數(shù)據(jù)安全傳輸 |
發(fā)布時(shí)間: 2012/8/14 18:04:18 |
HIPAA安全規(guī)則涉及到了安全傳輸和加密的使用。盡管該規(guī)則并不要求使用加密技術(shù),但是這是作為一個(gè)“可尋址的”執(zhí)行規(guī)范包含在內(nèi)的。換句話說(shuō),衛(wèi)生保健組織在HIPAA下可以有三個(gè)選擇:按照規(guī)則執(zhí)行規(guī)范;執(zhí)行與規(guī)范相關(guān)的另外一種規(guī)則;或者提供文件證明為何規(guī)范不適用,進(jìn)而不可以執(zhí)行。 考慮到今天加密技術(shù)的實(shí)用性和可負(fù)擔(dān)性,在傳輸PHI時(shí),衛(wèi)生組織很難確定不可以使用一些形式的加密技術(shù)。許多經(jīng)銷商提供了大量?jī)r(jià)格合理的加密軟件和加密硬件,以及外包產(chǎn)品,F(xiàn)在,我們將更為詳細(xì)地探討一下這些產(chǎn)品。 電子郵件加密 大量的經(jīng)銷商提供了可以對(duì)電子郵件信息進(jìn)行加密的產(chǎn)品,易于使用,并且具有安全發(fā)送私人數(shù)據(jù),包括電子郵件附件在內(nèi)的性能。收件人可以使用相同的加密方法回復(fù)。許多這些產(chǎn)品都是以網(wǎng)絡(luò)為基礎(chǔ)的。它們通過(guò)發(fā)送到收件人的連接進(jìn)行工作,收件人然后點(diǎn)擊、登錄到安全的電子郵件服務(wù)器。這些服務(wù)器要么是組織所有的,要么是組織外包給合適的經(jīng)銷商。收件人然后可以安全地閱讀電子郵件和任何附件,并且安全地發(fā)送回復(fù),如果需要的話也可以安全地發(fā)送附件。 也有一些技術(shù)不是以網(wǎng)絡(luò)為基礎(chǔ)的,允許個(gè)人或組織之間傳送安全的信息,這些技術(shù)中最常見(jiàn)的是公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)。公共密鑰基礎(chǔ)結(jié)構(gòu)要求交換密鑰,這個(gè)密鑰是用于對(duì)加密文件進(jìn)行解密的。比如,Bob想要給Sue發(fā)送一封安全的電子郵件,這樣的話,他需要給Sue一份公共密鑰的副本,用來(lái)打開(kāi)他的加密信息。Bob保留了他用來(lái)加密信息或文件的私人密鑰,這個(gè)密鑰他也可以使用,尤其是采用數(shù)字簽名來(lái)證明他自己是發(fā)送者。數(shù)字簽名是一個(gè)小的電子文件,因每個(gè)發(fā)送者而不同,尤其可以證明他或她的身份。在許多國(guó)家,也使用數(shù)字簽名,并且在合同或者其它法律文件中,要求與原始簽名一樣強(qiáng)制實(shí)行。 截至現(xiàn)在還沒(méi)有任何大型的PKI配置,主要是由于配置很繁瑣,并且難于執(zhí)行和管理密碼。然而,PKI具有小型的配置,因此較為成功,通常用來(lái)在諸如健康計(jì)劃和醫(yī)療保健交流中心之類的組織之間發(fā)送大型文件。 安全數(shù)據(jù)傳輸?shù)姆椒ㄖ煌ǔKI的加密和認(rèn)證大型數(shù)據(jù)文件結(jié)合起來(lái),即安全的文件傳輸協(xié)議(FTP)。然而,這并不能用于個(gè)人之間的數(shù)據(jù)傳輸。該技術(shù)很容易便可獲得,并使組織之間可以傳輸大量的數(shù)據(jù),比如通過(guò)交流中心進(jìn)行的索賠交易信息和電子匯款通知。 網(wǎng)站加密 使用網(wǎng)絡(luò)來(lái)收集并向客戶或者其它組織傳輸敏感信息的組織需要確保其網(wǎng)站的安全。一般標(biāo)準(zhǔn)是使用安全套接層協(xié)議(SSL),該協(xié)議通過(guò)網(wǎng)站對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。打開(kāi)一個(gè)因特網(wǎng)瀏覽器,網(wǎng)站的右下角會(huì)出現(xiàn)打開(kāi)鎖定或者關(guān)閉鎖定。如果該鎖定關(guān)閉了,這就意味著該網(wǎng)站的數(shù)據(jù)傳輸是安全的,一般是由SSL傳輸?shù),這就允許私人數(shù)據(jù)在該網(wǎng)站中傳輸和收集,而不用擔(dān)心黑客訪問(wèn)它。有了安全性,而沒(méi)有風(fēng)險(xiǎn),雖然這樣的事是不存在的,但是在數(shù)據(jù)傳輸過(guò)程中使用SSL和安全的網(wǎng)站可以顯著地減少數(shù)據(jù)被不適當(dāng)?shù)亟孬@的風(fēng)險(xiǎn)。使用內(nèi)部網(wǎng)絡(luò)分析員/程序員,或者與在創(chuàng)建有吸引力和安全的網(wǎng)站方面有專長(zhǎng)的經(jīng)銷商進(jìn)行合作,就可以建立安全的網(wǎng)站。 應(yīng)用層加密 一些組織在應(yīng)用層之間傳輸數(shù)據(jù),比如電子醫(yī)療健康記錄。查看這些傳輸是明智的做法,如果數(shù)據(jù)在組織外部傳輸,就如任何發(fā)送到因特網(wǎng)上的信息,意味著會(huì)遭到截獲,并且除非合理進(jìn)行保護(hù),否則會(huì)導(dǎo)致誤用。當(dāng)在應(yīng)用層之間傳輸敏感數(shù)據(jù)時(shí),合理和良好的安全措施是評(píng)估應(yīng)用層的加密能力,并且預(yù)先執(zhí)行加密解決方案。一些經(jīng)銷商生產(chǎn)應(yīng)用程序,自定義編程產(chǎn)品可以在從一個(gè)端點(diǎn)傳向另一個(gè)端點(diǎn)時(shí)傳輸時(shí)保護(hù)數(shù)據(jù),組織可以從這些經(jīng)銷商或者產(chǎn)品中獲得這個(gè)技術(shù)。 遠(yuǎn)程用戶通信 遠(yuǎn)程用戶會(huì)帶來(lái)額外的安全風(fēng)險(xiǎn),這是由于他們常常在家里和組織之間通信。這就意味著他們不僅僅需要了解安全數(shù)據(jù)傳輸?shù)囊,也要了解其它與遠(yuǎn)程訪問(wèn)機(jī)密信息有關(guān)的安全風(fēng)險(xiǎn)信息。為了確保遠(yuǎn)程用戶通信的安全,可以安裝一個(gè)虛擬專用網(wǎng)(VPN),這可以對(duì)用戶之間發(fā)送的所有數(shù)據(jù)加密。這項(xiàng)技術(shù)在市場(chǎng)上就可以很容易獲得,此外,擁有遠(yuǎn)程用戶的組織安裝這個(gè)技術(shù)是可取的做法。如果沒(méi)有建立虛擬專用網(wǎng),而且沒(méi)有使用調(diào)制解調(diào)器(一般而言,這不是訪問(wèn)公司網(wǎng)絡(luò)的有效方法),那么所有在因特網(wǎng)上傳輸?shù)臄?shù)據(jù)很容易被截獲,還會(huì)導(dǎo)致不適當(dāng)?shù)氖褂谩?/p> 筆記本和個(gè)人數(shù)字助理(PDA) 這些便攜式設(shè)備及容易丟失或者被偷盜。因此,使用這些設(shè)備來(lái)傳輸機(jī)密信息并對(duì)存儲(chǔ)在這些設(shè)備中的數(shù)據(jù)加密,對(duì)組織而言是明智之舉。這可以保護(hù)組織,如果便攜式設(shè)備丟失或者被盜后,以防數(shù)據(jù)泄露。加密程序在便攜式設(shè)備上是可以實(shí)現(xiàn)的,并且這種軟件的花費(fèi)是合理的,可以負(fù)擔(dān)得起,即使是規(guī)模較小的組織也可以負(fù)擔(dān)得起。 無(wú)線網(wǎng)絡(luò) 無(wú)線威脅正日趨嚴(yán)重,不安全的無(wú)線網(wǎng)絡(luò)是突出的易受攻擊點(diǎn),此外開(kāi)放的組織更容易受到黑客的訪問(wèn)。因此,防止任何人未經(jīng)授權(quán)就訪問(wèn)網(wǎng)絡(luò),正變得日趨重要。此外,對(duì)在無(wú)線設(shè)備至阿金傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密,以防止不適當(dāng)?shù)匦孤稒C(jī)密信息。連接到無(wú)線網(wǎng)絡(luò)的筆記本正日益普及,尤其是在收集了醫(yī)療和健康保險(xiǎn)信息的醫(yī)院急救室里。這些筆記本與組織的無(wú)線服務(wù)器通信,并且更新應(yīng)用程序、健康記錄等等。這類數(shù)據(jù)一般來(lái)說(shuō)都是敏感的,加密技術(shù)需要對(duì)其提供額外的保護(hù)層。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |