区域人口健康信息平(píng)台安全(quán)解决方案
发布(bù)时间(jiān)���:2018-12-17
一���、背景需(xū)求
区域人口健康信息(xī)平台又(yòu)称区域卫生信息平台(以下简(jiǎn)称“平台”)��,是(shì)以区域内电子健(jiàn)康档案信息的采集���、存储����、利用为(wéi)基础(chǔ)���,连接区域内的医疗卫生机构基本业务信息系统的数据交换(huàn)和共享的平(píng)台���,是不同系统间进行信(xìn)息汇集整合(hé)和挖掘(jué)利用的载(zǎi)体����。区域(yù)人口健康(kāng)信息平台是人(rén)口健康信息化和健康(kāng)医疗大数据(jù)基础��,是人口健康信息化建设的首(shǒu)要任务���。
随着区域人(rén)口健康信息平台建设的逐步(bù)推进����,平台安全和病人隐私保护问题也随之出现���。结合卫生计生(shēng)行(háng)业信息安全调研反馈情况���,当前平台建设普遍缺乏信息安全体系的总体规(guī)划���,缺乏总体的安全防御体系(xì)���。一方面���,区域(yù)人口健康平台信息(xī)化建设过程中往(wǎng)往(wǎng)未与(yǔ)信息安(ān)全(quán)建设相结合���,没能做(zuò)到(dào)同(tóng)步(bù)规(guī)划���、同步建设����、同步(bù)运维����;另一方(fāng)面��,尽管许多医疗卫生机构已经堆砌式地部署(shǔ)了大(dà)量的信息(xī)安全产品����,但随着信(xìn)息安全的需求不断变(biàn)化与(yǔ)增加��,已不能满足实际需要(yào)����,导致很(hěn)多信息安全问题仍然存在��。这在(zài)一定(dìng)程度上成了制(zhì)约人口(kǒu)健康信息平(píng)台发(fā)展的重要瓶颈���。
需求(qiú)
(1)符(fú)合国家等级保护要求(qiú)
(2)平台网(wǎng)络接(jiē)入安全可信
(3)健康信息安全互联互通
(4)云平台大数据安全可控
(5)注重公众健康隐私保护(hù)
(6)安全(quán)管理措施规范有(yǒu)效
二���、解(jiě)决(jué)方(fāng)案
区域人口健康信息平台安全总体解决方案依(yī)据国家等级保(bǎo)护(hù)制(zhì)度要求����,按(àn)照区域人口(kǒu)健康信息化平(píng)台统(tǒng)一(yī)规划���,进行(háng)人(rén)口健康信(xìn)息(xī)化平台(tái)安全一(yī)体化(huà)设计����,采用“集中安管��、分区分域���、纵深防御���、业务与安全(quán)相互融合”的(de)设计思想�����,综合运用数据全生命(mìng)周期(qī)安全(quán)分析方法(fǎ)��,利用(yòng)自主的云计算(suàn)安全技术��,数据隐私(sī)保护技术��,围(wéi)绕人口健康信息化平台的安全需求����,建设全方(fāng)位����、一(yī)体化的安全防护体系���。
集(jí)中管控��。以业务信息系统(tǒng)为核心(xīn)����,从(cóng)监控���、审计(jì)����、风险(xiǎn)����、运维四个维度搭(dā)建综合安全监管平台��,通过(guò)态势感知����、安(ān)全预警���、综合(hé)运维(wéi)���、应急处(chù)置等(děng)方面(miàn)的能(néng)力建设����,增强对区域人口健康(kāng)信息平台(tái)的统一(yī)安全监管及整体安全防护能力�����,确保平台业(yè)务(wù)的安全(quán)�����、可靠运(yùn)行��。
纵深防御����。采(cǎi)用防(fáng)火墙将不(bú)同安全等级要(yào)求的区(qū)域进行隔离����,将(jiāng)内(nèi)部网(wǎng)络(luò)分(fèn)成若(ruò)干个子区域(yù)��,明确安全防护(hù)重点��;通过建设安全隔(gé)离与交换平台���,实现(xiàn)电(diàn)子政务外网����、互联网的(de)跨网交(jiāo)换(huàn)和信息共享���,保证(zhèng)信(xìn)息系统的横(héng)向融合���;通过安全系统����,实现统一(yī)的用户管(guǎn)理(lǐ)�����、授权管理和身份认证(zhèng)���。
等(děng)级防(fáng)护��。依(yī)据《卫(wèi)生行业信息安(ān)全等级保护工作的(de)指(zhǐ)导意(yì)见》文件精神(shén)����,按照(zhào)国家(jiā)信息(xī)安全等级保护要求��,从(cóng)物理安全��、网络(luò)安全����、主机(jī)安(ān)全�����、应(yīng)用(yòng)安全����、数据安全等(děng)方面进行体系化(huà)设计(jì)���,保证平台满足(zú)等级保护测评要(yào)求����。并结合云(yún)计算���、大数(shù)据(jù)等信息技术发展趋势(shì)���,进行增强性设计����。
业务与安全融合����。在进(jìn)行信息安全(quán)设计的同时��,注(zhù)重(chóng)业务系统服务可(kě)用��。针(zhēn)对(duì)业务(wù)系统安全防护重点进(jìn)行设计����,保障人(rén)口健(jiàn)康(kāng)信息全生命(mìng)周期安全�����。
三���、效能(néng)体(tǐ)现
(1) 符合国家等级保(bǎo)护要求
(2) 实现网(wǎng)络可信接入
(3) 安全与(yǔ)业务贴合(hé)紧(jǐn)密
(4) 体系化信息安全(quán)防护
(5) 安全(quán)风险(xiǎn)防(fáng)控能力显著提升
