健康一体机信息管理系统生命周期
健康一体机信息管理系统生命周期
2.1需求概述
第2章需求分析
确定医院健康一体机体检中心的信息安全需求是为该单位开发和实施信息安全管理系统的生命周期的首个阶段。
这一阶段的目标是在最终实现和部署的系统中,提供满足医院和健康一体机体检中心期望的功能性需求和其他需求的书面定义。通过需求分析,将整理得到的这些能够满足医院和体检中心的初始需求按照软件工程领域的定义来划分成功能性需求和非功能性需求,并最终细分到由计算机软件满足的需求,凭借网络设备实现的需求,以及通过人工干涉的需求。
2.1.1信息安全及其需求
健康一体机信息的保密性、完整性、可用性是信息安全的三大要素。一方面要保证信息不可能透露给不必知道的人或实体。另一方面要确保传输或存储的数据与源头相比没有变化。再一方面要保证数据及信息系统确实为授权使用者所用,信息和信息系统不被破坏、能被使用,而且能够以不低于预期的效率稳定地持续地完成任务。因此ISO/IEC TR 13335.1对信息安全的内容增加了不可抵赖性、可追踪性以及真实可靠性。追加的内容要求确保数据收发双方都提供证据,使双方都无法实施事后抵赖行为;确保相关的访问可以鉴证、跟踪和记录,在发生事故后可以被查到;确保信息系统在特定的条件和时间范围内,能够完成特定任务。
除了信息安全三大要素,信息安全范畴内还包括风险管理,即管理本机构的资产,随时留意新出现的信息安全弱点,熟知本机构所面临的安全威胁,恰当管理控制信息安全风险,从各个层面做好安全控制。资产:即人们所拥有的对自己有价值的东西,可以是看得见摸得着的实物,也可以是看不见摸不着以其他形式存在的信息。弱点:对于资产,总会存在容易使其受到损坏的特质,称之为弱点:
威胁,只要是有价值的东西,总有人想要利用资产的弱点从而获取它或者破坏它,也就是说资产会受到威胁。风险是指威胁利用资产弱点造成组织损失或破坏的程度;安全控制是指,对可防治的和无法防治的风险采取具体的措施,使得资产损失可控、防治成本可控。
随着数据挖掘和数据发布等数据库应用的出现与发展,这一技术和应用成为当前数据库应用的新宠。一方面,数据挖掘能够从众多信息中提取出潜在而有价值的知识或者模型或者规则[1刀。运用该技术发现知识的同时,也威胁到了隐私信息。
怎样保护隐私数据,怎样避免信息泄露同样是时下的重大课题。常用的技术包括基于数学建模的隐私保护技术,还包括以综合安全管理为基础的信息安全模型和信息安全设备运用的技术。然而,在黑客对携程网拖库后,携程网用户的信用卡持卡人姓名、持卡人身份证号、所持银行卡号、所持银行卡CVV码、所持银行卡的六位支付密码,这些重要隐私信息也都被黑客获取后产生的影响不言而喻。健康一体机携程网的信用卡门告诉我们一个教训:真正的信息安全事故通常都是由信息安全管理不利所导致。作为一种确保安全的手段,安全技术因黑客技术而生,发展水平收到黑客技术的限制,所以纯粹使用安全技术手段进行保障并不够可靠,总可以破解的办法并完成数据拷贝或修改或破坏的黑客行为。因此国际标准化组织提出了三分技术七分管理的信息安全管理概念,以及信息安全管理体系或者叫信息安全管理系统,通过这一系统进行有组织有规划有依据有改进的信息安全管理。
