自疫情開始以來，醫療機構的信息存儲與管理正面臨著巨大的考驗。患者的健康史，包括所有治療、程序、處方、檢查報告，都以電子健康記錄 (EHR) 的形式存儲。盡管 EHR 更能提高患者病歷的準確性，并幫助醫生跟蹤患者的醫療保健數據，但如果攻擊者對這些數據進行篡改可能會產生難以估量的后果。因此，IT 管理員有責任保護患者的數據和隱私。

為保證這些健康信息 (PHI) 的完整性，結合以下三種策略可確保醫療機構完全遵守醫療信息隱私和安全法規，包括 HIPAA和HITRUST。

一、監控用戶對包含健康信息（PHI）的文件服務器的訪問

EHR包含PHI，這使其成為網絡犯罪分子有利可圖的攻擊目標。需要密切監控包含EHR的服務器，及時發現未經授權的文件訪問、修改和移動，確保數據完整性。醫療機構必須保證只有經過授權的醫務人員和患者本人才能訪問此類敏感信息。

二、實施細粒度密碼策略和（多因素身份驗證）MFA

由于大多數醫療保健機構嚴重依賴密碼來對其ePHI的訪問進行保護，因此黑客只需要一個被破解的憑據即可對其企業內部數據進行訪問。而真正具有挑戰的在于確保醫生和其他醫務人員使用強密碼來保護他們的帳戶。基于域、OU和組成員身份對不同用戶（例如護士、住院醫生、醫生、前臺等）實施多因素身份驗證 (MFA)，同時確保良好的登錄體驗。

三、減少特權濫用和內部威脅

有權控制您的Active Directory (AD域)環境、GPO和服務器的特權用戶會帶來特權濫用和內部威脅風險。為了確保安全性，需要建立一個零信任環境，以便將內部威脅拒之門外。僅將對患者健康信息的訪問權限分配給醫生、護士、健康保險主管和其他直接負責該患者的人員。

要實施這三種策略，您需要一個全面的身份和訪問管理 (IAM) 解決方案，例如 ManageEngine AD360。AD360 是一個集成的 IAM 套件，可以管理和保護您的 Windows AD、Exchange Server和 Microsoft 365 環境，并滿足您的合規性要求。

使用ManageEngine AD360，您可以：

●在包含 PHI 的 Windows、NetApp、EMC、Synology、Huawei 和 Hitachi 文件服務器系統中實時跟蹤誰何時何地，更改了哪個文件或文件夾。

●檢測插入系統的USB設備，如果用戶對信息進行復制時及時進行報警，并阻止PHI泄露。

●為有權訪問PHI的特權用戶實施細粒度的密碼策略和 MFA。

●通過利用用戶行為分析來對抗內部威脅，該分析會通知用戶當前行為與正常行為的偏差。通過配置要執行的自動操作（例如運行腳本或執行批處理文件）來即時響應這些偏差。

●識別并接收有關特權濫用跡象的警報，例如異常大量的文件修改和試圖訪問關鍵文件。

●使用200多個預配置報告證明HIPAA合規性，以查看系統中所做的更改、跟蹤用戶的操作、以及對數據的訪問或修改操作。

官方網站可免費下載軟件試用：https://www.manageengine.cn

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：