Array|为什么医疗行业需要零信任解决方案?( 二 )
数字化医疗的灾难 , 我们该如何避免?
在医疗机构加速数字化的今天 , 网络安全能力匮乏 , 已经严重影响了全球公民健康数据的个人隐私 , 威胁着医疗机构庞大的数字资产 。我国医疗行业现有的安全保障体系尚处于初步建设阶段 , 尚不足以应对当前网络安全威胁 , 医疗行业整体网络安全保障水平还需要提升 。医疗行业网络安全建设落后主要有两个方面的原因:
01、医院信息化建设本身投入就相对来说不足 , 资金更多投入在应用和硬件上 , 安全方面投入很少;
【Array|为什么医疗行业需要零信任解决方案?】02、医院信息部门缺乏安全建设经验 , 安全专业能力不足 。
医疗行业覆盖面广 , 产值巨大 , 成为网络攻击者目标的可能性几乎是其他行业的2倍 , 每年都有数不清的数据泄露事件发生 , 数百万患者的隐私信息被盗窃 , 目前黑市上个人医疗信息的价值比信用卡信息高出50倍 。那么针对医疗机构这样涉及人群广、隐私信息多的信息系统 , 医疗机构可以从以下几个方面着手进行防护:
采用数据加密、内网管控、虚拟桌面等安全防护技术 , 防止信息外泄 , 最大限度地保障数据的安全 。
完善网络安全组织机构和管理的信息 , 加强信息安全人才队伍建设和从业人员医德意识;
纵深防御信息系统 , 合理规划网络结构 , 应用安全防护设备 , 建立监控报警机制;
细分层级管理进行 , 制定各层用户的权限 , 让用户对私密信息的接触 , 处于有效的监控之下;
零信任的适用场景及优势
传统基于边界的安全防护体系已然不能满足于数字化医疗体系的需求 , 为了保障整个医疗行业可以正常的运转 , 我们迫切的需要寻找一个更适合的安全防护方式 。零信任理念的一大特征是就是默认不信任 , 总是验证和最小授权 , 通过这些特征可以在很大的程度上 , 减少被攻击的风险 。零信任在医疗行业中具体的使用场景有:
01、安全防护过弱:
2018年1月 , 某警方侦破了一起新生婴儿信息倒卖链条 。某社区中心工作人员徐某 , 掌握了某市“妇幼信息某管理系统”市级权限账号密码 , 累计非法下载新生婴儿数据50余万条 , 贩卖新生婴儿信息数万余条 。
不法分子通过非法手段获取医院员工账号信息 , 远程登录医院系统下载用户的详细数据 。医院系统中存在严重的安全漏洞 , 导致不法分子可以轻易的盗取患者的隐私信息 , 除了人为的因素之外医院安全防护不到位也是很重要的一个原因 。
但是通过零信任默认不信任持续验证的行为 , 可以加强医疗机构的身份安全管理 。默认不信任任何人和设备 , 通过不断的身份验证来获取登录访问的权限 , 使业务系统的身份验证更加安全 。
02、纯内网物理隔断:
正规医科大学毕业的陈某 , 经常装模作样地走进医院 , 但是却从来不看病 。找到医院的公用查询电话之后 , 他悄悄拔下网络插头 , 通过无线路由器等设备 , 让自己携带的笔记本电脑 , 连上医院的“内网” 。
之后 , 他利用黑客程序 , 侵入医院的计算机信息系统 。这一切 , 都是为了窃取医院的医药信息 , 转手高价卖给他人 。5月9日 , 温州鹿城区检察院透露 , 陈某因涉嫌非法获取计机信息系统数据罪 , 已被依法批准逮捕 。
如果信任为零 , 则企业设备或网络对于不受信任的公共网络或个人设备都是不信任的 。在用户和设备上执行相同的安全检查 , 每个人都同样受到怀疑 , 但每个人也同样可以获得他们所需要的访问权限 。这种零信任的访问策略适用于保存数据的任何位置 , 并且在访问数据时将其应用于所有系统的接口 。
陈某通过医院内部网线 , 接入医院内网 , 从而实施了偷窃数据的违法行为 。虽然医院采用了物理隔离的网络结构 , 但是内网却没有有效的安全防护手段 , 并且可以说是存在很大的漏洞 , 随便找到的一个网线接口就可以连接到内网 , 甚至只要连上医院内部的wifi就可以扫描内网服务器端口并进行恶意访问 , 由此可见物理隔离也并非安全可靠 。
推荐阅读
- 温枪|为什么测温枪一下子就能测出人体的温度?
- 科学|为什么没有人被暗物质杀死?
- |为什么微信用户这么多,QQ还能成为中国第二大社交软件?
- 设备|投屏功能为什么如此重要
- 科学|为什么动物能直接喝脏水,而人类喝水需要过滤?
- 凤凰网|投屏功能为什么如此重要
- 群众网|为什么富人选择创业,穷人却选择打工?
- 群众网|马云的妻子张瑛有多优秀?为什么她不像刘强东妻子章泽天那样经常出现?
- |变声器为什么一定要有实时变声功能?能实现什么有趣的玩法?
- 猎云网|申淇医疗完成亿元C轮融资,高瓴资本和济峰资本领投