一、背景需求
区域人口健康信息平台又称区域卫生信息平台(以下简称“平台”),是以区域内电子健康档案信息的采集、存储、利用为基础,连接区域内的医疗卫生机构基本业务信息系统的数据交换和共享的平台,是不同系统间进行信息汇集整合和挖掘利用的载体。区域人口健康信息平台是人口健康信息化和健康医疗大数据基础,是人口健康信息化建设的首要任务。
随着区域人口健康信息平台建设的逐步推进,平台安全和病人隐私保护问题也随之出现。结合卫生计生行业信息安全调研反馈情况,当前平台建设普遍缺乏信息安全体系的总体规划,缺乏总体的安全防御体系。一方面,区域人口健康平台信息化建设过程中往往未与信息安全建设相结合,没能做到同步规划、同步建设、同步运维;另一方面,尽管许多医疗卫生机构已经堆砌式地部署了大量的信息安全产品,但随着信息安全的需求不断变化与增加,已不能满足实际需要,导致很多信息安全问题仍然存在。这在一定程度上成了制约人口健康信息平台发展的重要瓶颈。
需求
(1)符合国家等级保护要求
(2)平台网络接入安全可信
(3)健康信息安全互联互通
(4)云平台大数据安全可控
(5)注重公众健康隐私保护
(6)安全管理措施规范有效
二、解决方案
区域人口健康信息平台安全总体解决方案依据国家等级保护制度要求,按照区域人口健康信息化平台统一规划,进行人口健康信息化平台安全一体化设计,采用“集中安管、分区分域、纵深防御、业务与安全相互融合”的设计思想,综合运用数据全生命周期安全分析方法,利用自主的云计算安全技术,数据隐私保护技术,围绕人口健康信息化平台的安全需求,建设全方位、一体化的安全防护体系。
集中管控。以业务信息系统为核心,从监控、审计、风险、运维四个维度搭建综合安全监管平台,通过态势感知、安全预警、综合运维、应急处置等方面的能力建设,增强对区域人口健康信息平台的统一安全监管及整体安全防护能力,确保平台业务的安全、可靠运行。
纵深防御。采用防火墙将不同安全等级要求的区域进行隔离,将内部网络分成若干个子区域,明确安全防护重点;通过建设安全隔离与交换平台,实现电子政务外网、互联网的跨网交换和信息共享,保证信息系统的横向融合;通过安全系统,实现统一的用户管理、授权管理和身份认证。
等级防护。依据《卫生行业信息安全等级保护工作的指导意见》文件精神,按照国家信息安全等级保护要求,从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行体系化设计,保证平台满足等级保护测评要求。并结合云计算、大数据等信息技术发展趋势,进行增强性设计。
业务与安全融合。在进行信息安全设计的同时,注重业务系统服务可用。针对业务系统安全防护重点进行设计,保障人口健康信息全生命周期安全。
三、效能体现
(1) 符合国家等级保护要求
(2) 实现网络可信接入
(3) 安全与业务贴合紧密
(4) 体系化信息安全防护
(5) 安全风险防控能力显著提升