网络传输中数据安全及加密技术

广州中医药大学第三附属医院 孙海涛

为探讨网络传输中数据安全及加密技术，采用理论结合实践的方法，立足目前医院网络传输面临的安全隐患，分析了数据安全技术和加密技术的应用要点。分析结果表明，医院通常拥有独立的网络传输系统，并且很多数据都是患者的敏感信息和隐私信息，一旦发生泄漏，会对患者及医院造成严重影响，采取科学先进的数据安全技术和加密技术，能够有效保障医院网络传输数据的安全性，并且提升医院发展的信息化水平，提供更加智能化、安全性的医疗服务，值得高度重视。

网络传输是信息系统的主要组合部分之一，信息系统的稳定运行离不开网络传输的支持，但网络传输也是这个信息系统的薄弱环节，极易发生安全问题。医院信息系统中存在大量加密信息，既包括患者的隐私信息，也包括先进的医疗研究成果，一旦在传输中被截取、被泄漏，就会造成严重的后果。必须采取更加先进、完善的数据安全技术和加密技术，才能更好地保障各项网络传输数据的安全性，促使医院稳健发展。基于此，开展网络传输中数据安全及加密技术的分析研究就显得尤为必要。

1 目前医院网络传输中面临的主要安全威胁

在网络技术飞速发展的背景下，为人类生产和生产提供了便利的条件，但同时网络安全问题也频繁发生，信息泄露、隐私泄露屡见不鲜。就医院网络传输而言面临的主要安全威胁体现在以下几个方面：

操作系统安全问题。在医院网络信息传输中，一旦操作系统被病毒入侵或者被黑客控制，就会截取医院网络传输中的任意数据，从而导致医院计算机系统陷入瘫痪状态，致使大量数据被窃取、泄漏、篡改等。通常情况下，引起操作系统安全问题的主要原因是操作不当，或者是使用了未经安全检测的软件，为病毒和黑客的入侵提供了可乘之机。

数据库安全问题。数据库是医院管理数据、使用数据、存储数据、传输数据的核心工具，在建设数据库时，需要建立在权限认证基础之上。如果数据库被入侵，就会导致医院网络系统中存在的数据发生泄漏，这不仅仅关系到患者的个人隐私，而且关系到医院最新研究成果以及专利的安全问题。

在科学技术飞速发展的背景下，网络技术更新换代愈发频发，医院在经营法中，需要频繁通过计算机网络来获取各种信息，发布信息，都需要网络传输来完成。病毒和黑客能够利用计算机网络系统存在的漏洞，进入到医院计算机系统内部，获得用户信息和网络系统操作权限，致使医院计算机系统无法正常使用，影响正常运转。

2 网络传输中的数据安全技术

医院在经营发展中，为满足诊断、研究、教学的多种发展需求，数据被频繁采集、发布、利用、共享，在网络数据传输中必然会涉及到的安全问题。计算机网络具有很强的开放性，仅凭法律规范的约束难以保障网络传输的安全性，还需要一系列先进的技术手段和方法，来解决网络传输数据安全问题和隐私保护问题。常用的网络传输数据安全技术有以下几种：

2.1 数据脱敏

数据脱敏是保障网络传输数据安全的技术，主要机理是在给定的规则范围内，按照一定的策略，对敏感数据进行变换、修改，可有效解决敏感数据在非可行环境中传输和使用的安全问题。按照设计保护规划和脱敏的策略，对医院网络传输数据中的敏感信息进行自动变形，以保障敏感数据。通过数据脱敏技术，可按照网络传输敏感信息内容进行合理的转变，只有通过授权的管理人员或者用户，才能知道数据的真实值，从而降低重要数据在网络传输中面临的风险。数据脱敏可在不降低网络环境安全性的基础上，保障原数据传输、使用、共享的安全性，是大数据环境下最直接、最有效的数据保护方法。任何涉及到敏感信息的行业，对数据脱敏技术有极为迫切的需求，尤其是医院、政府、金融机构，在经营发展中需要频繁使用到真实数据，知识数据长期暴露在网络环境中，极易发生安全问题。而通过数据脱敏技术，可按照数据使用的目标，制定符合数据网络传输安全的脱敏测量，针对不同类别的数据，采取不同的脱敏方式，就能实现跨工具、跨环境的安全访问。常用的数据脱敏方法有替换法、置乱法、均值化法、反推断法、偏移法、FPE法等。这些方法都能对原始的敏感数据进行干扰、匿名化处理，从而形成新的数据集，在网络传输不再明显含有个人隐私的信息，而且保留了原始数据的分布特征。

2.2 访问控制技术

在医院网络传输中，引起数据安全问题的原因比较多，其中用户权限分配不合理是比较重要的原因，也是导致医院网络数据传输中频繁发生越权访问传输和未授权访问传输问题的主要原因之一。为保障网络传输中数据的安全性，需要在数据敏感处理的基础上，按照网络传输和访问人员职责的不同，分配适当的权限，实现分权管理，以保障数据的安全性。早期医院敏感数据访问时，比较依赖于密码和数据库自身的权限来限制，但此种方法操作性比较差，而且配置结构复杂。这就需要寻找一种新的访问控制技术，建立起更加先进的数据库，在进行登录时需要对登陆时间、地点、身份、访问数据列表等多个要素进行逐一验证，以保障访问人员身份的合法性。而且在整个访问过程中，数据库可自动验证访问人员的身份和行为，并和数据库自身的规则进行对比，可自动拦截那些未经允许或者未经授权人的越权访问，而且对删除和修改重要数据表的危险行为可进行自动拦截。此外，在医院数据库建设中要注重运维动态脱敏功能的设计，不同网络系统访问人员拥有不同的访问权限，因此，执行相同一条命令时返回的结果也不相同，只有拥有访问权限的人，才能看到真实的数据，而那些没有访问权限的人员，只能看到经过脱敏处理之后的数据，从而保障了网络传输数据的安全性。

2.3 数据存储加密技术

数据存储加密技术也是目前医院网络传输中常用的数据安全保护技术，医院计算机网络系统中存留着患者的很多因素数据，以及最新的研究成果数据，为保障数据在网络传输中的安全性，必须对数据进行加密。比如：可采取全数据库、表、列、段等级别对医院网络传输中的那些敏感数据进行加密保护，在不影响网络数据正常传输和访问的基础上，保障医院敏感数据在脱离系统之后，依然保持加密状态，以免发生数据被泄漏、被篡改等问题。常用的数据存储加密技术有以下几种：

DLP终端加密技术，此项技术主要布设在计算机系统的终端之上，主要是用于对终端上的敏感数据进行加密。主要机理是在受管控的终端之上安装上代理程序，通过代理程序和后台管理平台进行交互，再结合医院的数据管理要求和分析分类策略，对下载到终端上的敏感数据进行加密，将加密后的数据应用到网络传输和存储中，加密后的数据被读取到内存中时才会被解密。未经授权复制到管控范围外的数据依然保持加密状态，非常适用于非结构化的数据保护中。

CASB代理网关加密技术，主要布设在终端和应用服务器之间，主要机理是将网关部署在目标应用的客户端和服务端之间，不需要改造目标应用，只需要通过适配目标应用，就能实现对客户端请求的解析，并分析出敏感数据，再结合用户身份，按照设置的安全策略对请求进行脱敏以及访问策略，此种数据加密方法，非常适用于结构化数据和非结构数据的安全保护中。

应用内加密技术，此项数据加密技术多布设在应用服务器之上。主要机理是应用系统通过开发改造的方法和加装了密码业务逻辑的密码SDK进行集成，以达到充分利用解密接口的效果，以保障数据传输和使用的系统也具有数据加密和保护的能力。

2.4 入侵防御技术

医院计算机网络系统中连接了很多终端采集设备，通过光纤网络或者无线网络接入到平台上，这就为黑客攻击医院网络传输平台提供了可乘之机。为保障最大限度上保障各项数据的安全性，要保障网络系统具有自动识别和拦截的功能，当黑客进入到医院内部网络上之后，在访问数据库之前，及时发现和自动拦截。黑客盗取网络数据时，通常是利用应用或者数据库上存在的漏洞来实现的，因此，这就需要在数据库之前布设一个入侵防御系统，来阻挡黑客入侵医院网络系统，再通过对数据库通信协议的解析，实现对黑客访问上下信息的解析，比如：可通过白名单和SQL注入特征库进行威胁的发现和自动拦截，就可以很好地预防黑客攻击医院内部网络，保障数据在网络中传输的安全性。

2.5 防勒索技术

在医院网络系统中存着很多敏感数据，也是黑客攻击的主要对象，一旦医院网络系统被黑客攻击，不仅会导致大量数据被泄漏，而且会向医院勒索大量资金，造成巨大的经济损失，如果情况严重，甚至会威胁到患者的生命安全。医院计算机网络系统中既有结构化数据，也有非结构化数据，防勒索，不能仅仅对重要的文档进行保护，更需要对计算机网络数据库进行保护。应当以应用白名单为核心，对各种文档、数据等进行科学保护，只有被信任的应用才可以修改被保护的文档和数据，从而避免发生勒索病毒入侵的问题。

3 医院网络传输中的数据加密技术

数据加密技术是保障网络传输中数据安全的重中之重，随着科学技术的飞速发展，出现了很多网络传输中的数据加密技术，其中应用最广泛的加密技术有三种，一种是DES加密算法、RSA算法、量子加密技术。

3.1 DES加密算法

DES加密算法是目前网络传输中常用的加密技术之一，数据在网络中传输之前，先通过密钥进行加密处理，在数据接收时再进行解密，就能到原始的数据，但整个传输过程中，数据依然处于加密状态，无法显示数据的真实情况。在应用DES数据加密时，数据发送和接收方法，要提前制定密钥，在接收时如果没有对应的密钥，就无法提取相应的数据。因此，DES数据加密技术，对密钥有较高的要求，并且密钥需要定期更新，提升密钥的安全等级，以保障网络数据传输的安全性。从应用机制上来看，DES数据加密技术一种密码机制，安全性相对比较低，加密效率也比较有限，需要有专业的密钥技术解决方案。在医院网络传输数据加密时，为保障敏感数据的安全性，需要用到数字签名技术，并对网络中传输的数据进行对比审核，形成动态化密钥，在使用时密钥可自动生产，同时联合应用并行处理模式，可有效处理传统DES加密技术存在的弊端，保障医院网络数据传输的安全性，实现原始数据和加密数据之间的快速转换。

通过DES加密算法加密后的数据，网络传输应用的难度较大，比如：门诊部门要想将数据传输到医院计算机网络上，住院部通过公共计算机就能获得相关数据，但通常情况下，门诊部门是不需要其他部门看到用户的信息，如果采取对称密钥对传输的数据进行加密，则门诊部和住院部需要提前设定密钥。而如果门诊部需要将相关数据传输给财务部，则二者之间需要设定一个新的密钥。简而言之，门诊部得到的患者数据，要想同时进行多个数据传输，就需要和不同的部门设定不同密钥，因此，门诊部需要几乎大量密钥，从而增加了密钥管理的难度。而非对称密钥加密技术则可以有效解决这一问题，比如：门诊部可在医院公共计算机网络上提前预留出不同的密钥和数据传输文件，可自行对网络中传输的数据进行加密，再通过特定的密钥，就能还原数据。因此，在医院网络传输数据加密中，通过非对称加密技术，可促使网络数据的传输更加安全、更加快捷，密钥管理的难度也会随之降低。

3.2 RSA算法

RSA算法是目前网络传输中常用的非对称密钥算法，在具体应用中只需要一对密钥，其中一个密钥对数据传输文件进行加密处理，另一个密钥则负责解密。在医院网络数据传输中应用RSA算法加密技术的流程如下：

第一步，生成密钥。密钥有公钥和私钥之分，各自对应两个数据，公钥为n和e，私钥作为n和d。其中n是同一个n，所以，RSA的密钥涉及到三个数据，包括：n、e、d都是很大的正整数。

第二步，密钥发布。生成密钥之后，公钥就会被公布出来，任何人都可以获得并使用公钥，但私钥的特定点，掌握在允许解读加密信息人手中。

第三步，加密。

第四步，解密。

3.3 量子加密技术

量子加密技术是目前网络传输中比较新颖先进的加密技术，主要是以量子物理学和密码学为基础，发展而来的一种新型网络数据传输加密技术。量子加密技术的核心是不确定性原理。在一个相同的时间内，同时对粒子的特点进行检测分析，掌握粒子的运行轨迹和位置。通过量子加密技术可有效提升密钥的安全性，并对数据接收方和发送方的行为举止进行检测。量子力学主要表现形式是量子缠结，简而言之，就是通过一个量子的特征，可计算出两一个量子的特征，在数据加密中，可对加密的密码进行计算，在利用不确定性原理，选择密钥，以保障网络传输中数据的安全性。

综上所述，本文采用理论结合实践的方法，分析了网络传输中数据安全及加密技术，分析结果表明，医院网络系统中存储着很多敏感数据，一旦发生泄漏会造成严重的危害。这就需要用到更加科学、先进的数据安全技术和数据加密技术。随着科学技术的飞速发展，很多高新技术被广泛应用到数据安全防护中，需要结合医院网络数据传输的特点，选择与之相适的安全技术和加密技术，才能保障医院数据传输的安全性，促使医院更好地提供医疗服务。