不仅仅是事后措施,而是整个安全思维模式需要转变。就拿开头提到的案例,我们已经分析当前Windows服务器管理存在安全缺陷,如果不改变这种模式,类似的事件还会再次发生。
云盒子医院数据安全解决方案针对医院在文件交换、安全管理、用户行为追踪以及操作审计等方面的问题,提供了全面的解决方案。以下是具体阐述:
1、文件如何安全交换至外网?
云盒子医院数据安全解决方案通过内外网文件交换平台,实现了文件的安全交换至外网。该平台采用“2+1模式”部署,配合医院内部已有的网闸,不改变医院原有的物理隔离网络架构。
文件交换过程如下:
(1)内网上传:医院内网电脑上传文件至云盒子内网服务器。
(2)安全审核:文件上传后,经过预设的安全审核机制,包括脱敏、加密、水印添加、自动审核和人工审核等步骤。高密级文件需经过审核员研判,确认是否符合外发标准。
(3)网闸摆渡:审核通过的文件通过双向网闸一键“摆渡”至外网文件服务器的交换区。
(4)外网下载:外网用户从外网文件交换区下载文件。
整个过程中,文件在内外网之间传输时都经过严格的安全审计和加密处理,确保文件的安全性和完整性。
2、如何防止用户随意下载文件?
云盒子解决方案通过权限控制的方式防止用户随意下载文件。基于角色的访问控制(RBAC),为不同用户或用户组分配不同的权限,包括文件下载权限。未被授予下载权限的用户可以在线浏览、编辑,却无法下载文件。
3、下载的文件,发生外泄如何溯源?
答案是水印信息。用户下载文件时自动嵌入账号、时间、IP等关键信息。值得一体的是云盒子隐水印。
隐水印的嵌入,不会增加文件大小,也不会额外占用存储空间,与原文件的像素差不超过1%,肉眼完全看不出文档上是否添加了水印,从而避免了水印对阅读体验的影响。当发现文件被泄露时,通过云盒子管理中心就能查看文件中的隐水印信息。
4、如何进行操作审计?
云盒子医院解决方案内置了操作审计功能,确保医院能够全面追溯每一个文件的流向和操作行为。具体审计功能包括:
- 文件日志:记录文件的上传、下载、修改、删除等操作信息,包括操作人、操作时间、操作内容等。
- 人员活动记录:记录用户的登录、访问、操作等行为,形成完整的用户活动轨迹。
- 安全审计报表:提供安全审计报表功能,医院可以根据需要生成各种审计报表,如文件操作报表、用户活动报表等,以便进行安全分析和合规性审查。
通过这些操作审计功能,医院可以实现对文件交换和使用的全面监控和管理,确保数据的安全性和合规性。
云盒子医院数据安全解决方案在医疗领域取得了显著成就,除了安全防护能力与极高的高性价比,精准对接并满足医院用户多样化的个性化需求,深度契合医院对于高度安全与高效管理的双重追求,为医疗行业数字化转型树立了新的标杆。