医疗保健机构利用云安全解决方案规避IT风险

在过去一段时间，已经发生了多起企图盗取公民健康信息报告的网络钓鱼诈骗案、不安全的邮件攻击和未经授权的系统级访问案件，其中受害的病人记录数以万计。

其实，类似的违法案件其实几乎每天都在发生。而这些违法案件可能会导致患者的身份信息被盗。同时也会破坏受攻击医疗卫生保健机构、以及相关供应商和他们的业务联营公司的声誉，是他们必须面临巨额的罚款。因此，对这些相关机构而言，下面几大问题无疑是至关重要的：

您的机构如何限制相关信心的曝光?
您的机构如何规避这些类型的违法犯罪行为?
您的机构是如何保护你的病人、相关数据和预算信息的?

要回答上述几个问题，其实可以写出大篇大论来，诸如：按照HIPAA法案相关的预防措施针对员工进行IT技术培训等等。不过，在本文中，我真正建议的是，您的机构应该开始采用云加密和云密钥管理。你的机构存储在云端点数据必须进行加密，同时必须妥善地管理你的密钥。这两大预防措施是实现HIPAA安全的重要一步，更重要的是，其会帮助您有效保护你机构的相关数据、病人的档案和你的预算信息。

为了使医疗保健机构能够最大限度地减少了数据丢失的风险，HIPAA指定了某些技术使得数据信息不可读，且无法使用。如果医疗保健机构的确部署实施了这些技术，那么该机构固然可以宣称其已经实现了“数据信息的安全”。而数据加密其实也是使得您的机构能够实现数据信息安全的关键技术之一，许多专家认为，在不久的将来，加密将成为必需的标准。

HIPAA如何保护你机构的数据

在安全领域，最好的做法是为最坏的情况做好提前规划。在云医疗保健应用程序方面，可能出现的最坏的情况之一便是您机构的系统破坏和违反ePHI。无论你的机构是一家涵盖多领域业务的实体或是业务联营公司，违反上述法规均可能需要面临风险评估、繁杂的报告、罚款，进而对您机构的声誉造成严重损害。

美国卫生和公众服务部发表的指南如下：

“我们鼓励相关医疗保健实体及其业务伙伴充分按照相关安全条款通知规则对有限的数据集和其他受保护的健康信息进行加密。如果受保护的健康信息根据本指南进行了加密，则不再需要按照禁止相关信息被披露的规定进行申报。”

因此，适当对您机构的数据信息进行加密，并通过正确妥善的管理加密密钥可以帮助你实现数据信息安全。而这些加密和安全管理限制可以免除您需要做出相关申报的义务，保护您机构的声誉，进而使您的机构免受罚款。

这就是说，如果你的机构遵守了HIPAA，你应该确保你通过实施有效的云安全措施实现了数据信息的安全。

有效的云安全

当然，你机构的目标是避免违规：因此您需要对您的员工进行培训、使用防火墙、加密和保护您的数据。但同时也需要为发生最坏的情况最好云安全方面的有效准备。

符合HIPAA的云安全主要有两个目的：
1保护数据避免违法犯罪行为。
2 在发生违法犯罪的情况下保护你。

显然，有效的云安全是任何医疗保健业务在云上运行的一个关键因素。一个有效的云安全解决方案必须包括以下内容：

稳健、快速、易于使用的数据加密
可靠的，基于云计算的密钥管理是符合成本效益和弹性管理的，同时也是值得信赖的
使用密钥加密技术来保护您的加密密钥，以及您在存储和传输过程中的数据
在云中进行数据加密

数据中心内部部运行时，数据加密是很重要的。在云中，有没有物理的实体墙，进行加密是最好的做法。数据加密应根据AES-256和SHA- 2。这些技术提供数据不被篡改的最佳保证。必须始终启用SSL / TLS。应该允许IPsec通信。

但是，数据加密并不是独立的。最大的挑战不是对数据进行加密，而是加密密钥的管理。已经发生过多次原本数据已经进行了加密，但密钥落入坏人之手被解密的案例来。如果数据被解密，那么就算之前的加密工作再好也是徒劳。保证密钥的安全性，而不牺牲便捷性和在云中进行密钥管理的成本效益，是遵守HIPAA必不可少的。

在云中进行密钥管理

一旦数据被正确加密，并已创建加密密钥，这些密钥的管理便成为了关键。

你的机构决定使用云服务，就是因为其具有灵活性，弹性和成本效益。但确保云安全(遵守HIPAA等相关法规)，你需要面对的是机构内部部署解决方案以便妥善管理您的安全密钥。这些解决方案往往是繁琐，刚性和昂贵的。

当然您也可以使用另一种更有弹性、更便宜的方式来安全管理你的密钥。利用100%的云同态密钥管理技术是在云中进行密钥保护的另一种方法。利用这种技术，就如同瑞士银行的保管箱，需要两把钥匙进行加密或解密。此外，每个加密密钥是用来保护你的云账户。你的密钥永远不会以未加密的形式出现在云中。因此，你仍然拥有对您加密数据的控制权，而无需在机构内部安装和维护昂贵的密钥管理服务器。

云安全的关键

我们不能防止员工成为网络钓鱼诈骗的牺牲品(只有他们自己才行)，或者允许未经授权的人员访问您机构的数据(只有机构才行)。某些漏洞会潜在的危及病人的档案，造成未能遵守HIPAA而导致的大量罚款。最糟糕的是，毁掉你机构辛辛苦苦建立的声誉。

因此，确保你机构在云中的数据安全的关键是强大的数据加密和密钥管理。如果你严格遵守了HIPAA安全管理规定，并100%对你的数据实施了加密和解密程序，同时，数据密钥也是100%安全管理的，那么能够持续破坏你机构数据安全的风险将是很有限的。这样，您的医疗机构也就没有身份信息盗窃案件发生、不会面临健康信息泄漏的罚款。更不会有垃圾声誉。