区域人口健康信息平台安全解决(jué)方案
发布时间��:2018-12-17
一(yī)����、背景需(xū)求
区域人口健康(kāng)信息平(píng)台又(yòu)称区域卫生信息(xī)平台(以下(xià)简称“平台”)����,是以(yǐ)区(qū)域(yù)内电(diàn)子(zǐ)健康档(dàng)案信(xìn)息的采集����、存储���、利用(yòng)为基(jī)础����,连接区域内的医(yī)疗卫生机构基(jī)本业务信(xìn)息(xī)系统的数据交换和(hé)共享的(de)平台��,是不(bú)同系统(tǒng)间进行信息(xī)汇(huì)集(jí)整合和挖掘利用的载体����。区域人(rén)口健康信息平台是人口健康信息(xī)化(huà)和健康医疗大数据基础�����,是(shì)人口健康信息化建设(shè)的首要(yào)任务(wù)����。
随着区域人口健康(kāng)信(xìn)息(xī)平台建设(shè)的逐(zhú)步推进����,平台安全和病人隐私保护问题也随之出现(xiàn)��。结合卫生计生行业信息(xī)安全调研反馈情况���,当前平台建(jiàn)设普遍缺乏信息安全体系(xì)的总体规划����,缺(quē)乏总体的安全防御(yù)体系���。一方面(miàn)��,区域(yù)人口健康平台(tái)信息化(huà)建设过程中往往未与信息(xī)安全建(jiàn)设(shè)相结(jié)合(hé)���,没能做到同步规划���、同步建设��、同(tóng)步运(yùn)维�����;另一方面���,尽(jìn)管许多医疗卫(wèi)生机(jī)构已经(jīng)堆砌式地部署(shǔ)了大(dà)量的信息安全产品��,但随着信(xìn)息安(ān)全的需求不断变化与增(zēng)加����,已不能满(mǎn)足实际需要��,导致很多信息(xī)安(ān)全问题仍然(rán)存在����。这在一定程度上成了制约人(rén)口健康信息平台发展的重要瓶颈(jǐng)��。
需求
(1)符合国家等级保护要求
(2)平(píng)台(tái)网络接入(rù)安全可信
(3)健(jiàn)康信息安全(quán)互联互通
(4)云平台大数据(jù)安(ān)全可控(kòng)
(5)注重公众(zhòng)健(jiàn)康隐(yǐn)私保(bǎo)护
(6)安全管理(lǐ)措(cuò)施规(guī)范有效(xiào)
二�����、解决(jué)方案
区域(yù)人口健康信息平台安全总(zǒng)体解决(jué)方(fāng)案依据国家等级保(bǎo)护制度要求���,按照区域人口健康信(xìn)息化(huà)平台(tái)统一规划��,进行人口健康信息化平台安全一体化设(shè)计���,采用“集中安管��、分(fèn)区分域���、纵(zòng)深防御����、业务与(yǔ)安(ān)全相互(hù)融合(hé)”的设(shè)计思想��,综合运用数(shù)据全生命周期安全分析(xī)方法���,利用自主的云计算安全技术���,数据隐私保护技术��,围绕人口健康信息(xī)化平台(tái)的(de)安全(quán)需求�����,建设全方位����、一(yī)体化的安(ān)全防护体(tǐ)系���。
集中(zhōng)管控(kòng)��。以(yǐ)业(yè)务(wù)信息系统(tǒng)为(wéi)核心���,从监控�����、审计����、风险����、运维四个维度(dù)搭建综合安全监管平(píng)台�����,通(tōng)过态势感知���、安全预警(jǐng)����、综(zōng)合(hé)运(yùn)维���、应(yīng)急处置等方(fāng)面的能(néng)力建设(shè)���,增强对区域人口健(jiàn)康信(xìn)息平台的(de)统一安全监管及整(zhěng)体安全防护能力(lì)����,确(què)保平台业务(wù)的安全��、可靠运行����。
纵深防御��。采用防(fáng)火墙将(jiāng)不同安全等级(jí)要(yào)求的区域进(jìn)行(háng)隔(gé)离���,将内部(bù)网络分成若干个子区域����,明确(què)安全防护(hù)重点��;通过建设安全(quán)隔离与交换平台���,实现电子政务外网���、互(hù)联(lián)网的跨网交换(huàn)和(hé)信息共享��,保证信息系(xì)统(tǒng)的(de)横向融合����;通过安全系统���,实现统一的(de)用(yòng)户(hù)管理(lǐ)���、授权管理和(hé)身份(fèn)认证(zhèng)���。
等(děng)级防护(hù)���。依据《卫生行业信息安(ān)全等级保护工作的(de)指(zhǐ)导意见》文件精神����,按(àn)照国家信息安全等级保护要求(qiú)����,从物理(lǐ)安全���、网(wǎng)络(luò)安全����、主机安(ān)全���、应(yīng)用安(ān)全��、数(shù)据(jù)安全等方面进行体系(xì)化设计��,保证平台满足(zú)等级保护测评(píng)要求���。并结(jié)合云计算���、大数据(jù)等信息技术发展趋(qū)势����,进(jìn)行增(zēng)强性设计��。
业务与安全融合���。在进行信息安全设(shè)计的(de)同(tóng)时(shí)����,注(zhù)重业务系统服务可用���。针对业务(wù)系(xì)统安(ān)全防护(hù)重点进(jìn)行设计����,保障人(rén)口健康信(xìn)息全(quán)生(shēng)命周期安全���。
三(sān)��、效能体(tǐ)现
(1) 符合(hé)国(guó)家等级保护要求
(2) 实现网(wǎng)络可(kě)信接入
(3) 安(ān)全与业务贴合紧密
(4) 体系化信息(xī)安全防护
(5) 安(ān)全风险防控(kòng)能力显著提升
