醫療資訊安全 郭士民 作者:劉 立
安全管理的定義 完善的資訊安全管理,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,導致資訊資產遭不當使用、洩漏、竄改、破壞等情事,採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 狹義來說,利用密碼學與安全協定以保護機密或敏感資料,防制未授權的揭露;廣義來說,必須兼顧人員、程序、資料、硬體、軟體、實體環境等管理議題,確保資料及系統資源的機密性、整體性、可取用性、安全管理及安全政策。
安全考量 安全管理所應注意的考量點包括:安全標準尚未成熟、先天性安全漏洞、竊聽、連線巧取、連線劫奪、作業系統漏洞、密碼盜用、特洛依木馬、隱密通道、身分識別。 安全管理必須從網路架構、電腦軟體、電腦硬體、安全級別及安全標籤、防火牆、資料加密、安全教育等方向,以安全性策略、帳戶辨識記錄能力、可靠度、說明文件等考量,建立安全的環境。
安全目標 一、機密性 機密性主要的對象是資料,在醫學上,機密性的目標除了一般祕密性與隱私性的要求外,有著更強烈的要求。由於醫療記錄的擁有者是病患,但其產生者卻是醫師,而非病患本人,使機密性的要求又多了一層困難 。 二、整體性 整體性要求資料只能以可接受的方式更改、只能被已授權的人員處理或更改、相關資料間必須保持一致性以及有意義的正確結果。由於醫學資料豐富性及完整性的要求,擁有影像及文字等不同型態的媒體格式,也常結合於同類別的醫學資料,因此整體性的考量在醫學上就更加重要。 三、可取用性 醫學資訊乃是攸關生命的資訊,可取用性的要求自不待言,醫師看診的立即性以及服務身心靈受創患者的急迫性,資料與系統必須能夠及時回應、公平配置,並且具有容錯的能力,因此可取用性的要求更是一般系統所無法比擬。
安全目標的考慮首重實體安全,一旦實體安全得以確保,資料的安全便獲得保障。安全目標必須從四個方向來考慮: 1.實體安全:門禁管制、消防設備、媒體出入管制、資訊線路之管制及災害應變計畫、設備定期維護。 2.資料安全:檔案備份、檔案保管人與維護人清單、訂定擷取檔案資料權責、檔案機密等級分類、研討檔案遭損壞之風險接受程度、資料的加密及解密。 3.程式安全:一切已正式啟用的程式、模組的變更管理、問題管理、個人電腦硬式磁碟使用管理、網路監控管理、線上傳輸異動代號管理、終端機使用權責管理、特定人員之專用線路及路線接頭控制、密碼的規則與變更期限都包括在內。 4.系統安全:網路作業系統為整個作業環境的中樞,若系統遭人蓄意破壞,將無法產生有用的資訊,因此事先必須詳細規劃並設定好網路使用者所能使用的資源及帳號和密碼,之後時常監控網路環境的變化。
安全評量 橘皮書是目前頗具權威的電腦系統安全標準之一,將具安全性能的系統稱作「受信任系統」而非「安全系統」。所謂「受信任系統」乃是指「一個由硬體及軟體所組成的完整系統,在不違反存取權限的情況下,能同時服務不定個數的用戶,並處理從一般機密至最高機密等不同範圍的資訊」。 橘皮書將一個電腦系統依安全條件、基準等規則之信任程度予以分級,依其安全性由高而低劃分為A、B、C、D四個大等級,較高等級的安全範圍涵蓋較低等級,而每個大等級又以安全性高低依次編號,細分成數個小等級 此處所謂的安全範圍指的是滿足一安全等級需具備的所有評量基準所構成的集合,橘皮書的評量基準分成四大類: 安全性策略:即保護系統規則的敘述 帳戶辨識記錄能力:指系統辨視使用者及記錄與安全性相關活動的能力 可靠度:指系統的安全程度是否可用公式或文字證明、有足夠的文件描述、有明確的發展及建構方案、可經過嚴正的安全測試、有完整的維護方案等 說明文件:指與系統之安全性相關的所有文件
密碼學 因為電腦網路是個開放的環境,在網路上流通的資訊都可能遭他人竊取。既然無法防止他人竊取,唯一的方法就是利用密碼學的概念先將資料加密,再於網路上傳送,等傳到目的地後再加以解密。 密碼學技術主要透過明文之混淆及擴散兩種方式而成為密文,其所謂之安全並非不可由密文回復成為明文,而是根據計算論的NP-complete,計算複雜度上不可行。密碼系統破密複雜度可以分為四類:資料複雜度、計算複雜度、記憶體複雜度及成本效益考量。 密碼系統被破解之程度可以分為完全破解、全域推論、局部推論及資訊推論。完全破解乃是獲得加解密之金鑰對或計算出另一金鑰對;而全域推論就是找到另一個替代的密碼演算法而可以得到原先演算法所產生的任何相同結果;局部推論係指由某一個密文去推導出所對應的明文;資訊推論即為由一些密文中去推論出有關明文或金鑰的資訊。
破密的方式可能由給定一些密文,推導所有的明文或密鑰,或從某一個密文推導所對應的明文,此外可能由某些明文及密文對推導密鑰,亦可能預先選擇的明文及其相對應的密文推導密鑰,另外在未知金鑰的前提下,可以計算出合法的明文/密文對或可被驗證成功的訊息/簽章。除了上述由明文/密文之攻擊方式以外,亦可能從某一些金鑰中獲得金鑰產生關係,進而得知對應於某一把公鑰之私鑰
以金鑰為基礎的加密技術 以金鑰為基礎的加密技術分為對稱性與非對稱性兩種,主要的功能是在文件透過網路傳輸的過程中,利用軟體將傳輸文件編碼,收件者在接獲文件時,再以解密的技術將文件還原。 一、對稱性密碼系統 對稱性密碼系統有個缺點,就是金鑰的交換問題;發文者與收文者必須擁有相同的金鑰,而此金鑰不能為其他人知道。為了提升安全性,每次使用的金鑰最好不同,而金鑰如利用網路傳送,還是可能為他人竊取。 二、非對稱性密碼系統 主要以兩個質數作為加密與解密的兩個金鑰,加密與解密所用的金鑰不同,使用者先透過其演算法產生一對金鑰,一把稱為私密金鑰,另一把稱為公開金鑰,私密金鑰只有使用者自己知道,而公開金鑰則可公開讓大眾知道,兩把金鑰有一定的依存關係,但從公開金鑰無法推得私密金鑰。
常見的作法還是先使用對稱性密碼法(如DES)對明文加密,再使用非對稱性密碼法將所用的DES金鑰加密,然後將密文與加密後的金鑰一同傳送。收文的一方則先用非對稱性密碼法解開DES金鑰,再用解開後的金鑰將密文解密。 安全socket層(SSL)乃是常用的網路安全協定,用來保護網上使用瀏覽器交易安全的規格,因為各家瀏覽器軟體都支援它的功能,因此是目前在網路上最受到廣泛採納的一種。 安全電子交易標準由萬事達(Master)與威士(Visa)兩個信用卡組織主導,結合IBM、微軟、網景等國際資訊廠商共同推廣的網路電子商務交易安全標準。商家可以利用SET確認消費者身分,但不會看見消費者信用卡的號碼,因此消費者在網上沒有被盜刷的危險。不過SET的系統太過複雜,建置的成本稍高,所以目前電子商務上的保密協定,還是以RSA、SSL系統為主。
醫療資訊交換與密碼技術 (一)金鑰產製 管理中心之初始金鑰對產製,需由多位經授權之憑證管理人員所持有之密鑰驗證後才可啟動產製流程 由用戶自行產生,再將公開金鑰交給憑證管理中心簽發憑證 由具有公信力的第三者代為產生金鑰對後,將祕密金鑰對交給用戶保管使用,並將與產生該金鑰有關的所有相關資料銷毀,然後把公開金鑰傳送憑證管理中心簽發憑證 「醫療憑證管理中心」採用 RSA 演算法,金鑰對長度為 2048 bits。其生成之RSA 參數e值為 65,537。對於簽發憑證之金鑰需在符合 FIPS-140-1 Level 3規範之硬體密碼模組內產生 一般憑證用戶,可由「醫療憑證管理中心」代為產生,並透過控管程序寫入至 IC卡內 伺服器應用軟體憑證,由用戶自行產生與控管,並需於申請憑證時切結保證私密金鑰管理之安全性
(二)金鑰存取 憑證管理中心之私密金鑰存取時,需由多位經授權之憑證管理人員所持有之智慧卡驗證後才可存取 (三)金鑰備援 憑證管理中心之私密金鑰分割為三張智慧卡備援,此備援存放在一安全獨立的環境,存取時需由多位經授權之憑證管理人員所持有之智慧卡驗證後才可啟動 「醫療憑證管理中心」之私密金鑰備份則採用“m-out-of-n”方式寫入多人分持之備份 IC卡中並設定啟動密碼,以管控與防止未經授權之使用
(四)金鑰對更新替換 憑證管理中心之金鑰對定期更新,在金鑰的使用期限到達之前,系統會依照金鑰產製方式重新產生金鑰對,簽發新的公開金鑰憑證 (五)金鑰危害處理 當憑證管理中心的私密金鑰有危害之疑慮時,應重新產生金鑰對,重新簽發一份新的憑證,同時通知其他憑證機構及用戶更換憑證,以避免該可疑金鑰之使用
醫療憑證 憑證就是個人的網路身分證,可以辨識個人在網路上之身分;而醫事憑證就是根據網路身分證的原理更進一步的證明在網路上具備醫事人員資格及醫事機構資格的身分,政府便可依據這個醫事憑證來確認身分及資格,提供網路上方便的服務與確保資料傳輸的安全。 醫療憑證由「醫療憑證管理中心(HCA)」簽發,包括:醫事人員、醫事機構、伺服器應用軟體等三種用戶憑證。醫事機構憑證宛如醫療院所之關防,代表醫療機構法人之行為;醫事人員憑證如同個人印鑑,代表醫事人員個人行為。
角色與存取控制 角色 以醫療憑證種類與醫事人員之專業為角色,來規範各式醫囑、藥囑、護囑、檢驗報告及檢查等電子文件應該簽署的權責。其中醫療人員所作之醫療記錄以其專業角色類別簽署,醫療儀器產生之資料以機構之角色簽署,當醫療記錄需要交付給病人或院外機構時,則視該文件屬於醫事人員個人行為或醫院行為來決定應簽署之角色類別。
存取控制與權限 醫療資料存取控制 由於醫療記錄的整體性,特定醫療資料構成之群體具有不可分割性,因此包含來自不同媒體且具有相關性之數個單一醫療資料必須合成整體醫學記錄來討論安全存取控制之機制。除此之外,醫療記錄存取權限之得失與醫療活動之始末有著極度緊密的關聯,因此醫療資訊存取控制以醫療記錄為基礎,醫療活動為導向。
資料擁有者通常是資料產生者,但是醫療記錄的產生者是醫師,而其擁有者卻非醫師本人,且不只一人。醫療記錄擁有者可分為資訊擁有者及物質擁有者,資訊擁有者乃是內容記載之對象即病患;而物質擁有者即為醫院。 一般資料擁有者即擁有修改的權力,但醫療記錄的資訊及物質擁有者卻無修改之權力,任何修改必須回溯到醫療記錄的產生者方得以修改。 傳統授予權限是以一個資料表為單位,然而醫療記錄之權限授予卻是以一個資料表的內部數個特定產生者,或特定記載對象之資料為授予權限的單位。 一份醫療記錄的內容可能同時包含各種不同來源或格式的媒體,包括來自不同資料表的文字及不同電腦中的影像,且一份醫療記錄授予權限不可分割。
醫療資料存取權限 傳統資料存取權限權力取得後即鮮少失去,然醫療人員對醫療記錄存取權限取得後,一旦醫療行為結束後隨即失去。 醫療人員取得醫療記錄之存取權力並非自發性的行為,而是當醫療記錄的資訊擁有者選擇該醫療人員求診時,由該資訊擁有者授予。 法院因辦案需要,或保險公司因被保險人申請理賠所為之調查需借調醫療記錄時,經原醫療記錄產生者(即原主治醫師)簽認後始提供。 掛號、排程、入院等醫療記錄存取權力之取得,通常由患者的需求作為觸發的事件,然存取權力之失去,卻沒有傳統實體醫療記錄可以歸還入庫為觸發的事件,所以更需特別注意。