5月24日,2018基层医院信息化能力培训班暨智慧医疗技术论坛在重庆举行。会议由研究型医院学会医疗信息化分会智慧医疗专委会、重庆市卫计委和重庆大坪医院共同举办,六十多名重庆地区医疗信息科领导及专家出席,围绕医院信息化基础建设、医院安全建设中的焦点问题进行深度探讨。
美创科技资深安全顾问张建林以授课讲师身份受邀参会,以“医疗数据安全整体解决方案的设计与实施 ”为题作技术经验分享。
国家高度重视医疗行业监管和安全保障,5月23日国务院办公厅正式对外发布了《关于促进“互联网+医疗健康”发展的意见》,第十四条,保障数据信息安全中明确要求:“研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规。严格执行信息安全和健康医疗数据保密规定,建立完善个人隐私信息保护制度,严格管理患者信息、用户资料、基因数据等,对非法买卖、泄露信息行为依法依规予以惩处。(国家卫生健康委员会、国家网信办、工业和信息化部、公安部负责)”
国家相关法律法规要求越来越严格,医院尤其是基层医院信息化能力的提升成为当务之急。
针对医疗行业近来频发的勒索事件、敏感数据泄露事件,结合《关于促进“互联网+医疗健康”发展的意见》、《网络安全法》、《个人信息保护法》等法律法规的安全要求,美创科技认为,医院尤其是基层医院信息化能力提升需要注意以下几点:
一、运维安全
运维安全指要针对内部威胁,注重安全管理。
二、业务安全
针对外部SQL注入,提供防范手段。
•针对SQL注入攻击进行鉴别和排除黑名单中的恶意字符.(SQL注入特征库检查)另外一个有效的防止SQL注入攻击的方法是针对输入的所有SQL语句进行验证,只接受白名单中的安全字符。
•白名单是一种非常有效的方法,虽然它需要执行严格的输入验证规则,可以减少对参数化SQL语句的维护.并能够提供更高的安全保证. 大多数情况下,黑名单是充满漏洞的,不能有效地预防SQL注入攻击。
三、防勒索
针对目前盛行的勒索病毒,建议利用底层驱动技术,监控所有进程的写操作,对文件的“写”操作判断,对于非法写操作进行阻断。通过控制文件的“写”权限,从而对勒索病毒的写操作进行控制。
自成立成都分公司以后,美创科技高度重视川渝地区医疗信息安全建设发展。作为医疗行业数据安全第一品牌,美创深耕行业多年,希望通过参与此次技术分享会议,加强了与重庆各地医疗机构的沟通,为重庆医疗信息安全建设献策献力。