健康医疗大数据信息安全体系研究

健康医疗大数据信息安全体系研究

1 绪论

1.1 概述

对健康医疗大数据的信息安全体系进行研究，从信息安全目前面临的问题和如何解决信息安全问题两个方面入手，讨论如何构建健康医疗大数据信息安全体系，得出相关的结论。

健康医疗大数据的良好利用，对整个健康卫生领域的发展是非常有帮助的。有一个完善的信息安全体系是保证良好利用的前提。一个健全的信息安全体系，才可以让健康医疗大数据更好地提高医疗服务的水平，造福社会。一个健全的信息安全体系可以增强医疗健康大数据技术保障能力，有利于信息安全基础性工作，加快医疗健康大数据安全软硬件技术产品研发和标准制定，提高医疗健康大数据平台信息安全监测、预警和应对能力。在平衡创新发展与信息安全关系的同时，有利于建立医疗健康大数据安全管理规则、管理模式与管理流程，引导医疗健康大数据安全可控和有序发展[1]。信息安全体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中，以信息安全策略为指导，融和了安全技术、安全风险管理、安全组织与管理和运行保障4个方面的安全体系，以此达到系统可用性、可控性、抗攻击性、完整性、保密性的安全防护目标

1.2国内外研究现状

1.2.1 国外研究现状

作为走在信息安全研究前列的大国，美、俄、日等国家都已制定自己的信息安全发展战略和计划，确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》，明确了保护信息安全的措施。英国国家医疗服务体系在2016年7月份决定停止care.data健康医疗大数据平台的决定，信息安全得不到保障是关闭的重要原因之一。《对数据安全、同意和选择退出的审查》是由英国“国家健康和医疗数据守护者”发布。2015年9月，英国卫生大臣也委托其与英国医疗治疗委员会紧密合作，共同提出新的数据安全标准、测评数据安全合理的新方法，以及获取同意共享数据的新模式[2]。为了应对信息安全问题，很多国家从立法、制度、技术三个方面推出了相应的应对策略，制定国家大数据战略。美国、英国、法国、日本等发达国家均将大数据视为强化国家竞争力的关键因素之一，非常重视数据安全体系建设方面的研究。

国外比较成熟的关于信息安全体系建设的研究主要是关于服务信息化建设，提高对信息安全的认识，全面推行安全等级保护，定期进行信息系统安全风险评估以及安全加固，加强人才队伍建设。实施信息安全保护工作过程中应该注意的是明确要保护的目标，建立信息安全管理保障体系，加强信息安全意识和管理能力。ISO的安全体系结构主要内容：①安全服务:包括认证服务、访问控制、数据保密服务、数据完整性服务和抗抵赖服务;②安全机制:ISO安全体系结构中定义了一些安全机制.包括加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公证机制等;③安全管理:其重

要内容是实施一系列的安全政策，对系统和网络上的操作进行管理，包括安全服务管理和安全机制管理[3]。

大数据的发展加速数据量的增多、大数据技术及应用的更新，但是，大数据涉及的相关技术还不太成熟，软件及硬件漏洞时有发生。同时，大数据外在所处的网络环境高度开放，使用人员多并且复杂[4]。同时，已有的针对网络安全建立的相关法律法规相对缺乏，全社会对于网络安全确保也缺乏足够重视。数据安全问题及隐私泄露问题体现的尤为明显。信息安全体系的建设，应该根据健康医疗大数据的业务方面的信息安全为导向，对业务进行拆分，根据不同的层次制定相应的信息安全体系的组成部分。技术安全是保障，运营过程的是载体，来支撑所要建设的信息安全体系。在信息安全体系建设的过程中应该注意技术，运营和管理之间的协同作用，使这些方面紧密结合，确保安全措施可以落实到位。虽然，采取很多措施，努力建设一个完善的信息安全体系，但是仍然会有各种各样的信息安全问题的出现。信息安全体系建设，不可能完全消除这些问题，关键是在于如何发现问题，规避风险，解决问题。在建设信息安全体系的过程中应该通过必要的风险评估，运用科学的方法和手段，尽可能准确地发现体系中存在的信息安全问题，发现系统的脆弱点。针对所得到结果，可以指定相应的安全策略，尽可能降低风险所带来的损害，控制在可接受的范围之内，最大限度地保障信息的安全性。通过信息安全体系的建设，可以完善体系，弥补体系中存在的问题，提出解决方案，解决问题。

1.2.2 国外研究现状

在2016年7月16日，有媒体报道了在我国30个省份的至少有275名艾滋病病人信息遭到了泄露。由于此事件，疾病预防与控制部门已经向公安部门报案，世界卫生组织驻华代表和联合国艾滋病规划署驻华部门联合发表声明，希望我国可以加强现在的信息系统的安全性，防止再发生此类事件。国家卫生计生委在北京举行了一场研讨会，主要是为了学习6月份国务院下发的《关于促进和规范健康医疗大数据应用发展的指导意见》。研讨会的主题是数据安全和隐私，强调医疗大数据在数据安全有保障的情况下，才能有好的发展，才能发挥健康医疗大数据的功能，在这份意见指导书里面，“安全”一词出现了33次，可见重视程度。2013年的时候，国家卫计委发布了《关于加快推进人口健康信息化建设的指导意见》，提出了在十三五规划期间努力建设全国人口健康信息化平台。这个平台里面包含了十几亿人的健康方面的各种信息，这些信息是有隐私性质的，在数据保密方面要求是很高的。不过，目前我国在这方面的状况是让人很担忧的，整个卫生领域的安全态势是很不乐观的。医疗卫生机构数据安全能力和防范意识差，极易导致数据泄露。在信息使用传递过程中发生的泄露，可能包括科学研究过程、区域信息平台数据交互过程等，尽管使用了基于角色访问控制技术和部分加密技术，但在信息安全和隐私保护等方面仍存在较大问题。我国在卫生行业发展的初级阶段时，由于国家国情，体制，管理方面等的原因。信息安全没有得到足够的重视，缺乏有力的安全保护措施和审计办法。同时，整个卫生行业的人普遍存在信息安全意识过于薄弱的情形。由于这方面数据量的急剧增长，各系统之间的数据方面的交叉，国家有关部门也发布了相关的文件来指导信息安全方面的工作，信息安全是需要被高度重视的。大数据安全体系问题目前体现在四个方面：⑴由于大数据是处于网络环境，网络环境相对比较开放，大数据比较容易受到攻击；⑵非结