行业合集 | 派拉零信任身份安全医疗医药行业方案+案例合集

目前，医药行业的数字化发展涉及全产业链、多主体参与，包括研发、生产和医药流通等各个环节，数字化的解决方案在加快新药研发、提升生产效率的同时，也带来一定的风险挑战。

生物药或创新药企业主要是以中小型企业为主，面向新药的研发。目前，企业主要面临如下挑战：

• 关注业务和企业上市，而忽视企业信息安全建设，不满足上市公司合规性监管要求；

• 身份管理不规范，存在信息泄露、身份冒用、越权访问等安全风险，无法保障研发过程中系统所产生的大量沉淀数据的安全；

• 未实现匹配员工生命周期的应用账号和权限管理，核心人员离职时，由于信息不及时，存在账号未及时回收的现象；

• 随着业务发展，信息系统增多，系统之间数据交互需求增加，接口数据报错无法及时发现和处理，影响前端业务正常运营；

传统药企主要以大型企业为主，目前存在如下挑战：

• 药企人员较多，系统多，不同的系统架构不同，员工应用账户和权限，难以进行集中管控；

• 随着企业不断发展，不同应用系统中，企业组织架构多样，导致应用系统中员工与组织的对应关系混乱，应用权限难管理；

• 员工人事变动时，应用账号和权限，无法自动同步变更，需手动维护，效率低；

• 信息流通不及时，应用系统内部存在大量僵尸账号、幽灵账号；

• 没有明确的身份管理标准和规范，企业数字化转型难落地；

医疗器械作为特殊商品，关系到人民的生命安全，国家GXP管理标准对其有相当严格的要求。在医疗行业物流、仓储等管理环节中，也存在一些难题。

• 没有标准的人员管理规范SOP，实际管理中人员权限混乱，职责不清；

• 管理系统之间数据不互通，无法实现自动精细化人员身份管理；

由于医院机构的特殊性，患者预约信息、检查检验信息、就诊信息、医学数据等医疗信息都是属于紧急使用的信息，一旦这些数据被加密勒索，就会造成很大的影响，因此，在信息化建设过程中，存在以下挑战：

• 管理人员、科室主任、门诊主任等需管理多套系统的账号密码；

• 医院员工修改密码、申请权限等需要等待很长的时间周期；

• 总院与其下属部门、分支机构等存在数据壁垒；

• 医院员工账号存在大量弱密码情况，不满足安全合规的要求；

• 处方、电子病历无人监管，如有数据泄露，无法追溯到责任人；

  解决方案

   

  No.1医药行业-生物制药企业

   

  目前，大部分生物制药公司存在上市的需求，而公司内部控制环境不完善、缺乏有效的监督机制等问题严重影响公司在上市过程中的合法合规性要求。药企安全法规《网络安全空间法》、《等保条例》等国家信息安全通用法规中明确提出实行网络安全等级保护制度、用户身份的标识和鉴别以及权限访问控制等要求。派拉零信任身份管理平台通过数字身份安全服务支撑CSV法规，规范身份鉴别、可信认证、访问控制、入侵防范及安全审计等IT制度，快速构建“可信、可控、可管”的身份安全防护体系，满足国家政策法规的合规要求；

   

  同时，实现药企员工从办公域访问生产域时的受控访问，员工所有的访问行为均在可控的范围之内进行，确保不会出现越权操作，有效防止从外部发起的攻击行为；

   

  对于离职员工，派拉零信任身份管理提供一键清权机制，有效避免离职员工再登录到系统中访问核心数据的操作；

   

  为药企制定API管理集成规范，打通药企上下游业务，并对非法的访问请求进行拦截，实时记录接口在运行过程中的问题及隐患，减少API数据泄露和攻击风险。

  No.2医药行业-传统药企

   

  针对传统药企，派拉零信任身份管理平台通过与药企上游hr系统对接构建权威用户数据源，将组织架构中的人员信息进行统一管理，保障员工在各个业务系统中身份数据的同步；

   

  为药企员工提供全生命周期化的账号管理机制，涉及到入职、离职、调岗只需员工在系统中进行权限变更申请即可，无须IT运维人员手动处理；

   

  另外，派拉零信任身份管理平台可根据实际企业运行需求设置相应的策略模块，定期对系统内账号扫描审核，有效规避僵尸账号、孤儿账号所带来的安全隐患；

   

  对于权限滥用，数据泄露等风险，派拉零信任身份管理平台根据药企内部多元化的管控需求，提供组织、用户及应用的分级管理设置多元化的角色权限，实现身份的集中掌控和分级治理。

   

  No.3医疗行业

   

  国家GMP管理规范中明确要求，企业应当采取适当的方式杜绝未经许可的人员进入系统，企业系统中的关键数据，只有被授权人员方有修改权限。派拉零信任身份管理平台根据医疗企业的业务逻辑，在设计系统功能模块的同时，兼顾GMP规范要求，将仓库管理软件WMS、医药销售追溯平台等与企业下游ERP业务系统打通，实现数据的双向交换，满足医疗企业内部大量的数据查询与统计工作，从而最大限度的支持业务流程；

   

  根据医疗企业的合规要求，派拉零信任身份管理平台提供基于ABAC的细粒度授权，将需要管理的应用系统的权限回收，并进行统一管理，依据员工的角色、岗位，职级等为其分配相应的权限，提升企业内部信息化管理水平；

   

  同时，派拉零信任身份管理平台集中授权管理中心对员工访问行为进行集中、全局性的审计，保障管理员在系统应用、数据等发生问题时能够方便地总览各类相关的日志，实现可追溯式用户管理体系。

  No.4医院

   

  医院中医务人员使用的应用系统大多比较单一，门诊医生一般使用HIS系统，放射科医生一般只使用PACS系统，但对于医院管理人员而言，通常存在需要频繁访问各个业务系统的需求，派拉零信任身份身份管理平台打通医院运营管理系统、医院临床信息系统和医院医疗管理系统以及总院与分院，总院与各个分支机构之间的数据壁垒，医院管理人员只需要一套账号密码，即可在无感知的情况下，跨系统访问，有效提升医院管理人员体验感；

   

  同时，派拉零信任身份管理平台提供自助服务模块，医务人员可自助进行密码修改、个人信息修改、权限申请等操作，提升组织协同办公效率；

   

  由于大多数医院员工使用工号作为账户名，并设置初始密码为空或弱密码，且长期不进行密码变更，长此以往，账号被盗或者被攻击的风险性极高。基于以上情况，派拉统一访问控制平台通过扫码认证、短信认证等多种认证方式，增强系统访问认证强度，并结合员工登录的设备、网络、时间等进行智能风险分析，实时监测用户登录环境，对异常账号进行拦截，有效增强系统访问认证强度；

   

  在病人隐私信息安全监管方面，派拉零信任身份管理平台提供标准的权限管理规范，对医务人员权限进行细粒度划分，确保只有门诊医生、科室主任等人员有权限查看病人病人的处方、电子病历等个人敏感信息，并且为每一个员工分配实名制账号，实现医务人员在系统中的所有操作均有迹可查，有效避免数据泄露时无法通过账号追责到人的情况。