DLP是近年來資安市場的熱門話題,導入者多以金融或製造業為主,隨著電子病歷普及,DLP觸角也延伸至醫療產業,日前,台北醫學大學附設醫院(以下簡稱台北附醫)宣佈導入賽門鐵克DLP,成為台灣第一個導入DLP的醫療業者。
台北附醫資訊室主任謝逸中表示,過去一年內,每月看診人數約有9萬,平均每日新增的電子病歷資料超過19,000筆,龐大資料量的背後,意味著資料外洩風險也愈高,相關的安全防護措施必須更嚴謹。
雖然,台北附醫本身就有不同資料安全防護措施,包括網路防火牆、人員教育訓練、系統權限控管、資料庫加密、弱點偵測等,但這些措施無法把每一個端點都保護好,頂多只能做到合法使用的管理,無法管控合法使用者的非法傳輸,也因此促使謝逸中決定導入DLP。
「導入DLP最害怕的就是拖累伺服器運算處理速度,」謝逸中說,為此,台北附醫規劃短、中、長三個導入階段,短中程部署以端點與網路裝置開始,長程則涵蓋儲存系統。
首先以全院門診100台和護理站100台端點電腦及網路設備,由於門診與護理站電腦是最直接也最容易接觸到電子病歷的終端設備,因此列入優先順位裡,至於其他300台行政人員使用的電腦,則排入第二階段,行政人員沒有存取電子病歷的權限,保護重點將放在內部營運資料上,最後才是資料庫,預計2011年完成整體部署作業。
至於資料管控原則,目前台北附醫的設定有二種,第一是禁止傳輸XML文件,第二是根據衛生署規劃的電子病歷單張,制訂文件保護的Patten,任何一份符合Patten的文件同樣禁止傳輸。
更多關於台北附醫的IT與資安規劃,請參見第72期《資安人雜誌》。