1.5 实例3——医院_信息安全工程（第2版）

1.5 实例3——医院

12-07-23 叶孤城

收藏我要投稿

本文所属图书 > 信息安全工程（第2版）

本书第1版于2001年问世后，受到了全球广大读者的热烈欢迎。今天的安全领域已经发生了巨大变化：垃圾邮件发送者、病毒编写者、网络钓鱼者、洗钱者以及间谍们的作案水平不断提升，搜索引擎、社交网络乃至电子投票机...立即去当当网订购

在介绍了军事与食品卫生后，我们来讨论一下医疗保健领域。医院有大量有趣的保护要求——?大部分与病人的安全和隐私相关。

(1) 病历系统不应该让所有员工都能看到每个病人的记录，否则就可能会侵犯病人的隐私。系统应该实现类似这样的规则：“护士可以看到90天之内在本科室护理过的任何病人的记录。”传统的计算机安全机制很难做到这一点，因为角色会变化(护士从一个科室调到另一个科室)，此外，系统之间存在跨系统依赖(如果病历系统的访问控制决策最终依赖于人事系统，那么人事系统就会变成对安全、隐私或者两者都非常关键的系统)。

(2) 在用于研究时，病历通常被匿名化，但是这很难做得很好。只对病人的姓名加密一般是不够的，因为使用如下的查询：“查看1966年9月15日接受锁骨骨折治疗的59岁男性病人的所有记录”，一般就足以查询到一位已知在大学时受此类外伤的名人的记录。但是如果记录不能够被适当地匿名化，就必须遵循更严格的规则来处理数据，这样就增加了医学研究的成本。

(3) 基于Web的技术给医疗保健带来了一些有趣的新的安全保证问题。比如，由于药物目录等参考书移到了网络上，医生就必须保证那些性命攸关的数据(例如每个体重的剂量数字)和有关部门公布的完全相同，并且没有以某种方式改动过。另一个实例是，医生开始从家里或者在上门服务期间用笔记本电脑甚至PDA访问病人记录，使得合适的电子身份验证和加密工具变得必需。

(4) 新技术可能会引入未知的风险。医院管理人员应理解对备份过程的需求，以应对断电、电话服务中断等情况，但医疗手段越来越依赖网络，而且这些方式经常没有记录在文档中。比如，英国的医院开始使用在线式放射系统：X光片不再从X光机拍好后放到大信封中并送往手术室，而是经由远处的服务器。因此，网络故障可以像电源故障那样导致医生手术中断。突然之间，Internet变成了安全关键系统，而拒绝服务攻击也可能杀死一个人。

稍后将更详细地分析医疗系统安全。比起银行IT和军事系统，这是一个新兴领域，但是在所有发达国家，医疗保健在GNP(国民生产总值)里占的比例都比银行IT或军事系统大，而且随着医院对IT的采纳速度越来越快，医疗IT系统开始变得重要起来。特别是在美国，设置了隐私最低标准的HIPAA法规使得这一部分成为信息安全产业的主要客户

点击复制链接与好友分享!回本站首页

分享到：更多

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力

上一篇：1.3　功能

下一篇：1.5　小结

图文推荐

排行