健康醫(yī)療大數(shù)據(jù)信息安全體系研究

健康醫(yī)療大數(shù)據(jù)信息安全體系研究緒論概述對(duì)健康醫(yī)療大數(shù)據(jù)的信息安全體系進(jìn)行研究，從信息安全目前面臨的問(wèn)題和如何解決信息安全問(wèn)題兩個(gè)方面入手，討論如何構(gòu)建健康醫(yī)療大數(shù)據(jù)信息安全體系，得出相關(guān)的結(jié)論。健康醫(yī)療大數(shù)據(jù)的良好利用，對(duì)整個(gè)健康衛(wèi)生領(lǐng)域的發(fā)展是非常有幫助的。有一個(gè)完善的信息安全體系是保證良好利用的前提。一個(gè)健全的信息安全體系，才可以讓健康醫(yī)療大數(shù)據(jù)更好地提高醫(yī)療服務(wù)的水平，造福社會(huì)。一個(gè)健全的信息安全體系可以增強(qiáng)醫(yī)療健康大數(shù)據(jù)技術(shù)保障能力，有利于信息安全基礎(chǔ)性工作，加快醫(yī)療健康大數(shù)據(jù)安全軟硬件技術(shù)產(chǎn)品研發(fā)和標(biāo)準(zhǔn)制定，提高醫(yī)療健康大數(shù)據(jù)平臺(tái)信息安全監(jiān)測(cè)、預(yù)警和應(yīng)對(duì)能力。在平衡創(chuàng)新發(fā)展與信息安全關(guān)系的同時(shí)，有利于建立醫(yī)療健康大數(shù)據(jù)安全管理規(guī)則、管理模式與管理流程，引導(dǎo)醫(yī)療健康大數(shù)據(jù)安全可控和有序發(fā)展 [1]。信息安全體系由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動(dòng)、相互依賴、不可分割的信息安全保障要素組成。一個(gè)系統(tǒng)的、完整的、 有機(jī)的信息安全體系的作用力遠(yuǎn)遠(yuǎn)大于各個(gè)信息安全保障要素的保障能力之和。 在此框架中， 以信息安全策略為指導(dǎo)，融和了安全技術(shù)、安全風(fēng)險(xiǎn)管理、安全組織與管理和運(yùn)行保障4個(gè)方面的安全體系，以此達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全防護(hù)目標(biāo)國(guó)內(nèi)外研究現(xiàn)狀國(guó)外研究現(xiàn)狀作為走在信息安全研究前列的大國(guó)，美、俄、日等國(guó)家都已制定自己的信息安全發(fā)展戰(zhàn)略和計(jì)劃，確保信息安全沿著正確的方向發(fā)展。2000年初美國(guó)出臺(tái)了電腦空間安全計(jì)劃，旨在加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施、計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)免受威脅的防御能力。2000年7月日本信息技術(shù)戰(zhàn)略本部及信息安全會(huì)擬定了信息安全指導(dǎo)方針。2000年9月俄羅斯批準(zhǔn)了《國(guó)家信息安全構(gòu)想》，明確了保護(hù)信息安全的措施。英國(guó)國(guó)家醫(yī)療服務(wù)體系在2016年7月份決定停止care.data健康醫(yī)療大數(shù)據(jù)平臺(tái)的決定，信息安全得不到保障是關(guān)閉的重要原因之一?！秾?duì)數(shù)據(jù)安全、同意和選擇退出的審查》是由英國(guó)“國(guó)家健康和醫(yī)療數(shù)據(jù)守護(hù)者”發(fā)布。2015年9月，英國(guó)衛(wèi)生大臣也委托其與英國(guó)醫(yī)療治療委員會(huì)緊密合作，共同提出新的數(shù)據(jù)安全標(biāo)準(zhǔn)、測(cè)評(píng)數(shù)據(jù)安全合理的新方法，以及獲取同意共享數(shù)據(jù)的新模式 [2]。為了應(yīng)對(duì)信息安全問(wèn)題，很多國(guó)家從立法、制度、技術(shù)三個(gè)方面推出了相應(yīng)的應(yīng)對(duì)策略，制定國(guó)家大數(shù)據(jù)戰(zhàn)略。美國(guó)、英國(guó)、法國(guó)、日本等發(fā)達(dá)國(guó)家均將大數(shù)據(jù)視為強(qiáng)化國(guó)家競(jìng)爭(zhēng)力的關(guān)鍵因素之一，非常重視數(shù)據(jù)安全體系建設(shè)方面的研究。國(guó)外比較成熟的關(guān)于信息安全體系建設(shè)的研究主要是關(guān)于服務(wù)信息化建設(shè)，提高對(duì)信息安全的認(rèn)識(shí)，全面推行安全等級(jí)保護(hù)，定期進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估以及安全加固，加強(qiáng)人才隊(duì)伍建設(shè)。實(shí)施信息安全保護(hù)工作過(guò)程中應(yīng)該注意的是明確要保護(hù)的目標(biāo)，建立信息安全管理保障體系，加強(qiáng)信息安全意識(shí)和管理能力。ISO的安全體系結(jié)構(gòu)主要內(nèi)容：①安全服務(wù)：包括認(rèn)證服務(wù)、訪問(wèn)控制、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和抗抵賴服務(wù)；②安全機(jī)制:ISO安全體系結(jié)構(gòu)中定義了一些安全機(jī)制.包括加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制、公證機(jī)制等③安全管理：其重要內(nèi)容是實(shí)施一系列的安全政策，對(duì)系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理，包括安全服務(wù)管理和安全機(jī)制管理 [3]。大數(shù)據(jù)的發(fā)展加速數(shù)據(jù)量的增多、大數(shù)據(jù)技術(shù)及應(yīng)用的更新，但是，大數(shù)據(jù)涉及的相關(guān)技術(shù)還不太成熟，軟件及硬件漏洞時(shí)有發(fā)生。同時(shí)，大數(shù)據(jù)外在所處的網(wǎng)絡(luò)環(huán)境高度開放，使用人員多并且復(fù)雜[4]。同時(shí)，已有的針對(duì)網(wǎng)絡(luò)安全建立的相關(guān)法律法規(guī)相對(duì)缺乏，全社會(huì)對(duì)于網(wǎng)絡(luò)安全確保也缺乏足夠重視。數(shù)據(jù)安全問(wèn)題及隱私泄露問(wèn)題體現(xiàn)的尤為明顯。信息安全體系的建設(shè)，應(yīng)該根據(jù)健康醫(yī)療大數(shù)據(jù)的業(yè)務(wù)方面的信息安全為導(dǎo)向，對(duì)業(yè)務(wù)進(jìn)行拆分，根據(jù)不同的層次制定相應(yīng)的信息安全體系的組成部分。技術(shù)安全是保障，運(yùn)營(yíng)過(guò)程的是載體，來(lái)支撐所要建設(shè)的信息安全體系。在信息安全體系建設(shè)的過(guò)程中應(yīng)該注意技術(shù)，運(yùn)營(yíng)和管理之間的協(xié)同作用，使這些方面緊密結(jié)合，確保安全措施可以落實(shí)到位。雖然，采取很多措施，努力建設(shè)一個(gè)完善的信息安全體系，但是仍然會(huì)有各種各樣的信息安全問(wèn)題的出現(xiàn)。信息安全體系建設(shè)，不可能完全消除這些問(wèn)題，關(guān)鍵是在于如何發(fā)現(xiàn)問(wèn)題，規(guī)避風(fēng)險(xiǎn)，解決問(wèn)題。在建設(shè)信息安全體系的過(guò)程中應(yīng)該通過(guò)必要的風(fēng)險(xiǎn)評(píng)估，運(yùn)用科學(xué)的方法和手段，盡可能準(zhǔn)確地發(fā)現(xiàn)體系中存在的信息安全問(wèn)題，發(fā)現(xiàn)系統(tǒng)的脆弱點(diǎn)。針對(duì)所得到結(jié)果，可以指定相應(yīng)的安全策略，盡可能降低風(fēng)險(xiǎn)所帶來(lái)的損害，控制在可接受的范圍之內(nèi)，最大限度地保障信息的安全性。通過(guò)信息安全體系的建設(shè)，可以完善體系，彌補(bǔ)體系中存在的問(wèn)題，提出解決方案，解決問(wèn)題。國(guó)外研究現(xiàn)狀在2016年7月16日，有媒體報(bào)道了在我國(guó)30個(gè)省份的至少有 275名艾滋病病人信息遭到了泄露。由于此事件，疾病預(yù)防與控制部門已經(jīng)向公安部門報(bào)案，世界衛(wèi)生組織駐華代表和聯(lián)合國(guó)艾滋病規(guī)劃署駐華部門聯(lián)合發(fā)表聲明，希望我國(guó)可以加強(qiáng)現(xiàn)在的信息系統(tǒng)的安全性，防止再發(fā)生此類事件。國(guó)家衛(wèi)生計(jì)生委在北京舉行了一場(chǎng)研討會(huì)，主要是為了學(xué)習(xí)6月份國(guó)務(wù)院下發(fā)的《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》。研討會(huì)的主題是數(shù)據(jù)安全和隱私，強(qiáng)調(diào)醫(yī)療大數(shù)據(jù)在數(shù)據(jù)安全有保障的情況下，才能有好的發(fā)展，才能發(fā)揮健康醫(yī)療大數(shù)據(jù)的功能，在這份意見指導(dǎo)書里面，“安全”一詞出現(xiàn)了33次，可見重視程度。2013年的時(shí)候，國(guó)家衛(wèi)計(jì)委發(fā)布了《關(guān)于加快推進(jìn)人口健康信息化建設(shè)的指導(dǎo)意見》，提出了在十三五規(guī)劃期間努力建設(shè)全國(guó)人口健康信息化平臺(tái)。這個(gè)平臺(tái)里面包含了十幾億人的健康方面的各種信息，這些信息是有隱私性質(zhì)的，在數(shù)據(jù)保密方面要求是很高的。不過(guò)，目前我國(guó)在這方面的狀況是讓人很擔(dān)憂的，整個(gè)衛(wèi)生領(lǐng)域的安全態(tài)勢(shì)是很不樂(lè)觀的。醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全能力和防范意識(shí)差，極易導(dǎo)致數(shù)據(jù)泄露。在信息使用傳遞過(guò)程中發(fā)生的泄露，可能包括科學(xué)研究過(guò)程、區(qū)域信息平臺(tái)數(shù)據(jù)交互過(guò)程等，盡管使用了基于角色訪問(wèn)控制技術(shù)和部分加密技術(shù)，但在信息安全和隱私保護(hù)等方面仍存在較大問(wèn)題。我國(guó)在衛(wèi)生行業(yè)發(fā)展的初級(jí)階段時(shí)，由于國(guó)家國(guó)情，體制，管理方面等的原因。信息安全沒(méi)有得到足夠的重視，缺乏有力的安全保護(hù)措施和審計(jì)辦法。同時(shí)，整個(gè)衛(wèi)生行業(yè)的人普遍存在信息安全意識(shí)過(guò)于薄弱的情形。由于這方面數(shù)據(jù)量的急劇增長(zhǎng)，各系統(tǒng)之間的數(shù)據(jù)方面的交叉，國(guó)家有關(guān)部門也發(fā)布了相關(guān)的文件來(lái)指導(dǎo)信息安全方面的工作，信息安全是需要被高度重視的。大數(shù)據(jù)安全體系問(wèn)題目前體現(xiàn)在四個(gè)方面：⑴由于大數(shù)據(jù)是處于網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)環(huán)境相對(duì)比較開放，大數(shù)據(jù)比較容易受到攻擊；⑵非結(jié)構(gòu)化數(shù)據(jù)在存儲(chǔ)方面具有新要求；⑶安全風(fēng)險(xiǎn)隨著技術(shù)發(fā)展而呈明顯增加的趨勢(shì)；⑷從事相關(guān)行業(yè)的人員在技術(shù)方面和信息安全保護(hù)意識(shí)方面比較薄弱完善的醫(yī)療健康大數(shù)據(jù)安全體系應(yīng)包括安全技術(shù)和管理制度兩個(gè)方面 [5][6]。在建設(shè)的過(guò)程中應(yīng)該：⑴確立范圍、⑵進(jìn)行風(fēng)險(xiǎn)評(píng)估、⑶規(guī)劃體系建設(shè)方案、⑷信息安全體系建設(shè)及后期維護(hù)[7]。同時(shí)可以進(jìn)行分層保護(hù)、分區(qū)域保護(hù)、分等級(jí)保護(hù)。[8]在技術(shù)方面要求達(dá)到“進(jìn)不來(lái)、拿不走、看不懂、改不了、跑不了”。要增強(qiáng)醫(yī)療健康大數(shù)據(jù)技術(shù)保障能力。加強(qiáng)安全測(cè)評(píng)、電子認(rèn)證、應(yīng)急防范等信息安全基礎(chǔ)性工作，大力推廣國(guó)產(chǎn)密碼算法應(yīng)用。同時(shí)可以很好的利用信息的等級(jí)保護(hù)。所謂信息安全等級(jí)保護(hù)，指的是將各種不同的信息，按照信息的性質(zhì)，重要性等方面進(jìn)行等級(jí)的劃分。按照等級(jí)的不同進(jìn)行不一樣的信息安全保護(hù)，對(duì)不同等級(jí)的信息安全事件有不同等級(jí)的應(yīng)急處理機(jī)制。加強(qiáng)大數(shù)據(jù)安全的措施：⑴采用大數(shù)據(jù)存儲(chǔ)安全策略 ⑵采用大數(shù)據(jù)應(yīng)用安全策略 ⑶采用大數(shù)據(jù)管理安全策略；⑷采用信息的等級(jí)保護(hù)[9]。建設(shè)信息安全體系應(yīng)該重視技術(shù)和管理方面。信息安全體系的技術(shù)方面的建設(shè)過(guò)程中應(yīng)該以信息安全策略和信息安全風(fēng)險(xiǎn)管理結(jié)果為指導(dǎo)，從硬軟件系統(tǒng)的防護(hù)，網(wǎng)絡(luò)方面的防護(hù)，應(yīng)用方面的防護(hù)，物理方面的防護(hù)等多個(gè)方面出發(fā)。充分利用目前已經(jīng)成熟的信息安全方面的技術(shù)，產(chǎn)品和相關(guān)理論等，建立一個(gè)各個(gè)方面之間相互協(xié)助的信息安全技術(shù)方面的體系。信息安全體系的管理方面是由若干個(gè)安全管理類組成，包括信息安全策略與制度管理、組織機(jī)構(gòu)與人員管理、設(shè)備和信息環(huán)境安全管理、系統(tǒng)和主機(jī)安全管理，數(shù)據(jù)加密安全管理以及網(wǎng)絡(luò)和通信方面安全管理等。信息安全體系的管理方面是一個(gè)復(fù)雜的過(guò)程，需要多方面多層次之間的協(xié)作?？梢酝ㄟ^(guò)安全策略，安全組織，安全運(yùn)行和安全技術(shù)來(lái)建設(shè)信息安全體系。安全策略 :明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全的管理意圖等，是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。安全組織 :是信息安全體系框架中最重要的安全管理策略之一，明確了大學(xué)信息安全組織體系及各級(jí)組織間的土作職責(zé)，覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理三個(gè)部分。安全運(yùn)行 :是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過(guò)程和人員的操作執(zhí)行，該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行管理兩個(gè)部分。安全技術(shù) :是從技術(shù)角度出發(fā)，落實(shí)大學(xué)組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施實(shí)現(xiàn)，是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效的技術(shù)措施保護(hù) ;安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對(duì)未授權(quán)的訪問(wèn)或誤用提供自動(dòng)保護(hù)，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層五個(gè)部分。我國(guó)在衛(wèi)生行業(yè)發(fā)展的初級(jí)階段時(shí)，由于國(guó)家國(guó)情，體制，管理方面等的原因。信息安全沒(méi)有得到足夠的重視，缺乏有力的安全保護(hù)措施和審計(jì)辦法。同時(shí)，整個(gè)衛(wèi)生行業(yè)的人普遍存在信息安全意識(shí)過(guò)于薄弱的情形。由于這方面數(shù)據(jù)量的急劇增長(zhǎng)，各系統(tǒng)之間的數(shù)據(jù)方面的交叉，國(guó)家有關(guān)部門也發(fā)布了相關(guān)的文件來(lái)指導(dǎo)信息安全方面的工作，信息安全是需要被高度重視的。健康醫(yī)療大數(shù)據(jù)信息安全體系的建設(shè)是很有必要的。健康醫(yī)療大數(shù)據(jù)信息安全體系影響因素在建設(shè)信息安全體系的過(guò)程中，應(yīng)該對(duì)所在網(wǎng)絡(luò)環(huán)境的內(nèi)部與外部的各種風(fēng)險(xiǎn)進(jìn)行分析，制定出與網(wǎng)絡(luò)環(huán)境相符的安全策略和安全目標(biāo)。注重技術(shù)方面與管理方面的聯(lián)系，形成符合健康醫(yī)療大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境的合理、完善的信息安全體系。信息安全體系建設(shè)有很多的影響因素。實(shí)體因素硬件問(wèn)題：運(yùn)行健康醫(yī)療大數(shù)據(jù)計(jì)算機(jī)的有關(guān)部件，內(nèi)存和硬盤等。電源問(wèn)題：機(jī)房是信息存儲(chǔ)很重要的部門，在系統(tǒng)突然失去供電的情況下，存儲(chǔ)器中的部分?jǐn)?shù)據(jù)可能會(huì)丟失，對(duì)信息安全產(chǎn)生威脅。所以應(yīng)該加強(qiáng)多電源方面的改進(jìn)。可以采用多種供電方法。當(dāng)電源出現(xiàn)問(wèn)題時(shí)可以有其他的電源供系統(tǒng)使用，當(dāng)問(wèn)題得到解決后，再切換到開始的供電方式。機(jī)房問(wèn)題：機(jī)房是重要部門，機(jī)房的安全防范工作是很重要的。如：出入記錄，門禁卡，錄像記錄，報(bào)警裝置等?？梢岳媚壳耙呀?jīng)很成熟的指紋技術(shù)，面部識(shí)別，虹膜技術(shù)等。同時(shí)可以對(duì)有關(guān)記錄進(jìn)行查詢。對(duì)機(jī)房進(jìn)行屏蔽處理，建立有高效屏蔽效能的設(shè)施，防止高輻射設(shè)備的信號(hào)外泄等。傳輸問(wèn)題：在信息傳輸過(guò)程中，進(jìn)行傳輸屏蔽，防止信息的泄露。內(nèi)部原因網(wǎng)絡(luò)問(wèn)題：由于網(wǎng)絡(luò)出現(xiàn)問(wèn)題，對(duì)數(shù)據(jù)的存儲(chǔ)產(chǎn)生影響，造成信息缺失，網(wǎng)絡(luò)的安全性需要得到有力的監(jiān)督。操作系統(tǒng)問(wèn)題：健康醫(yī)療大數(shù)據(jù)的信息系統(tǒng)依靠操作系統(tǒng)運(yùn)行，操作系統(tǒng)是有漏洞的，不重視操作系統(tǒng)的漏洞，很容易讓系統(tǒng)受到攻擊，造成數(shù)據(jù)的缺失。人員問(wèn)題：人為因素在信息安全方面是一個(gè)主導(dǎo)作用。相關(guān)人員在操作過(guò)程中，不嚴(yán)格按照相關(guān)的規(guī)范，加入個(gè)人主觀方面的操作，很可能導(dǎo)致信息的不規(guī)范，真實(shí)性受到影響。軟件系統(tǒng)問(wèn)題：信息系統(tǒng)的相關(guān)軟件在運(yùn)行的過(guò)程中，由于軟件的設(shè)計(jì)可能存在一定的問(wèn)題，可能會(huì)影響到數(shù)據(jù)的完整性。信息泄露和丟失問(wèn)題：信息也許會(huì)在存儲(chǔ)過(guò)程中丟失或泄露，在存儲(chǔ)過(guò)程中發(fā)生泄露或丟失，也有可能外界建立隱蔽通道竊取信息。訪問(wèn)權(quán)限問(wèn)題：在不經(jīng)過(guò)同意的情況下，對(duì)系統(tǒng)進(jìn)行訪問(wèn)，獲取信息資源就屬于在沒(méi)有獲得授權(quán)的情況下進(jìn)行訪問(wèn)。刻意改變系統(tǒng)的訪問(wèn)信息機(jī)制，在不經(jīng)過(guò)同意的情況下對(duì)信息資源進(jìn)行獲取并利用。如：沒(méi)有授權(quán)的用戶進(jìn)行非法訪問(wèn)，用假身份進(jìn)行訪問(wèn)等外部原因病毒：病毒在攻擊一個(gè)系統(tǒng)后，會(huì)對(duì)系統(tǒng)產(chǎn)生很大的影響，病毒的攻擊可能直接導(dǎo)致信息的丟失，直接影響信息安全。由于健康醫(yī)療大數(shù)據(jù)對(duì)病毒的防治目前來(lái)說(shuō)是很重要的。對(duì)網(wǎng)絡(luò)病毒問(wèn)題的應(yīng)對(duì)技術(shù)，目前都還是以防御為主。應(yīng)該積極探索更加先進(jìn)的病毒防治技術(shù)，做到主動(dòng)殺滅病毒，預(yù)防病毒攻擊。意外事故影響：意外事故產(chǎn)生的可能性比較小，但是一旦發(fā)生，就會(huì)對(duì)整個(gè)系統(tǒng)產(chǎn)生毀滅性的打擊。如火災(zāi)，地震，水災(zāi)等。可以提前建立相應(yīng)的預(yù)防機(jī)制，在事故來(lái)臨時(shí)，可以進(jìn)行有效的預(yù)防，將事故帶來(lái)的損失降到最低。健康醫(yī)療大數(shù)據(jù)信息安全體系建設(shè)原則信息安全體系建設(shè)原則是信息安全體系如何建設(shè)的指導(dǎo)手冊(cè)，在加納康醫(yī)療大數(shù)據(jù)信息安全體系建設(shè)過(guò)程中應(yīng)該遵循以下原則完備性與可靠性在建設(shè)信息安全體系的過(guò)程中，應(yīng)該在注重理論的同時(shí)，關(guān)注理論與實(shí)際的結(jié)合，理論是否可行，必須用實(shí)際來(lái)驗(yàn)證。理論和實(shí)際的結(jié)合，才能很好的建設(shè)信息安全體系，才能實(shí)現(xiàn)信息安全體系應(yīng)有的價(jià)值。在信息安全體系建設(shè)的過(guò)程中，應(yīng)該注意防護(hù)措施的多重性，這樣才可以很好的體現(xiàn)出信息安全體系的可靠性。單獨(dú)的任何一種保護(hù)措施都不可能是完美的，都會(huì)有一定的缺點(diǎn)，多種保護(hù)措施的結(jié)合可以增加可靠程度，減少缺點(diǎn)?？梢院苡行У谋苊庥捎谀骋稽c(diǎn)的失誤，造成整個(gè)系統(tǒng)受損嚴(yán)重的情況。全面性和動(dòng)態(tài)性一個(gè)完善的信息安全體系包含很多個(gè)方面，在信息安全體系建設(shè)的過(guò)程中應(yīng)該考慮從多個(gè)角度，多個(gè)層次和多個(gè)環(huán)節(jié)入手，來(lái)進(jìn)行體系建設(shè)的規(guī)劃。根據(jù)以往的經(jīng)驗(yàn)，在一個(gè)信息安全體系中，某一個(gè)方面的問(wèn)題都有可能對(duì)信息安全產(chǎn)生很直接的影響。所以信息安全體系建設(shè)的過(guò)程中，全面性是必須要做到的。信息安全體系不是一個(gè)靜止的元素的集合，是一個(gè)與有關(guān)方面進(jìn)行互動(dòng)的動(dòng)態(tài)的過(guò)程。同時(shí)信息安全體系所處的環(huán)境也是動(dòng)態(tài)的。所以建設(shè)的信息安全體系應(yīng)該滿足動(dòng)態(tài)性的要求，做到可持續(xù)發(fā)展。可擴(kuò)展性和經(jīng)濟(jì)適用性信息安全體系的建設(shè)應(yīng)該具有一定的可擴(kuò)展性。因?yàn)樾畔踩w系是一個(gè)動(dòng)態(tài)的信息的集合，很多方面和環(huán)節(jié)是隨時(shí)發(fā)生變化的，隨著系統(tǒng)的運(yùn)轉(zhuǎn)，會(huì)出現(xiàn)各種的問(wèn)題，這就需要體系面對(duì)新的問(wèn)題，并做出相應(yīng)的改變，具有相應(yīng)的可擴(kuò)展性。滿足動(dòng)態(tài)發(fā)展的需求。在信息安全體系的建設(shè)過(guò)程中，應(yīng)該充分考慮組織在經(jīng)濟(jì)方面的承受能力。如果信息安全體系建設(shè)成功以后，組織的收益滿足不了組織的支出，那這個(gè)信息安全體系就是一個(gè)失敗的體系。全員參與的原則信息安全方面的管理工作必須以實(shí)際的業(yè)務(wù)相結(jié)合，如果脫離實(shí)際的業(yè)務(wù)，那么這種信息安全管理工作就是毫無(wú)意義的。在信息安全體系建設(shè)的過(guò)程中，應(yīng)該有高層制定有關(guān)的政策，方向和政策。積極地鼓勵(lì)全體員工參與到信息安全體系建設(shè)的工作中來(lái)，員工可以明確自己在信息安全體系建設(shè)過(guò)程中所扮演的角色及自己的職責(zé)。全員參與才能更好的建設(shè)信息安全體系。健康醫(yī)療大數(shù)據(jù)信息安全體系建設(shè)的風(fēng)險(xiǎn)評(píng)估在進(jìn)行健康醫(yī)療大數(shù)據(jù)信息安全體系建設(shè)之前應(yīng)該進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估工作已經(jīng)成為了信息安全體系建設(shè)工作中一項(xiàng)基礎(chǔ)性的工作在信息安全體系建設(shè)之前進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以明確信息安全體系的安全需求及所要達(dá)到的目標(biāo)?？梢杂杏?jì)劃，有針對(duì)性的進(jìn)行信息安全體系的建設(shè)，可以避免出現(xiàn)保護(hù)欠缺或者保護(hù)過(guò)剩的額情況。在信息安全體系建設(shè)完成以后，通過(guò)風(fēng)險(xiǎn)評(píng)估工作，可以檢驗(yàn)建成的信息安全體系是否可以滿足要求，是否實(shí)現(xiàn)了設(shè)計(jì)的功能。在系統(tǒng)運(yùn)行的過(guò)程中應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以及時(shí)的發(fā)現(xiàn)信息安全方面可能存在的問(wèn)題。當(dāng)信息安全體系發(fā)生改變后，及時(shí)的進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，可以更加有效的應(yīng)對(duì)存在的問(wèn)題。風(fēng)險(xiǎn)評(píng)估的內(nèi)容有技術(shù)層面和管理層面兩個(gè)方面。技術(shù)方面指的是對(duì)信息安全有關(guān)的網(wǎng)絡(luò)和主機(jī)進(jìn)行風(fēng)險(xiǎn)評(píng)估。包括有關(guān)的硬軟件系統(tǒng)，數(shù)據(jù)庫(kù)，操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備等。管理層面指的是對(duì)組織的人員，組織結(jié)構(gòu)，系統(tǒng)運(yùn)行的機(jī)制，相關(guān)的管理制度，管理方面的缺陷等。風(fēng)險(xiǎn)評(píng)估的方面：⑴對(duì)有關(guān)的網(wǎng)絡(luò)薄弱部分進(jìn)行評(píng)估，可以及時(shí)發(fā)現(xiàn)技術(shù)層面存在的問(wèn)題，及時(shí)準(zhǔn)備應(yīng)對(duì)方案。⑵對(duì)信息安全體系各個(gè)方面和環(huán)節(jié)的信息進(jìn)行采集，如網(wǎng)絡(luò)設(shè)備、管路制度、運(yùn)行方式等，對(duì)所采集到的信息進(jìn)行分析，加以評(píng)估。⑶對(duì)現(xiàn)有的信息安全體系的運(yùn)行情況有關(guān)的信息進(jìn)行收集，了解目前信息安全體系的現(xiàn)狀。⑷在經(jīng)過(guò)上面幾個(gè)過(guò)程的信息收集并分析和評(píng)估后，形成關(guān)于此信息安全體系的風(fēng)險(xiǎn)評(píng)估報(bào)告。⑸根據(jù)得到的報(bào)告，可以對(duì)接下來(lái)的信息安全工作進(jìn)行指導(dǎo)，更加有利于信息安全體系的建設(shè)。風(fēng)險(xiǎn)評(píng)估過(guò)程⑴制定項(xiàng)目計(jì)劃與培訓(xùn)：對(duì)信息安全體系進(jìn)行全方位的識(shí)別分析，對(duì)信息安全體系有一個(gè)很全面的認(rèn)識(shí)。同時(shí)進(jìn)行弱點(diǎn)分析和威脅分析。⑵收集資料：根據(jù)第一個(gè)步驟的結(jié)果，進(jìn)行相關(guān)資料的收集。明確目前發(fā)現(xiàn)問(wèn)題的來(lái)源，以及對(duì)已有控制措施的分析。進(jìn)行相關(guān)的可能性及影響分析。⑶風(fēng)險(xiǎn)分析：對(duì)發(fā)現(xiàn)的信息安全體系中安全方面存在的風(fēng)險(xiǎn)進(jìn)行分析，對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別，進(jìn)行相關(guān)的分類或者分級(jí)處理。根據(jù)風(fēng)險(xiǎn)的不同類別或者不同級(jí)別，確定相應(yīng)的風(fēng)險(xiǎn)處理措施。⑷形成評(píng)估報(bào)告：根據(jù)前面的步驟形成關(guān)于此信息安全體系的風(fēng)險(xiǎn)評(píng)估報(bào)告?？梢愿玫剡M(jìn)行信息安全體系的建設(shè)，使之更加完善和合理。風(fēng)險(xiǎn)評(píng)估原則在對(duì)信息安全體系進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，肯定會(huì)接觸到各種核心和敏感的信息，如果處理不當(dāng)，可能帶來(lái)新的風(fēng)險(xiǎn)。所以，風(fēng)險(xiǎn)評(píng)估應(yīng)該遵循以下的原則：⑴可控性原則：在評(píng)估的過(guò)程中應(yīng)該使用可控性比較強(qiáng)的工具，可以得到更加符合要求的信息。⑵標(biāo)準(zhǔn)性原則：對(duì)信息安全體系進(jìn)行風(fēng)險(xiǎn)評(píng)估應(yīng)該有相應(yīng)的評(píng)估指標(biāo)和標(biāo)準(zhǔn)。⑶一體性原則：信息安全體系是一個(gè)包含很多個(gè)方面和環(huán)節(jié)的整體。在評(píng)估時(shí)應(yīng)該考慮到各個(gè)方面和各個(gè)關(guān)節(jié)?？梢允沟玫降慕Y(jié)果更加全面。⑷保密性原則：在對(duì)信息安全體系進(jìn)行評(píng)估時(shí)會(huì)接觸到很多核心和敏感的信息，信息的泄露會(huì)對(duì)信息安全體系產(chǎn)生不利的影響，應(yīng)該遵循保密性原則。⑸最小影響原則：對(duì)體系的風(fēng)險(xiǎn)評(píng)估肯定會(huì)對(duì)整個(gè)體系正常的運(yùn)轉(zhuǎn)產(chǎn)生各種影響。應(yīng)該遵循最小影響原則，保證體系的正常運(yùn)轉(zhuǎn)。綜上，信息安全體系風(fēng)險(xiǎn)評(píng)估是信息安全體系建設(shè)過(guò)程中一個(gè)重要的環(huán)節(jié)，可以對(duì)信息安全體系建設(shè)提供很有利的幫助和建議。對(duì)風(fēng)險(xiǎn)評(píng)估工作要有必要的重視。構(gòu)建信息安全體系應(yīng)該重視技術(shù)與管理的相結(jié)合有些組織簡(jiǎn)單地認(rèn)為只要投入資金購(gòu)買大量的信息安全有關(guān)的產(chǎn)品就可以保證信息安全。結(jié)果發(fā)現(xiàn)，投入再多的資金仍然無(wú)法獲得非常理想的信息安全狀態(tài)。信息安全體系的建設(shè)不是簡(jiǎn)簡(jiǎn)單單地投入資金就可以了，應(yīng)該清楚地認(rèn)識(shí)到信息安全體系是一個(gè)由技術(shù)，資金，人員，組織管理等各個(gè)方面組成的整體，僅關(guān)注其中的一個(gè)方面或者環(huán)節(jié)，是無(wú)法建立一個(gè)完善的信息安全體系。必須考慮每一個(gè)方面，每一個(gè)環(huán)節(jié)等各個(gè)方面的因素。需要注意：信息安全產(chǎn)品和制定策略之間的關(guān)系應(yīng)該轉(zhuǎn)變概念，不要認(rèn)為只要是投入資金多的就肯定是更好的，在一個(gè)信息安全體系中，往往是一些投入低的產(chǎn)品，甚至是免費(fèi)的產(chǎn)品可以發(fā)揮很重要的作用。應(yīng)該在對(duì)要建設(shè)的信息安全體系進(jìn)行分析評(píng)估以后，選擇合適的產(chǎn)品。同時(shí)，不應(yīng)該忽略安全策略方面的問(wèn)題。例如存儲(chǔ)數(shù)據(jù)的終端很重要，對(duì)這些終端的管理同樣重要。但是現(xiàn)實(shí)中，往往會(huì)忽略對(duì)終端的管理，忽略了管理人員水平參差不齊的問(wèn)題。應(yīng)該對(duì)所要建設(shè)的信息安全體系有一個(gè)適合的安全策略。技術(shù)層面與管理層面的關(guān)系對(duì)一個(gè)要建設(shè)的信息安全體系來(lái)說(shuō)，技術(shù)與管理是同等的地位。技術(shù)無(wú)法替代管理的作用，反過(guò)來(lái)也一樣。尤其是在信息安全體系的內(nèi)部來(lái)說(shuō)，管理的作用往往是很大的。技術(shù)可以限制諸多方面，但是無(wú)法限制一個(gè)人的諸多行為。可以通過(guò)技術(shù)來(lái)限制一個(gè)成員竊取其他成員的信息，但是無(wú)法限制一個(gè)成員對(duì)自己信息發(fā)的獲取。所以，對(duì)信息安全體系中的信息的安全管理是非常重要的。信息安全體系管理方面的建設(shè)：首先建立起信息安全的組織架構(gòu)和職責(zé)體系。信息安全組織架構(gòu)主要包括參與信息安全決策、管理、執(zhí)行和監(jiān)督工作的部門信息安全組織建設(shè)包括信息安全組織、各級(jí)崗位的安全職責(zé)、各系統(tǒng)安全管理員等、其次建立起信息安全的總體策略以及涉及人員.及包含物理層網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、客戶端在內(nèi)各 IT層面的信息安全管理的策略、規(guī)范、制度、標(biāo)準(zhǔn)和流程建立適合信息安全體系的管理制度和管理流程充分了解信息安全體系的各個(gè)工作環(huán)節(jié)，制定適合的管理制度。很多工作人員由于平時(shí)工作任務(wù)多，會(huì)忽略很多當(dāng)時(shí)不是很緊迫的工作，結(jié)果導(dǎo)致在交任務(wù)的時(shí)候，沒(méi)有拿得出手的成果。讓工作人員及時(shí)的做好自己的職責(zé)范圍內(nèi)的事情，并積極反饋?？梢约皶r(shí)地發(fā)現(xiàn)信息安全體系內(nèi)存在的問(wèn)題。要通過(guò)制定的管理制度，使得工作過(guò)程制度化，流程化，標(biāo)準(zhǔn)化。要積極的監(jiān)督制度的實(shí)施情況，不要出現(xiàn)制度制定很合理，執(zhí)行不到位的情況。建立相應(yīng)的管理組織信息安全體系里面有很多核心數(shù)據(jù)，如果管理不到位肯定會(huì)帶來(lái)很多損失。一個(gè)完善的信息安全體系里面肯定會(huì)有信息安全管理有關(guān)的組織。同時(shí)，管理組織應(yīng)該有一定的權(quán)利。如有成員違反了相應(yīng)的規(guī)定，應(yīng)該有管理組織根據(jù)相應(yīng)的規(guī)章制度進(jìn)行處理。加強(qiáng)管理人員的管理水平，安全意識(shí)和法律意識(shí)在一個(gè)信息安全體系中，人員是最活躍的一部分，是非常重要的組成部分。要建立一個(gè)健全的信息安全體系，其中工作人員的安全意識(shí)、法律意識(shí)和管理水平是必不可少的組成部分。在信息安全體系建設(shè)的過(guò)程中應(yīng)該重視信息安全管理人員的技術(shù)培訓(xùn)，信息安全體系是一個(gè)動(dòng)態(tài)變化的過(guò)程，信息安全管理人員的管理水平也應(yīng)該得到提高。信息安全體系技術(shù)方面的建設(shè)：網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全劃分為安全防護(hù)、安全監(jiān)控、網(wǎng)絡(luò)安全宙計(jì)等幾個(gè)部分。防火墻根據(jù)整體安全體系建設(shè)規(guī)劃，在網(wǎng)絡(luò)出口和內(nèi)網(wǎng)需要安全防護(hù)的區(qū)域進(jìn)行基于狀態(tài)監(jiān)測(cè)的網(wǎng)絡(luò)間訪問(wèn)控制。防病毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界處部署統(tǒng)一的防病毒網(wǎng)關(guān)主要防御網(wǎng)絡(luò)蠕蟲病毒木馬等基于網(wǎng)絡(luò)傳播的惡意代碼。與終端防病毒系統(tǒng)互補(bǔ)構(gòu)成立體的病毒防御體系。入侵檢測(cè)系統(tǒng)在不同的網(wǎng)絡(luò)區(qū)域內(nèi)部署基于動(dòng)態(tài)監(jiān)測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)有效彌補(bǔ)靜態(tài)防護(hù)技術(shù)的不足，實(shí)現(xiàn)分布式多點(diǎn)監(jiān)控體系。網(wǎng)絡(luò)漏洞掃描系統(tǒng):根據(jù)安全策略和實(shí)際需求部署網(wǎng)絡(luò)漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)內(nèi)的重要的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)系統(tǒng)進(jìn)行定期的漏洞掃描 .清晰定義安全風(fēng)險(xiǎn)給出修復(fù)建議和預(yù)防措施。部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)第三方運(yùn)行維護(hù)人員或其他人員對(duì)重要的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等的操作行為進(jìn)行合規(guī)性審計(jì)并根據(jù)安全策略進(jìn)行響應(yīng)終端安全終端安全防護(hù)：主要是對(duì)于大數(shù)據(jù)有關(guān)的終端防病毒系統(tǒng)的建設(shè)和部署。終端維護(hù)與管理：包含終端準(zhǔn)入控制、終端運(yùn)維管理、和資產(chǎn)管理等幾部分內(nèi)容信息安全合理地劃分安全范圍，在安全范圍之間尋求一個(gè)平衡點(diǎn)非常重要。解決在網(wǎng)絡(luò)拓?fù)渲蠾EB應(yīng)該擺在什么位置、業(yè)務(wù)數(shù)據(jù)中心庫(kù)應(yīng)該擺在什么位置、如何利用防火墻等合理劃分這些范圍等問(wèn)題。由于健康醫(yī)療大數(shù)據(jù)內(nèi)容涉及很多包含個(gè)人隱私的信息，同時(shí)又要便于公開服務(wù)，因此對(duì)信息安全范圍的科學(xué)劃分和管理，將有益于健康醫(yī)療大數(shù)據(jù)的健康發(fā)展。物理層安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程它主要包括三個(gè)方面 :環(huán)境安全、設(shè)備安全、線路安全。根據(jù)傳輸數(shù)據(jù)的性質(zhì)、重要性等方面綜合考慮，選擇合適的傳輸方式，保證物理層面的安全。操作系統(tǒng)安全為保護(hù)防火墻自身的安全，要在防火墻的底座架構(gòu)上采用安全操作系統(tǒng)，在使用中加強(qiáng)認(rèn)證、加密傳輸?shù)劝踩胧?。操作系統(tǒng)主要通過(guò)增強(qiáng)的身份標(biāo)識(shí)與驗(yàn)證、細(xì)化的自主訪問(wèn)控制、特權(quán)用戶職責(zé)劃分、強(qiáng)制訪問(wèn)控制、審計(jì)跟蹤以及安全管理等方面措施增強(qiáng)對(duì)基本安全功能的支持。由于我國(guó)沒(méi)有掌握CPU等核心技術(shù)，被國(guó)外所壟斷，充分考慮健康醫(yī)療大數(shù)據(jù)相關(guān)的操作系統(tǒng)的安全性是我國(guó)的國(guó)情所決定的。系統(tǒng)層安全和應(yīng)用層安全系統(tǒng)層安全主要包括兩個(gè)部分 :操作系統(tǒng)安全技術(shù)以及數(shù)據(jù)庫(kù)安全技術(shù)。對(duì)于在于大數(shù)據(jù)相關(guān)的關(guān)鍵的服務(wù)器和工作站應(yīng)該采用服務(wù)器版本的操作系統(tǒng)。應(yīng)用層安全根據(jù)健康醫(yī)療大數(shù)據(jù)專用網(wǎng)絡(luò)業(yè)務(wù)和服務(wù)，采用身份認(rèn)證技術(shù)、防病毒技術(shù)、以及對(duì)各種應(yīng)用服務(wù)的安全性增強(qiáng)配置