劉宇航

【摘要】? ? 隨著信息技術的不斷發(fā)展，信息安全問題日益突出，將對醫(yī)療行業(yè)產生較大影響。本文在分析醫(yī)院信息安全風險的基礎上，將風險訪問控制技術引入其中，深入研究了醫(yī)院信息安全保護路徑，有效避免了醫(yī)院信息安全問題的發(fā)生。

【關鍵詞】? ? 風險訪問? ? 訪問控制? ? 醫(yī)院? ? 信息安全

引言：

醫(yī)院信息數據與人們日常生活息息相關，它涉及人們生老病死全過程，因此醫(yī)院信息安全尤為重要。近年來，隨著隱私數據保護關注度的日益提高，醫(yī)院信息安全問題逐漸得到暴露，例如醫(yī)保信息被作為有價信息進行銷售，醫(yī)院局域網安全防護級別較低、醫(yī)院醫(yī)療數據傳輸泄露等。本文將風險訪問控制技術引入醫(yī)院信息安全研究中，通過對醫(yī)院信息不同環(huán)節(jié)風險分析，擬定對應的風險訪問控制路徑，為提高醫(yī)院信息安全防護奠定基礎。

一、訪問控制

1.1訪問控制的定義及類型

隨著科學技術的不斷發(fā)展，訪問控制技術已經發(fā)展成為數據信息安全保障領域的重要技術之一，其應用領域也在逐步得到推廣。顧名思義，訪問控制是指系統管理人員以用戶身份特征為主要參數，設定該用戶對系統資源的使用范圍，當用戶登錄系統后，系統自動識別用戶身份特征，并展示用戶權限范圍內的數據資源。常見的訪問控制類型有自主訪問控制、強制訪問控制、基于角色的訪問控制。

1.2訪問控制過程的要素構成

訪問控制過程是一個相對復雜的過程控制，它主要涵蓋了訪問的客體、主體、控制策略、授權以及操作等。訪問主體代表的是資源的使用方，也可以理解為是資源訪問的申請方，它可以是具體的用戶個體，也可以是系統運行的單個進程;訪問客體代表的是資源方，也就是訪問主體申請訪問的對象，它可以是一個數據資源庫，也可以是設備使用記錄等;訪問控制策略是一個對主體訪問的控制約束，其約束了訪問主體的操作范圍和訪問方式;訪問授權指的是系統管理者對訪問主體設定的訪問權限，也可以理解為系統內資源、設備等的使用權限;訪問操作指的是訪問主體在系統授權范圍內所進行的各種操作。

1.3常見訪問控制模型

1.3.1自主訪問控制模型

自主訪問控制模型是一種簡便、易操作的訪問控制模型。這個模型的突出特點是自主性，系統所有者無需對訪問申請者做過多分析，只是根據自身需求或者系統需求來設定訪問申請者的權限。也就是說，系統所有者掌握了資源分配授權的絕對權力。

1.3.2強制訪問控制模型

強制訪問控制模型是一種適用范圍相對較小的訪問控制模型，一般情況下，它常常被應用于保密等級相對較高的資源系統當中。該模型在應用過程中，資源訪問權限是由授權機構控制的，該授權機構決定了每位資源訪問者的資源使用范圍，未達到一定級別的管理者是無權修改授權范圍。

1.3.3基于角色的訪問控制模型

基于角色的訪問控制模型是一種分類訪問控制模型，也就是說在授權之初，會將每位資源訪問者的基本情況進行梳理，根據訪問者工作類型、分屬部門、專業(yè)領域等的不同進行分類，然后對不同類別訪問者進行集中授權。與一一授權相比，集中授權極大地降低了訪問授權的工作量，提高了訪問控制的工作效率，同時可以有效建立不同角色間的聯系。

二、醫(yī)院信息安全風險分析

醫(yī)院存儲著大量復雜多樣的數據信息，包括患者基本信息、病例檔案、病情診斷信息、儀器檢查信息、費用憑證信息、各類透視影像等。在這些數據的采集、保存、應用和銷毀等階段，數據的使用者較多，醫(yī)療數據信息存在較大安全風險。為了提高醫(yī)院信息數據安全風險識別，降低醫(yī)院信息泄露風險，本文重點從技術方面對醫(yī)院信息安全風險進行分析。醫(yī)院信息技術安全風險可以從醫(yī)院信息數據生命周期角度來判定，通常來講，醫(yī)院信息技術安全風險主要包括信息獲取與傳輸環(huán)節(jié)泄露風險、信息備份與保存環(huán)節(jié)泄露風險和信息銷毀環(huán)節(jié)泄露風險四種。

2.1信息獲取與傳輸環(huán)節(jié)泄露風險

醫(yī)療信息采集是醫(yī)院信息的重要環(huán)節(jié)，采集過程需要得到患者或者患者家屬的統一，如果私自采集患者醫(yī)療信息，則會存在較大的安全風險，一旦所采集的數據信息被第三方不法機構掌握，將會帶來較大的隱私數據泄露風險。許可采集的數據信息在傳輸過程中可能存在數據遺失、盜取情況，這會造成患者數據信息出現泄露。醫(yī)院信息主要包括以下幾類：一是醫(yī)院、藥店、門診存儲的患者就醫(yī)、用藥、住院等數據;二是體檢中心、基層醫(yī)療機構存儲的用戶健康檔案、康復醫(yī)療數據等;三是社保中心、物流中心、支付機構等存儲的醫(yī)藥采購、藥品研發(fā)等數據。

2.2信息備份與保存環(huán)節(jié)泄露風險

信息數據備份與保存主要目的是防治信息數據的丟失和方便信息數據的使用，通常來講，人們會通過安全防護軟件系統對備份或者存儲的信息數據進行保護，然而隨著黑客技術的快速發(fā)展，各種木馬、盜竊軟件程序層出不窮，黑客在利益的驅使下，會對目標對象進行各種攻擊，造成醫(yī)院備份與存儲信息數據的泄露。隨著醫(yī)院信息存儲與備份數量的增多，存儲或備份介質安全性受到廣泛關注，存儲或備份介質一旦初選損壞、遺失等，將為醫(yī)院信息造成巨大損失。

2.3信息銷毀環(huán)節(jié)泄露風險

醫(yī)院信息數據銷毀方式有很多中，通常采用的是刪除或者數據覆蓋。這種數據銷毀方式雖然能夠起到邏輯上銷毀信息數據的目的，但是在操作過程中可能會存在刪除或者覆蓋后殘留，當出現這類情況時，通過數據還原技術還能夠恢復已銷毀的數據，這就導致在醫(yī)院服務器維護或者硬件更換過程中，可能存在醫(yī)院醫(yī)療數據泄露風險。

三、基于風險訪問控制的醫(yī)院信息安全保護

3.1基于風險訪問控制的醫(yī)院信息安全保護模型

為了提高醫(yī)院信息安全保護力度，應當合理建立醫(yī)院信息安全保護模型，在滿足各類用戶需求的前提下，切實做好醫(yī)院信息安全的保護工作?；陲L險訪問控制的醫(yī)院信息安全保護模型應當由授權申請模塊、風險評估模塊和資源分類模塊構成。

授權申請模塊面向的對象是訪問主體，系統管理人員利用該模塊向訪問主體授予資源訪問權限，確定不同用戶資源使用權限。通常來講，系統管理人員會對用戶的基本特征信息進行詳細分析，依據授權申請相關規(guī)則對用戶進行授權;風險評估模塊是一個預警模塊，該模塊會根據系統運行情況定期對系統內各環(huán)節(jié)進行風險評估，對可能存在的存儲介質損壞、信息管理漏洞、用戶違規(guī)登錄等問題進行預警提示。該模塊還會定期對用戶使用權限進行核查和風險評估，判定用戶實際使用與授權是否相符;資源分類模塊是醫(yī)院信息安全保護模型的基礎，該模塊的主要作用是對醫(yī)院所有信息進行有效分類，例如可以按照診斷科室、診療結果、用藥情況、患者特征等，在整個分類過程中會自動篩選出涉及敏感隱私信息數據，并設定優(yōu)先級別。

3.2基于風險訪問控制的醫(yī)院信息安全保護路徑

3.2.1注重信息獲取和傳輸保護

在開展醫(yī)院信息安全研究時，首先應當考慮的是信息獲取和傳輸的安全。信息采集和傳輸是醫(yī)院系統信息數據傳輸的基本操作，一旦這一環(huán)節(jié)出現信息泄露問題，勢必會造成更為嚴重的后果。

通過建立風險防控模型，可以有效地避免患者信息采集可能出現的信息泄露問題。該模型向不同級別信息獲取者分配不用的信息訪問權限，也就是說不是每位信息獲取者都可以訪問患者所有醫(yī)療信息，而是在自己已分配的權限范圍內完成信息的獲取工作，它為醫(yī)院醫(yī)療信息建立了一道安全保護屏障。需要注意的是，在該風險防控模型建立時，應當提前對醫(yī)院信息獲取人們進行角色分類，根據工作需要擬定權限范圍。同時，要對患者醫(yī)療信息數據進行分類存儲，可以按照診斷科室來劃分，也可以按照疾病治療時序來劃分，這樣方便系統對患者信息進行風險隱患評估，明確需要重點保護的信息數據。

風險防控模型的建立可以很好保障醫(yī)療信息數據傳輸的安全。需要注意的是，在訪問權限分配中，一是要將網絡管控與維護者權限與信息獲取者進行區(qū)分，同時訪問級別應當被設置為較高級別，也就是說，在醫(yī)院網絡管控與維護方面，該管理者擁有較高權限，可以定期開展網絡風險評估、實時檢查網絡運行情況，并能夠對突發(fā)問題進行及時處置。

3.2.2注重信息存儲保護

在醫(yī)院信息安全保護中，信息存儲是一個重要環(huán)節(jié)。信息存儲安全主要包括兩個方面，一是信息在存儲介質中不會遭受外部攻擊而導致信息泄露，二是用于保存信息數據的存儲介質不會遭到物理破壞或者丟失。

在醫(yī)院信息安全保護模型風險評估模塊設計時，應當將存儲介質的風險評估等級設置為最高級，提高存儲介質風險排查點位數和風險排查頻次，這樣才能及時發(fā)現存儲介質可能存在的漏洞或者薄弱環(huán)節(jié)，防止存儲介質受到外部惡意攻擊。同時，在風險評估參數設定方面，還應當考慮存儲介質的物理狀態(tài)，也就是說存儲介質是否存在物理缺陷等，當這些參數發(fā)生變化時，風險評估模塊能夠快速鎖定存儲介質損壞位置。

3.2.3注重銷毀信息風險評估

信息銷毀過程是信息泄露的薄弱環(huán)節(jié)，應當引起高度重視。信息銷毀是在風險評估模塊和資源分類模塊共同作用下進行的，因此需要協調資源分類和風險評估的應用節(jié)奏。在信息銷毀環(huán)節(jié)，資源分類模塊發(fā)揮的作用是明確信息數據的隱私保護差異，也就是說，哪些信息數據保密性更高，哪些信息數據保密性一般，這樣方便風險評估模塊對所有信息數據的辨識和風險評估。

需要注意的是，在對保密性更高的信息數據進行風險評估時，要對信息數據刪除或者覆蓋后殘留參數進行設定，同時還要注重評估后的結果和銷毀建議，這一點很重要，能夠促使醫(yī)院關注這類信息數據的銷毀方式，提高信息數據的安全性。

四、結束語

醫(yī)院信息安全問題是醫(yī)療行業(yè)發(fā)展必須面對的重要問題，一旦出現信息數據泄露，造成的經濟社會影響將是無法估量的。風險訪問控制技術可以有效地解決醫(yī)院信息安全保護問題，通過不同功能模塊的設定，避免了信息采集、傳輸、存儲、銷毀等環(huán)節(jié)可能出現的信息泄露問題，極大地提升了醫(yī)院信息安全保護水平。

參? 考? 文? 獻

[1]盧寧.基于信任和風險自適應的醫(yī)療大數據訪問控制模型研究[D].云南，昆明：云南財經大學. 2019，25-27.

[2]王曉妮，段群.基于云計算的數據安全風險及防御策略研究[J].計算機測量與控制，2019，27（5）： 199-202.

[3]廖伊婕，張靜，李平慧等.醫(yī)療大數據安全風險分析及隱私保護設想[J].中國衛(wèi)生信息管理，2020，17（05）：656-660.

[4]王換換，吳響，王輝.區(qū)域健康醫(yī)療數據共享及隱私保護策略研究[J].科技創(chuàng)新與應用， 2017， 14 （31）： 181-182.