《“医保影像云”基础规范》数据安全要求梳理及美创产品满足性分析
2026-07-09
新规来了!网络数据安全风险评估成为常态化要求,企业如何高效合规?
2026-07-06
开源AI渗透测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行宁波市分行被罚436万元!
2026-07-03
美创参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式实施
2026-07-01
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务近日,为更好维护医保参保人权益,切实解除群众疾病医疗后顾之忧,加快推进医保影像云高质量建设,构建“患者本人可阅、医疗机构可调、医保部门可核”的影像检查数据服务平台,国家医保局组织开展了医保影像云系列规范研究,制定《“医保影像云”基础规范》,现予以公开发布。

基础规范中包括业务应用规范、基础设施技术规范、业务人员、设备及图像基础要求三部分内容。美创科技针对业务应用规范、基础设施技术规范两个部分中的数据安全要求及美创产品满足性进行分析,方便用户直接匹配。
整体总要求:医保影像云必须通过等保三级(GB/T 22239-2019),全面保障系统、存储、传输、个人信息安全。
身份鉴别:
所有访问用户严格身份核验,杜绝非法访问;
禁止默认口令、弱口令;关键场景强制多因素认证 MFA;
支持医保码、短信验证码、App 令牌、身份证信息、生物刷脸等二次校验方式。
访问控制:
遵循最小权限、业务必需原则,按角色分级授权(系统管理员、医疗机构管理员、医生、参保个人);
影像数据、诊断报告、患者身份信息标记为敏感资源,基于安全策略严控读写、下载、分享操作。
安全审计:
全链路审计:登录、影像上传、缓存、调阅、分享、异常操作全部留痕;
审计日志要素:操作时间、操作人员、事件类型、操作结果;
日志留存 ≥ 6 个月,定期备份;
日志防篡改:数字签名、写入不可变存储,禁止删除、篡改审计记录。
个人信息保护:
采集、使用、共享个人影像信息必须获取参保人明确授权,隐私政策公示处理目的、范围、保存期限、维权渠道;
四原则:目的明确、最小必要、公开告知、个人授权;
诊疗、医保结算场景:患者信息去标识化;
AI 训练、科研、大数据分析:个人信息不可逆匿名化,或单独取得授权;
严控个人信息收集、存储、外传边界。
数据存储安全:
所有影像原始数据、报告静态存储强制加密;
医疗机构前置机缓存数据到期自动清理,留存完整删除日志;
影像数据未经省级及以上医保局批准,不得挪作他用;
建立完善备份恢复机制,数据损坏/丢失可快速恢复;
密钥全生命周期管理(生成、分发、轮换、销毁),配套 HSM 硬件加密机/KMS 密钥管理服务。
网络安全防护:
核心影像中心、存储区与互联网/接入区网络隔离(VPC、安全组),仅开放业务最小端口;
边界部署防火墙、WAF,防御 SQL 注入、XSS、DDoS;
部署 IDS/IPS 入侵检测防御,实时阻断恶意渗透、异常流量。
API安全:
全部 RESTful 影像 API 强制认证授权,采用 Token/OAuth 2.0;
API 授权遵循最小权限;
接口调用限流、并发管控,防暴力撞库、DoS 拒绝服务攻击。
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
禁用弱口令、默认账号,全角色多因素 MFA 认证(刷脸 / 医保码 / 短信 / 令牌) |
美创统一身份认证平台、数据库防水坝 |
1. 账号弱口令自动拦截,定期口令合规巡检;2. 管理员、医生、运维人员强制双因子认证;3. 对接医保码、人脸、短信、APP 令牌多类校验源,适配医保业务授权场景 |
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
最小权限、分级角色隔离,敏感影像数据精细化访问管控 |
数据库防水坝、数据安全一体化平台 DSC |
1. 基于 RBAC 角色权限模型,区分省医保管理员、医院管理员、门诊 / 住院医生、参保人;2. 医生仅可调阅本人授权患者影像,管理员无调阅临床影像权限;3. DICOM 影像、诊断报告、身份证等敏感字段标记,限制批量导出、跨机构拷贝 |
模块 3:安全审计(对应规范第九章第三节)
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
上传 /调阅 / 分享 / 登录全操作留痕,日志≥6 个月、防篡改、不可删除
|
数据库审计系统、API 审计、数据库防水坝
|
1. 旁路采集医保数据库、PACS、影像云 API 全行为日志,覆盖缓存申请、跨省调阅、个人分享、授权记录;2. 日志数字签名固化,写入只读存储,防篡改;3. 日志自动归档存储超 6 个月,支持监管一键检索、导出审计报表;4. 运维堡垒机完整记录服务器、前置机运维操作,会话录像留存 |
模块 4:个人信息保护(对应规范第九章第五节)
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
诊疗去标识、科研不可逆匿名化,严格个人授权管控,防隐私外泄 |
动态 / 静态脱敏系统、数据防泄漏 DLP |
1. 医生临床阅片自动脱敏身份证、手机号、家庭地址等隐私字段(最小必要);2. 影像 AI 训练、大数据分析数据集执行不可逆脱敏,彻底剥离可识别身份信息;3. DLP 识别 DICOM、诊断报告内敏感信息,阻断内网批量导出、外网转发、截图外传;4. 完整记录医保码 / 刷脸 / 短信等所有调阅授权记录,同步上传医保索引模块留痕 |
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
影像静态存储加密、密钥全生命周期管理、数据备份恢复 |
数据库透明加密、文件存储加密、DRCC灾备平台 |
1. DICOM 影像、医保结算数据库透明加密,业务无感知改造;2. KMS 统一管理国密密钥,覆盖生成、分发、定期轮换、销毁,支持对接 HSM 硬件加密机;3. DRCC 提供数据备份、恢复等能力,满足影像数据快速恢复; |
模块 6:API 安全(对应规范第九章第八节)
|
规范安全要求 |
美创对应产品 | 匹配能力说明 |
|---|---|---|
|
API 统一鉴权 Token/OAuth2.0、调用限流、最小权限、防暴力调用
|
DSC 平台、API 安全网关
|
1. 统一管控影像云全部 RESTful API(上传、缓存、调阅、索引查询);2. 每次接口调用校验有效令牌,细粒度权限控制;3. 单账号调用频率限制、并发阈值管控,拦截撞库、爬虫、恶意高频调用,防止业务 DoS |
(1)医保影像云数据中心安全:
网络防火墙:应在数据中心网络边界、互联网出口及内部核心区域边界部署高性能网络防火墙,用于访问控制、安全区域隔离及网络威胁防护。
入侵防御系统:具备对各类网络攻击行为进行深度检测、实时行为分析与主动阻断防御。
Web 应用防火墙:具备对 SQL 注入、跨站脚本(XSS)、文件上传漏洞等常见 Web 攻击的防护能力。
日志审计系统:能够对网络设备、安全设备、服务器、操作系统、数据库和应用等所有 IT 组件的日志进行集中采集、范式化、关联分析和安全存储。日志保存时间应不少于 180 天。
数据库审计系统:对数据库的访问操作进行独立监控、记录和分析,并对 SQL 注入、越权访问等高危操作进行实时告警。
运维审计系统:对所有运维人员(内部员工、外部合作方)的远程访问进行统一身份认证、权限控制、操作审计和会话录像回放。
漏洞扫描设备:具备对主机、网络设备、Web、数据库等资产进行定期自动化漏洞扫描能力,并提供修复建议和风险趋势报告。
态势感知与综合安全管理平台:宜部署态势感知与综合安全管理平台,联动整合、统一管理各类安全设备,对各类安全日志和事件进行集中关联分析,整合威胁情报,实现威胁的统一监测、预警、研判和响应处置。
数据防泄漏系统:宜在网络出口和终端部署数据防泄漏系统,对包含个人身份信息、影像诊断报告等敏感数据的外发行为进行深度内容检测、监控和阻断。
传输安全:
(a)业务系统之间涉及敏感数据传输时,须采用基于国密算法或 TLS 1.2 及以上协议的安全加密套件,严禁使用包含弱算法或特性的套件,关键业务系统优先推荐选用国密算法套件;
(b)个人敏感信息除通过安全传输通道传输外,须根据业务安全需求对敏感字段及敏感数据内容采取加密保护措施;
(c)互联网区需要具备防护 DDoS 攻击能力。
(2)网络边界与通信安全:
网络隔离:通过部署网络防火墙或安全隔离网闸,实现不同安全等级网络区域(如互联网接入区、应用服务区、数据核心区、运维管理区)之间的有效隔离和访问控制。
流量控制:宜部署流量控制设备,对网络流量进行分析和管控、告警,具备用户行为分析、应用带宽限制、应用带宽保障、链路监测、自动告警等功能。
终端认证:终端接入系统时,应采用至少两种组合鉴别技术(如密码 + 短信验证码、密码 + 数字证书)进行身份认证,即多因素认证。
传输加密:终端设备通过公共网络访问业务系统时,须采用基于国密算法或 TLS 1.2 及以上协议对传输数据进行加密保护,关键业务系统推荐选用国密算法进行加密。
终端防护:所有接入网络的终端(包括服务器和个人电脑)应安装统一管理的防病毒软件,并宜具备终端侦测与响应能力。
密钥管理安全:应建立完善的密钥全生命周期管理体系,包括密钥生成、分发、存储、轮换和销毁。核心数据加密,宜采用经过国家密码管理部门认证的硬件加密机进行密钥安全保管。
统一身份认证:应建立集中式身份管理系统,对所有用户(内部员工、外部合作方)和系统账号进行统一生命周期管理(创建、授权、禁用、删除)。
多因素认证:所有对生产环境访问,尤其是涉及特权账号访问(如服务器 SSH、数据库登录、云平台控制台),应强制启用多因素认证。
权限访问控制:应严格遵循“最小权限”和“职责分离”原则,实施基于角色的访问控制,确保每个用户仅拥有其完成本职工作所必需的最小权限集合,并定期(如每半年)对用户权限进行审查。
定期安全评估:应定期(至少每年一次)委托具备资质的第三方机构开展渗透测试和安全评估,从攻击者视角检验系统实际安全防护能力,并对发现风险进行跟踪修复。
应急响应:应建立正式的安全事件应急响应预案和保障团队,明确事件上报、研判、处置、溯源和恢复流程。宜定期组织应急响应演练,确保预案可行性和团队熟练度。
配置与补丁管理:应建立正式的流程和工具,对所有 IT 资产的安全配置基线进行统一管理、合规性检查,并对机构发布的高危安全补丁进行评估、测试和及时部署。
恢复时间目标(RTO):关键业务系统 RTO 不超过 4 小时。
恢复点目标(RPO):关键业务数据 RPO 不超过 1 小时。
医保影像云应对核心业务数据和系统配置进行定期、自动化本地备份,可采用数据快照、同/异步复制等技术。
|
规范安全防护条款 |
美创对应产品 |
匹配能力说明 |
|---|---|---|
|
全量日志集中采集、存储≥180 天、日志防篡改 |
数据安全一体化平台(日志审计模块) |
全网设备、数据库、应用日志统一范式化存储,日志写入不可变存储,留存周期自定义满足 180 天合规;支持日志签名防篡改 |
|
数据库独立审计、SQL 注入 / 越权实时告警 |
美创数据库安全审计系统 |
解析全量数据库访问、DML/DDL 高危操作,细粒度到字段级审计;内置医疗影像场景风险规则,实时阻断异常查询、批量导出患者影像数据 |
|
运维堡垒机、特权会话录像、运维操作审计 |
数据库防水坝 + 运维审计组件 |
统一托管运维账号,免密登录;全会话录像、操作留痕;特权账号强制 MFA,实现运维行为全程可追溯 |
|
周期性漏洞扫描、资产风险评估 |
数据安全综合评估系统DCAS |
自动扫描服务器、数据库、Web、存储资产,输出合规修复报告,支持等保三级、医保行业合规模板 |
|
全域态势感知、威胁情报联动处置 |
DSC 安全态势中心 |
整合数据库防火墙、审计、防水坝、DLP 全设备告警,AI 关联分析影像数据泄露、批量调阅风险,自动下发阻断策略 |
|
敏感影像 / 患者信息防泄漏、外发阻断 |
美创数据防泄漏 DLP、数据水印 |
网络出口识别 DICOM 影像、患者身份证、诊断报告敏感字段;拦截邮件、网盘、拷贝外发;数据水印追溯泄露源头 |
|
静态存储加密 |
数据库透明加密平台 |
支持SM4等国密算法;影像数据库、文件存储落盘自动加密 |
|
终端多因素认证、EDR 终端防护 |
统一身份管理平台、诺亚防勒索系统 |
指纹 / 短信 / 令牌等多因子校验;勒索病毒防护、异常终端接入阻断 |
|
规范容灾备份条款 |
美创对应产品 |
匹配能力说明 |
|---|---|---|
|
核心业务 RTO≤4h、核心数据 RPO≤1h |
灾备一体化平台 DRCC |
支持数据实时同步,RPO控制至秒级;业务一键切换,RTO 可压缩至分钟级,满足≤4 小时硬性指标 |
|
自动化本地备份、快照、远程复制、双活 |
灾备一体化平台DRCC |
自动定时快照、全量 / 增量备份;支持同城双活、异地异步复制;适配医保影像分层存储(热 / 温 / 冷)差异化备份策略 |
|
影像数据长期归档(门诊 15 年 / 住院 30 年)备份可恢复 |
灾备一体化平台DRCC |
支持磁带库、蓝光库冷归档对接,备份数据分层存储,支持跨年限数据一键恢复,满足超长存储周期合规 |
|
灾备统一监控、预案管理、演练、可视化大屏 |
灾备一体化平台DRCC
|
集中监控影像中心、医院前置机灾备链路状态;内置医保业务灾备切换预案;定期自动化灾备演练,大屏展示容灾健康度 |
|
异构平台(服务器 / 存储 / 数据库)统一容灾 |
灾备一体化平台DRCC |
兼容国产服务器、分布式存储、PACS 影像库、医保业务数据库,统一纳管省影像中心、医疗机构前置机灾备资源
|
美创科技深耕医疗行业,拥有大量三甲医院 PACS、区域医疗影像云数据安全与容灾备份落地案例,产品可直接对接医保影像云 “国家索引共享模块 - 省级影像中心 - 医疗机构前置机” 三层架构,无需大量定制开发即可完成规范合规落地。