某医院信息科主任老张最近收到领导发来的信息:“听说某某医院数据泄露,当地网信罚款6w,我们医院的数据不会泄露吧?”
老张表面说肯定不会,但背地里还是捏着一把汗,因为只有他自己知道,这数据泄露有多难防范
就先说这个数据吧,医院的数据也是太多了,患者的信息、病例、b超单、医生的信息等等,一个业务系统的数据量就可以达到10w+
数据存在的意义就是被使用,不同用户在不同的场景下需要使用不同的数据
数据在使用的过程中,要从存储的数据库,经过API,才能到达用户终端
流动的过程中每个节点如果存在风险,都可能造成数据泄露
面对这些困难,老张没什么头绪,只能先找找各种资料来学习
经过一段时间的学习,老张发现需要使用一些技术手段来保护数据,因此买了一堆数据安全设备
买买买的时候确实爽,一用起来就傻眼了
数据安全的设备这么多,需要一定的技术水平和业务理解才能用的好
使用的过程中,每个设备都会有告警,在这些大量且割裂的日志里,运营人员找到头晕都理不清数据的流向和泄露情况
此外,想要设备起作用就得配好安全策略,这需要运营人员登录到每个系统上进行配置,工作效率低不说,也不便于检查
老张最怕的还是领导突然的检查,得和手下的兄弟们忙活半天,才能输出一份比较完整的报告
这数据安全把老张累的够呛,不得不求助下其他人,老张想到了他的同班同学老帅,虽然毕业后不在一个城市,但他也是进入了医疗行业,他应该也面临同样的问题,看看他有什么好方法。
老帅果然有经验,说他们已经抛弃堆数据安全设备的这套理念,而是从数据全生命周期的角度去进行数据安全建设
什么叫全生命周期防护体系呢?
就是从数据的采集、传输、存储、使用、交换、销毁6大阶段,分析监测数据安全风险,根据不同阶段的风险情况、和实际的业务要求,进行精准、全面的数据安全防护体系建设
老帅说,想要实现全面的数据安全体系建设,得先有个可以看的到全局情况的一体化数据安全管理平台,他们医院就采购了这样的一款产品,“新华三数据安全治理与运营中心”(简称“数安中心”)
数安中心,从数据梳理开始,可以采集多种类型的数据库、大数据,实现结构化、非结构化的数据统一管理,采集后,通过内置的智能分类分级大模型,实现自动化的分类分级
“自动化分类分级?”老张对此表示怀疑,医院的业务复杂,这自动化的分类分级模型,分的好吗?
老帅知道他的疑虑,解释到,分类分级确实需要充分考虑业务情况,他们之所以选择新华三,就是看着新华三在医疗行业的丰富经验,已经为多家医院的多个业务系统进行自动化分类分级,实际经验积累的多,这自动化分类分级模型的准确度才会高,分类分级基础打的好不好,直接影响后续数据安全整体建设的质量
除了数据资产的盘点,数安中心还关注全网的数据动态访问行为,可视化呈现全网数据流转全路径,从访问的终端、接口、数据库账号、数据库到数据表,流动过程中的各节点的基本信息和安全信息都可以看的清清楚楚
数安中心同样关注全生命周期各阶段的脆弱性信息,通过采集技术类、人员类、管理类三大类脆弱性信息,实现数据安全隐患风险的全面消除
再根据内置不同业务场景下的UEBA检测模型,实时检测8大典型医疗场景下的数据安全事件
老帅说,现在他们部门,根据数据资产的分类分级结果,就会使用数安中心的安全设备联动能力,调用多种数据安全设备,统一下发数据安全策略,有效减少数据安全风险发生
数安中心,也提供了多种场景下的可视化大屏和报表,用真实可靠的数据支撑数据安全的管理和汇报需求
听到这里,老张确实被打动了,这个产品不仅可以提升兄弟们的运营效率,还可以联动以前买的那些设备,随时满足领导需要的整体建设效果汇报
不过老张还是有个顾虑,自己的手下之前都是做网络安全的,数据安全的运营工作总是手忙脚乱,找不到头绪,只怕配了好产品也不会用
老帅笑了笑,说新华三也想到了这点,所以这款产品还可以配套原厂数据安全服务,专业的数据安全专家团队对接沟通,根据实际业务情况和目标制定数据安全运营服务方案,团队的兄弟们可以跟着专家学到了不少数据安全的专业运营知识
原来现在的数据安全解决方案已经这么完善了,老张突然感觉如释重负
标签:方案,医疗,老张,数据安全,分级,老帅,数安,数据,安全监管 From: https://blog.csdn.net/wanglirongllll/article/details/142518048