HIPAA是美国前总统克林顿签署的健康保险携带和责任法案(Health Insurance Portability and
Accountability
Act)的缩写。该法案对多种医疗健康产业都具有规范作用,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。该法案的主要目标如下:
保证劳动者在转换工作时,其健康保险可以随之转移;
保护病人的病例记录等个人隐私;
促进国家在医疗健康信息安全方面电子传输的统一标准。
在HIPAA法案的相关标准中,有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。
HIPAA安全条例将安全标准分为四类,以保护信息系统的保密性、一致性和可用性:
管理流程(Administrative Procedures) 建立和落实安全策略;
物理防护(Physical Safeguards) 描述如何保护计算机系统实体以及相关的环境和设备,免受自然灾害或人为破坏;
技术安全服务(Technical Security Services) 描述对数据访问的保护和监控;
技术安全机制(Technical Security Mechanisms) 在网络中保护信息和限制数据访问的机制。
保密性即保护数据免受非法访问,如病人的病例属于个人隐私,应予以保密。虚拟专用网VPN采用目前最强的加密算法之一——3DES加密后,可在一个不可信网络的两端建立一个可信的通信管道,基本保证数据的安全性。
数据一致性是指保护数据免受非法修改和删除。数据伪装是常见的对数据一致性的攻击,恰当地配置网络防火墙和路由器可以阻挡大部分攻击。此外,采用“基线”机制,对数据进行基线记录或摘要算法签名,并定期进行基线记录比较或签名比较,检查数据是否被篡改,可有效地保证数据一致性。
可用性是指系统和数据处于可访问和运行阶段的时间长度。目前,最受关注的系统可用性威胁来自于拒绝服务攻击。此外,物理环境的安全问题也应引起重视。
电子签名标准是HIPAA安全条例的另一个重要方面。采用电子签名对在一致性、不可抵赖性和用户认证等方面将起到重要作用。其中,一致性保证数据从发送者到接收者的过程中
保证劳动者在转换工作时,其健康保险可以随之转移;
保护病人的病例记录等个人隐私;
促进国家在医疗健康信息安全方面电子传输的统一标准。
在HIPAA法案的相关标准中,有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。
HIPAA安全条例将安全标准分为四类,以保护信息系统的保密性、一致性和可用性:
管理流程(Administrative Procedures) 建立和落实安全策略;
物理防护(Physical Safeguards) 描述如何保护计算机系统实体以及相关的环境和设备,免受自然灾害或人为破坏;
技术安全服务(Technical Security Services) 描述对数据访问的保护和监控;
技术安全机制(Technical Security Mechanisms) 在网络中保护信息和限制数据访问的机制。
保密性即保护数据免受非法访问,如病人的病例属于个人隐私,应予以保密。虚拟专用网VPN采用目前最强的加密算法之一——3DES加密后,可在一个不可信网络的两端建立一个可信的通信管道,基本保证数据的安全性。
数据一致性是指保护数据免受非法修改和删除。数据伪装是常见的对数据一致性的攻击,恰当地配置网络防火墙和路由器可以阻挡大部分攻击。此外,采用“基线”机制,对数据进行基线记录或摘要算法签名,并定期进行基线记录比较或签名比较,检查数据是否被篡改,可有效地保证数据一致性。
可用性是指系统和数据处于可访问和运行阶段的时间长度。目前,最受关注的系统可用性威胁来自于拒绝服务攻击。此外,物理环境的安全问题也应引起重视。
电子签名标准是HIPAA安全条例的另一个重要方面。采用电子签名对在一致性、不可抵赖性和用户认证等方面将起到重要作用。其中,一致性保证数据从发送者到接收者的过程中