极盾故事|“五步”构建某三甲医院数据安全管理集成平台
极盾科技助力某三甲医院,构建统一的数据安全管理集成平台,最终实现:
1、数据安全管理的自动化,覆盖全院医教研管 15 个应用场景、14 项管理活动、300+项数据,完成 40+个重要信息系统的自动监控、风险预警,一键巡检、单项数据使用行为的全过程自动跟踪与管理辅助决策。
2、数据安全管理知识库以及辅助决策引擎:按照 DSMM 最高等级实现数据安全管理,知识库覆盖了 15 项法律及政策、24 项国家及行业标准,支持 DSMM 体系 30 个过程域中 19 个过程域的安全管理,实现了 1-2 人管理全院重要信息系统数据安全,大大降低了人力投入。
01 医院数据安全“四难”
医院的信息泄露问题是个顽疾,主要是由于医院的信息具有巨大商业价值。
医院数据安全建设迫在眉睫,但也困难重重。
1、任务繁重:医教研管数据使用需求多,全生命周期数据安全管理活动多,管理事项多,时间跨度长并且不规则,管理人才短缺。
2、政策和标准落实困难:法律、政策、标准和规范要求多,管理经验尚需积累和探索,缺乏能够“通晓”全部要求,积累“案例”经验,提供“主动”辅助决策的工具,管理的精细化和规范化程度有待快速提升。
3、软件工具整合程度低:数据安全管理软件厂商大多从网络安全转行延伸而来,更加关注具体技术问题,对于数据安全管理活动与流程缺少支撑,并且单个软件往往针对单一问题开发,缺乏“全生命周期覆盖”和“全部管理活动串联”、“全部管理部门协作”、“全部管理要求托底”等集成。
4、协作困难:为落实“最小且必要”等原则,数据安全管理需要深入到医教研管场景,需要对业务活动数据使用的合理性有深入理解的管理人员参与。同时,管理证据的收集、监控和分析强烈依赖于技术手段。因此,数据安全管理需要医院内多部门,以及内外技术团队的通力协作,目前缺少协作支撑的专业平台。
基于以上现状,极盾科技助力某三甲医院,研发智能化医院数据安全集成管理平台,支撑安全技术服务商、安全主管部门、医院安全技术人员、安全管理者和医院安全负责人等多角色进行安全规划、评估、设计、实施、培训、监测、技术保障等职能,支持安全管理与信息系统同步规划、同步实施,实现信息系统“数据使用安全”的全面管理。
02 安全建设“五步走”
由于院内信息系统众多,且不同系统账号权限情况复杂而又不统一,要实现数据安全防护,必然要先解决各个应用系统的账号权限梳理、安全风险场景评估的工作。
整体采用先调研,再评估,后对接,优化改进,循序渐进、逐步完善的建设方法。
Step1、业务调研:参照国家卫健委对于重要数据的定义初步评估系统重要性,同时从系统业务概况、账号权限体系、主要数据安全风险、业务诉求等方面进行详细梳理,并明确初步调研结论,形成详细调研报告。
Step2、风险评估:基于调研情况,从应用、账号、接口、权限、敏感数据暴露面等多个纬度进行详细的数据安全风险评估及梳理,出具相关风险评估报告。
Step3、落地对接:
·账号权限对接:通过钉钉对接完整组织架构,通过读数据库中间表等方式对接不同应用系统的账号权限信息。
·应用接入:B/S 类应用通过网关方式主动接入,无需应用做任何改造;C/S 类应用通过日志对接,常见为 syslog,同时支持其他方式如接口等;
·敏感数据识别:通过自定义逻辑识别各类常见的敏感信息,并针对敏感信息的敏感操作进行定向监测与审计,覆盖各类常见的数据安全风险。
·策略配置:基于数据使用场景配置各类场景化监控策略,防护数据安全风险。
Step4、优化改进:项目初期基于调研情况进行初始化监控策略配置,随着项目深入,结合实际数据使用情况进行策略优化和改进,从而进一步完善监控运营体系。
Step5、循序渐进,逐步完善:整体建设分为多个阶段展开,从试点应用扩展到多个应用,从部分数据扩展到更多数据范围,从而实现项目的有序逐步落地。
03 实际应用覆盖广
根据以上建设方法,该三甲医院数据安全管理集成平台,支持 14 项管理活动,共覆盖 40+个重要信息系统、15 个应用场景、300+项数据,在不需要系统改造的前提下,实现了业务系统全过程安全能力,即统一敏感数据识别、访问控制、脱敏水印防护、UEBA 行为管控、实时风险检测、实时风险响应等能力。
数据安全集成管理平台,不仅是安全防控平台,还是统一的管理平台,提供敏感数据监管大屏、数据资产自动扫描识别、合规检查统计、风险自动监控告警、智能在线以及工单管理等应用功能,完成数据安全管理的自动化。
另外,根据政策、标准、规范和日常经验,构建了数据安全管理知识库进行数据安全决策,知识库覆盖了 15 项法律及政策、24 项国家及行业标准,提供安全风险发现、安全规划决策支持、安全日常任务执行辅助等功能,针对医院数据安全不同场景提供动态辅助。
04 全面规划收益多
1、构建数据使用安全防护体系,提升管理能力和效率
集成平台围绕数据使用场景,以管理活动和流程为主线,实现了数据生命周期的全程留痕及有效管控,替代了原有的大量人力工作,实现了管理流程信息化,大幅提升了管理能力和效率。
2、知识库和辅助决策赋能,提升管理规范化程度
针对管理要求众多,可操作性不强,管理规范化程度需要提升的现状,建设了数据安全管理的知识库以及辅助决策引擎,通过循证引用、搜索匹配等方法实现了管理活动的主动辅助,既能够积累管理经验,也能够降低管理人员的要求,提升了管理的规范化程度。
3、注重院内外及内部多部门协作,实现精细化管理
数据安全管理中,贯彻数据使用“最小且必要”原则,需要医院多部门协作,也需要外部技术团队支持,集成平台通过云桌面远程协作,以及针对不同场景的流程优化和办公自动化协作,实现了管理的大协作,“专业人做专业事”,能够实现管理的精细化。
版权声明: 本文为 InfoQ 作者【极盾科技】的原创文章。
原文链接:【http://xie.infoq.cn/article/e02430a2f5f55f69906170c6b】。文章转载请联系作者。
评论