劉宇航

【摘要】? ? 隨著信息技術(shù)的不斷發(fā)展，信息安全問題日益突出，將對醫(yī)療行業(yè)產(chǎn)生較大影響。本文在分析醫(yī)院信息安全風險的基礎上，將風險訪問控制技術(shù)引入其中，深入研究了醫(yī)院信息安全保護路徑，有效避免了醫(yī)院信息安全問題的發(fā)生。

【關(guān)鍵詞】? ? 風險訪問? ? 訪問控制? ? 醫(yī)院? ? 信息安全

引言：

醫(yī)院信息數(shù)據(jù)與人們?nèi)粘Ｉ钕⑾⑾嚓P(guān)，它涉及人們生老病死全過程，因此醫(yī)院信息安全尤為重要。近年來，隨著隱私數(shù)據(jù)保護關(guān)注度的日益提高，醫(yī)院信息安全問題逐漸得到暴露，例如醫(yī)保信息被作為有價信息進行銷售，醫(yī)院局域網(wǎng)安全防護級別較低、醫(yī)院醫(yī)療數(shù)據(jù)傳輸泄露等。本文將風險訪問控制技術(shù)引入醫(yī)院信息安全研究中，通過對醫(yī)院信息不同環(huán)節(jié)風險分析，擬定對應的風險訪問控制路徑，為提高醫(yī)院信息安全防護奠定基礎。

一、訪問控制

1.1訪問控制的定義及類型

隨著科學技術(shù)的不斷發(fā)展，訪問控制技術(shù)已經(jīng)發(fā)展成為數(shù)據(jù)信息安全保障領域的重要技術(shù)之一，其應用領域也在逐步得到推廣。顧名思義，訪問控制是指系統(tǒng)管理人員以用戶身份特征為主要參數(shù)，設定該用戶對系統(tǒng)資源的使用范圍，當用戶登錄系統(tǒng)后，系統(tǒng)自動識別用戶身份特征，并展示用戶權(quán)限范圍內(nèi)的數(shù)據(jù)資源。常見的訪問控制類型有自主訪問控制、強制訪問控制、基于角色的訪問控制。

1.2訪問控制過程的要素構(gòu)成

訪問控制過程是一個相對復雜的過程控制，它主要涵蓋了訪問的客體、主體、控制策略、授權(quán)以及操作等。訪問主體代表的是資源的使用方，也可以理解為是資源訪問的申請方，它可以是具體的用戶個體，也可以是系統(tǒng)運行的單個進程;訪問客體代表的是資源方，也就是訪問主體申請訪問的對象，它可以是一個數(shù)據(jù)資源庫，也可以是設備使用記錄等;訪問控制策略是一個對主體訪問的控制約束，其約束了訪問主體的操作范圍和訪問方式;訪問授權(quán)指的是系統(tǒng)管理者對訪問主體設定的訪問權(quán)限，也可以理解為系統(tǒng)內(nèi)資源、設備等的使用權(quán)限;訪問操作指的是訪問主體在系統(tǒng)授權(quán)范圍內(nèi)所進行的各種操作。

1.3常見訪問控制模型

1.3.1自主訪問控制模型

自主訪問控制模型是一種簡便、易操作的訪問控制模型。這個模型的突出特點是自主性，系統(tǒng)所有者無需對訪問申請者做過多分析，只是根據(jù)自身需求或者系統(tǒng)需求來設定訪問申請者的權(quán)限。也就是說，系統(tǒng)所有者掌握了資源分配授權(quán)的絕對權(quán)力。

1.3.2強制訪問控制模型

強制訪問控制模型是一種適用范圍相對較小的訪問控制模型，一般情況下，它常常被應用于保密等級相對較高的資源系統(tǒng)當中。該模型在應用過程中，資源訪問權(quán)限是由授權(quán)機構(gòu)控制的，該授權(quán)機構(gòu)決定了每位資源訪問者的資源使用范圍，未達到一定級別的管理者是無權(quán)修改授權(quán)范圍。

1.3.3基于角色的訪問控制模型

基于角色的訪問控制模型是一種分類訪問控制模型，也就是說在授權(quán)之初，會將每位資源訪問者的基本情況進行梳理，根據(jù)訪問者工作類型、分屬部門、專業(yè)領域等的不同進行分類，然后對不同類別訪問者進行集中授權(quán)。與一一授權(quán)相比，集中授權(quán)極大地降低了訪問授權(quán)的工作量，提高了訪問控制的工作效率，同時可以有效建立不同角色間的聯(lián)系。

二、醫(yī)院信息安全風險分析

醫(yī)院存儲著大量復雜多樣的數(shù)據(jù)信息，包括患者基本信息、病例檔案、病情診斷信息、儀器檢查信息、費用憑證信息、各類透視影像等。在這些數(shù)據(jù)的采集、保存、應用和銷毀等階段，數(shù)據(jù)的使用者較多，醫(yī)療數(shù)據(jù)信息存在較大安全風險。為了提高醫(yī)院信息數(shù)據(jù)安全風險識別，降低醫(yī)院信息泄露風險，本文重點從技術(shù)方面對醫(yī)院信息安全風險進行分析。醫(yī)院信息技術(shù)安全風險可以從醫(yī)院信息數(shù)據(jù)生命周期角度來判定，通常來講，醫(yī)院信息技術(shù)安全風險主要包括信息獲取與傳輸環(huán)節(jié)泄露風險、信息備份與保存環(huán)節(jié)泄露風險和信息銷毀環(huán)節(jié)泄露風險四種。

2.1信息獲取與傳輸環(huán)節(jié)泄露風險

醫(yī)療信息采集是醫(yī)院信息的重要環(huán)節(jié)，采集過程需要得到患者或者患者家屬的統(tǒng)一，如果私自采集患者醫(yī)療信息，則會存在較大的安全風險，一旦所采集的數(shù)據(jù)信息被第三方不法機構(gòu)掌握，將會帶來較大的隱私數(shù)據(jù)泄露風險。許可采集的數(shù)據(jù)信息在傳輸過程中可能存在數(shù)據(jù)遺失、盜取情況，這會造成患者數(shù)據(jù)信息出現(xiàn)泄露。醫(yī)院信息主要包括以下幾類：一是醫(yī)院、藥店、門診存儲的患者就醫(yī)、用藥、住院等數(shù)據(jù);二是體檢中心、基層醫(yī)療機構(gòu)存儲的用戶健康檔案、康復醫(yī)療數(shù)據(jù)等;三是社保中心、物流中心、支付機構(gòu)等存儲的醫(yī)藥采購、藥品研發(fā)等數(shù)據(jù)。

2.2信息備份與保存環(huán)節(jié)泄露風險

信息數(shù)據(jù)備份與保存主要目的是防治信息數(shù)據(jù)的丟失和方便信息數(shù)據(jù)的使用，通常來講，人們會通過安全防護軟件系統(tǒng)對備份或者存儲的信息數(shù)據(jù)進行保護，然而隨著黑客技術(shù)的快速發(fā)展，各種木馬、盜竊軟件程序?qū)映霾桓F，黑客在利益的驅(qū)使下，會對目標對象進行各種攻擊，造成醫(yī)院備份與存儲信息數(shù)據(jù)的泄露。隨著醫(yī)院信息存儲與備份數(shù)量的增多，存儲或備份介質(zhì)安全性受到廣泛關(guān)注，存儲或備份介質(zhì)一旦初選損壞、遺失等，將為醫(yī)院信息造成巨大損失。

2.3信息銷毀環(huán)節(jié)泄露風險

醫(yī)院信息數(shù)據(jù)銷毀方式有很多中，通常采用的是刪除或者數(shù)據(jù)覆蓋。這種數(shù)據(jù)銷毀方式雖然能夠起到邏輯上銷毀信息數(shù)據(jù)的目的，但是在操作過程中可能會存在刪除或者覆蓋后殘留，當出現(xiàn)這類情況時，通過數(shù)據(jù)還原技術(shù)還能夠恢復已銷毀的數(shù)據(jù)，這就導致在醫(yī)院服務器維護或者硬件更換過程中，可能存在醫(yī)院醫(yī)療數(shù)據(jù)泄露風險。

三、基于風險訪問控制的醫(yī)院信息安全保護

3.1基于風險訪問控制的醫(yī)院信息安全保護模型

為了提高醫(yī)院信息安全保護力度，應當合理建立醫(yī)院信息安全保護模型，在滿足各類用戶需求的前提下，切實做好醫(yī)院信息安全的保護工作?；陲L險訪問控制的醫(yī)院信息安全保護模型應當由授權(quán)申請模塊、風險評估模塊和資源分類模塊構(gòu)成。

授權(quán)申請模塊面向的對象是訪問主體，系統(tǒng)管理人員利用該模塊向訪問主體授予資源訪問權(quán)限，確定不同用戶資源使用權(quán)限。通常來講，系統(tǒng)管理人員會對用戶的基本特征信息進行詳細分析，依據(jù)授權(quán)申請相關(guān)規(guī)則對用戶進行授權(quán);風險評估模塊是一個預警模塊，該模塊會根據(jù)系統(tǒng)運行情況定期對系統(tǒng)內(nèi)各環(huán)節(jié)進行風險評估，對可能存在的存儲介質(zhì)損壞、信息管理漏洞、用戶違規(guī)登錄等問題進行預警提示。該模塊還會定期對用戶使用權(quán)限進行核查和風險評估，判定用戶實際使用與授權(quán)是否相符;資源分類模塊是醫(yī)院信息安全保護模型的基礎，該模塊的主要作用是對醫(yī)院所有信息進行有效分類，例如可以按照診斷科室、診療結(jié)果、用藥情況、患者特征等，在整個分類過程中會自動篩選出涉及敏感隱私信息數(shù)據(jù)，并設定優(yōu)先級別。

3.2基于風險訪問控制的醫(yī)院信息安全保護路徑

3.2.1注重信息獲取和傳輸保護

在開展醫(yī)院信息安全研究時，首先應當考慮的是信息獲取和傳輸?shù)陌踩?。信息采集和傳輸是醫(yī)院系統(tǒng)信息數(shù)據(jù)傳輸?shù)幕静僮?，一旦這一環(huán)節(jié)出現(xiàn)信息泄露問題，勢必會造成更為嚴重的后果。

通過建立風險防控模型，可以有效地避免患者信息采集可能出現(xiàn)的信息泄露問題。該模型向不同級別信息獲取者分配不用的信息訪問權(quán)限，也就是說不是每位信息獲取者都可以訪問患者所有醫(yī)療信息，而是在自己已分配的權(quán)限范圍內(nèi)完成信息的獲取工作，它為醫(yī)院醫(yī)療信息建立了一道安全保護屏障。需要注意的是，在該風險防控模型建立時，應當提前對醫(yī)院信息獲取人們進行角色分類，根據(jù)工作需要擬定權(quán)限范圍。同時，要對患者醫(yī)療信息數(shù)據(jù)進行分類存儲，可以按照診斷科室來劃分，也可以按照疾病治療時序來劃分，這樣方便系統(tǒng)對患者信息進行風險隱患評估，明確需要重點保護的信息數(shù)據(jù)。

風險防控模型的建立可以很好保障醫(yī)療信息數(shù)據(jù)傳輸?shù)陌踩Ｐ枰⒁獾氖?，在訪問權(quán)限分配中，一是要將網(wǎng)絡管控與維護者權(quán)限與信息獲取者進行區(qū)分，同時訪問級別應當被設置為較高級別，也就是說，在醫(yī)院網(wǎng)絡管控與維護方面，該管理者擁有較高權(quán)限，可以定期開展網(wǎng)絡風險評估、實時檢查網(wǎng)絡運行情況，并能夠?qū)ν话l(fā)問題進行及時處置。

3.2.2注重信息存儲保護

在醫(yī)院信息安全保護中，信息存儲是一個重要環(huán)節(jié)。信息存儲安全主要包括兩個方面，一是信息在存儲介質(zhì)中不會遭受外部攻擊而導致信息泄露，二是用于保存信息數(shù)據(jù)的存儲介質(zhì)不會遭到物理破壞或者丟失。

在醫(yī)院信息安全保護模型風險評估模塊設計時，應當將存儲介質(zhì)的風險評估等級設置為最高級，提高存儲介質(zhì)風險排查點位數(shù)和風險排查頻次，這樣才能及時發(fā)現(xiàn)存儲介質(zhì)可能存在的漏洞或者薄弱環(huán)節(jié)，防止存儲介質(zhì)受到外部惡意攻擊。同時，在風險評估參數(shù)設定方面，還應當考慮存儲介質(zhì)的物理狀態(tài)，也就是說存儲介質(zhì)是否存在物理缺陷等，當這些參數(shù)發(fā)生變化時，風險評估模塊能夠快速鎖定存儲介質(zhì)損壞位置。

3.2.3注重銷毀信息風險評估

信息銷毀過程是信息泄露的薄弱環(huán)節(jié)，應當引起高度重視。信息銷毀是在風險評估模塊和資源分類模塊共同作用下進行的，因此需要協(xié)調(diào)資源分類和風險評估的應用節(jié)奏。在信息銷毀環(huán)節(jié)，資源分類模塊發(fā)揮的作用是明確信息數(shù)據(jù)的隱私保護差異，也就是說，哪些信息數(shù)據(jù)保密性更高，哪些信息數(shù)據(jù)保密性一般，這樣方便風險評估模塊對所有信息數(shù)據(jù)的辨識和風險評估。

需要注意的是，在對保密性更高的信息數(shù)據(jù)進行風險評估時，要對信息數(shù)據(jù)刪除或者覆蓋后殘留參數(shù)進行設定，同時還要注重評估后的結(jié)果和銷毀建議，這一點很重要，能夠促使醫(yī)院關(guān)注這類信息數(shù)據(jù)的銷毀方式，提高信息數(shù)據(jù)的安全性。

四、結(jié)束語

醫(yī)院信息安全問題是醫(yī)療行業(yè)發(fā)展必須面對的重要問題，一旦出現(xiàn)信息數(shù)據(jù)泄露，造成的經(jīng)濟社會影響將是無法估量的。風險訪問控制技術(shù)可以有效地解決醫(yī)院信息安全保護問題，通過不同功能模塊的設定，避免了信息采集、傳輸、存儲、銷毀等環(huán)節(jié)可能出現(xiàn)的信息泄露問題，極大地提升了醫(yī)院信息安全保護水平。

參? 考? 文? 獻

[1]盧寧.基于信任和風險自適應的醫(yī)療大數(shù)據(jù)訪問控制模型研究[D].云南，昆明：云南財經(jīng)大學. 2019，25-27.

[2]王曉妮，段群.基于云計算的數(shù)據(jù)安全風險及防御策略研究[J].計算機測量與控制，2019，27（5）： 199-202.

[3]廖伊婕，張靜，李平慧等.醫(yī)療大數(shù)據(jù)安全風險分析及隱私保護設想[J].中國衛(wèi)生信息管理，2020，17（05）：656-660.

[4]王換換，吳響，王輝.區(qū)域健康醫(yī)療數(shù)據(jù)共享及隱私保護策略研究[J].科技創(chuàng)新與應用， 2017， 14 （31）： 181-182.