ما الفرق بين المصادقة والترخيص؟

تتحقق المصادقة من هوية المستخدم (على سبيل المثال، عن طريق التحقق من كلمة مرور وعامل ثانٍ)، بينما يحدد الترخيص ما يُسمح لهذا المستخدم المُتحقق منه بفعله. تأتي المصادقة أولاً؛ ويحكم الترخيص الإجراءات التي تليها.

لماذا يُعد التحكم في الوصول المستند إلى الدور شائعًا في تكنولوجيا المعلومات الصحية؟

يُظم العمل السريري حول أدوار محددة، لذا فإن تعيين الأذونات للأدوار والأدوار للأشخاص يتوسع بشكل أفضل من إدارة وصول كل مستخدم على حدة. كما يدعم مبدأ الحد الأدنى من الامتياز، مما يمنح كل دور فقط الوصول الذي تتطلبه وظيفته.

المصادقة، والترخيص، والتحكم في الوصول في تكنولوجيا المعلومات الصحية

المصادقة والترخيص والتحكم في الوصول هي الضمانات التقنية التي تحدد من يمكنه الوصول إلى المعلومات الصحية وما يمكنه فعله بها. تُثبت المصادقة أن المستخدم (أو النظام) هو من يدعي أنه هو؛ ويحدد الترخيص ما يُسمح للمستخدم المُصادق عليه بفعله؛ ويفرض التحكم في الوصول هذه الأذونات عند طلب البيانات والوظائف. وهي معًا تمثل خط الدفاع الأول للسرية والنزاهة في أنظمة المعلومات الصحية.

اعثر على موضوع باستخدام PaperMindقريبًاFind papers & topics

Tools & resources

تنزيل الشرائح

Learn & explore

فيديوقريبًا

Definition

المصادقة هي عملية التحقق من هوية مُدعاة؛ والترخيص هو عملية تحديد الإجراءات والموارد المسموح بها لهوية مُتحقق منها؛ والتحكم في الوصول هو الآلية التي تفرض قرارات الترخيص عن طريق السماح أو رفض عمليات محددة على الموارد المحمية.

Scope

يشرح هذا المدخل التمييز بين المصادقة والترخيص، وعوامل المصادقة الشائعة ودور المصادقة متعددة العوامل، والنماذج السائدة للتحكم في الوصول، وخاصة التحكم في الوصول المستند إلى الدور وامتداداته، كما تُطبق على السجلات الصحية الإلكترونية والأنظمة السريرية الأخرى. كما يتطرق إلى التوتر بين تقييد الوصول ودعم سير العمل السريري. وهي مادة مرجعية حول المفاهيم وليست دليل تنفيذ أو تكوين أمني لأي نظام محدد.

Core questions

كيف يثبت النظام أن المستخدم هو من يدعي أنه هو؟
كيف تُنظم الأذونات بحيث يمكن للمستخدمين أداء عملهم دون وصول واسع النطاق؟
ما هي النماذج الموجودة لتنظيم قرارات الوصول، وكيف تختلف؟
كيف يمكن للتحكم في الوصول أن يحترم احتياجات الأمان وسير العمل السريري على حد سواء؟
ما هو دور المرضى في التحكم في الوصول إلى سجلاتهم الخاصة؟

Key concepts

المصادقة مقابل الترخيص
عوامل المصادقة (المعرفة، الامتلاك، التلازم)
المصادقة متعددة العوامل
التحكم في الوصول المستند إلى الدور (RBAC)
الحد الأدنى من الامتياز وفصل الواجبات
التحكم في الوصول المستند إلى السمات والحساس للسياق
الوصول الطارئ 'كسر الزجاج'
تفضيلات الوصول الدقيقة الموجهة من المريض

Mechanisms

تتم قرارات الوصول على مراحل. تُربط المصادقة أولاً طلبًا بهوية باستخدام عامل واحد أو أكثر: شيء يعرفه المستخدم (كلمة مرور)، أو يمتلكه (رمز مميز أو جهاز)، أو هو (قياس حيوي)؛ يؤدي الجمع بين العوامل إلى مصادقة متعددة العوامل، والتي تقاوم سرقة بيانات الاعتماد بشكل أفضل من كلمات المرور وحدها. بمجرد المصادقة، يحدد الترخيص الإجراءات المسموح بها. ينظم التحكم في الوصول المستند إلى الدور هذا عن طريق تعيين الأذونات للأدوار والأدوار للمستخدمين، بحيث يرث الطبيب الوصول المناسب لوظيفته بدلاً من تلقي أذونات تُدار بشكل فردي؛ وهذا يتوافق بشكل طبيعي مع مبدأ الحد الأدنى من الامتياز ويسهل الإدارة في المؤسسات الكبيرة (Sandhu et al., 1996; Ferraiolo et al., 2001). تضيف الامتدادات سمات وسياقًا (مثل العلاقة بالمريض أو وقت الوصول)، وتسمح أحكام الطوارئ 'كسر الزجاج' بتجاوز متحكم فيه مع تسجيل معزز. قد يرغب المرضى أنفسهم في ممارسة تحكم دقيق في من يرى أي أجزاء من سجلاتهم، مما يضيف بعدًا آخر لسياسة الوصول (Caine & Hanania, 2013). تتطلب الضمانات التقنية لقاعدة أمان HIPAA التحكم في الوصول والضوابط ذات الصلة للمعلومات الصحية المحمية إلكترونيًا (HHS OCR, 2013).

Clinical relevance

يُحافظ التحكم في الوصول المصمم جيدًا على السرية مع السماح لفرق الرعاية بالوصول إلى المعلومات التي يحتاجونها؛ يمكن أن تؤدي الضوابط المصممة بشكل سيء إما إلى كشف البيانات أو إعاقة العمل السريري، مما يدفع إلى حلول بديلة غير آمنة. تشير الأدلة على أن المرضى يرغبون في تحكم دقيق في سجلاتهم إلى كيفية موازنة الأنظمة بين الحماية والاستقلالية (Caine & Hanania, 2013). يصف هذا المدخل المفاهيم للرجوع والتعليم وليس دليل تكوين أو أمان لأي نظام محدد.

Evidence & guidelines

تُعرض الأسس المفاهيمية للتحكم في الوصول المستند إلى الدور في الورقة النموذجية الرائدة (Sandhu et al., 1996) وتُقنن في معيار NIST المقترح (Ferraiolo et al., 2001). تتطلب الضمانات التقنية لقاعدة أمان HIPAA التحكم في الوصول، وضوابط التدقيق، وحماية النزاهة، ومصادقة الشخص أو الكيان، وأمان الإرسال للمعلومات الصحية المحمية إلكترونيًا (HHS OCR, 2013). تعتمد متطلبات التحكم المحددة على تحليل المخاطر للمؤسسة وعلى المعايير الرسمية الحالية.

History

اعتمدت أنظمة الكمبيوتر المبكرة على نماذج تحكم بسيطة تقديرية وإلزامية في الوصول. ظهر التحكم في الوصول المستند إلى الدور في التسعينيات كنهج أكثر قابلية للإدارة للمؤسسات الكبيرة، وتم إضفاء الطابع الرسمي عليه في النموذج المؤثر لساندو وزملاؤه (1996) واقتُرح لاحقًا كمعيار NIST (Ferraiolo et al., 2001). تبع ذلك تبني الرعاية الصحية لأن الأدوار السريرية تتوافق بشكل طبيعي مع الأذونات المستندة إلى الدور، وقد تم توسيع النهج منذ ذلك الحين بآليات حساسة للسمات والسياق للتعامل مع الفروق الدقيقة في الوصول السريري.

Debates

ما مدى دقة تحكم المريض في الوصول إلى السجل؟: تشير أدلة المسح إلى أن المرضى غالبًا ما يرغبون في تحكم دقيق في من يمكنه رؤية أجزاء محددة من سجلاتهم الإلكترونية، ولكن تنفيذ هذه الدقة يمكن أن يعقد الوصول السريري وتنسيق الرعاية، مما يثير توترًا في التصميم بين الاستقلالية وسهولة الاستخدام.

Seminal works

sandhu-1996
ferraiolo-2001

Frequently asked questions

ما الفرق بين المصادقة والترخيص؟: تتحقق المصادقة من هوية المستخدم (على سبيل المثال، عن طريق التحقق من كلمة مرور وعامل ثانٍ)، بينما يحدد الترخيص ما يُسمح لهذا المستخدم المُتحقق منه بفعله. تأتي المصادقة أولاً؛ ويحكم الترخيص الإجراءات التي تليها.
لماذا يُعد التحكم في الوصول المستند إلى الدور شائعًا في تكنولوجيا المعلومات الصحية؟: يُظم العمل السريري حول أدوار محددة، لذا فإن تعيين الأذونات للأدوار والأدوار للأشخاص يتوسع بشكل أفضل من إدارة وصول كل مستخدم على حدة. كما يدعم مبدأ الحد الأدنى من الامتياز، مما يمنح كل دور فقط الوصول الذي تتطلبه وظيفته.