健康医疗大数据信息安全体系研究1 绪论1.1 概述对健康医疗大数据的信息安全体系进行研究，从信息安全目前面临的问题和如何解决信息安全问题两个方面入手，讨论如何构建健康医疗大数据信息安全体系，得出相关的结论。

健康医疗大数据的良好利用，对整个健康卫生领域的发展是非常有帮助的。

有一个完善的信息安全体系是保证良好利用的前提。

一个健全的信息安全体系，才可以让健康医疗大数据更好地提高医疗服务的水平，造福社会。

一个健全的信息安全体系可以增强医疗健康大数据技术保障能力，有利于信息安全基础性工作，加快医疗健康大数据安全软硬件技术产品研发和标准制定，提高医疗健康大数据平台信息安全监测、预警和应对能力。

在平衡创新发展与信息安全关系的同时，有利于建立医疗健康大数据安全管理规则、管理模式与管理流程，引导医疗健康大数据安全可控和有序发展[1]。

信息安全体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。

一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。

在此框架中，以信息安全策略为指导，融和了安全技术、安全风险管理、安全组织与管理和运行保障4个方面的安全体系，以此达到系统可用性、可控性、抗攻击性、完整性、保密性的安全防护目标1.2国内外研究现状1.2.1 国外研究现状作为走在信息安全研究前列的大国，美、俄、日等国家都已制定自己的信息安全发展战略和计划，确保信息安全沿着正确的方向发展。

2000年初美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。

2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。

2000年9月俄罗斯批准了《国家信息安全构想》，明确了保护信息安全的措施。

英国国家医疗服务体系在2016年7月份决定停止care.data健康医疗大数据平台的决定，信息安全得不到保障是关闭的重要原因之一。

《对数据安全、同意和选择退出的审查》是由英国“国家健康和医疗数据守护者”发布。

2015年9月，英国卫生大臣也委托其与英国医疗治疗委员会紧密合作，共同提出新的数据安全标准、测评数据安全合理的新方法，以及获取同意共享数据的新模式[2]。

为了应对信息安全问题，很多国家从立法、制度、技术三个方面推出了相应的应对策略，制定国家大数据战略。

美国、英国、法国、日本等发达国家均将大数据视为强化国家竞争力的关键因素之一，非常重视数据安全体系建设方面的研究。

国外比较成熟的关于信息安全体系建设的研究主要是关于服务信息化建设，提高对信息安全的认识，全面推行安全等级保护，定期进行信息系统安全风险评估以及安全加固，加强人才队伍建设。

实施信息安全保护工作过程中应该注意的是明确要保护的目标，建立信息安全管理保障体系，加强信息安全意识和管理能力。

ISO的安全体系结构主要内容：①安全服务:包括认证服务、访问控制、数据保密服务、数据完整性服务和抗抵赖服务;②安全机制:ISO安全体系结构中定义了一些安全机制.包括加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公证机制等;③安全管理:其重要内容是实施一系列的安全政策，对系统和网络上的操作进行管理，包括安全服务管理和安全机制管理[3]。

大数据的发展加速数据量的增多、大数据技术及应用的更新，但是，大数据涉及的相关技术还不太成熟，软件及硬件漏洞时有发生。

同时，大数据外在所处的网络环境高度开放，使用人员多并且复杂[4]。

同时，已有的针对网络安全建立的相关法律法规相对缺乏，全社会对于网络安全确保也缺乏足够重视。

数据安全问题及隐私泄露问题体现的尤为明显。

信息安全体系的建设，应该根据健康医疗大数据的业务方面的信息安全为导向，对业务进行拆分，根据不同的层次制定相应的信息安全体系的组成部分。

技术安全是保障，运营过程的是载体，来支撑所要建设的信息安全体系。

在信息安全体系建设的过程中应该注意技术，运营和管理之间的协同作用，使这些方面紧密结合，确保安全措施可以落实到位。

虽然，采取很多措施，努力建设一个完善的信息安全体系，但是仍然会有各种各样的信息安全问题的出现。

信息安全体系建设，不可能完全消除这些问题，关键是在于如何发现问题，规避风险，解决问题。

在建设信息安全体系的过程中应该通过必要的风险评估，运用科学的方法和手段，尽可能准确地发现体系中存在的信息安全问题，发现系统的脆弱点。

针对所得到结果，可以指定相应的安全策略，尽可能降低风险所带来的损害，控制在可接受的范围之内，最大限度地保障信息的安全性。

通过信息安全体系的建设，可以完善体系，弥补体系中存在的问题，提出解决方案，解决问题。

1.2.2 国外研究现状在2016年7月16日，有媒体报道了在我国30个省份的至少有275名艾滋病病人信息遭到了泄露。

由于此事件，疾病预防与控制部门已经向公安部门报案，世界卫生组织驻华代表和联合国艾滋病规划署驻华部门联合发表声明，希望我国可以加强现在的信息系统的安全性，防止再发生此类事件。

国家卫生计生委在北京举行了一场研讨会，主要是为了学习6月份国务院下发的《关于促进和规范健康医疗大数据应用发展的指导意见》。

研讨会的主题是数据安全和隐私，强调医疗大数据在数据安全有保障的情况下，才能有好的发展，才能发挥健康医疗大数据的功能，在这份意见指导书里面，“安全”一词出现了33次，可见重视程度。

2013年的时候，国家卫计委发布了《关于加快推进人口健康信息化建设的指导意见》，提出了在十三五规划期间努力建设全国人口健康信息化平台。

这个平台里面包含了十几亿人的健康方面的各种信息，这些信息是有隐私性质的，在数据保密方面要求是很高的。

不过，目前我国在这方面的状况是让人很担忧的，整个卫生领域的安全态势是很不乐观的。

医疗卫生机构数据安全能力和防范意识差，极易导致数据泄露。

在信息使用传递过程中发生的泄露，可能包括科学研究过程、区域信息平台数据交互过程等，尽管使用了基于角色访问控制技术和部分加密技术，但在信息安全和隐私保护等方面仍存在较大问题。

我国在卫生行业发展的初级阶段时，由于国家国情，体制，管理方面等的原因。

信息安全没有得到足够的重视，缺乏有力的安全保护措施和审计办法。

同时，整个卫生行业的人普遍存在信息安全意识过于薄弱的情形。

由于这方面数据量的急剧增长，各系统之间的数据方面的交叉，国家有关部门也发布了相关的文件来指导信息安全方面的工作，信息安全是需要被高度重视的。

大数据安全体系问题目前体现在四个方面：⑴由于大数据是处于网络环境，网络环境相对比较开放，大数据比较容易受到攻击；⑵非结构化数据在存储方面具有新要求；⑶安全风险随着技术发展而呈明显增加的趋势；⑷从事相关行业的人员在技术方面和信息安全保护意识方面比较薄弱完善的医疗健康大数据安全体系应包括安全技术和管理制度两个方面[5][6]。

在建设的过程中应该：⑴确立范围、⑵进行风险评估、⑶规划体系建设方案、⑷信息安全体系建设及后期维护[7]。

同时可以进行分层保护、分区域保护、分等级保护。

[8]在技术方面要求达到“进不来、拿不走、看不懂、改不了、跑不了”。

要增强医疗健康大数据技术保障能力。

加强安全测评、电子认证、应急防范等信息安全基础性工作，大力推广国产密码算法应用。

同时可以很好的利用信息的等级保护。

所谓信息安全等级保护，指的是将各种不同的信息，按照信息的性质，重要性等方面进行等级的划分。

按照等级的不同进行不一样的信息安全保护，对不同等级的信息安全事件有不同等级的应急处理机制。

加强大数据安全的措施：⑴采用大数据存储安全策略⑵采用大数据应用安全策略⑶采用大数据管理安全策略；⑷采用信息的等级保护[9]。

建设信息安全体系应该重视技术和管理方面。

信息安全体系的技术方面的建设过程中应该以信息安全策略和信息安全风险管理结果为指导，从硬软件系统的防护，网络方面的防护，应用方面的防护，物理方面的防护等多个方面出发。

充分利用目前已经成熟的信息安全方面的技术，产品和相关理论等，建立一个各个方面之间相互协助的信息安全技术方面的体系。

信息安全体系的管理方面是由若干个安全管理类组成，包括信息安全策略与制度管理、组织机构与人员管理、设备和信息环境安全管理、系统和主机安全管理，数据加密安全管理以及网络和通信方面安全管理等。

信息安全体系的管理方面是一个复杂的过程，需要多方面多层次之间的协作。

可以通过安全策略，安全组织，安全运行和安全技术来建设信息安全体系。

安全策略:明确信息安全工作目的、信息安全建设目标、信息安全的管理意图等，是信息安全各个方面所应遵守的原则方法和指导性策略。

安全组织:是信息安全体系框架中最重要的安全管理策略之一，明确了大学信息安全组织体系及各级组织间的土作职责，覆盖安全管理制度、安全管理机构和人员安全管理三个部分。

安全运行:是信息安全体系框架中最重要的安全管理策略之一，是维持信息系统持续运行的保障制度和规范。

主要集中在规范信息系统应用过程和人员的操作执行，该部分以国家等级保护制度为依据，覆盖系统建设管理、系统运行管理两个部分。

安全技术:是从技术角度出发，落实大学组织机构的总体安全策略及管理的具体技术措施实现，是对各个防护对象进行有效的技术措施保护;安全技术注重信息系统执行的安全控制，针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。

安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。

该部分以国家等级保护制度为依据，覆盖物理层、网络层、主机层、应用层和数据层五个部分。

我国在卫生行业发展的初级阶段时，由于国家国情，体制，管理方面等的原因。

信息安全没有得到足够的重视，缺乏有力的安全保护措施和审计办法。

同时，整个卫生行业的人普遍存在信息安全意识过于薄弱的情形。

由于这方面数据量的急剧增长，各系统之间的数据方面的交叉，国家有关部门也发布了相关的文件来指导信息安全方面的工作，信息安全是需要被高度重视的。

健康医疗大数据信息安全体系的建设是很有必要的。

2 健康医疗大数据信息安全体系影响因素在建设信息安全体系的过程中，应该对所在网络环境的内部与外部的各种风险进行分析，制定出与网络环境相符的安全策略和安全目标。

注重技术方面与管理方面的联系，形成符合健康医疗大数据网络环境的合理、完善的信息安全体系。

信息安全体系建设有很多的影响因素。

2.1实体因素2.1.1 硬件问题：运行健康医疗大数据计算机的有关部件，内存和硬盘等。

2.1.2 电源问题：机房是信息存储很重要的部门，在系统突然失去供电的情况下，存储器中的部分数据可能会丢失，对信息安全产生威胁。

所以应该加强多电源方面的改进。

可以采用多种供电方法。

当电源出现问题时可以有其他的电源供系统使用，当问题得到解决后，再切换到开始的供电方式。