【金猿CIO展】复旦大学附属中山医院计算机网络中心副主任张俊钦:推进数据安全风险评估,防范化解数据安全风险,筑牢医疗数据安全防线...


07e640904a18090a9006409ff44ea306.png

156d008fcec94017aa110b9b2d7eaf33.png

张俊钦

本文由复旦大学附属中山医院计算机网络中心副主任张俊钦撰写并投递参与“数据猿年度金猿策划活动——2024大数据产业年度优秀CIO榜单及奖项”评选。

a42d6f40513678528548bc631e041d14.png




大数据产业创新服务媒体

——聚焦数据 · 改变商业


数据要素时代,医疗数据已成为医院运营与决策的重要基石。作为公立医院高质量发展试点医院,中山医院近年来加速数智融合,持续开展“智慧医疗、智慧管理、智慧服务”三位一体的智慧医院建设,以规划引领、基础支撑、创新探索“三驾马车”驱动全院信息化和智慧化,通过构建“一体二翼三院区建设”的中山医院医疗集团的整体布局,实现了业务数据化及多院区一体化。在这个过程中,确保医院数据的安全、合规和可信,至关重要。本文围绕中山医院在医疗信息化领域的数据安全风险评估实践展开,分享医院在数据安全建设方面的实践与思考。

复旦大学附属中山医院(以下简称“中山医院”)始建于1937年,为纪念中国民主革命的先驱孙中山先生而命名,是中国人创建和管理的最早的大型综合性医院之一。中山医院是上海市第一批三级甲等医院,也是国家发展改革委首批综合类国家医学中心建设单位,国家卫生健康委公立医院高质量发展试点单位。

在中山医院80多年的发展历程中,曾创下中国医学史上诸多“第一”,载誉无数。在全国三级公立医院绩效考核中,医院始终名列前茅,连续多年获得最高评级“A++”。在2021年度申康医院绩效考核中,医院位列上海市综合类医院第一名。

中山医院的数据安全风险评估实践

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,提升全市数据安全防护能力和水平,上海市委网信办发起网络数据安全风险评估试点工作,复旦大学附属中山医院积极参与,并最终入选试点工作的优秀单位及优秀案例。

数据安全风险评估工作中,我院挑选了“上海中山医院APP”“科研专病库”这两个不同的医疗典型场景作为评估对象。这是医院中面向不同使用角色、不同使用场景、开放程度截然不同的典型代表场景。

“上海中山医院APP”,面向患者提供在线预约挂号、查询、复诊等场景下的对外服务的应用,为患者在线查询数据和移动应用调用数据的典型代表场景。

“科研专病库”,是我院搭建的专病库数据平台,面向内部医生提供特定病例分析、专项病研究结果,为医生临床研究、调用数据的典型代表场景。

通过这两个场景的风险评估试点,一方面可沉淀数据安全评估经验,另一方面通过风险评估过程中识别的数据安全风险,推动后续的处置改进、安全加固等,从而实现以评促建的目的。

在具体开展数据安全风险评估工作过程中,我院采用了问卷调研+技术工具验证的方式,通过引入数据安全的专项技术工具,不仅节省了大量人力投入,同时提升了评估的效率及准确度。

问卷调研方面,我院主要参考《TC260-PG-20231A 网络安全标准实践指南——网络数据安全风险评估实施指引》。首先对指南问题调研项进行详细的梳理,然后结合医疗信息化业务场景及医院信息化系统的实际情况,对问题进行初筛,剔除数据公开等问题项后,大大精简了评估问题项。每个场景可能只需调研100+项问题,即可快速判断是否存在高危风险。

技术工具验证方面,我院经过多方调研后,引入了数据跨平台过程交互管理检测系统、数据资产自动化梳理平台等数据安全专项技术工具。事实证明,合理利用工具,可大幅提升相关的工作成效。

1、数据资产梳理和分类分级

在数据资产梳理和分类分级打标这部分工作,引入数据资产管理平台,对“上海中山医院APP”和“科研专病库”两个业务系统进行数据识别和分级打标。

通过数据资产自动化梳理,快速实现数据资产扫描、登记和台账建立工作,完成了数据资产调研并形成清晰明了的数据资产台账,为后续的数据安全合规工作提供基础支撑。

完成数据资产台账的梳理后,通过数据资产自动化梳理平台内置的分类分级引擎、结合实体语义模型和推荐引擎,根据本院实际的数据安全分级诉求自动化对“上海中山医院APP”和“科研专病库”完成数据打标工作,并分别输出数据分类分级报告。

引入专业工具,不仅大幅度节省时间并降低人工成本,还可输出详尽的数据分类分级报告,并从安全角度对重要数据进行多维可视化图表分析与展示。

27c6249a629b99f8b40a6fd18e3f1d42.png

上海中山医院APP分类分级结果

2、API安全监测

“上海中山医院APP”主要通过API方式调用数据,对数据通过API方式进行交互和数据取数用数行为进行监测是关键。基于实践经验,建议一方面可以选择专业的API数据流转监测工具,来实现自动化发现并测试API端点。另一方面根据不同的应用场景和API特性,定制化检测策略。同时持续监控与评估数据调用的API接口,并将API安全检测整合到持续集成/持续部署(CI/CD)流程中,确保覆盖软件开发的全生命周期。

f308a7d916720e2e593c2fde7df6dc6b.png

API接口监测概览

3、数据权限检查

数据权限控制是数据安全的关键环节,确保只有授权用户才能访问特定的数据。通过数据跨平台过程交互管理检测系统里内置的权限探查脚本,可以审查和管理数据库和文件系统的权限设置,实现自动化权限审查、精细化权限管理、定期权限审计,为数据库运维及整体数据库安全提供切实保障。同时将系统探测出的数据权限结果与数据安全架构、策略相整合,确保数据访问控制策略的有效执行,并保持与组织数据安全需求的一致。

c80551c686e40c4d011d4911f3854a4b.png

权限探查结果示例

4、数据能力评估

为确保数据处理过程中脱敏、加密和访问控制等关键安全措施得到有效执行,我院采用通过数据能力评估工具,对数据的整个生命周期进行全面调研与监控。基于工具的评估项筛选与数据安全基线检查技术,显著提升数据安全评估的效率和准确性。同时,根据试点工作的进度,适配工具开发并将重点项与常用项内置于评估系统中,有效缩短后续工作的调研耗时,提高整体工作效率。

b6c05727135ae75aef63ca1c7fe93718.png

数据能力评估工具示例

“以评促建,以评促改”。基于在数据安全风险评估过程中发现的敏感数据情况、高危数据风险点、数据权限探查结果等,结合数据资产管理平台、数据跨平台过程交互管理检测系统、数据安全分类分级平台等技术工具的应用情况和应用效果,我院有针对性地对数据管理制度和关键节点环节的安全能力进行了补齐,为后续建设全面数据体系化的安全防护和监管体系打下基础。

同时,遵循统一规划、分期实施、业务和安全并重的思路,我院也计划后续对全院数据安全建设情况进行整体摸排梳理,并分期、体系化建设,重点提升中山医院面向实战的数据安全运营体系的实战能力与保障能力,形成能保障业务、促进数据的闭环数据安全运营体系,既满足各项监管对于数据安全的基本要求,同时支撑中山医院的信息化、数字化建设目标。

对医疗数据安全未来的看法

展望未来,随着人工智能、大数据等技术的广泛应用,医疗数据的规模和复杂性将不断增加,叠加数据流动共享等场景需求,医疗数据安全将面临更大的挑战。

● 智能化安全防护。随着人工智能技术的不断发展,智能化安全防护将成为医疗数据安全的重要趋势。比如借助人工智能技术,进行资产自动化梳理、数据自动化打标签、敏感数据的自动识别与分级、API接口的自动化发现与持续监控、智能化应急响应等,可帮助我们更高效地开展数据安全建设工作,更有效地及时发现并处理数据安全风险,提升对数据安全事件的应对能力。

● 数据共享与隐私保护并重。在“数据要素X”的国家战略指导下,如何保障患者隐私的同时,实现医疗数据的合法合规共享和利用,需要我们不断探索新的技术手段和管理模式。

数据安全是医疗信息化建设的重要保障,也是医院高质量发展的基石。过去,中山医院在数据安全建设方面取得了一些成果。未来,我们将继续深化数据安全体系建设,为医疗数据安全保驾护航,为医院的数智化转型和高质量发展贡献力量。同时,我们也期待与业界同仁共同努力,探索推动医疗数据安全的不断创新、发展、落地,为“数字中国”“健康中国”贡献更多力量。

·关于张俊钦

复旦大学附属中山医院计算机网络中心副主任,专注于医院网络基础架构、网络安全规划与信息化建设工作20余年,长期致力于大型综合性医院网络安全架构合理化、实战化、高效化建设的研究,探索网络安全体系化建设,拥有丰富的医院网络安全及信息化规划、建设、管理经验。

获得注册信息安全专业人员CISP(注册信息安全管理人员CISO)证书,担任上海市信息网络安全管理协会医疗卫生分会副秘书长,上海市医院协会信息管理专业委员会青年委员上海市徐汇区医学会智慧医疗信息专委会青年委员。

参编《高品质医院网络建设指南》、《数据安全治理白皮书6.0 - 卫生健康行业实践》。获评2023年上海市卫生健康行业网络安全工作先进个人,2024年CHCC中国医院建设奖--首届中国十佳医院信息工程师。

参与“5G+智慧医疗生态圈应用建设项目”、“融合5G 的医联体影像协同创新平台”项目建设。

300be918e2412bb0b2122fd3ce6f1190.jpeg

c210432d1cf7610e1751dffd8f4ea5ad.jpeg

dd76e7f247cb613ad7204f77b9f89651.png

929daefeb78c8d52c9455031cf380558.png

35d73bb3996dcfb5d907290f25712f5e.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/63000.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

案例研究|HYPER PaaS低代码工具携手DataEase嵌入式版,服务工业制造企业数智化转型

杭州星瀚智磐科技有限公司(以下简称为“星瀚智磐”)成立于2021年,是一家专注于低代码平台研发的高科技企业。星瀚智磐的核心产品HYPER PaaS低代码工具主要为制造业用户提供数字化解决方案。HYPER PaaS基于低代码平台简单的拖拉拽操作&#xf…

Python 队列的使用:掌握先进先出的数据结构

Python 队列的使用:掌握先进先出的数据结构 队列是一种先进先出(FIFO)的数据结构,它在多种编程场景中都非常有用,比如任务调度、事件处理等。在Python中,我们可以通过标准库中的queue模块来实现队列。本文…

2-2-18-13 QNX系统架构之原生网络(Qnet)

阅读前言 本文以QNX系统官方的文档英文原版资料为参考,翻译和逐句校对后,对QNX操作系统的相关概念进行了深度整理,旨在帮助想要了解QNX的读者及开发者可以快速阅读,而不必查看晦涩难懂的英文原文,这些文章将会作为一个…

Ubuntu系统上mysql服务部署

前段时间搞了一个mysql服务端的部署,在Ubuntu系统上,中间也踩了许多坑,特此记录下。 下载 官网:MySQL :: MySQL Community Downloads 这个里面有不同系统的安装包,根据自己的系统选择,我选了 MySQL Com…

gitlab配置调试minio

官方文档 rails console 调试 查看配置Settings.uploads.object_store加载minio clientrequire fog/awsfog_connection Fog::Storage.new(provider: AWS,aws_access_key_id: 你的MINIO_ACCESS_KEY,aws_secret_access_key: 你的MINIO_SECRET_KEY,region: <S3 region>,e…

IIC相关介绍及oled实验(二)

//模块&#xff1a;OLED显示屏 1. 0.96寸OLED屏幕介绍 0.96 寸 4P OLED 屏幕模块是一种显示屏模块&#xff0c;它包括一个 0.96 英寸的 OLED 显示屏和四个引脚。这种 OLED 屏幕模块通常用于嵌入式系统和小型电子设备中&#xff0c;可以显示文本、图像和其他类型的信息。由于其…

window下docker使用一些多媒体应用

首先下载docker之类的就不讲了&#xff0c; 科学下载了三个内容。 1.视频多媒体&#xff1a; 在新建的文件夹创建三个子文件夹&#xff08;cache&#xff0c;config&#xff0c;media&#xff09;,然后启动命令即可。 启动命令&#xff1a; docker run -d --nameJellyfin …

【工具变量】上市公司企业所在地城市等级直辖市、副省级城市、省会城市 计划单列市(2005-2022年)

一、包含指标&#xff1a; 股票代码 股票代码 股票简称 年份 所属城市 直辖市&#xff1a;企业所在地是否属于直辖市。1是&#xff0c;0否。 副省级城市&#xff1a;企业所在地是否属于副省级城市。1是&#xff0c;0否。 省会城市&a…

计算机视觉——相机标定(Camera Calibration)

文章目录 1. 简介2. 原理3. 相机模型3.1 四大坐标系3.2 坐标系间的转换关系3.2.1 世界坐标系到相机坐标系3.2.2 相机坐标系到图像坐标系3.2.3 像素坐标系转换为图像坐标系3.2.4 世界坐标转换为像素坐标 3.3 畸变3.3.1 畸变类型3.3.1.1 径向畸变&#xff08;Radial Distortion&a…

C++面试突破---C/C++基础

1.C特点 1. C在C语言基础上引入了面对对象的机制&#xff0c;同时也兼容C语言。 2. C有三大特性&#xff08;1&#xff09;封装。&#xff08;2&#xff09;继承。&#xff08;3&#xff09;多态&#xff1b; 3. C语言编写出的程序结构清晰、易于扩充&#xff0c;程序可读性好。…

LeetCode136.只出现一次的数字

题目 给你一个 非空 整数数组 nums &#xff0c;除了某个元素只出现一次以外&#xff0c;其余每个元素均出现两次。找出那个只出现了一次的元素。 你必须设计并实现线性时间复杂度的算法来解决此问题&#xff0c;且该算法只使用常量额外空间。 示例 1 &#xff1a; 输入&am…

Golang内存模型总结1(mspan、mcache、mcentral、mheap)

1.内存模型 1.1 操作系统存储模型 从上到下分别是寄存器、高速缓存、内存、磁盘&#xff0c;其中越往上速度越快&#xff0c;空间越小&#xff0c;价格越高。 关键词是多级模型和动态切换 1.2 虚拟内存与物理内存 虚拟内存是一种内存管理技术&#xff0c;允许计算机使用比…

Qt Quick开发基础+实战(持续更新中…)

最近更新日期&#xff1a;2024/12/4 一、Qt Quick简介 写在前面&#xff1a; 本篇文章虽然只是作为我的学习笔记&#xff0c;但也作为我日后复习之用&#xff0c;所以会认真并详细记录&#xff0c;但会分重点。 1.3 新建Qt Quick Application工程 这节主要讲2个知识点&#x…

elementui table滚动分页加载

文章目录 概要 简化的实现示例&#xff1a; 小结 概要 在使用 Element UI 的 Table 组件时&#xff0c;如果需要实现滚动分页加载的功能&#xff0c;可以通过监听 Table 的滚动事件来动态加载更多数据。 简化的实现示例&#xff1a; <template><el-table ref"…

使用GDI对象绘制UI时需要注意的若干细节问题总结

目录 1、一个bitmap不能同时被选进两个dc中 2、CreateCompatibleDC和CreateCompatibleBitmap要使用同一个dc作为参数 3、不能删除已经被选入DC中的GDI对象 4、使用完的GDI对象&#xff0c;要将之释放掉&#xff0c;否则会导致GDI对象泄漏 5、CreateCompatibleBitmap返回错…

基于频谱处理的音频分离方法

基于频谱处理的音频分离方法 在音频处理领域&#xff0c;音频分离是一个重要的任务&#xff0c;尤其是在语音识别、音乐制作和通信等应用中。音频分离的目标是从混合信号中提取出单独的音频源。通过频谱处理进行音频分离是一种有效的方法&#xff0c;本文将介绍其基本原理、公…

Scala的模式匹配(8)

package hfdobject Test35_1 { //需求:现在有一个数组Array(1,2,3,4)。我希望能定义三个变量&#xff0c;他们的值分别是数组中的第1&#xff0c;2&#xff0c;3个元素的值 def main(args: Array[String]): Unit {val arr Array(1,2,3,4,5)//第一个元素的值&#xff1a;arr(0…

Java项目实战II基于微信小程序的电子竞技信息交流平台的设计与实现(开发文档+数据库+源码)

目录 一、前言 二、技术介绍 三、系统实现 四、核心代码 五、源码获取 全栈码农以及毕业设计实战开发&#xff0c;CSDN平台Java领域新星创作者&#xff0c;专注于大学生项目实战开发、讲解和毕业答疑辅导。获取源码联系方式请查看文末 一、前言 随着互联网技术的飞速发展…

【机器学习】—Transformers的扩展应用:从NLP到多领域突破

好久不见&#xff01;喜欢就关注吧~ 云边有个稻草人-CSDN博客 目录 引言 一、Transformer架构解析 &#xff08;一&#xff09;、核心组件 &#xff08;二&#xff09;、架构图 二、领域扩展&#xff1a;从NLP到更多场景 1. 自然语言处理&#xff08;NLP&#xff09; 2…

【面试开放题】挫折、问题、擅长、应用技能

1. 项目中遇到的最大挫折是什么&#xff1f;你是如何应对的&#xff1f; 解答思路&#xff1a; 这个问题通常考察你的问题解决能力、抗压能力和团队协作精神。回答时&#xff0c;可以从以下几个角度展开&#xff1a; 问题背景&#xff1a; 描述项目中遇到的具体挑战。是技术难…