全部分类
产品名称医院API安全监测与访问控制解决方案
行业背景
为强化数据安全监管力度,国家相继出台了《全国基层医疗卫生机构信息化建设标准与规范》《医疗卫生机构网络安全管理办法》等一系列法规。在此基础上,进一步颁布相关法律法规,针对API调用情况展开全面审计工作,明确要求医院切实做好数据防护工作,全力防范数据泄露风险。
医院对API的依赖性高,院内业务、监管单位、医保支付等都需要通过API实现互联互通。医联体、医共体、远程医疗等区域协同,以及互联网医院、第三方支付、微信小程序和公众号等移动类应用的使用,也都离不开API的使用,用户需要对API接口进行风险评估,识别出潜在的危险性与脆弱性,来确保医院API接口的安全无虞。
方案介绍
系统为软硬一体,主要采用旁路部署在核心交换机上,无需改变现网架构,扩展性高,不会对现有的网络和业务系统造成影响。
梳理医院API资产,从身份认证、风险监测、发现异常,实现API资产安全的“可知、可观、可视、可溯“,保障医院业务数据合规流转。
价值优势
-
梳理API接口,接口资产清晰:通过全流量监测解析、智能化梳理实现应用API接口资产梳理,助医院感知资产及业务接口分布情况,为用户安全决策打基础,提升医院业务接口安全风险监测能力。
-
流量管控,数据共享按需使用:通过动态访问控制模块对访问主客体之间的违规异常访问按照RBAC、ABAC角色及属性动态调控访问权限,实现了对来高频访问、疑似漏扫行为、业务量陡增、时间段异常访问、敏感数据批量获取、敏感文件下载、非正常上班时间段批量下载文件、请求资源异常等异常行为的拦截与隔离,确保应用访问的合规。
-
接口提升风险监测预警能力:通过智能风险分析模型,通过对接口异常行为能力检测与分析,可有效发现接口脆弱性、用户异常、业务访问异常、恶意攻击、敏感数据过度暴露等风险,并提供溯源、定位、处置能力,促进医院对风险事件的快速管理。
-
精准识别敏感数据,防止敏感数据泄露:可结合医疗数据分类分级指南,对流经接口的敏感数据进行识别和分析,及时发现敏感数据流转情况,并结合动态访问控制模块对请求响应数据按照访问权重对敏感数据执行替换、擦除、阻断等动作防泄露,确保数据取用安全。
