39、多边安全：从中国墙模型到医疗信息安全策略

多边安全：从中国墙模型到医疗信息安全策略

1. 中国墙模型

中国墙模型在访问控制理论方面做出了开创性贡献，同时也引发了关于其与BLP宁静属性一致性的讨论，以及对这类系统形式语义的研究。该模型存在一个 * 属性，即主体 s 可以写入 c 的条件是，s 不能读取任何满足 x(c′) ≠ ⊘ 且 y(c) ≠ y(c′) 的 c′。

在实际应用中，中国墙模型通常采用手动方式实现。例如，一家大型软件咨询公司要求员工维护一份“非机密”简历，其中的条目需经过清理并得到客户认可。示例如下：
- Sep 97 — Apr 98: 为美国一家大型零售银行的新分行会计系统的安全需求提供咨询

此外，顾问的经理应留意可能存在的冲突，若有疑问则不将简历转发给客户；若经理未能察觉，客户可从简历中自行发现潜在冲突；若客户也未发现，顾问有责任一旦发现潜在冲突就立即报告。

2. 医疗信息系统中的多边安全

2.1 医疗信息安全现状

医疗信息系统是多边安全中一个重要且具启发性的例子。在发达国家，医疗保健行业在国民收入中所占的份额远高于军事领域。尽管医院的自动化程度仍相对较低，但正在迅速追赶。2006 年美国卫生与公众服务部（DHHS）的一项研究表明，对医疗信息技术的投资在 3 至 13 年内即可收回成本，并且能够提高医疗安全性和效率。

然而，医疗安全和隐私在许多国家已成为热门话题。在美国，1996 年国会通过了《健康保险流通与责任法案》（HIPAA），以应对多起隐私泄露事件。例如，马萨诸塞州牛顿 - 韦尔斯利医院的骨科技术员 Mark Farley 利用前员工的密码查看了 954 名患者（主要是年轻女性）的记录，获取女孩