數(shù)據(jù)泄露是醫(yī)療行業(yè)信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)之一。由于這個(gè)行業(yè)保存了大量的敏感信息，比如個(gè)人信息、財(cái)務(wù)信息和健康信息等，一旦泄露，容易引發(fā)嚴(yán)重的后果。因此，無(wú)論是醫(yī)院還是醫(yī)療服務(wù)公司，都在積極尋求預(yù)防性措施，防患于未然。

　　Rally是一家美國(guó)的醫(yī)療服務(wù)公司，旨在簡(jiǎn)化醫(yī)療服務(wù)流程，為公司和員工管理復(fù)雜的福利政策，并幫助改善整體健康狀況。此外，公司開(kāi)發(fā)團(tuán)隊(duì)支持Rally數(shù)字生態(tài)系統(tǒng)內(nèi)的關(guān)鍵服務(wù)，以建立用戶(hù)身份并驗(yàn)證資格。

　　Rally使用云提供商PaaS服務(wù)和IaaS虛擬基礎(chǔ)架構(gòu)（包括Amazon Web和Relational Database Service服務(wù)，以及MongoDB和Scala），這些基礎(chǔ)架構(gòu)涵蓋身份管理、提供商及患者資格，以及最終用戶(hù)和特權(quán)用戶(hù)系統(tǒng)。

　　Rally的軟件安全工程師Nathan Coleman表示：“我們希望對(duì)云基礎(chǔ)架構(gòu)進(jìn)行全面的架構(gòu)風(fēng)險(xiǎn)分析，尤其是身份驗(yàn)證和資格系統(tǒng)。這是我們還未完善的領(lǐng)域，公司亟需精通這方面技術(shù)的人才。新思科技擁有我們所需的專(zhuān)業(yè)技術(shù)知識(shí)，而且能確保與我們面談的專(zhuān)業(yè)人士也會(huì)負(fù)責(zé)接下來(lái)的審查分析。而很多其它供應(yīng)商不能確保這點(diǎn)。這也是我們選擇和新思科技合作的原因之一?！?/p>

　　Rally主要有三個(gè)方面需要安全評(píng)估：

　　其核心身份驗(yàn)證和授權(quán)系統(tǒng)的安全狀態(tài)；

　　安全控制；

　　洞察其運(yùn)行時(shí)環(huán)境的威脅狀況。

　　新思科技軟件質(zhì)量與安全部門(mén)為Rally提供的服務(wù)包括架構(gòu)風(fēng)險(xiǎn)分析（ARA）、配置審查和代碼輔助滲透測(cè)試。

　　配置審查深入評(píng)估Rally云基礎(chǔ)架構(gòu)安全狀況，并審核了其部署的云應(yīng)用程序和安全控制運(yùn)行時(shí)配置，以識(shí)別漏洞，并提供描述配置如何滿(mǎn)足或不滿(mǎn)足安全性目標(biāo)的簡(jiǎn)要報(bào)告。

　　滲透測(cè)試識(shí)別Rally管理的數(shù)據(jù)中哪些是敏感的，并開(kāi)發(fā)應(yīng)用程序，根據(jù)易受攻擊狀況及有可能被利用的方式進(jìn)行分類(lèi)。每個(gè)問(wèn)題都是按照感知風(fēng)險(xiǎn)的順序進(jìn)行測(cè)試，使用手動(dòng)和基于工具的混合方式進(jìn)行運(yùn)行時(shí)和安全代碼分析。

　　Nathan Coleman 指出：“ARA驗(yàn)證了我們對(duì)架構(gòu)的理解，并提供了建議。編碼系統(tǒng)滲透測(cè)試和配置審查為修復(fù)提供了明確的路徑 – 不僅檢測(cè)出配置存在的問(wèn)題，而且指導(dǎo)我們?nèi)绾谓鉀Q問(wèn)題。ARA結(jié)果會(huì)反饋給滲透測(cè)試，誤報(bào)率很低。配置審查可能是直接融入我們工作流程最簡(jiǎn)單的方法?！?/p>

　　他接著說(shuō)：“我們希望進(jìn)行徹底的架構(gòu)風(fēng)險(xiǎn)分析，尤其是身份驗(yàn)證和資格系統(tǒng)?！?/p>

　　他總結(jié)道：“和新思科技合作十分順暢，他們提供了專(zhuān)業(yè)的技術(shù)，分享了豐富的知識(shí)。我們熱切期望參與到安全社區(qū)，并推動(dòng)安全發(fā)展。與新思科技的合作有助于推動(dòng)我們實(shí)現(xiàn)這兩個(gè)目標(biāo)?！?/p>