基于风险访问控制的医院信息安全研究.docxVIP

?

?

基于风险访问控制的医院信息安全研究

?

?

刘宇航

【摘要】??随着信息技术的不断发展，信息安全问题日益突出，将对医疗行业产生较大影响。本文在分析医院信息安全风险的基础上，将风险访问控制技术引入其中，深入研究了医院信息安全保护路径，有效避免了医院信息安全问题的发生。

【关键词】??风险访问??访问控制??医院??信息安全

引言：

医院信息数据与人们日常生活息息相关，它涉及人们生老病死全过程，因此医院信息安全尤为重要。近年来，随着隐私数据保护关注度的日益提高，医院信息安全问题逐渐得到暴露，例如医保信息被作为有价信息进行销售，医院局域网安全防护级别较低、医院医疗数据传输泄露等。本文将风险访问控制技术引入医院信息安全研究中，通过对医院信息不同环节风险分析，拟定对应的风险访问控制路径，为提高医院信息安全防护奠定基础。

一、访问控制

1.1访问控制的定义及类型

随着科学技术的不断发展，访问控制技术已经发展成为数据信息安全保障领域的重要技术之一，其应用领域也在逐步得到推廣。顾名思义，访问控制是指系统管理人员以用户身份特征为主要参数，设定该用户对系统资源的使用范围，当用户登录系统后，系统自动识别用户身份特征，并展示用户权限范围内的数据资源。常见的访问控制类型有自主访问控制、强制访问控制、基于角色的访问控制。

1.2访问控制过程的要素构成

访问控制过程是一个相对复杂的过程控制，它主要涵盖了访问的客体、主体、控制策略、授权以及操作等。访问主体代表的是资源的使用方，也可以理解为是资源访问的申请方，它可以是具体的用户个体，也可以是系统运行的单个进程;访问客体代表的是资源方，也就是访问主体申请访问的对象，它可以是一个数据资源库，也可以是设备使用记录等;访问控制策略是一个对主体访问的控制约束，其约束了访问主体的操作范围和访问方式;访问授权指的是系统管理者对访问主体设定的访问权限，也可以理解为系统内资源、设备等的使用权限;访问操作指的是访问主体在系统授权范围内所进行的各种操作。

1.3常见访问控制模型

1.3.1自主访问控制模型

自主访问控制模型是一种简便、易操作的访问控制模型。这个模型的突出特点是自主性，系统所有者无需对访问申请者做过多分析，只是根据自身需求或者系统需求来设定访问申请者的权限。也就是说，系统所有者掌握了资源分配授权的绝对权力。

1.3.2强制访问控制模型

强制访问控制模型是一种适用范围相对较小的访问控制模型，一般情况下，它常常被应用于保密等级相对较高的资源系统当中。该模型在应用过程中，资源访问权限是由授权机构控制的，该授权机构决定了每位资源访问者的资源使用范围，未达到一定级别的管理者是无权修改授权范围。

1.3.3基于角色的访问控制模型

基于角色的访问控制模型是一种分类访问控制模型，也就是说在授权之初，会将每位资源访问者的基本情况进行梳理，根据访问者工作类型、分属部门、专业领域等的不同进行分类，然后对不同类别访问者进行集中授权。与一一授权相比，集中授权极大地降低了访问授权的工作量，提高了访问控制的工作效率，同时可以有效建立不同角色间的联系。

二、医院信息安全风险分析

医院存储着大量复杂多样的数据信息，包括患者基本信息、病例档案、病情诊断信息、仪器检查信息、费用凭证信息、各类透视影像等。在这些数据的采集、保存、应用和销毁等阶段，数据的使用者较多，医疗数据信息存在较大安全风险。为了提高医院信息数据安全风险识别，降低医院信息泄露风险，本文重点从技术方面对医院信息安全风险进行分析。医院信息技术安全风险可以从医院信息数据生命周期角度来判定，通常来讲，医院信息技术安全风险主要包括信息获取与传输环节泄露风险、信息备份与保存环节泄露风险和信息销毁环节泄露风险四种。

2.1信息获取与传输环节泄露风险

医疗信息采集是医院信息的重要环节，采集过程需要得到患者或者患者家属的统一，如果私自采集患者医疗信息，则会存在较大的安全风险，一旦所采集的数据信息被第三方不法机构掌握，将会带来较大的隐私数据泄露风险。许可采集的数据信息在传输过程中可能存在数据遗失、盗取情况，这会造成患者数据信息出现泄露。医院信息主要包括以下几类：一是医院、药店、门诊存储的患者就医、用药、住院等数据;二是体检中心、基层医疗机构存储的用户健康档案、康复医疗数据等;三是社保中心、物流中心、支付机构等存储的医药采购、药品研发等数据。

2.2信息备份与保存环节泄露风险

信息数据备份与保存主要目的是防治信息数据的丢失和方便信息数据的使用，通常来讲，人们会通过安全防护软件系统对备份或者存储的信息数据进行保护，然而随着黑客技术的快速发展，各种木马、盗窃软件程序层出不穷，黑客在利益的驱使下，会对目标对象进行各种攻击，造成医院备份与存储信息数据的泄露。随着医院信息存储与备份数量