从《等级保护2.0》实施，看美创科技如何领跑医疗信息数据安全市场

1985年，哈拉维曾提出著名的赛博格宣言。她宣称技术与人正融合成为新型主体——赛博人，人类身体将为技术所穿透、数据所浸润，成为一个终极媒介。这一颇具后人类意味的预言，正在逐渐转为现实，数据正成为我们身体的一部分。不过这一宣言，也从另一个维度道出了数据安全的重要性。

线上挂号、线上问诊、电子病历等一系列为患者提供便利的信息系统，都是数据在医疗场景中的应用。

2017年《网络安全法》的发布第一次为信息科的网络安全问题敲响了警钟，2019年5月发布的《等级保护2.0》再一次强调了这一安全问题的重要性，对医院信息科的工作提出了实质性的建设要求。网络安全、信息安全建设已经成为类似于电子病历评级的重要工作。

据动脉网梳理，国家对于医疗行业信息安全的规则制定并非未雨绸缪，实际上，很多医院常常出现下列6大问题：

1、内外网划分不清晰，缺少内外网隔离措施；

2、医院最核心的HIS系统的运营缺少有效的安全保护措施和审计机制；

3、医院的信息系统不是一个孤立的系统，存在被黑客入侵、网络攻击的风险；

4、医院在设备和链路缺少冗余情况下，若出现故障，会出现医院业务中断的风险；

5、医院门户网站缺少必要的安全保护措施，存在被SQL注入攻击、网站挂马的风险；

6、大部分医院未部署终端安全管理和审计系统，导致不合规的终端也能随时接入内部网络，且出现终端安全事故时无法追查。

事实上早在2005年，杭州美创科技有限公司（简称“美创科技”）便感受了信息安全的重要性，四位联合创始人决定以自身擅长的数据库领域起家，建立公司。

美创科技副总经理闻建霞向动脉网讲述了公司15年领跑医疗信息数据安全市场的历程。

在与闻建霞的交流中，动脉网获知美创科技在技术上的深厚积淀。这不仅能够为企业在技术研发上打下坚实基础，还将为其带来对行业需求的深人洞察。

2008年，美创科技由数据库咨询向产品研发方向成功转型，企业迅速获得了浙江联通、宁波电信等大型用户。

在运营商和金融行业风头正盛时，美创科技敏锐地洞察到医疗行业在信息安全上的需求，在2009年选择把业务重心向医疗、社保等民生领域转移，以拓荒者的姿态开启对敏感数据保护市场的探索，推出了敏感数据保护产品V1.0版本、医院“防统方”安全产品，并在医疗行业被广泛应用。

到2014年，美创科技研发出业界第一台数据库堡垒机，并提出由内而外的纵深防御敏感数据保护（DCAP）解决方案。资本在这个时间点嗅到了这一信息安全赛道的庞大潜力，2015、2016年美创科技相继完成了A轮和B轮融资，市场化速度在这两年飞升。

在获得资本青睐后，美创科技深入耕耘敏感数据保护（DCAP）市场。2017年，美创科技入选了中国网络安全企业50强。

2018年，美创科技再获融资，奠定了医疗数据安全头部企业的领军地位。一年后，美创科技建立起全新业务品牌——数据业务中心，在保障数据安全的前提下，提升医疗数据价值，探索医疗数据的实际应用。

回顾美创科技在信息安全领域紧跟风向的转型与跨越，我们可以看到美创科技对行业需求的精准把握，以及从“拓荒者”到行业“领军者”的成长路径。

谈到转型与成长，作为医疗信息行业数据安全领域的头部玩家，闻建霞道出了美创科技的核心攻略：“数据安全市场虽然刚起步，但是有一定门槛，产品是否满足用户需求，解决用户问题是根本。”

同时，闻建霞告诉动脉网，政策的推进将成为医院采取信息安全防护措施的催化剂。2019年《等级保护2.0》的实施，使越来越多的医信工作者加速落地数据安全建设。

美创科技牢牢把握住了每一个重大市场动向，针对医疗行业信息市场数据安全需求、数据容灾需求、数据管理需求，提供数据安全、数据管理、容灾备份和智能运维四大产品和信息安全整体解决方案。

以医疗信息行业数据安全需求板块为例，产品涉及数据库防火墙、数据库防水坝、数据脱敏、数据库审计、诺亚防勒索等部分。

他们实现了以下功能：

1.防御来自于外部及内部等访问途径的SQL注入攻击和基于漏洞的数据库攻击，深化在数据库层面的安全防御，抵御外部及内部威胁；

2.弥补传统方式的管理不足，防止非法用户的越权使用、窃取、更改或破坏数据，加强数据库准入管理，全面保障账号安全；

3.从应用变更和部署、危险操作控制、敏感数据分级分类、误操作防御、误操作恢复、运维审计、工作报表等方面全方位支持数据库运维安全管理，满足运维安全内部控制和各类法规法令（等级保护、SOX、PCI、企业内控条例等）的要求；

4.实现敏感隐私数据的保护；

5.帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

纵观美创科技在信息安全需求板块所提供的解决方案，不难发现，从前端“防火”到后端审计，美创科技以数据安全全局为出发点，搭建了一个体系化的深度防御体系。

美创科技数据安全体系

具体而言，该系统的搭建路径如下：

首先通过互联互通的安全技术、平台化的管理工具搭建起安全体系。再进一步在数据上，进行完善，采用敏感数据防泄漏、风险内控、数据追责溯源及信息共享交换安全等多种技术和措施，实现数据的可用性、完整性和保密性保护。最后采取强度一致的安全措施，使各安全措施在作用和功能上相互补充，形成动态医疗行业信息安全防护体系。

另一方面，在容灾与数据管理上，美创科技也提供了相应解决方案，包括为医疗行业提供医疗质量分析、绩效管理平台，在医院和卫计委改善医疗资源投放、监管合规、医疗质量等上提供信息安全支持。

目前，美创科技产品方案已广泛应用于政府部委、国有银行、国家电网、大型港口、百强医院、世界五百强企业等。

当谈及数据安全市场容量问题，闻建霞告诉动脉网：“随着分散的医疗数据逐渐被集合成今天的大数据，它的价值也愈发受到重视。而从形式上讲，过去的数据是分散的，风险也是分散的；如果数据集中起来，风险也开始聚集。种种因素都推动了医院开始保卫自己的数据。”数据安全市场容量可以预期。

方案未至，资本先行。从2015年投资人开始察觉数据安全市场的潜力到2018年，短短三年，美创科技完成三轮融资。在2020年资本寒冬下，美创科技新一轮融资超1.5亿元人民币。这条赛道逐渐被资本拂起波澜。

但想要打下这个市场，首先要清晰医院的需求。

十年前，医院的关注点在于防止网络被黑客所黑掉，那么他们就需要一个防火墙。但今日的风险则更聚焦于数据，为了保证医院的数据被窃走，服务提供商必须围绕不同的数据做一系列的防护。由于数据盗窃的方式在不断变化，企业的数据防护方案也将随着不断迭代，从现有头部企业产品成熟度来看，这一领域已被这些企业筑起一定壁垒。

那么，尽管数据安全的市场很大（单个医院客单价视医院规模而定，在500万-2000万不等），但新企业进入存在一定的难度。相比之下，已在其他行业拥有成熟产品的企业更有入局优势。而这也正是美创科技能够成为信息安全市场领航者的一大原因。