scholarly journals A Framework for Context Sensitive Risk-Based Access Control in Medical Information Systems

2015 ◽  
Vol 2015 ◽  
pp. 1-9 ◽  
Donghee Choi ◽  
Dohoon Kim ◽  
Seog Park

Since the access control environment has changed and the threat of insider information leakage has come to the fore, studies on risk-based access control models that decide access permissions dynamically have been conducted vigorously. Medical information systems should protect sensitive data such as medical information from insider threat and enable dynamic access control depending on the context such as life-threatening emergencies. In this paper, we suggest an approach and framework for context sensitive risk-based access control suitable for medical information systems. This approach categorizes context information, estimating and applying risk through context- and treatment-based permission profiling and specifications by expanding the eXtensible Access Control Markup Language (XACML) to apply risk. The proposed framework supports quick responses to medical situations and prevents unnecessary insider data access through dynamic access authorization decisions in accordance with the severity of the context and treatment.

Владимир Павлович Гулов ◽  
Виктор Анатольевич Хвостов ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч

Проведен анализ моделей управления доступа используемых в настоящее время в системах защиты информации. На основе анализа достоинств и недостатков дискреционной, полномочной и ролевой моделей при осуществлении доступа мобильных систем субъектов с различными потребностями и ролями к иерархически организованным информационным объектам медицинских информационных систем предложено использовать управление доступом на основе тематическо - иерархической политики. На основе анализа организационной структуры медицинской организации и типовых модулей медицинских информационных систем, имеющих иерархическую структуру при которой тематика объекта доступа определяется тематическими узлами классификатора с автоматическим распространением на объекты классификации всех соответствующих подчиненных тематических узлов, субъектам доступа предоставляются права на доступ к объектам, тематика которых соответствует одному или нескольким узлам классификатора с автоматическим распространением прав работы на документы с тематикой соответствующих подчиненных узлов. Предложены методы формирования тематических решеток, обеспечивающие контроль безопасности информационных потоков. В статье предлагаются методы задания матрицы достижимости по чтению, записи и выполнению разных субъектов доступа к объектам доступа с монорубрицированной и мультирубрицированной иерархической тематической классификацией The analysis of access control models currently used in information security systems is carried out. Based on the analysis of the advantages and disadvantages of discretionary, authoritative and role models when accessing mobile systems of subjects with different needs and roles to information objects of medical information systems, it is proposed to use access control based on a thematic hierarchical policy. Based on the analysis of the organizational structure of a medical institution and typical MIS modules, having a hierarchical structure in which the subject of the access object is determined by the thematic nodes of the classifier with automatic distribution to the classification objects of all corresponding subordinate thematic nodes and access subjects are granted access rights to objects whose subject matter corresponds to one or several to the nodes of the classifier with automatic distribution of the rights to work on documents with the subject of the corresponding subordinate nodes, methods for the formation of thematic lattices are proposed to ensure the security control of information flows. The article discusses methods for setting the reach ability matrix for reading, writing and executing different subjects of access to access objects with monorubric and multi-categorized hierarchical thematic classification

Владимир Павлович Гулов ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч ◽  
Виктор Анатольевич Хвостов

На основе анализа применения моделей управления доступом с использованием тематических иерархических классификаторов в медицинских информационных системах с применением мобильных систем в качестве элементов предложены методы формирования доверительных прав на доступ к объектам. При использовании традиционных тематически иерархических моделей управления доступа логическая информационная архитектура ресурсов медицинских информационных систем формирует собой тематический иерархический классификатор (рубрикатор). Диаграмма Хассе вводит отношения порядка в тематическом классификаторе на решетке безопасности для формирования доверительно - тематических полномочий пользователей медицинских информационных систем. Построение диаграмм Хассе на решетке безопасности включающей несколько уровней безопасности достаточно сложная алгоритмическая задача. При построении доверительно - тематических полномочий пользователей для избегания неопределенности при неполноте построенной диаграммы Хассе и завышения предоставленных полномочий при формировании прав доступа предлагается использовать семантическую близость запроса на доступ пользователя и тематической рубрики иерархического классификатора. Анализ существующих подходов к формированию метрик семантической близости показал, что в качестве наилучшей метрики для задания доверительных полномочий пользователя может использоваться меры близости, основанные на иерархии понятий Based on the analysis of the application of access control models using thematically hierarchical classifiers in medical information systems using mobile technologies (MS), methods of forming access rights to objects are proposed. When using traditional thematically hierarchical access control models, the logical information architecture of the medical information systems resources forms a thematic hierarchical classifier (rubricator). The Hasse diagram introduces order relations into the thematic classifier on the security grid to form the trust-thematic powers of the medical information systems users. The construction of Hasse diagrams on a security grid that includes several security levels is a rather complex algorithmic task. When constructing trust-thematic user powers to avoid ambiguity in the case of incompleteness of the constructed Hasse diagram and overestimation of the granted powers when forming access rights, it is proposed to use the semantic proximity of the user's access request and the thematic heading of the hierarchical classifier. An analysis of existing approaches to the formation of semantic proximity metrics showed that proximity measures based on a hierarchy of concepts can be used as the best metric for setting the user's trust authority

Sign in / Sign up

Export Citation Format

Share Document