医疗资讯ch2-k.pptVIP

* * * * * * * * * * * * * * * * 醫療資訊安全 作者：劉　立 郭士民 　 安全管理的定義 完善的資訊安全管理，應綜合考量各項資訊資產之重要性及價值，以及因人為疏失、蓄意或自然災害等風險，導致資訊資產遭不當使用、洩漏、竄改、破壞等情事，採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 狹義來說，利用密碼學與安全協定以保護機密或敏感資料，防制未授權的揭露；廣義來說，必須兼顧人員、程序、資料、硬體、軟體、實體環境等管理議題，確保資料及系統資源的機密性、整體性、可取用性、安全管理及安全政策。 安全考量 安全管理所應注意的考量點包括：安全標準尚未成熟、先天性安全漏洞、竊聽、連線巧取、連線劫奪、作業系統漏洞、密碼盜用、特洛依木馬、隱密通道、身分識別。 安全管理必須從網路架構、電腦軟體、電腦硬體、安全級別及安全標籤、防火牆、資料加密、安全教育等方向，以安全性策略、帳戶辨識記錄能力、可靠度、說明文件等考量，建立安全的環境。 安全目標 一、機密性 機密性主要的對象是資料，在醫學上，機密性的目標除了一般祕密性與隱私性的要求外，有著更強烈的要求。由於醫療記錄的擁有者是病患，但其產生者卻是醫師，而非病患本人，使機密性的要求又多了一層困難 。 二、整體性 整體性要求資料只能以可接受的方式更改、只能被已授權的人員處理或更改、相關資料間必須保持一致性以及有意義的正確結果。由於醫學資料豐富性及完整性的要求，擁有影像及文字等不同型態的媒體格式，也常結合於同類別的醫學資料，因此整體性的考量在醫學上就更加重要。 三、可取用性 醫學資訊乃是攸關生命的資訊，可取用性的要求自不待言，醫師看診的立即性以及服務身心靈受創患者的急迫性，資料與系統必須能夠及時回應、公平配置，並且具有容錯的能力，因此可取用性的要求更是一般系統所無法比擬。 安全目標的考慮首重實體安全，一旦實體安全得以確保，資料的安全便獲得保障。安全目標必須從四個方向來考慮： 1.實體安全：門禁管制、消防設備、媒體出入管制、資訊線路之管制及災害應變計畫、設備定期維護。 2.資料安全：檔案備份、檔案保管人與維護人清單、訂定擷取檔案資料權責、檔案機密等級分類、研討檔案遭損壞之風險接受程度、資料的加密及解密。 3.程式安全：一切已正式啟用的程式、模組的變更管理、問題管理、個人電腦硬式磁碟使用管理、網路監控管理、線上傳輸異動代號管理、終端機使用權責管理、特定人員之專用線路及路線接頭控制、密碼的規則與變更期限都包括在內。 4.系統安全：網路作業系統為整個作業環境的中樞，若系統遭人蓄意破壞，將無法產生有用的資訊，因此事先必須詳細規劃並設定好網路使用者所能使用的資源及帳號和密碼，之後時常監控網路環境的變化。 安全評量 橘皮書是目前頗具權威的電腦系統安全標準之一，將具安全性能的系統稱作「受信任系統」而非「安全系統」。所謂「受信任系統」乃是指「一個由硬體及軟體所組成的完整系統，在不違反存取權限的情況下，能同時服務不定個數的用戶，並處理從一般機密至最高機密等不同範圍的資訊」。 橘皮書將一個電腦系統依安全條件、基準等規則之信任程度予以分級，依其安全性由高而低劃分為A、B、C、D四個大等級，較高等級的安全範圍涵蓋較低等級，而每個大等級又以安全性高低依次編號，細分成數個小等級 此處所謂的安全範圍指的是滿足一安全等級需具備的所有評量基準所構成的集合，橘皮書的評量基準分成四大類： 安全性策略：即保護系統規則的敘述 帳戶辨識記錄能力：指系統辨視使用者及記錄與安全性相關活動的能力 可靠度：指系統的安全程度是否可用公式或文字證明、有足夠的文件描述、有明確的發展及建構方案、可經過嚴正的安全測試、有完整的維護方案等 說明文件：指與系統之安全性相關的所有文件 密碼學 因為電腦網路是個開放的環境，在網路上流通的資訊都可能遭他人竊取。既然無法防止他人竊取，唯一的方法就是利用密碼學的概念先將資料加密，再於網路上傳送，等傳到目的地後再加以解密。 密碼學技術主要透過明文之混淆及擴散兩種方式而成為密文，其所謂之安全並非不可由密文回復成為明文，而是根據計算論的NP-complete，計算複雜度上不可行。密碼系統破密複雜度可以分為四類：資料複雜度、計算複雜度、記憶體複雜度及成本效益考量。 密碼系統被破解之程度可以分為完全破解、全域推論、局部推論及資訊推論。完全破解乃是獲得加解密之金鑰對或計算出另一金鑰對；而全域推論就是找到另一個替代的密碼演算法而可以得到原先演算法所產生的任何相同結果；局部推論係指由某一個密文去推導出所對應的明文；