云山雾隐 端隐SDP

医疗

云山雾隐

背景

随着社会保险覆盖面的扩大、保障水平的提高以及服务便利性的提升,医保系统连接起越来越多的业务,承载着越来越多的重要数据流转,医疗信息在指定系统中频繁共享交换,数据处理过程中多个节点都需要保持同步,包括卡、中心端、医院端、药店端、银行端等,涉及面广,包含多个部门,从国家、省、市、县、街道乃至社区,也涉及到系统的各个层次如系统层、应用层、内部、外部等。广泛的连接与频繁的数据交换,使得安全问题日益突出,安全监管难度提升,而医保系统涉及均为高价值、高敏感、高关键信息,一旦出现安全事故,将造成极为负面的社会影响。因此在信息化过程中如何保障即时有效的安全监管就成为了监管部门亟需解决的问题。

按照公安部门、信息安全管理部门和人社局要求,必须实行专网专用,严禁医保网络计算机与互联网连接,确保医疗保障体系的网络安全。对于医保管理机构而言,如何监管接入医保专网机构的终端,如何禁止医保专网外联成为了信息化建设需要优先解决的问题。

面临问题

传统的网络准入控制技术无法适应多层网络架构或多层分支机构的网络准入控制管理,同时还需要付出极大的硬件成本和管理成本;

实施需要更改下属两定机构的网络架构,在推行过程中会遇到极大的阻碍;

部分隐蔽违规行为难以觉察,实时监管反馈在传统方案下难以保障,使得上级部门的监管面临着客观存在的困难;

在疫情的背景下,针对医院及医保网络的攻击事件也越加频发,医保网络的安全防护升级迫在眉睫。

解决方案

云山雾隐为医保局打造一套基于我国网络安全等级保护制度2.0标准中“一个中心三重防护”保障思想的零信任安全接入平台,实现 “专机专用”、“实名认证准入”、“非法外联警告/阻断”、“终端安全及移动介质管理” 等多项合规要求,加强医保专网安全隔离及权限管控,保障医保专网专用,解决医保局在两定机构及外部用户终端接入医保网络横向接入区时出现的管理难和监管难的问题。

身份唯一,有效监管

针对一个机构多名医护人员共用同一应用账号或IP的问题,会导致事后难溯源到具体设备及具体责任人。端隐零信任产品将结合“设备身份”及“用户身份”,为每一个接入对象提供唯一一套数字身份,并记录详细的认证及访问日志,可有效进行问题定位与责任溯源。

永不信任,持续认证

只有身份可信的用户或设备才可正常接入网络并访问被授权的应用资源。零信任网络安全摒弃一次性的绝对认证,在用户接入后,也会对其进行全流程的持续监控。一旦接入后的设备终端环境发生改变、或用户访问行为异常,系统都将对当前认证进行即时阻断与告警。对用户可信度的持续评估是零信任架构里“可变信任”的重要体现。通过对终端环境、用户身份、用户行为等多维度的评估检测,系统以打分机制反映用户的最新信任等级。

专机专用,可知可控

有效控制网络边界,确保所有外部接入用户纳入管控。自动感知违规外联、非法访问等异常行为,支持自动下发安全处置策略并进行告警,可有效应对外部攻击与内部威胁导致的核心机密泄漏需求,提升网络安全能力。

统一标准,全网覆盖

在全网实现点对网模式、网对网模式的统一接入标准,将确保覆盖并管控外部所有接入医用核心网络的用户及设备。端隐零信任整套产品符合医疗保障核心业务区网络接入安全要求,即接入安全体系包括终端安全、链路安全、边界安全、认证安全和应用安全。