【TechTarget中国原创】安全专家,尤其是卫生保健组织,所面临的一个严重问题是安全传输机密信息和私有信息以及受到保护的医疗资讯(PHI)。当许多组织考虑到安全传输问题时,话题往往会转向加密和加密的电子邮件。本文中略微谈到电子邮件安全,你也可以电子邮件安全学校中找到更多电子邮件安全方面的深入的信息。本文的主要目的是探索可以帮助满足规章和法律的要求的安全传输数据的方法。
HIPAA安全规则涉及到了安全传输和加密的使用。尽管该规则并不要求使用加密技术,但是这是作为一个“可寻址的”执行规范包含在内的。换句话说,HIPAA下的卫生保健组织有三个选择:按照规则执行规范;执行与规范相关的另外一种规则;或者提供文件证明为何规范不适用,进而不可以执行。
考虑到今天加密技术的实用性和可负担性,在传输PHI时,卫生组织很难确定不可以使用一些形式的加密技术。许多厂商提供了大量价格合理的加密软件和加密硬件,以及外包产品。现在,我们将更为详细地探讨一下这些产品。
电子邮件加密
许多厂商提供得可以对电子邮件信息进行加密的产品易于使用,并且具有安全发送私人数据,包括电子邮件附件在内的功能。收件人可以使用相同的加密方法回复。许多这些产品都是以网络为基础的。它们通过向收件人发送连接进行工作,收件人然后点击、登录到安全的电子邮件服务器。这些服务器要么是组织所有的,要么是组织外包给合适的厂商。收件人就可以安全地阅读电子邮件和任何附件,并且安全地发送回复,如果需要的话也可以安全地发送附件。
也有一些技术不是以网络为基础的,允许个人或组织之间传送安全的信息,这些技术中最常见的是公共密钥基础结构(PKI)。公共密钥基础结构要求交换用于对加密文件进行解密的密钥。比如,Bob想要给Sue发送一封安全的电子邮件,这样的话,他需要给Sue一份公共密钥的副本,用来打开他的加密信息。Bob保留了他用来加密信息或文件的私人密钥,这个密钥他也可以使用,尤其是采用数字签名来证明他自己是发送者。数字签名是一个小的电子文件,因每个发送者而不同,尤其可以证明他或她的身份。在许多国家,都可以使用数字签名,并且在合同或者其它法律文件中,要求与原始签名一样强制实行。
截至现在还没有任何大型的PKI配置,主要是由于配置很繁琐,并且难于执行和管理密码。然而,PKI的小型配置较为成功,通常用来在诸如健康计划和医疗保健交流中心之类的组织之间发送大型文件。
通常和PKI的加密和认证大型数据文件结合起来使用的安全数据传输的方法之一是安全的文件传输协议(FTP)。然而,这并不能用于个人之间的数据传输。该技术已经可以使用,并且推荐在组织之间传输大量的数据时使用,比如通过交流中心进行的索赔交易信息和电子汇款通知。
网站加密
使用网络来收集并向客户或者其它组织传输敏感信息的组织需要确保其网站的安全。一般标准是使用安全套接层协议(SSL),该协议可以对通过网站传输的数据进行加密。打开一个因特网浏览器,网站的右下角会出现打开锁定或者关闭锁定。如果该锁定关闭了,这就意味着该网站的数据传输是安全的,一般是由SSL传输的。这就允许私人数据在该网站中传输和收集,而不用担心黑客访问它。有了安全性,而没有风险,虽然这样的事是不存在的,但是在数据传输过程中使用SSL和安全的网站可以显著地减少数据被不适当地截获的风险。使用内部网络分析员/程序员,或者与在创建有吸引力和安全的网站方面有专长的厂商进行合作,就可以建立安全的网站。
应用层加密
一些组织在应用层之间传输数据,比如电子医疗健康记录。查看这些传输是明智的做法,如果数据在组织外部传输,就像发送到因特网上的任何信息,就意味着会遭到截获,并且除非合理进行保护,否则会导致误用。当在应用层之间传输敏感数据时,合理和良好的安全措施是评估应用层的加密能力,并且预先执行加密解决方案。当从一个端点传向另一个端点时传输时保护数据时,组织可以从一些生产应用程序的厂销商或者提供应用功能的自定义编程产品中获得这种技术。
远程用户通信
远程用户会带来额外的安全风险,这是由于他们常常在家庭和组织之间通信。这就意味着他们不仅仅需要了解安全数据传输的要求,也要了解其它与远程访问机密信息有关的安全风险。为了确保远程用户通信的安全,可以安装一个对用户之间发送的所有数据加密的虚拟专用网(VPN)。这项技术在市场上已经存在。拥有远程用户的组织安装这个技术是可取的做法。如果没有建立VPN,而且没有使用调制解调器(一般而言,这不是访问公司网络的有效方法),那么所有在因特网上传输的数据很容易被截获,还会导致不适当的使用。
笔记本和个人数字助理(PDA)
这些便携式设备很容易丢失或者被盗。因此,对使用这些设备来传输机密信息的组织而言,对存储在这些设备中的数据加密是明智之举。如果便携式设备丢失或者被盗后,这可以保护组织,以防数据泄露。便携式设备的加密程序已经存在,并且这种软件的花费是合理的,可以负担得起,即使是规模较小的组织也可以负担得起。
无线网络
无线威胁正日趋严重,不安全的无线网络是突出的易受攻击点,此外开放的组织更容易受到黑客的访问。因此,防止未经授权的人访问网络正变得日趋重要。此外,对在无线设备上传输的所有数据进行加密,以防止不适当地泄露机密信息。连接到无线网络的笔记本正日益普及,尤其是在收集了医疗和健康保险信息的医院急救室里。这些笔记本可以与组织的无线服务器通信,并且更新应用程序、健康记录等等。这类数据一般来说都是敏感的,加密技术需要对其提供额外的保护层。