- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
??
?
??
中国健康医疗大数据的信息安全
?
??
?
?
?
?
?
?
?
???
?
?
?
?
?
一引言
《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(以下简称“47号文”)的颁布,标志着医疗卫生行业已经在国家的指导下进入了健康医疗大数据时代。伴随着数字化医疗的多年发展,健康医疗上下游企业和其他相关组织多年来积累的工作数据为健康医疗产业发展提供了良好的数据基础。如何安全有效地利用这些健康医疗数据,真正解决医疗卫生行业所面临的问题,成为一个难点。在利用健康数据时,如何保护患者隐私,以及如何保证健康医疗大数据的全生命周期安全已成为国际性的重点工作。
因为健康医疗信息有着不同于一般信息数据的特殊性和隐私性,居民个人信息的汇聚急剧增大了公民的隐私泄露风险。《2015年中国网站安全报告》针对行业个人信息泄露情况进行了统计,卫生网站全年泄露2.40亿条个人信息,而从每个网站平均泄露的信息量来看,医疗卫生行业排在首位,这一安全态势在健康医疗大数据发展过程中必须受到重视。
1996年美国政府颁布的《美国健康保险便利和责任法案》(HIPAA)明确了3个规则:①标准化规则;②医疗信息安全保护规则;③隐私保护原则。我国目前并无成熟的个人信息保护办法,2017年6月1日开始施行的《网络安全法》中对关键信息基础设施的定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,而国家互联网信息办公室发布的《国家网络空间安全战略》则进一步将医疗卫生定义为公共服务的一种,因此健康医疗大数据信息安全和个人信息保护问题需要重点关注。
当前健康医疗大数据的信息安全保护问题、大数据全生命周期的安全问题已受到政府和相关行业的重点关注。为此,中国卫生信息学会于2016年成立了健康医疗大数据产业发展与信息安全专业委员会(中国健康医疗大数据产业联盟),通过聚集行业力量共同解决健康医疗大数据产业发展过程中的安全问题。
二健康医疗大数据安全风险
(一)大数据成为网络攻击的显著目标
健康医疗大数据一旦汇聚,将意味着大量涉及公民隐私和国家关键基础资源的复杂敏感信息的集中,它将成为恶意攻击者攻击的“大目标”,在网络空间中遭受各方攻击和试探的可能性远高于一般的信息系统。
(二)数据安全风险
健康医疗大数据将相关计算资源、存储资源和网络资源集中在一个区域以方便管理、运营和维护,这种情况下数据的集中造成了风险的集中。同时,大数据技术使健康医疗数据资源的所有权和管理权边界变得模糊,用户面对的是一个透明的系统。健康医疗大数据将面临新的数据丢失、滥用或泄露的风险,具体包括:不可信的大数据服务提供商及其工作人员;不可控的非法操作、非法运营或非法维护行为;不完善的数据授权访问体系造成的数据非法访问或窃取;恶意第三方对海量健康医疗隐私数据的非法访问或窃取等风险。
(三)大数据平台安全风险
攻击者突破健康医疗大数据平台的安全防御和身份认证机制,获得权限登录操作系统和数据库系统,非法访问大数据资源,或通过注入恶意代码的方式在平台内部和平台用户之间传输木马病毒,开展非法行为。
(四)应用系统安全风险
随着健康医疗大数据平台通信接入点、数据汇聚、应用交互的扩展,应用系统所涉及的重要数据不断增加,不可避免地面临众多的安全威胁,影响应用通信和应用平台的必威体育官网网址性、完整性、可用性。
(五)虚拟网络安全风险
健康医疗大数据平台中的虚拟网络使传统意义上的网络边界变得非常模糊。传统的安全厂商解决方案,如防火墙、IDS、IPS等网络安全设备组件的“纵深”安全防御体系依赖于明确的物理网络边界。一台物理主机内的不同虚拟机通过计算机内存进行通信,从而导致这些从内部直接向其他虚拟机开展的攻击能绕过所有的网络边界防护措施,直接威胁整个虚拟网络甚至健康医疗大数据平台的安全运行。
(六)基础设施安全风险
基础设施安全风险可能导致网络系统平台或网络内数据资源的损毁,大数据平台依托的海量高性能设备对电力供应、场地环境、物理安防有着严格的要求。基础设施安全风险的重要内容包括:自然灾害和意外事故造成系统破坏;电力故障导致设备或数据可用性风险;设备失窃造成数据丢失或信息泄露;电磁泄漏导致数据信息被窃取或被偷阅等。
三健康医疗大数据隐私保护
隐私保护因大数据的出现受到挑战,国外早就针对个人信息保护进行了规范,包括经合组织(OECD)隐私保护准则、亚太经合组织(APEC)隐私框架、美国公平信息实践准则(FIPs)等安全框架,欧盟通用数据保护条例、欧美隐私盾协议、美国消费者隐私权法案等法规,国际标准化组织(ISO)和国际电工委员会(IEC)发布的ISO/IEC29100:20
文档评论(0)