健康保險可攜性及責任法案(The Health Insurance Portability & Accountability Act, HIPAA)在1996年於美國國會通過,此為醫療處理及資訊系統改革的法案中,最全面的立法規範—限制詐騙及濫用,並保護病人的機密醫療資訊。HIPAA法案的重要性是它不再是個遵循醫療資訊標準的選項,而是對於每個涉及電子醫療資訊組織的要求。
資訊隱私,尤其因其涉及到受保護的健康資訊(protected health information, PHI),可算是HIPAA規範中最重要的一塊。根據法律,您的任務是保護所有從來自內部和外部的威脅。然而當您可能認為已經採取了足夠的保護措施時,系統實際上可能是相當脆弱的。為了避免因違反HIPAA遭受的罰責,我們必須在系統損害發生前,即採取適當的預防措施。
當企業或組織內部考慮「受保護的健康資訊(PHI)」的解決方案時,首先很重要地是需瞭解資訊運作中有三種弱點必須處理:
當然,一個組織可以選擇針對各個弱點,使用各項解決方案,但若能找到解決方案是可以一次部署並解決這三種弱點類型,將會是個更符合成本效益、更安全以及更易於管理的解決方案。
SafeNet公司了解HIPAA安全規章,並透過全面的安全解決方案幫助您通過這些要求。SafeNet DataSecure™平台幫助醫療機構達成HIPAA的要求,使受保護的健康資訊在儲存、傳送或處理中,皆能確保其在組織中任何地方及時候的安全性。
正如前述第二段所言,HIPAA的法規適用於檔案的傳輸和儲存。由於安全的周邊導向技術(如防火牆和入侵檢測系統)已普及發展,今日資料最脆弱、最容易攻擊的地方即在儲存系統儲存時,包括儲存區域網絡(SAN)、網絡附加儲存(NAS)或磁帶。關於這些儲存系統中的資料易遭受的威脅,包括儲存設備被竊取、儲存管理介面受到損害、網路層協定的漏洞,遭到被授權儲存設備的欺騙…等等。
資料儲存時也代表最大的風險:雖然,駭客很容易於不安全的交易時取得病人的身份或財務資料,但是攻擊儲存了上千筆病人記錄之資料庫,可能更加有利可圖,並且對於一個被入侵的醫療組織而言,損失更大。因此,由於資料通常有超過90%的時間處於儲存狀態下,此將是HIPAA及受保護的健康資訊安全性的核心方向。
DataSecure是一個確保資料儲存的全面解決方案,適用於SAN、NAS或磁帶環境。這一突破性的解決方案,採用專用的硬體平台和正在申請專利的加密軟體,能將多個應用伺服器的加密功能整合到一集中且全面性的安全平台。
將位於整個應用系統及資料庫的受保護健康資訊加密,能夠確保資料儲存到儲存系統時,只要是存於企業內部時,皆是安全的。因此,在發生硬碟被偷或儲存管理介面被破壞時,因被存取的資料已在應用程式或資料庫進行加密,將不會受到破解。為了達到最佳的保護,DataSecure提供可將私人密鑰儲存於內部、防止硬體遭到篡改的安全模組,以符合FIPS 140-2第2級規範。
雖然今天許多組織通過SSL保護外部客戶與Web伺服器間的交易,但這些交易過程一旦進入組織並通過隔離區(DMZ),它們通常以明文發送,所以很容易受到大量的攻擊。DataSecure提供對資料傳輸的保護,包括應用系統伺服器間、應用系統伺服器到資料庫間及傳送到其他的儲存環境(NAS,SAN…等),以確保全天候都能完整地維護整個企業內受保護的健康資訊。
一旦受保護的健康資訊是在特定層中進行(無論是在Web層、應用系統層或資料庫層)加密,則資料會在有效負荷下進行封裝,並透過TCP於應用系統,於資料庫和儲存子系統中傳輸。雖然組織可以利用安全的傳輸協議,如SSL和IPSEC,但實際情形為:若具敏感性的受保護健康資訊於負荷是安全的,則傳輸時不需要進行加密或保護。
由應用系統及資料庫處理的受保護的健康資訊代表著今日組織面臨的另一嚴重的資安威脅:除了因系統受損時資料受到的安全風險外,系統本身的管理,是交由能輕易於各個系統中檢視完整受保護的健康資訊資料的應用系統及資料庫管理員。為了充分保護處理中的受保護的健康資訊,有必要建立一個將系統及資料庫管理員隔離、並能獨自保護資訊的解決方案。如此一來,醫療機構系統不僅在遭受損害時保護資料,並去除管理員能明確查看受保護的健康資訊的權限。
DataSecure 透過直接對應用系統或資料庫中受保護的敏感健康資訊加密,達成該層次的加密,並讓組織限制對受保護健康資訊的存取:要求只能被已授權直接讀取及解密的特定應用程式或資料庫才能進行存取。
顯然,越早將敏感性資訊確認及加密,系統整體架構將會更安全。DataSecure可讓醫療機構依據相應的安全政策和要求,彈性地選擇加密方案,使得組織得以保護病人身份證或社會安全號碼在進出組織的基礎架構時安全無虞,並確保資料存在於組織時,皆以加密的形式儲存。另外由於DataSecure允許受保護的健康資訊於企業內的應用基礎架構進行加密,得以確保資料庫管理員不能選擇性地查看資料庫表格中的資料。
雖然沒有單一技術能保證完全遵守HIPAA法案廣泛的準則,Ingrian提供了一個更具成本效益、技術更佳的方式,確保組織內受保護的健康資訊的安全。SafeNet DataSecure對於受保護的健康資訊,提供了集中、全面以及安全的平台,廣泛地適用於資料的儲存、傳輸或處理過程。這一突破性的解決方案,充分利用Ingrian的硬體平台和正在申請專利的加密軟體,能將多個應用伺服器的加密功能整合到一個集中以及全面性的安全平台。效益是確保機敏資料(例如病人身份證號碼或個人資料)從進入網絡到存到儲存於子系統時,皆受到完整地保護。
SafeNet為企業提供完整的資料保護。運用SafeNet DataSecure ®平台,企業可以保護來自內、外部對重要資料的威脅,以確保遵守法律和安全政策。DataSecure設有專用的安全設備和專用軟體,可幫助企業於應用系統及資料庫將機密資料加密。並利用粒狀加密、將工具密切結合和集中安全管理的功能,使DataSecure以非常便利、具成本效益的方式,確保組織防止各種安全威脅。欲了解更多資訊,歡迎參閱SafeNet網站:關於SafeNet
SafeNet為企業提供完整的資料保護。運用SafeNet DataSecure ®平台,企業可以保護來自內、外部對重要資料的威脅,以確保遵守法律和安全政策。DataSecure設有專用的安全設備和專用軟體,可幫助企業於應用系統及資料庫將機密資料加密。並利用粒狀加密、將工具密切結合和集中安全管理的功能,使DataSecure以非常便利、具成本效益的方式,確保組織防止各種安全威脅。欲了解更多資訊,歡迎參閱SafeNet網站:www.safenet-inc.com。