【正文】 single signon)使能跨臺(tái)使用 4. 可延伸存取控制標(biāo)記語言 (eXtensible Access Control Markup Language, XACML) ? 一個(gè)建構(gòu)於 Web Services交換帄臺(tái)上相關(guān)安全加密標(biāo)準(zhǔn)的電子病歷交換帄臺(tái)架構(gòu) ? 相關(guān)醫(yī)療院所可參考該架構(gòu)中各種安全標(biāo)準(zhǔn)的特性與適用場(chǎng)合，並實(shí)作於需要具備安全的資訊交換系統(tǒng)中 ? 確保在 Web Services的環(huán)境下交換電子病歷時(shí)，能夠具備足夠的各種安全性且符合國(guó)際標(biāo)準(zhǔn)而不至影響系統(tǒng)間的互通性 ? Web Services Security標(biāo)準(zhǔn)的建立 醫(yī)療資訊安全 醫(yī)療管理資訊系統(tǒng)架構(gòu) 醫(yī)療資訊服務(wù)與未來危機(jī) 安全 資料公開 ?資料完整性 (Integrity):確保所收到的 資訊不被篡改 、 重送 、 遺失 。 ：如生日、身份證字號(hào)、學(xué)號(hào)等。但是她怎樣也想不透這些保險(xiǎn)業(yè)務(wù)員以及疑似詐騙集團(tuán)的人，到底是如何獲得她的電話與個(gè)人資料 ... 資訊安全迷思 ? 迷思之一 ? 我已經(jīng)設(shè)定了使用通行碼 (password)，別人應(yīng)該無法假冒我的身分吧！ ? 迷思之二 ? 我已經(jīng)架設(shè)了防火牆 (firewall)，應(yīng)該可以高枕無憂吧！ ? 迷思之三 ? 我已經(jīng)安裝了防毒軟體 (antivirus)，下載資料或接收訊息應(yīng)該可以無牽無掛吧！ ? 迷思之四 – 我已經(jīng)設(shè)定了使用通行密碼、架設(shè)了防火牆，也安裝了防毒軟體，這樣應(yīng)該可以安全地發(fā)展電子商務(wù)應(yīng)用了吧！ 何謂﹁資訊安全﹂？ ? 狹義 – 技術(shù)陎（ 1970年代以前 ) ?保護(hù)機(jī)密或敏感資料，以防制未授權(quán)的揭露 ?注重資料的機(jī)密性 ?專業(yè)導(dǎo)向 ?密碼學(xué)或密碼技術(shù) (cryptography or cryptology) ?破密分析 (cryptanalysis) ?應(yīng)用範(fàn)圍 ?國(guó)防、軍事或外交等政府機(jī)構(gòu) 何謂﹁資訊安全﹂？ ? 廣義 – 技術(shù)陎 +管理陎（ 1980年代以後 ) ?保護(hù)機(jī)密或敏感資料，以防制未授權(quán)的揭露、修改與運(yùn)用，並兼顧人員、程序、資料、硬體、軟體、實(shí)體環(huán)境等安全管理議題 ?注重資料及系統(tǒng)資源的機(jī)密性、完整性、可取用性 ?生活導(dǎo)向 ?兼顧國(guó)家與個(gè)人資訊保全 (information safeguarding) ?安全政策與管理 (security policy management) ?應(yīng)用範(fàn)圍 ?政府機(jī)構(gòu) (電子化政府 ) 與民間企業(yè)活動(dòng) (電子商務(wù) ) ?個(gè)人居家生活、資訊家電 (information appliance(IA)) 安全管理的定義 ? 狹義定義 :利用密碼學(xué)與安全協(xié)定以保護(hù)機(jī)密或敏感資料，以防制未授權(quán)的揭露 – 密碼學(xué) (Cryptography) – 安全協(xié)定 (Security Protocol) ? 狹義定義 : 從不同的角度全陎考慮，確保資料及系統(tǒng)資源的機(jī)密性、整體性、可取用性、安全管理及安全政策 – 機(jī)密性 (Confidentiality) – 整體性 (Integrity) – 可取用性 (Availability) – 安全管理 (Security Management) – 及安全政策 (Security Policy) ? 應(yīng)用範(fàn)圍 :醫(yī)療資料安全與電子商務(wù)資料安全 資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用 ? 前言 ? 系統(tǒng)安全概論 ? 醫(yī)院資訊系統(tǒng)規(guī)範(fàn) (第十八章 – 資訊安全 ) ? 資訊安全技術(shù) 1. 以 XML Signature和 XML Encryption確保資訊安全 2. 以 XKMS設(shè)計(jì)密鑰管理系統(tǒng) 3. 以 SAML設(shè)計(jì)安全互通機(jī)制例如單一登入 (single signon)使能跨臺(tái)使用 4. 可延伸存取控制標(biāo)記語言 (eXtensible Access Control Markup Language, XACML) 資訊安全技術(shù) 資訊 安全 資料安全 _____________________ 加密 (Encryption) 認(rèn)證 (Authentication) 完整性 (Integrity) 網(wǎng)路作業(yè)安全 _____________________ 使用者密碼 (Password) 生物鑰匙 (聲音或指紋 ) 使用權(quán) (Access Right) 防火牆 (Firewalls) (防止破壞資訊、揭露隱私、竄改內(nèi)容、欺騙誤導(dǎo) ) 網(wǎng)路安全所必須具備的條件 ? 隱密性 (Confidentially) ? 鑑別性 (Authentication) ? 完整性 (Integrity) ? 不可否認(rèn)性 (Nonrepudiation) ? 存取控制 (Access Control) ? 可靠性 (Availability) 網(wǎng)路安全管理 ? 量身定做的安全策略 ? 避免猜測(cè)通行碼的攻擊 ? 避免系統(tǒng)弱點(diǎn)攻擊法 ? 避免網(wǎng)路竊聽攻擊法 ? 防火牆 網(wǎng)路安全管理 量身定做的安全策略 網(wǎng)路安全管理 避免猜測(cè)通行碼的攻擊 ? 不好的同行碼（易被程式破解）： 。 資訊安全之威脅 :(15%~17%) 火災(zāi) (10%~12%) 水災(zāi) (5%~7%) 意外性災(zāi)害如地震 (比例很低 ,但會(huì)釀成巨禍 ) ※ 利用建築物等外在保護(hù)或備份 :(83%~85%) (1)內(nèi)部人員 (70%~85%) 人為疏忽及犯錯(cuò) (50%~60%) 不誠(chéng)實(shí)的員工 (10%) 心懷怨恨的員工 (10%) (2)外部人員 (3%~5%) 網(wǎng)路悍客、電腦病毒、被竊聽等等 ※ 利用資訊安全技術(shù)保護(hù) 如何防止因求職而外洩個(gè)人資料 小敏趁年底想找機(jī)會(huì)改變工作環(huán)境，她在多個(gè)人力銀行網(wǎng)站上登入自己的求職資料。 ?1996年 2月 ,港商 Epson公司電腦上 IC佈局資料 ,遭離職員工經(jīng)網(wǎng)路侵入篡改 ,而產(chǎn)生錯(cuò)誤 晶片。 學(xué)生責(zé)任 ? 有沒有學(xué)到 ? (ROI) ? 成績(jī) (AsIs Model) – 學(xué)術(shù)演講測(cè)驗(yàn) (40%) – 個(gè)人報(bào)告 (20%) – 個(gè)案規(guī)劃 (20%) – 期末考 (20%) ? 成績(jī) (ToBe Model): – 組別部份 (6人一組 ) ? 學(xué)術(shù)演講報(bào)告 (20%) ? 個(gè)案規(guī)劃及報(bào)告 (20%) – 個(gè)人部份 (40%) ? 兩次個(gè)人心得報(bào)告 – 期末考 (20%) AsIs Model XX醫(yī)院 /醫(yī)學(xué)中心醫(yī)療資訊安全系統(tǒng)設(shè)計(jì) 1. 醫(yī)療資訊安全概論 ? 醫(yī)療資訊與隱私權(quán)重要 ? 何謂醫(yī)療資訊安全 ? ? 醫(yī)療資訊安全與資訊安全差異 ?(從資安揭露角度 ) 2. XX醫(yī)院 /醫(yī)學(xué)中心醫(yī)療資訊安全系統(tǒng) ? 目前醫(yī)療資訊系統(tǒng)架構(gòu)及資安缺口 ? 醫(yī)療資訊安全需求 (機(jī)密 真確 權(quán)限 不可否認(rèn) 等 ) ? 未來具有資安功能的醫(yī)療資訊系統(tǒng)架構(gòu) ? UCA ? XKMS ? SAML ? XACML 3. 為確保隱私權(quán)應(yīng)有的醫(yī)療資訊安全政策 ? HIPPA 4. Lean Management ? Lean Hospital 5. Healthcare Supply Chain management 6. Healthcare RFID Application 7. 結(jié)論 醫(yī)學(xué)資訊安全 ? 學(xué)程緣由 ? 醫(yī)學(xué)資訊安全重要 ? 去年醫(yī)學(xué)資訊安全課程 ? 今年醫(yī)學(xué)資訊安全精進(jìn)計(jì)劃 ? 學(xué)生責(zé)任 ? 有沒有學(xué)到 ? (ROI) ? 資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用 ? 醫(yī)學(xué)知識(shí) (臨床醫(yī)療 )的發(fā)展及困難 ? Patient Safety 資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用 ? 前言 ? 系統(tǒng)安全概論 ? 醫(yī)院資訊系統(tǒng)規(guī)範(fàn) (第十八章 – 資訊安全 ) ? 資訊安全技術(shù) 1. 以 XML Signature和 XML Encryption確保資訊安全 2. 以 XKMS設(shè)計(jì)密鑰管理系統(tǒng) 3. 以 SAML設(shè)計(jì)安全互通機(jī)制例如單一登入 (single signon)使能跨臺(tái)使用 4. 可延伸存取控制標(biāo)記語言 (eXtensible Access Control Markup Language, XACML) 從歷史小故事談起 ? 羅馬帝國(guó)凱撒大帝 ? 偉大的軍事家、政治家 ?密碼學(xué)之父 – 召集前線指揮官及傳令兵彼此認(rèn)識(shí)（身分識(shí)別） – 秘密書寫命令，只有指揮官才看得懂（加解密） – 命令彌封及簽印，以防止傳令兵偷窺（數(shù)位簽章） – 派遣不同傳令兵經(jīng)由不同路徑傳送命令，避免遭受敵方伏擊或捕獲（通信風(fēng)險(xiǎn)分擔(dān)） ?我國(guó)應(yīng)用密碼學(xué)或資訊安全之稗官野史 ? 隱形墨水或無字天書 ? 鳳入禾中鳥飛出 (清朝紀(jì)曉嵐，文字猜謎 ) ? 曹操在其宰相邸大門口寫了一個(gè)﹁活﹂ (三國(guó)演義 ) 資訊安全案例 資訊安全案例 ? 國(guó)外部份 ?1988年 11月 ,Morris Worm造成 6000部以上電腦當(dāng)機(jī)(每部 2小時(shí)以上 ) 。一九六○年 MIT教授麥格利哥(Douglas McGregor)發(fā)表了 《 企業(yè)的人性陎 》 (The Human Side of Enterprise)一書，引用了許多馬斯洛的層級(jí)理論，擴(kuò)展成 Y理論的相關(guān)假設(shè)，麥?zhǔn)弦惨蚨环Q作 X理論與 Y理論之父。 5. 自我實(shí)現(xiàn) : 最高的需求層次，指?jìng)€(gè)人有追求成長(zhǎng)的需求，將其潛能完全發(fā)揮，且人格的各部份協(xié)調(diào)一致。 3. 被接納的需求 : 被愛和有歸屬感，以一個(gè)人的本像被接納，而非所作所為。 醫(yī)學(xué)資訊安全 ? 學(xué)程緣由 ? 醫(yī)學(xué)資訊安全重要 ? 去年醫(yī)學(xué)資訊安全課程 ? 今年醫(yī)學(xué)資訊安全精進(jìn)計(jì)劃 ? 學(xué)生責(zé)任 ? 有沒有學(xué)到 ? (ROI) ? 資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用 ? 醫(yī)學(xué)知識(shí) (臨床醫(yī)療 )的發(fā)展及困難 ? Patient Safety 96年醫(yī)學(xué)資訊安全課程 ? ? 6次外賓演講及 1次參觀 ? 授課內(nèi)容 – 資訊安全概念 – 醫(yī)療資訊 :電子病歷 – 醫(yī)療資訊安全 ?隱私權(quán) – 醫(yī)療資訊安全技術(shù) : HCA SAML/SSO XKMS 等 – 醫(yī)療資訊安全應(yīng)用 : 北醫(yī) 長(zhǎng)庚 三總 ?何特助 ?劉興華總經(jīng)理： ０９３２－３４８１９８ ?葉怡鎮(zhèn)： ０９１９－９９８６１４ ?(鉅仁彭博士演講 ) ?劉興華總經(jīng)理： ０９３２－３４８１９８ ?葉怡鎮(zhèn)： ０９１９－９９８６１４ ?(鉅仁彭博士演講 ) ?何特助 ?劉興華總經(jīng)理： ０９３２－３４８１９８ ?葉怡鎮(zhèn)： ０９１９－９９８６１４ ?(鉅仁彭博士演講 ) 項(xiàng)次 上課日期 星期 開始 結(jié)束 時(shí)數(shù) 授課教師 教學(xué)進(jìn)度 1 20230228 三 2 4 3 陳昱仁 醫(yī)療系統(tǒng)安全概論 2 20230307 三 2 4 3 陳昱仁 資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用 3 20230314 三 2 4 3 蔡榮隆 我國(guó)醫(yī)療資通安全政策規(guī)範(fàn) : 以病人隱私權(quán)與﹁電腦處理個(gè)人資料保護(hù)法﹂為例 4 20230321 三 2 4 3 蔡榮隆 美國(guó)健康保險(xiǎn)可攜性及責(zé)任性法案（ HIPAA） : (中央研究院資訊所王大為博士演講 ) 5 20230328 三 2 4 3 蔡榮隆 資訊安全管理架構(gòu)設(shè)計(jì) 6 20230404 三 2 4 3 蔡榮隆 健保 IC卡與醫(yī)療資訊系統(tǒng)安全設(shè)計(jì) :以 TMT電子病歷為例 (鉅仁彭博士演講 ) 7 20230411 三 2 4 3 蔡榮隆 PKI在醫(yī)療資訊安全設(shè)計(jì) —以衛(wèi)生署﹁醫(yī)療憑證管理中心﹂機(jī)制為例(劉興華博士演講 ) 8 20230418 三 2 4 3 蔡榮隆 醫(yī)療資訊安全之資料分級(jí)分類與複合式病歷資訊安全管理系統(tǒng)設(shè)計(jì)(工研院葉怡鎮(zhèn)博士演講 ) 9 20230425 三 2 4 3 蔡榮隆 以醫(yī)療角色建置電子病歷資通權(quán)限管理設(shè)計(jì) (臺(tái)北醫(yī)學(xué)大學(xué)副院長(zhǎng)劉立博士演講 ) 10 20230502 三 2 4 3 蔡榮隆 醫(yī)療企業(yè)整合標(biāo)準(zhǔn)資通安全模組分析與運(yùn)用 WSSecurity設(shè)計(jì)醫(yī)學(xué)資訊安全系統(tǒng) 11 20230509 三 2 4 3 蔡榮隆 以 XKMS設(shè)計(jì)密鑰管理系統(tǒng) 12 20230516 三 2 4 3 蔡榮隆 以 SAML設(shè)計(jì)安全互通機(jī)制例