網絡傳輸中數據安全及加密技術

廣州中醫藥大學第三附屬醫院 孫海濤

為探討網絡傳輸中數據安全及加密技術，采用理論結合實踐的方法，立足目前醫院網絡傳輸面臨的安全隱患，分析了數據安全技術和加密技術的應用要點。分析結果表明，醫院通常擁有獨立的網絡傳輸系統，并且很多數據都是患者的敏感信息和隱私信息，一旦發生泄漏，會對患者及醫院造成嚴重影響，采取科學先進的數據安全技術和加密技術，能夠有效保障醫院網絡傳輸數據的安全性，并且提升醫院發展的信息化水平，提供更加智能化、安全性的醫療服務，值得高度重視。

網絡傳輸是信息系統的主要組合部分之一，信息系統的穩定運行離不開網絡傳輸的支持，但網絡傳輸也是這個信息系統的薄弱環節，極易發生安全問題。醫院信息系統中存在大量加密信息，既包括患者的隱私信息，也包括先進的醫療研究成果，一旦在傳輸中被截取、被泄漏，就會造成嚴重的后果。必須采取更加先進、完善的數據安全技術和加密技術，才能更好地保障各項網絡傳輸數據的安全性，促使醫院穩健發展。基于此，開展網絡傳輸中數據安全及加密技術的分析研究就顯得尤為必要。

1 目前醫院網絡傳輸中面臨的主要安全威脅

在網絡技術飛速發展的背景下，為人類生產和生產提供了便利的條件，但同時網絡安全問題也頻繁發生，信息泄露、隱私泄露屢見不鮮。就醫院網絡傳輸而言面臨的主要安全威脅體現在以下幾個方面：

操作系統安全問題。在醫院網絡信息傳輸中，一旦操作系統被病毒入侵或者被黑客控制，就會截取醫院網絡傳輸中的任意數據，從而導致醫院計算機系統陷入癱瘓狀態，致使大量數據被竊取、泄漏、篡改等。通常情況下，引起操作系統安全問題的主要原因是操作不當，或者是使用了未經安全檢測的軟件，為病毒和黑客的入侵提供了可乘之機。

數據庫安全問題。數據庫是醫院管理數據、使用數據、存儲數據、傳輸數據的核心工具，在建設數據庫時，需要建立在權限認證基礎之上。如果數據庫被入侵，就會導致醫院網絡系統中存在的數據發生泄漏，這不僅僅關系到患者的個人隱私，而且關系到醫院最新研究成果以及專利的安全問題。

在科學技術飛速發展的背景下，網絡技術更新換代愈發頻發，醫院在經營法中，需要頻繁通過計算機網絡來獲取各種信息，發布信息，都需要網絡傳輸來完成。病毒和黑客能夠利用計算機網絡系統存在的漏洞，進入到醫院計算機系統內部，獲得用戶信息和網絡系統操作權限，致使醫院計算機系統無法正常使用，影響正常運轉。

2 網絡傳輸中的數據安全技術

醫院在經營發展中，為滿足診斷、研究、教學的多種發展需求，數據被頻繁采集、發布、利用、共享，在網絡數據傳輸中必然會涉及到的安全問題。計算機網絡具有很強的開放性，僅憑法律規范的約束難以保障網絡傳輸的安全性，還需要一系列先進的技術手段和方法，來解決網絡傳輸數據安全問題和隱私保護問題。常用的網絡傳輸數據安全技術有以下幾種：

2.1 數據脫敏

數據脫敏是保障網絡傳輸數據安全的技術，主要機理是在給定的規則范圍內，按照一定的策略，對敏感數據進行變換、修改，可有效解決敏感數據在非可行環境中傳輸和使用的安全問題。按照設計保護規劃和脫敏的策略，對醫院網絡傳輸數據中的敏感信息進行自動變形，以保障敏感數據。通過數據脫敏技術，可按照網絡傳輸敏感信息內容進行合理的轉變，只有通過授權的管理人員或者用戶，才能知道數據的真實值，從而降低重要數據在網絡傳輸中面臨的風險。數據脫敏可在不降低網絡環境安全性的基礎上，保障原數據傳輸、使用、共享的安全性，是大數據環境下最直接、最有效的數據保護方法。任何涉及到敏感信息的行業，對數據脫敏技術有極為迫切的需求，尤其是醫院、政府、金融機構，在經營發展中需要頻繁使用到真實數據，知識數據長期暴露在網絡環境中，極易發生安全問題。而通過數據脫敏技術，可按照數據使用的目標，制定符合數據網絡傳輸安全的脫敏測量，針對不同類別的數據，采取不同的脫敏方式，就能實現跨工具、跨環境的安全訪問。常用的數據脫敏方法有替換法、置亂法、均值化法、反推斷法、偏移法、FPE法等。這些方法都能對原始的敏感數據進行干擾、匿名化處理，從而形成新的數據集，在網絡傳輸不再明顯含有個人隱私的信息，而且保留了原始數據的分布特征。

2.2 訪問控制技術

在醫院網絡傳輸中，引起數據安全問題的原因比較多，其中用戶權限分配不合理是比較重要的原因，也是導致醫院網絡數據傳輸中頻繁發生越權訪問傳輸和未授權訪問傳輸問題的主要原因之一。為保障網絡傳輸中數據的安全性，需要在數據敏感處理的基礎上，按照網絡傳輸和訪問人員職責的不同，分配適當的權限，實現分權管理，以保障數據的安全性。早期醫院敏感數據訪問時，比較依賴于密碼和數據庫自身的權限來限制，但此種方法操作性比較差，而且配置結構復雜。這就需要尋找一種新的訪問控制技術，建立起更加先進的數據庫，在進行登錄時需要對登陸時間、地點、身份、訪問數據列表等多個要素進行逐一驗證，以保障訪問人員身份的合法性。而且在整個訪問過程中，數據庫可自動驗證訪問人員的身份和行為，并和數據庫自身的規則進行對比，可自動攔截那些未經允許或者未經授權人的越權訪問，而且對刪除和修改重要數據表的危險行為可進行自動攔截。此外，在醫院數據庫建設中要注重運維動態脫敏功能的設計，不同網絡系統訪問人員擁有不同的訪問權限，因此，執行相同一條命令時返回的結果也不相同，只有擁有訪問權限的人，才能看到真實的數據，而那些沒有訪問權限的人員，只能看到經過脫敏處理之后的數據，從而保障了網絡傳輸數據的安全性。

2.3 數據存儲加密技術

數據存儲加密技術也是目前醫院網絡傳輸中常用的數據安全保護技術，醫院計算機網絡系統中存留著患者的很多因素數據，以及最新的研究成果數據，為保障數據在網絡傳輸中的安全性，必須對數據進行加密。比如：可采取全數據庫、表、列、段等級別對醫院網絡傳輸中的那些敏感數據進行加密保護，在不影響網絡數據正常傳輸和訪問的基礎上，保障醫院敏感數據在脫離系統之后，依然保持加密狀態，以免發生數據被泄漏、被篡改等問題。常用的數據存儲加密技術有以下幾種：

DLP終端加密技術，此項技術主要布設在計算機系統的終端之上，主要是用于對終端上的敏感數據進行加密。主要機理是在受管控的終端之上安裝上代理程序，通過代理程序和后臺管理平臺進行交互，再結合醫院的數據管理要求和分析分類策略，對下載到終端上的敏感數據進行加密，將加密后的數據應用到網絡傳輸和存儲中，加密后的數據被讀取到內存中時才會被解密。未經授權復制到管控范圍外的數據依然保持加密狀態，非常適用于非結構化的數據保護中。

CASB代理網關加密技術，主要布設在終端和應用服務器之間，主要機理是將網關部署在目標應用的客戶端和服務端之間，不需要改造目標應用，只需要通過適配目標應用，就能實現對客戶端請求的解析，并分析出敏感數據，再結合用戶身份，按照設置的安全策略對請求進行脫敏以及訪問策略，此種數據加密方法，非常適用于結構化數據和非結構數據的安全保護中。

應用內加密技術，此項數據加密技術多布設在應用服務器之上。主要機理是應用系統通過開發改造的方法和加裝了密碼業務邏輯的密碼SDK進行集成，以達到充分利用解密接口的效果，以保障數據傳輸和使用的系統也具有數據加密和保護的能力。

2.4 入侵防御技術

醫院計算機網絡系統中連接了很多終端采集設備，通過光纖網絡或者無線網絡接入到平臺上，這就為黑客攻擊醫院網絡傳輸平臺提供了可乘之機。為保障最大限度上保障各項數據的安全性，要保障網絡系統具有自動識別和攔截的功能，當黑客進入到醫院內部網絡上之后，在訪問數據庫之前，及時發現和自動攔截。黑客盜取網絡數據時，通常是利用應用或者數據庫上存在的漏洞來實現的，因此，這就需要在數據庫之前布設一個入侵防御系統，來阻擋黑客入侵醫院網絡系統，再通過對數據庫通信協議的解析，實現對黑客訪問上下信息的解析，比如：可通過白名單和SQL注入特征庫進行威脅的發現和自動攔截，就可以很好地預防黑客攻擊醫院內部網絡，保障數據在網絡中傳輸的安全性。

2.5 防勒索技術

在醫院網絡系統中存著很多敏感數據，也是黑客攻擊的主要對象，一旦醫院網絡系統被黑客攻擊，不僅會導致大量數據被泄漏，而且會向醫院勒索大量資金，造成巨大的經濟損失，如果情況嚴重，甚至會威脅到患者的生命安全。醫院計算機網絡系統中既有結構化數據，也有非結構化數據，防勒索，不能僅僅對重要的文檔進行保護，更需要對計算機網絡數據庫進行保護。應當以應用白名單為核心，對各種文檔、數據等進行科學保護，只有被信任的應用才可以修改被保護的文檔和數據，從而避免發生勒索病毒入侵的問題。

3 醫院網絡傳輸中的數據加密技術

數據加密技術是保障網絡傳輸中數據安全的重中之重，隨著科學技術的飛速發展，出現了很多網絡傳輸中的數據加密技術，其中應用最廣泛的加密技術有三種，一種是DES加密算法、RSA算法、量子加密技術。

3.1 DES加密算法

DES加密算法是目前網絡傳輸中常用的加密技術之一，數據在網絡中傳輸之前，先通過密鑰進行加密處理，在數據接收時再進行解密，就能到原始的數據，但整個傳輸過程中，數據依然處于加密狀態，無法顯示數據的真實情況。在應用DES數據加密時，數據發送和接收方法，要提前制定密鑰，在接收時如果沒有對應的密鑰，就無法提取相應的數據。因此，DES數據加密技術，對密鑰有較高的要求，并且密鑰需要定期更新，提升密鑰的安全等級，以保障網絡數據傳輸的安全性。從應用機制上來看，DES數據加密技術一種密碼機制，安全性相對比較低，加密效率也比較有限，需要有專業的密鑰技術解決方案。在醫院網絡傳輸數據加密時，為保障敏感數據的安全性，需要用到數字簽名技術，并對網絡中傳輸的數據進行對比審核，形成動態化密鑰，在使用時密鑰可自動生產，同時聯合應用并行處理模式，可有效處理傳統DES加密技術存在的弊端，保障醫院網絡數據傳輸的安全性，實現原始數據和加密數據之間的快速轉換。

通過DES加密算法加密后的數據，網絡傳輸應用的難度較大，比如：門診部門要想將數據傳輸到醫院計算機網絡上，住院部通過公共計算機就能獲得相關數據，但通常情況下，門診部門是不需要其他部門看到用戶的信息，如果采取對稱密鑰對傳輸的數據進行加密，則門診部和住院部需要提前設定密鑰。而如果門診部需要將相關數據傳輸給財務部，則二者之間需要設定一個新的密鑰。簡而言之，門診部得到的患者數據，要想同時進行多個數據傳輸，就需要和不同的部門設定不同密鑰，因此，門診部需要幾乎大量密鑰，從而增加了密鑰管理的難度。而非對稱密鑰加密技術則可以有效解決這一問題，比如：門診部可在醫院公共計算機網絡上提前預留出不同的密鑰和數據傳輸文件，可自行對網絡中傳輸的數據進行加密，再通過特定的密鑰，就能還原數據。因此，在醫院網絡傳輸數據加密中，通過非對稱加密技術，可促使網絡數據的傳輸更加安全、更加快捷，密鑰管理的難度也會隨之降低。

3.2 RSA算法

RSA算法是目前網絡傳輸中常用的非對稱密鑰算法，在具體應用中只需要一對密鑰，其中一個密鑰對數據傳輸文件進行加密處理，另一個密鑰則負責解密。在醫院網絡數據傳輸中應用RSA算法加密技術的流程如下：

第一步，生成密鑰。密鑰有公鑰和私鑰之分，各自對應兩個數據，公鑰為n和e，私鑰作為n和d。其中n是同一個n，所以，RSA的密鑰涉及到三個數據，包括：n、e、d都是很大的正整數。

第二步，密鑰發布。生成密鑰之后，公鑰就會被公布出來，任何人都可以獲得并使用公鑰，但私鑰的特定點，掌握在允許解讀加密信息人手中。

第三步，加密。

第四步，解密。

3.3 量子加密技術

量子加密技術是目前網絡傳輸中比較新穎先進的加密技術，主要是以量子物理學和密碼學為基礎，發展而來的一種新型網絡數據傳輸加密技術。量子加密技術的核心是不確定性原理。在一個相同的時間內，同時對粒子的特點進行檢測分析，掌握粒子的運行軌跡和位置。通過量子加密技術可有效提升密鑰的安全性，并對數據接收方和發送方的行為舉止進行檢測。量子力學主要表現形式是量子纏結，簡而言之，就是通過一個量子的特征，可計算出兩一個量子的特征，在數據加密中，可對加密的密碼進行計算，在利用不確定性原理，選擇密鑰，以保障網絡傳輸中數據的安全性。

綜上所述，本文采用理論結合實踐的方法，分析了網絡傳輸中數據安全及加密技術，分析結果表明，醫院網絡系統中存儲著很多敏感數據，一旦發生泄漏會造成嚴重的危害。這就需要用到更加科學、先進的數據安全技術和數據加密技術。隨著科學技術的飛速發展，很多高新技術被廣泛應用到數據安全防護中，需要結合醫院網絡數據傳輸的特點，選擇與之相適的安全技術和加密技術，才能保障醫院數據傳輸的安全性，促使醫院更好地提供醫療服務。