【正文】 安全刻不容緩的議題。 ? 美國在 1974年國會推出隱私權法後，陸續(xù)制定電子通訊隱私權法、電腦安全法、通訊消費者保護法，直到 1996年通過重要醫(yī)療保險法案 健康保險可攜性及責任性法案（ Health Insurance Portability and Accountability Act HIPAA），可見醫(yī)療系統(tǒng)安全對於健康照護產業(yè)重要影響。病患如因不註記相關紀錄產生醫(yī)療糾紛，責任之負擔容易向病人傾斜。能夠有能力由病人的立場去瞭解病是非常重要的。﹂ 病人隱私權的問題 ? ? 隱私權是人權的基本權力，在很多醫(yī)療場所都會在電梯內或其他開放 空間 上貼上﹁保護隱私，請勿談論病人病情﹂的標語，而依中華民國 醫(yī)師 公會﹁ 醫(yī)師 倫理規(guī)範﹂第 11條的規(guī)定，醫(yī)師應尊重病人的隱私權，除法律另有規(guī)定外，醫(yī)師不會無故洩露因 業(yè)務 而知悉之病人秘密。 ? 為了讓病人得到最適當?shù)尼t(yī)療照護， 世界 醫(yī)師會提供一個彈性與開立的陳述，﹁機密資訊只能在病人給予明確的同意下或者法律有明文規(guī)定的情況下透露出來，除此之外，為了提供有效、有品質的醫(yī)療照護，醫(yī)療照護體系需要適當?shù)胤窒聿∪说尼t(yī)療資訊﹂。 醫(yī)學資訊安全案例 ? 資訊安全案例 – 侵入破壞 – 詐騙盜取 – 釣魚 等 ? 醫(yī)療資訊安全案例 (隱私權 ) – 臺中市胡市長 – 疾病管制局肺結核資訊 () – AIDS (LA Lacker: Magic Johnson) ? 醫(yī)學資訊安全案例 (行政管理 ) (C—A—I) – 與一般資訊系統(tǒng)相同 ?但時效及傷害性更嚴重 – 病人安全 (買一刀送一刀 ) ? 醫(yī)療訴訟 醫(yī)學資訊安全 ? 學程緣由 ? 醫(yī)學資訊安全重要 – 資訊安全案例 – 醫(yī)學資訊安全定義 ? 去年醫(yī)學資訊安全課程 ? 今年醫(yī)學資訊安全精進計劃 ? 學生責任 ? 有沒有學到 ? (ROI) ? 資訊安全技術在醫(yī)療系統(tǒng)應用 ? 醫(yī)學知識 (臨床醫(yī)療 )的發(fā)展及困難 ? Patient Safety 醫(yī)療系統(tǒng)安全 定義 1 ? 全球電子化時代的來臨，衝擊著健康產業(yè)整體的結構與系統(tǒng)，當生命議題陎對即時性、互動性的電子化時代得以提昇品質並降低成本的同時，如何建立安全的網路交易環(huán)境以確保生命資料在網路傳輸過程不遭受偽造、竄改，同時保障個人生命隱私權利等問題及資通安全解決方案，如確保醫(yī)療健康資訊在傳輸過程中之完整性、機密性、不可否認性，降低民眾對於醫(yī)療資訊電子化後，對病患隱私保障的疑慮，是醫(yī)療系統(tǒng)安全刻不容緩的議題。 醫(yī)療系統(tǒng)安全 定義 2 本課程從社會陎、法律陎、管理陎、技術陎、標準陎與實務陎等，邀請國內專家、學者、醫(yī)療服務提供者等提出相關見解與思維，使了解醫(yī)療資訊安全解決方案。課程內容除了技術因應考量外，並包含相關法令規(guī)範、作業(yè)流程等內容皆須嚴謹?shù)闹贫?、評估與探討。 2. 安全的需求 : 免於生理上的傷害，免於心理上的恐懼與傷害。 4. 自尊的需求 : 追求自我的價值感，我是有能力、能勝任工作、和有用的人。 學生責任 ? 有沒有學到 ? (ROI) ? 一、我確實相信人值得信賴嗎？ ? 二、我確實相信人願意承擔責任嗎？ ? 三、我確實相信人會努力追求工作的意義嗎？ ? 四、我確實相信人天生尌希望學習嗎？ ? 五、我確實相信人雖拒絕﹁被改變﹂，但卻不拒絕改變嗎？ ? 六、我確實相信人比較喜歡工作，而不願遊手好閒嗎？ ? 心理學大師馬斯洛 (Abraham Harold Maslow)在一九四○年代提出的需求層級理論 (needhierarchy theory)對企業(yè)與管理的影響深遠，至今方興未艾。這兩位大師在一九六○年的某一天於麻州劍橋初次見陎，展開了一場精采的對話。 ?1995年 3月 ,俄國電腦專家利用網路進入美國花旗銀行自動轉帳系統(tǒng) ,竊取 40多筆總額 1千多萬安全之客戶存款 ,轉存至國外帳戶。 ?英國銀行估計全球因電腦犯罪的損失約 80億美元 /年 ,其中美國約佔 30~50億美元 ,美國 FBI估計金融領棫約佔 22億美元。沒想到幾天後，小敏陸續(xù)接到許多保險公司的推銷電話，煩不勝煩，不只如此，她還接到許多口音怪異的民調電話，甚至自稱是她親人被綁架或出車禍一類莫名其妙的電話，讓小敏感到非常困擾。 、商業(yè)廠牌或產品名稱，或特殊地名等。 字 ，如運動員、政治人物、音樂家等。 ?資料來源認証 (authentication):確保所收到的資料確實為某人所傳送 。 ?資料隱密性 (Confidentiality):防止敏感資料被竊取 ， 非法取得或洩露 。 駭客侵害模式 (商業(yè)機密或破壞 ) I n f o r m a t io ns o u r c eI n f o r m a t io nd e s t in a t io nI n f o r m a t io ns o u r c eI n f o r m a t io nd e s t in a t io nI n f o r m a t ions o u r c eI n f o r m a t iond e s t ina t ionI n f o r m a t ions o u r c eI n f o r m a t iond e s t ina t ion中斷、攔截 (Interruption) 偽造 (Fabrication) 中途竊聽 (Interception) 竄改 (Modification) Denial of Service 醫(yī)療管理資訊系統(tǒng)安全研究 ?confidentiality protect info value ?integrity protect info accuracy ?authentication protect info origin (sender) ?nonrepudiation protect from deniability =================================== ?user identification ensure identity of users ?access control control access to info/resources ?availabilty ensure info delivery modification of info, attacks integrity fabrication of info, attacks authentication interruption of service, attacks availability interception of infotraffic flow, attacks confidentiality 醫(yī)療管理資訊系統(tǒng)安全研究 (加密 ) Encryption C = E_(K)(P) Decryption P = E_(K)^(1)(C) SSL 加密通訊協(xié)定 SSL(Secure Socket Layer)是一種網際網路上最普遍使用的安全通訊協(xié)定，保障網站伺服器及瀏覽器之間的數(shù)據資料傳輸?shù)陌踩浴? ? 不可否認性： XKMS、 DSML ? 私密性： XML Encryption ? 完整性： XML Digital Signature ? 授權： XACML ? 身份驗證： SAML ? 透過 Web Services實做 XKMS ? 與平臺、廠商、傳輸協(xié)定獨立的公開金鑰管理標準 ? 所有和 Web Services安全有關的基礎 ? 包含兩個協(xié)定 : – XML Key Registration Service Specification (XKRSS) ? 定義服務介面 : – 註冊 : 註冊金鑰 – 註銷 : 銷毀擁有金鑰的資料物件 – 重配 : 重新配發(fā)已註冊金鑰 – 回復 : 回復私密金鑰 – XML Key Information Service Specification (XKISS) ? 允許應用程式驗證加密 /簽章資料 – 定位 : 找尋與 XML加密關聯(lián)的 KeyInfo元素 – 驗證 : 驗證與 KeyInfo相關的金鑰 XKMS XML Encryption XKMS Web Services SOAP WSDL XSD XML Digital Signature SAML SSL ? 允許目錄以 XML描述綱要 ? 支援查詢或修改目錄 ? 允許不包含 LDAP客戶端的裝置查詢目錄 ? 可通過會阻塞 LDAP資訊的防火牆 ? 應用程式伺服器與目錄服務溝通的標準方式 ? 應用程式伺服器可以從多個目錄服務收集資料，並將結果呈現(xiàn)給使用者 應用程式伺服器 DSML 目錄服務 DSML 應用程式伺服器 ? 定義保護 XML或非 XML文件機密性的規(guī)則 ? 基本要項： – 處理加密和解密的程序 – 加密內容的語法及格式 – 解密的方法和指令之語法及格式 ? 允許選擇性的加密文件的 部分 區(qū)段或元素 ? 資料加密的結果是以 XML加密元素 (EncryptedData)來制訂，其包含了加密的資料或指向某位置的參考 XML XML Web Services Web Services Web Services ? 不僅只有 XML，還可用來簽章各種數(shù)位內容 ? XML Digital Signature包含下列要件： –以 XML表達數(shù)位簽章 –可具備多重簽章 –一個簽章可包含一個以上的數(shù)值資料項目 –公開金鑰資訊可隨簽章附上 ? XML Digital Signature可能為 : –掩藏式簽章 (XML signature 位於來源 XML中 ) –包圍式簽章 (XML signature 包裝整個來源 XML) –分離式簽章 (XML signature獨立於來源 XML的文件中 ) ? SSL 提供 Web Services的傳輸層安全性 – 提供點對點的安全會談 ? 提供憑證、資料完整性和資料私密性 – 使用加密演算法保護私密資訊 – 使用公開金鑰和私密金鑰加密 – 可與數(shù)位憑證一同使用 ? SSL使用於 Web Services的限制： – 需要在傳輸路徑上對 完整訊息 進行加密和解密 – 無法使用一些需要用於安全性、路由和執(zhí)行政策並存放於表頭的資訊 ? 什麼是 XACML – 用來表示 XML文件或其他數(shù)位資訊的存取政策的 XML規(guī)格 – 定義了方法： ? 編碼規(guī)則 ? 連結規(guī)則與政策 – 定義在套用多個規(guī)則和政策的情況下使用之選擇和結合演算法 ? 為何使用 XACML – 支援分散式政策 – 具備支援任何新要求的擴充性 – 允許在政策中使用任意屬性如： ? 以時間 / 日期為基礎的政策 – 提供跨廠商或產品帄臺的互換性 Web Services SOAP SOAP Policy Enforcement Point(PEP) Policy Decision Point(PDP) Policy Repository Restrict Access XACML ? 透過網路交換安全相關資訊 ? 以 XML為基礎的架構 ? 與廠商獨立 ? 設計為可和多種協(xié)定如 HTTP, SMTP, SOAP, XML共同使用 ? 以 XML來提供標準的方式定義： –身份驗證 –授權 –屬性 ? 提供 單一簽入 的標準 User Authentication ASSERTIONS 精神科 泌尿科 婦產科 UID1 / PASS1 UID2 / PASS2 UID3 / PASS3 授權機構 ASSERTIONS ASSERTIONS ASSERTIONS 醫(yī)學資訊安全 ? 學程緣由 ? 醫(yī)學資訊安全重要 ? 去年醫(yī)學資訊安全課程 ? 今年醫(yī)學資訊安全精進計劃 ? 學生責任 ? 有沒有學到 ? (ROI) ? 資訊安全技術在醫(yī)療系統(tǒng)應用 ? 醫(yī)學知識 (臨床醫(yī)療 )的發(fā)展及困難 ? Patient Safety 醫(yī)學知識 (臨床醫(yī)療 )的發(fā)展及困難 ? 最早的科學 ? 最 ”模糊”的顯學 – 哈佛大學醫(yī)學院院長的話 : 是非不分 – 孔夫子說 ”知之為知之 不知為不知 是知也 ” ? 最不成熟 充滿 不確定 因素 (病情依 時 地 人 不同 ) ? 最難教育培養(yǎng)新人 – 師徒制 (是否超出人力範圍 ) – 新思維方法