8.李斌-互联网时代的医疗卫生行业信息安全保障

互联网时代的医疗卫生行业信息安全保障报告人：黄伟庆2014年7月一、安全体系二、重点问题三、趋势展望安全体系1、美国的医疗信息的安全法律体系医疗保险便携性和责任法案（HIPPA-HealthcareInsurancePortabilityandAccountabilityAct）•保证健康保险流通性，降低医疗欺诈行为，保证健康信息的安全及隐私，并强制卫生信息标准。•要求“涵盖实体”实施的具体程序和安全保障，以保护“电子保护的健康信息”（ePHI）安全和隐私。•HIPAA（TitleII）的简化管理（AdministrativeSimplification）条款要求美国卫生和公众服务部（HHS）建立一套国家标准，以面向电子医疗保健信息的处理和面向供应商、健康计划和雇主。关注医疗保健信息的安全和隐私保护。要求HHS针对电子医疗保健信息的安全性建立国家标准。•最终采取HIPAA标准为安全保障标准，于2003年2月20日正式发布。最终规则定义了一套管理、技术和物理安全保障措施，要求机构必须实施，并不断评估，以保证电子医疗信息的机密性。每个保障措施包括标准。这些标准详细描述了所需求的或涉及到的实施规范。这些规定旨在降低成本和医疗保健的管理负担，使医疗保健尽可能标准化，通过电子传输的行政和财务工作减少目前正在执行的手工和纸质工作。安全体系安全体系安全体系安全体系2、国内医疗信息安全体系•2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。•2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。•2011年，信息安全等级保护已列入《三级综合医院评审标准》中信息化规范建设的重要考核依据与指标。•2011年12月份，卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》，要求卫生行业“全面开展信息安全等级保护工作”。安全体系从目前来看，各区域的主管部门均要求医疗机构在其信息系统中尽快落实等级保护的相关措施。譬如，上海市卫生局信息中心和上海市信息安全测评认证中心联合制定了《医疗机构信息系统安全等级保护基本要求》，对各级医疗信息系统的定级和实施进行指导。HIS安全要求物理安全网络安全主机安全应用安全数据安全及备份恢复技术要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理技术模型参考国际标准化组织（ISO）制定的开放系统互联标准（OSI）标准和TCP/IP标准对信息系统技术组成的构造方法，结合HIS系统业务应用分类，给出HIS系统的技术模型。应用系统……Mail服务数据库多媒体平台中间件……主机系统WindowsSolarisAIXHP-UXLinuxTCP/IPIPX/SPXSNMP网络系统场地机房网络布线设备存储设备物理环境Web服务………………行政管理临床业务综合业务安全体系管理模型参考国家标准GB/T19716《信息技术信息安全管理实用规则》和ISO/IEC17799《Informationtechnology：CodeofpracticeforInformationSecurityManagement》管理模型的构造方式，结合HIS系统业务管理特点，将管理模型分为信息安全管理基础（管理机构、管理制度、人员安全）和信息安全管理生命周期管理方法（建设管理、运维管理）。安全体系信息安全管理生命周期建设管理运维管理环境管理恶意代码防范管理资产管理介质管理设备管理密码管理变更管理网络安全管理系统安全管理安全事件处置应急预案管理备份与恢复管理管理机构信息安全管理基础管理制度人员安全系统定级方案设计产品使用自行开发工程实施测试验收系统交付软件外包应用模型上海市医疗机构应用业务系统（依据国家卫生部发布的《医院信息系统基本功能规范》和市卫生局发布的《上海市医院信息系统功能规范》有关要求。）安全体系一、安全体系二、重点问题三、趋势展望隐私保护医疗过程当中，患者疾病和医疗行为的信息会形成关于患者身体特征、健康状况的客观记录。这些记录既包括患者身体特征记录、疾病诊断记录，以及其他与健康有关的情况，还包括这些情况当中蕴含的信息。患者因诊疗服务需要而被医疗机构及医务人员合法获悉，但不愿意他人知悉的个人情况，即患者的隐私，包括患者的姓名、性别、出生日期、家庭住址、联系方式、收入情况，以及所患疾病、既往病史等信息。重点问题1医疗信息隐私保护1)数据匿名化保护患者的隐私和安全，确保在医疗信息系统中以及提供正常医疗服务以外的（例如，医疗保险、医疗机构的某种研究）传递中使用的患者资料不向非授权用户透露患者的身份信息。1998年，Samarati等人首次提出匿名化概念以来，国内外的专家学者对匿名化技术展开了广泛深入的研究。Sweenty等人提出了k-匿名模型（k-anonymity)消除了链接攻击。Machanavajjhala等人在k-匿名基础上提出了l-多样性模型(l-diversity)，解决了同质性攻击（homogeneityattack)威胁与背景知识攻击(back-groundknowledgeattack)威胁。Pcloseness在l-diversity的基础上，考虑了敏感属性的分布问题，要求所有等价类中敏感属性值的分布尽量接近该属性的全局分布，解决了针对敏感属性值的相似性攻击。个性化匿名，不同敏感属性值具有不同的隐私保护需求，对其提供不同粒度的隐私保护，保证安全性的同时，也能减少全局匿名化处理造成的信息损失。重点问题1医疗信息隐私保护2)加密和数字签名创建和管理数据存储的加密密钥，数据库加密，加密数据库表中的数据字段以保护患者档案和医疗信息系统中处于使用状态的关键系统数据。由医疗信息系统的用户创建数字签名，确保临床数据的不可否认性，例如诊疗记录、报告和安全声明等。3)身份认证和访问控制根据角色级别、用户类型及其对医疗信息系统的重要性来选择是否进行身份认证，对不同的用户选择恰当的身份认证手段。访问控制策略要有具体的时间和空间条件限制，保证具有访问权限的用户，只有在指定范围内的时间、空间方位，才有权限访问医疗信息系统。4)网络通信的安全保障医疗信息系统要使用安全设备实时监控网络数据流、侦测并隔离危险的网络行为，自动检测并处理安全事件，降低使用风险，确保医疗业务数据通信的安全性。5)安全审计对每个事务所涉及到的系统、用户、医疗工作人员、患者、医疗信息数据的行为进行记录，帮助安全人员审计系统的可靠性和安全性。重点问题1•匿名化典型的数据发布中，数据表中每一行记录对应一个人，包含多个属性值。这些属性可以分为三类：1)显示标识符（explicitidentifier,EI)。能唯一标识单一个体的属性，如身份证号码、姓名、电话等。2)准标识符（quasi-identifiers,QI)。联合起来能唯一标识个人的多个属性，如生日、性别、住址联合起来则可能是准标识符。3)敏感属性（sensitiveattribute,SA)。包含隐私信息的属性，如健康状况、疾病、收入等。信息泄露方式有两种，身份泄露和属性泄露。身份泄露，指具体的某个人可以唯一地对应到匿名表中的一条记录；属性泄露，指关于一些个体的非敏感信息被泄露。当一个身份泄露发生时，伴随的敏感属性同时被暴露。属性泄露可以伴随或不伴随身份泄露而发生，属性泄露是普遍存在的。重点问题1•数据库加密存储XML数据库的加密R.c.Jammalamadaka等针对xML树形结构的特点提出加密基元的思想。这种方法将XML文本中需要加密的部分内容转换为三种加密基元:Ev、Et、Es，其中Ev用来加密XML节点的数值，Et用来加密XML标签，而Es用来加密XML节点间的结构关系，在采用Es加密XML节点间的关系时，原来的XML树结构会拆分为两个XML子树，而利用Es记录两棵子树的连接信息，并对连接信息内容进行加密。这种加密基元的方法灵活地控制了加密粒度，也可以制定更为复杂的XML数据库安全策略。重点问题1跨域流转重点问题3•身份认证与访问控制管理层安全管理系统安全服务层统一认证服务目录服务证书服务访问控制服务安全审计服务应用服务层业务系统1业务系统2业务系统3数据调度层安全代理网关用户展现层主机安全登录系统智能客户终端安全认证体系运行维护体系安全管理平台架构重点问题2云计算带来的问题1）虚拟化技术及产品自身安全隐患与漏洞问题（隐通道、虚拟机逃逸、超级权限）2）安全防护技术及产品不适应问题（身份鉴别、访问控制、安全监控与审计等，传统平台下的安全技术和产品不适应云计算的环境和安全威胁）3）敏感数据安全保密风险集中问题（数据保密性、完整性和可用性要求更高）4）安全保密管理权限过度集中问题（网络管理职责权限如何明确划分）重点问题4一、安全体系二、学术问题三、趋势展望思考John[Engineer]Dancy[Finance]Linda[Marketing]ClientsEXEIPSAVASURLFilteringMalicioussoftwareWebWormsInternetVVVWebWormsNGIPS多VSYS的APT防御体系安全事件脆弱性事件资产信息性能数据故障事件智能监测Agent智能监测Agent智能监测Agent智能监测Agent智能监测Agent数据采集持续计算日志队列（原始数据）BoltBoltBoltBoltBoltBoltBoltBolt数据过滤数据转化NoSQL数据库攻击关注热点转化率统计攻击持续时间分布式计算关联分析相关系数相似性因果关系推荐算法协同过滤SlopeOneSVD矩阵分解聚类算法K-Means模糊聚类层次聚类分布式数据仓库内容信息元数据操作信息攻击行为数据业务数据自然语言中文分词特征值提取潜在语义网分类算法支持向量机朴素贝叶斯极限学习机统计模型预测模型分类模型关联网络大数据管理原始日志智能监测Agent元数据管理日志管理流程管理安全管理部署管理热度排名个性化推荐实时推荐0Day推荐关联推荐语义推荐全局安全分析中心——（GlobalSecurityAnalysisCenter，GSAC）构建可信架构NGIPS云安全分析系统数据转发高速数据转发通路全球信誉组织内部信誉组织内部信誉分布式数据存储实时流数据批量数据安全数据统计分析安全数据挖掘分布式计算框架信誉服务DoS防护应用控制信誉计算数据整合漏洞防护安全防护威胁分析系统活动监控虚拟执行作业环境行为分析环境感知信誉整合智能策略管理策略管理安全沙箱完善的安全服务体系PC/Server沙箱Mobile沙箱Web沙箱内存利用分析代码异常检测信誉查询行为分析行为分析ThankYou!