行業(yè)合集 | 派拉零信任身份安全醫(yī)療醫(yī)藥行業(yè)方案+案例合集

目前，醫(yī)藥行業(yè)的數(shù)字化發(fā)展涉及全產(chǎn)業(yè)鏈、多主體參與，包括研發(fā)、生產(chǎn)和醫(yī)藥流通等各個(gè)環(huán)節(jié)，數(shù)字化的解決方案在加快新藥研發(fā)、提升生產(chǎn)效率的同時(shí)，也帶來(lái)一定的風(fēng)險(xiǎn)挑戰(zhàn)。

生物藥或創(chuàng)新藥企業(yè)主要是以中小型企業(yè)為主，面向新藥的研發(fā)。目前，企業(yè)主要面臨如下挑戰(zhàn)：

• 關(guān)注業(yè)務(wù)和企業(yè)上市，而忽視企業(yè)信息安全建設(shè)，不滿(mǎn)足上市公司合規(guī)性監(jiān)管要求；

• 身份管理不規(guī)范，存在信息泄露、身份冒用、越權(quán)訪(fǎng)問(wèn)等安全風(fēng)險(xiǎn)，無(wú)法保障研發(fā)過(guò)程中系統(tǒng)所產(chǎn)生的大量沉淀數(shù)據(jù)的安全；

• 未實(shí)現(xiàn)匹配員工生命周期的應(yīng)用賬號(hào)和權(quán)限管理，核心人員離職時(shí)，由于信息不及時(shí)，存在賬號(hào)未及時(shí)回收的現(xiàn)象；

• 隨著業(yè)務(wù)發(fā)展，信息系統(tǒng)增多，系統(tǒng)之間數(shù)據(jù)交互需求增加，接口數(shù)據(jù)報(bào)錯(cuò)無(wú)法及時(shí)發(fā)現(xiàn)和處理，影響前端業(yè)務(wù)正常運(yùn)營(yíng)；

傳統(tǒng)藥企主要以大型企業(yè)為主，目前存在如下挑戰(zhàn)：

• 藥企人員較多，系統(tǒng)多，不同的系統(tǒng)架構(gòu)不同，員工應(yīng)用賬戶(hù)和權(quán)限，難以進(jìn)行集中管控；

• 隨著企業(yè)不斷發(fā)展，不同應(yīng)用系統(tǒng)中，企業(yè)組織架構(gòu)多樣，導(dǎo)致應(yīng)用系統(tǒng)中員工與組織的對(duì)應(yīng)關(guān)系混亂，應(yīng)用權(quán)限難管理；

• 員工人事變動(dòng)時(shí)，應(yīng)用賬號(hào)和權(quán)限，無(wú)法自動(dòng)同步變更，需手動(dòng)維護(hù)，效率低；

• 信息流通不及時(shí)，應(yīng)用系統(tǒng)內(nèi)部存在大量僵尸賬號(hào)、幽靈賬號(hào)；

• 沒(méi)有明確的身份管理標(biāo)準(zhǔn)和規(guī)范，企業(yè)數(shù)字化轉(zhuǎn)型難落地；

醫(yī)療器械作為特殊商品，關(guān)系到人民的生命安全，國(guó)家GXP管理標(biāo)準(zhǔn)對(duì)其有相當(dāng)嚴(yán)格的要求。在醫(yī)療行業(yè)物流、倉(cāng)儲(chǔ)等管理環(huán)節(jié)中，也存在一些難題。

• 沒(méi)有標(biāo)準(zhǔn)的人員管理規(guī)范SOP，實(shí)際管理中人員權(quán)限混亂，職責(zé)不清；

• 管理系統(tǒng)之間數(shù)據(jù)不互通，無(wú)法實(shí)現(xiàn)自動(dòng)精細(xì)化人員身份管理；

由于醫(yī)院機(jī)構(gòu)的特殊性，患者預(yù)約信息、檢查檢驗(yàn)信息、就診信息、醫(yī)學(xué)數(shù)據(jù)等醫(yī)療信息都是屬于緊急使用的信息，一旦這些數(shù)據(jù)被加密勒索，就會(huì)造成很大的影響，因此，在信息化建設(shè)過(guò)程中，存在以下挑戰(zhàn)：

• 管理人員、科室主任、門(mén)診主任等需管理多套系統(tǒng)的賬號(hào)密碼；

• 醫(yī)院?jiǎn)T工修改密碼、申請(qǐng)權(quán)限等需要等待很長(zhǎng)的時(shí)間周期；

• 總院與其下屬部門(mén)、分支機(jī)構(gòu)等存在數(shù)據(jù)壁壘；

• 醫(yī)院?jiǎn)T工賬號(hào)存在大量弱密碼情況，不滿(mǎn)足安全合規(guī)的要求；

• 處方、電子病歷無(wú)人監(jiān)管，如有數(shù)據(jù)泄露，無(wú)法追溯到責(zé)任人；

  解決方案

   

  No.1醫(yī)藥行業(yè)-生物制藥企業(yè)

   

  目前，大部分生物制藥公司存在上市的需求，而公司內(nèi)部控制環(huán)境不完善、缺乏有效的監(jiān)督機(jī)制等問(wèn)題嚴(yán)重影響公司在上市過(guò)程中的合法合規(guī)性要求。藥企安全法規(guī)《網(wǎng)絡(luò)安全空間法》、《等保條例》等國(guó)家信息安全通用法規(guī)中明確提出實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、用戶(hù)身份的標(biāo)識(shí)和鑒別以及權(quán)限訪(fǎng)問(wèn)控制等要求。派拉零信任身份管理平臺(tái)通過(guò)數(shù)字身份安全服務(wù)支撐CSV法規(guī)，規(guī)范身份鑒別、可信認(rèn)證、訪(fǎng)問(wèn)控制、入侵防范及安全審計(jì)等IT制度，快速構(gòu)建“可信、可控、可管”的身份安全防護(hù)體系，滿(mǎn)足國(guó)家政策法規(guī)的合規(guī)要求；

   

  同時(shí)，實(shí)現(xiàn)藥企員工從辦公域訪(fǎng)問(wèn)生產(chǎn)域時(shí)的受控訪(fǎng)問(wèn)，員工所有的訪(fǎng)問(wèn)行為均在可控的范圍之內(nèi)進(jìn)行，確保不會(huì)出現(xiàn)越權(quán)操作，有效防止從外部發(fā)起的攻擊行為；

   

  對(duì)于離職員工，派拉零信任身份管理提供一鍵清權(quán)機(jī)制，有效避免離職員工再登錄到系統(tǒng)中訪(fǎng)問(wèn)核心數(shù)據(jù)的操作；

   

  為藥企制定API管理集成規(guī)范，打通藥企上下游業(yè)務(wù)，并對(duì)非法的訪(fǎng)問(wèn)請(qǐng)求進(jìn)行攔截，實(shí)時(shí)記錄接口在運(yùn)行過(guò)程中的問(wèn)題及隱患，減少API數(shù)據(jù)泄露和攻擊風(fēng)險(xiǎn)。

  No.2醫(yī)藥行業(yè)-傳統(tǒng)藥企

   

  針對(duì)傳統(tǒng)藥企，派拉零信任身份管理平臺(tái)通過(guò)與藥企上游hr系統(tǒng)對(duì)接構(gòu)建權(quán)威用戶(hù)數(shù)據(jù)源，將組織架構(gòu)中的人員信息進(jìn)行統(tǒng)一管理，保障員工在各個(gè)業(yè)務(wù)系統(tǒng)中身份數(shù)據(jù)的同步；

   

  為藥企員工提供全生命周期化的賬號(hào)管理機(jī)制，涉及到入職、離職、調(diào)崗只需員工在系統(tǒng)中進(jìn)行權(quán)限變更申請(qǐng)即可，無(wú)須IT運(yùn)維人員手動(dòng)處理；

   

  另外，派拉零信任身份管理平臺(tái)可根據(jù)實(shí)際企業(yè)運(yùn)行需求設(shè)置相應(yīng)的策略模塊，定期對(duì)系統(tǒng)內(nèi)賬號(hào)掃描審核，有效規(guī)避僵尸賬號(hào)、孤兒賬號(hào)所帶來(lái)的安全隱患；

   

  對(duì)于權(quán)限濫用，數(shù)據(jù)泄露等風(fēng)險(xiǎn)，派拉零信任身份管理平臺(tái)根據(jù)藥企內(nèi)部多元化的管控需求，提供組織、用戶(hù)及應(yīng)用的分級(jí)管理設(shè)置多元化的角色權(quán)限，實(shí)現(xiàn)身份的集中掌控和分級(jí)治理。

   

  No.3醫(yī)療行業(yè)

   

  國(guó)家GMP管理規(guī)范中明確要求，企業(yè)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞蕉沤^未經(jīng)許可的人員進(jìn)入系統(tǒng)，企業(yè)系統(tǒng)中的關(guān)鍵數(shù)據(jù)，只有被授權(quán)人員方有修改權(quán)限。派拉零信任身份管理平臺(tái)根據(jù)醫(yī)療企業(yè)的業(yè)務(wù)邏輯，在設(shè)計(jì)系統(tǒng)功能模塊的同時(shí)，兼顧GMP規(guī)范要求，將倉(cāng)庫(kù)管理軟件WMS、醫(yī)藥銷(xiāo)售追溯平臺(tái)等與企業(yè)下游ERP業(yè)務(wù)系統(tǒng)打通，實(shí)現(xiàn)數(shù)據(jù)的雙向交換，滿(mǎn)足醫(yī)療企業(yè)內(nèi)部大量的數(shù)據(jù)查詢(xún)與統(tǒng)計(jì)工作，從而最大限度的支持業(yè)務(wù)流程；

   

  根據(jù)醫(yī)療企業(yè)的合規(guī)要求，派拉零信任身份管理平臺(tái)提供基于A(yíng)BAC的細(xì)粒度授權(quán)，將需要管理的應(yīng)用系統(tǒng)的權(quán)限回收，并進(jìn)行統(tǒng)一管理，依據(jù)員工的角色、崗位，職級(jí)等為其分配相應(yīng)的權(quán)限，提升企業(yè)內(nèi)部信息化管理水平；

   

  同時(shí)，派拉零信任身份管理平臺(tái)集中授權(quán)管理中心對(duì)員工訪(fǎng)問(wèn)行為進(jìn)行集中、全局性的審計(jì)，保障管理員在系統(tǒng)應(yīng)用、數(shù)據(jù)等發(fā)生問(wèn)題時(shí)能夠方便地總覽各類(lèi)相關(guān)的日志，實(shí)現(xiàn)可追溯式用戶(hù)管理體系。

  No.4醫(yī)院

   

  醫(yī)院中醫(yī)務(wù)人員使用的應(yīng)用系統(tǒng)大多比較單一，門(mén)診醫(yī)生一般使用HIS系統(tǒng)，放射科醫(yī)生一般只使用PACS系統(tǒng)，但對(duì)于醫(yī)院管理人員而言，通常存在需要頻繁訪(fǎng)問(wèn)各個(gè)業(yè)務(wù)系統(tǒng)的需求，派拉零信任身份身份管理平臺(tái)打通醫(yī)院運(yùn)營(yíng)管理系統(tǒng)、醫(yī)院臨床信息系統(tǒng)和醫(yī)院醫(yī)療管理系統(tǒng)以及總院與分院，總院與各個(gè)分支機(jī)構(gòu)之間的數(shù)據(jù)壁壘，醫(yī)院管理人員只需要一套賬號(hào)密碼，即可在無(wú)感知的情況下，跨系統(tǒng)訪(fǎng)問(wèn)，有效提升醫(yī)院管理人員體驗(yàn)感；

   

  同時(shí)，派拉零信任身份管理平臺(tái)提供自助服務(wù)模塊，醫(yī)務(wù)人員可自助進(jìn)行密碼修改、個(gè)人信息修改、權(quán)限申請(qǐng)等操作，提升組織協(xié)同辦公效率；

   

  由于大多數(shù)醫(yī)院?jiǎn)T工使用工號(hào)作為賬戶(hù)名，并設(shè)置初始密碼為空或弱密碼，且長(zhǎng)期不進(jìn)行密碼變更，長(zhǎng)此以往，賬號(hào)被盜或者被攻擊的風(fēng)險(xiǎn)性極高。基于以上情況，派拉統(tǒng)一訪(fǎng)問(wèn)控制平臺(tái)通過(guò)掃碼認(rèn)證、短信認(rèn)證等多種認(rèn)證方式，增強(qiáng)系統(tǒng)訪(fǎng)問(wèn)認(rèn)證強(qiáng)度，并結(jié)合員工登錄的設(shè)備、網(wǎng)絡(luò)、時(shí)間等進(jìn)行智能風(fēng)險(xiǎn)分析，實(shí)時(shí)監(jiān)測(cè)用戶(hù)登錄環(huán)境，對(duì)異常賬號(hào)進(jìn)行攔截，有效增強(qiáng)系統(tǒng)訪(fǎng)問(wèn)認(rèn)證強(qiáng)度；

   

  在病人隱私信息安全監(jiān)管方面，派拉零信任身份管理平臺(tái)提供標(biāo)準(zhǔn)的權(quán)限管理規(guī)范，對(duì)醫(yī)務(wù)人員權(quán)限進(jìn)行細(xì)粒度劃分，確保只有門(mén)診醫(yī)生、科室主任等人員有權(quán)限查看病人病人的處方、電子病歷等個(gè)人敏感信息，并且為每一個(gè)員工分配實(shí)名制賬號(hào)，實(shí)現(xiàn)醫(yī)務(wù)人員在系統(tǒng)中的所有操作均有跡可查，有效避免數(shù)據(jù)泄露時(shí)無(wú)法通過(guò)賬號(hào)追責(zé)到人的情況。