HIPAA安全規(guī)則涉及到了安全傳輸和加密的使用。盡管該規(guī)則并不要求使用加密技術(shù)，但是這是作為一個(gè)“可尋址的”執(zhí)行規(guī)范包含在內(nèi)的。換句話(huà)說(shuō)，衛(wèi)生保健組織在HIPAA下可以有三個(gè)選擇：按照規(guī)則執(zhí)行規(guī)范；執(zhí)行與規(guī)范相關(guān)的另外一種規(guī)則；或者提供文件證明為何規(guī)范不適用，進(jìn)而不可以執(zhí)行。

考慮到今天加密技術(shù)的實(shí)用性和可負(fù)擔(dān)性，在傳輸PHI時(shí)，衛(wèi)生組織很難確定不可以使用一些形式的加密技術(shù)。許多經(jīng)銷(xiāo)商提供了大量?jī)r(jià)格合理的加密軟件和加密硬件，以及外包產(chǎn)品?，F(xiàn)在，我們將更為詳細(xì)地探討一下這些產(chǎn)品。

電子郵件加密

大量的經(jīng)銷(xiāo)商提供了可以對(duì)電子郵件信息進(jìn)行加密的產(chǎn)品，易于使用，并且具有安全發(fā)送私人數(shù)據(jù)，包括電子郵件附件在內(nèi)的性能。收件人可以使用相同的加密方法回復(fù)。許多這些產(chǎn)品都是以網(wǎng)絡(luò)為基礎(chǔ)的。它們通過(guò)發(fā)送到收件人的連接進(jìn)行工作，收件人然后點(diǎn)擊、登錄到安全的電子郵件服務(wù)器。這些服務(wù)器要么是組織所有的，要么是組織外包給合適的經(jīng)銷(xiāo)商。收件人然后可以安全地閱讀電子郵件和任何附件，并且安全地發(fā)送回復(fù)，如果需要的話(huà)也可以安全地發(fā)送附件。

也有一些技術(shù)不是以網(wǎng)絡(luò)為基礎(chǔ)的，允許個(gè)人或組織之間傳送安全的信息，這些技術(shù)中最常見(jiàn)的是公共密鑰基礎(chǔ)結(jié)構(gòu)（PKI）。公共密鑰基礎(chǔ)結(jié)構(gòu)要求交換密鑰，這個(gè)密鑰是用于對(duì)加密文件進(jìn)行解密的。比如，Bob想要給Sue發(fā)送一封安全的電子郵件，這樣的話(huà)，他需要給Sue一份公共密鑰的副本，用來(lái)打開(kāi)他的加密信息。Bob保留了他用來(lái)加密信息或文件的私人密鑰，這個(gè)密鑰他也可以使用，尤其是采用數(shù)字簽名來(lái)證明他自己是發(fā)送者。數(shù)字簽名是一個(gè)小的電子文件，因每個(gè)發(fā)送者而不同，尤其可以證明他或她的身份。在許多國(guó)家，也使用數(shù)字簽名，并且在合同或者其它法律文件中，要求與原始簽名一樣強(qiáng)制實(shí)行。

截至現(xiàn)在還沒(méi)有任何大型的PKI配置，主要是由于配置很繁瑣，并且難于執(zhí)行和管理密碼。然而，PKI具有小型的配置，因此較為成功，通常用來(lái)在諸如健康計(jì)劃和醫(yī)療保健交流中心之類(lèi)的組織之間發(fā)送大型文件。

安全數(shù)據(jù)傳輸?shù)姆椒ㄖ煌ǔKI的加密和認(rèn)證大型數(shù)據(jù)文件結(jié)合起來(lái)，即安全的文件傳輸協(xié)議（FTP）。然而，這并不能用于個(gè)人之間的數(shù)據(jù)傳輸。該技術(shù)很容易便可獲得，并使組織之間可以傳輸大量的數(shù)據(jù)，比如通過(guò)交流中心進(jìn)行的索賠交易信息和電子匯款通知。

網(wǎng)站加密

使用網(wǎng)絡(luò)來(lái)收集并向客戶(hù)或者其它組織傳輸敏感信息的組織需要確保其網(wǎng)站的安全。一般標(biāo)準(zhǔn)是使用安全套接層協(xié)議（SSL），該協(xié)議通過(guò)網(wǎng)站對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。打開(kāi)一個(gè)因特網(wǎng)瀏覽器，網(wǎng)站的右下角會(huì)出現(xiàn)打開(kāi)鎖定或者關(guān)閉鎖定。如果該鎖定關(guān)閉了，這就意味著該網(wǎng)站的數(shù)據(jù)傳輸是安全的，一般是由SSL傳輸?shù)?，這就允許私人數(shù)據(jù)在該網(wǎng)站中傳輸和收集，而不用擔(dān)心黑客訪問(wèn)它。有了安全性，而沒(méi)有風(fēng)險(xiǎn)，雖然這樣的事是不存在的，但是在數(shù)據(jù)傳輸過(guò)程中使用SSL和安全的網(wǎng)站可以顯著地減少數(shù)據(jù)被不適當(dāng)?shù)亟孬@的風(fēng)險(xiǎn)。使用內(nèi)部網(wǎng)絡(luò)分析員/程序員，或者與在創(chuàng)建有吸引力和安全的網(wǎng)站方面有專(zhuān)長(zhǎng)的經(jīng)銷(xiāo)商進(jìn)行合作，就可以建立安全的網(wǎng)站。

應(yīng)用層加密

一些組織在應(yīng)用層之間傳輸數(shù)據(jù)，比如電子醫(yī)療健康記錄。查看這些傳輸是明智的做法，如果數(shù)據(jù)在組織外部傳輸，就如任何發(fā)送到因特網(wǎng)上的信息，意味著會(huì)遭到截獲，并且除非合理進(jìn)行保護(hù)，否則會(huì)導(dǎo)致誤用。當(dāng)在應(yīng)用層之間傳輸敏感數(shù)據(jù)時(shí)，合理和良好的安全措施是評(píng)估應(yīng)用層的加密能力，并且預(yù)先執(zhí)行加密解決方案。一些經(jīng)銷(xiāo)商生產(chǎn)應(yīng)用程序，自定義編程產(chǎn)品可以在從一個(gè)端點(diǎn)傳向另一個(gè)端點(diǎn)時(shí)傳輸時(shí)保護(hù)數(shù)據(jù)，組織可以從這些經(jīng)銷(xiāo)商或者產(chǎn)品中獲得這個(gè)技術(shù)。

遠(yuǎn)程用戶(hù)通信

遠(yuǎn)程用戶(hù)會(huì)帶來(lái)額外的安全風(fēng)險(xiǎn)，這是由于他們常常在家里和組織之間通信。這就意味著他們不僅僅需要了解安全數(shù)據(jù)傳輸?shù)囊螅惨私馄渌c遠(yuǎn)程訪問(wèn)機(jī)密信息有關(guān)的安全風(fēng)險(xiǎn)信息。為了確保遠(yuǎn)程用戶(hù)通信的安全，可以安裝一個(gè)虛擬專(zhuān)用網(wǎng)（VPN），這可以對(duì)用戶(hù)之間發(fā)送的所有數(shù)據(jù)加密。這項(xiàng)技術(shù)在市場(chǎng)上就可以很容易獲得，此外，擁有遠(yuǎn)程用戶(hù)的組織安裝這個(gè)技術(shù)是可取的做法。如果沒(méi)有建立虛擬專(zhuān)用網(wǎng)，而且沒(méi)有使用調(diào)制解調(diào)器（一般而言，這不是訪問(wèn)公司網(wǎng)絡(luò)的有效方法），那么所有在因特網(wǎng)上傳輸?shù)臄?shù)據(jù)很容易被截獲，還會(huì)導(dǎo)致不適當(dāng)?shù)氖褂谩?/p>

筆記本和個(gè)人數(shù)字助理（PDA）

這些便攜式設(shè)備及容易丟失或者被偷盜。因此，使用這些設(shè)備來(lái)傳輸機(jī)密信息并對(duì)存儲(chǔ)在這些設(shè)備中的數(shù)據(jù)加密，對(duì)組織而言是明智之舉。這可以保護(hù)組織，如果便攜式設(shè)備丟失或者被盜后，以防數(shù)據(jù)泄露。加密程序在便攜式設(shè)備上是可以實(shí)現(xiàn)的，并且這種軟件的花費(fèi)是合理的，可以負(fù)擔(dān)得起，即使是規(guī)模較小的組織也可以負(fù)擔(dān)得起。

無(wú)線(xiàn)網(wǎng)絡(luò)

無(wú)線(xiàn)威脅正日趨嚴(yán)重，不安全的無(wú)線(xiàn)網(wǎng)絡(luò)是突出的易受攻擊點(diǎn)，此外開(kāi)放的組織更容易受到黑客的訪問(wèn)。因此，防止任何人未經(jīng)授權(quán)就訪問(wèn)網(wǎng)絡(luò)，正變得日趨重要。此外，對(duì)在無(wú)線(xiàn)設(shè)備至阿金傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密，以防止不適當(dāng)?shù)匦孤稒C(jī)密信息。連接到無(wú)線(xiàn)網(wǎng)絡(luò)的筆記本正日益普及，尤其是在收集了醫(yī)療和健康保險(xiǎn)信息的醫(yī)院急救室里。這些筆記本與組織的無(wú)線(xiàn)服務(wù)器通信，并且更新應(yīng)用程序、健康記錄等等。這類(lèi)數(shù)據(jù)一般來(lái)說(shuō)都是敏感的，加密技術(shù)需要對(duì)其提供額外的保護(hù)層。

【編輯推薦】

1. Stree關(guān)于企業(yè)數(shù)據(jù)安全技術(shù)的分析
2. Imperva的“內(nèi)部威脅”數(shù)據(jù)安全問(wèn)卷調(diào)查
3. 國(guó)家信息中心：市場(chǎng)發(fā)展接軌國(guó)際，數(shù)據(jù)安全當(dāng)為重點(diǎn)
4. 采用PDF附件電子郵件就安全嗎？
5. 淺析Xen虛擬環(huán)境下的郵件服務(wù)器數(shù)據(jù)安全解決方案