免责声明:本指南引用了卫生与公众服务部(HHS)网站和美国网站上发布的有关HIPAA的指导和文件。政府出版局。
什么是HIPAA合规性?
1996年《健康保险可移植性和问责制法案》是一套旨在:
- 保护患者个人身份信息(PII)、受保护的健康信息(PHI)和电子受保护的健康信息(ePHI)的机密性和完整性。
- 保护工人,让他们的健康保险计划在换工作时变得可移植和可续订。
- 制定团体健康计划和人寿保险单的指导方针。
根据官方文件,该法案的目的是:
修订1986年《国内税收法》,以改善团体和个人市场健康保险的可移植性和连续性,打击健康保险和医疗保健交付中的浪费、欺诈和滥用,促进使用医疗储蓄账户,改善获得长期护理服务和覆盖范围的机会,简化健康保险的管理,以及用于其他目的。
HIPAA分为五个标题:
- 第一章——医疗保健的获取、可移植性和可再生性:确保在换工作或失业期间为工人及其家属提供健康保险。
- 第二章——防止医疗保健欺诈和滥用;行政简化;医疗责任改革:专注于制定欺诈和滥用控制计划的指导方针,以及高效和有效地传播健康信息。
- 第三章——与税收相关的卫生规定:制定税前医疗支出账户的规则。
- 第四章——团体健康计划要求的适用和执行:制定团体健康计划的规则。
- 第五章——收入抵消:管理与税收相关的措施和抵消,以帮助医疗保健计划。
从数据隐私和安全的角度来看,第二章中包含的行政简化条款是最重要的。他们要求卫生与公众服务部(HHS)为有效、安全、保密和有保障的健康信息传输制定标准。请注意,行政简化条款直接针对HHS,并为他们提供创建标准的指导方针,而不是规定标准本身。
根据第二章行政简化的要求,HHS制定了六项规则:
- 隐私规则
- 安全规则
- 违反通知规则
- 执行规则
- 交易和代码集规则
- 唯一标识符规则
除了这六条规则外,HHS还制定了一项总括规则,可以被视为隐私规则的一部分。总括规则包括对现有法规的更新和更改。见图1,了解HIPAA结构的视觉表现。
图1:HIPAA的结构,以及有关头衔和规则的详细信息
这六条规则由HHS制定的几项法规组成。这些法规已被编纂为《联邦法规》(CFR)。它们可以在CFR的几个部分中找到。(见图2)。
图2:HIPAA规则和要求在联邦法规中的位置
正如你在图1和图2中看到的那样:
- 隐私规则位于45 CFR第160部分以及第164部分的A和E小部分
- 安全规则可在45 CFR第160部分以及第164部分的A和C小部分中找到
- 执行规则可在45 CFR第160部分的C、D和E小部分中找到
- 违反通知规则位于45 CFR第164部分,164.400-164.414
45 CFR中的法规由HHS和其他参与公共福利计划的联邦机构管理。
谁必须遵守?
HIPAA仅适用于在美国境内运营的实体和个人。该任务描述了两组需要遵守HIPAA的机构:
涵盖的实体(CEs):
任何医疗保健提供者、健康计划提供者或医疗保健信息中心,负责在HIPAA的范围内传输任何健康信息。CE的例子包括医生、治疗师、牙医、医院、医疗保健保险公司和支付患者医疗保健费用的政府计划。
为CE服务的商业伙伴(BA):
代表涵盖实体执行某些职能或活动的第三方个人或实体,可能涉及使用或披露PHI。例子包括MSP、IT提供商、传真公司和云存储提供商。
HIPAA的要求
HIPAA第二章以行政简化条款而闻名,旨在通过建立电子医疗保健交易标准和确保健康信息的保护来提高医疗保健系统的效率。标题II的要求可以在HHS提出的隐私、安全、数据泄露通知、执法、交易和代码集以及唯一标识符规则中找到。这些反过来又在45 CFR的第160、162和164部分中发现。
隐私规则
隐私规则旨在保护通常称为PHI的“个人可识别健康信息”。这包括与健康相关的信息,如患者的身体或心理健康、患者接受的医疗保健服务以及与医疗保健相关的付款。隐私规则还保障了个人访问其健康相关信息的权利。隐私规则还规定,CE和BA必须获得患者的书面授权,才能披露超越治疗、付款和医疗保健运营的医疗保健数据。
安全规则
如果隐私规则侧重于确定应保护哪些患者数据,那么安全规则定义了如何保护该数据的标准。该规则侧重于通过深入研究数据的存储、审计、传输等方式来确保数据的完整性和可用性。安全规则规定,必须建立工具和政策,以保护ePHI免受可能想要滥用患者信息的实体的侵害。
《安全规则》为保护PHI建立了行政、物理和技术保障措施。(见图3)。
图3:HIPAA安全规则包括行政、物理和技术保障措施
行政保障措施是确保涵盖的实体或业务合作伙伴能够检测ePHI的风险或篡改的政策和程序。
物理保障措施确保组织有访问控制机制,限制授权人员实际进入其设施。他们还强制要求组织执行设备、工作站、服务器等的适当物理访问政策。
技术保障措施要求组织:
- 实施并投资作为访问控制机制的技术解决方案,只允许对ePHI的授权访问。
- 部署正确的软件,如安全信息和事件管理(SIEM)解决方案,以检测、分析和调查在包含ePHI的服务器上发生的任何活动。
- 确保ePHI没有被篡改、破坏或破坏。
- 防止中间人等攻击,这些攻击试图在ePHI通过网络移动时恶意拦截。
违反通知规则
该规则规定了CE和BA在违反无担保PHI的情况下必须执行的程序。不安全的PHI是未经任何安全措施加密或保护的患者健康信息,因此使其易受攻击,易于被未经授权的实体访问。
本规则明确指示在发生违规行为时何时通知受影响的个人、HHS和媒体。它还提供了有关如何传达违规通知以及审计所需的文件的详细信息。
交易和代码集规则
该规则为声明、汇款建议、资格查询和声明状态查询等电子医疗保健交易建立了国家标准。它引入了特定的代码集,如ICD(国际疾病分类)、CPT(当前程序术语)和HCPCS(医疗保健通用程序编码系统),供医疗保健组织在其计费和报表实践中使用。
唯一标识符规则
通过使用唯一标识符,该规则确保了参与医疗保健活动和交易的实体的准确识别。例如,国家提供者标识符(NPI)用于识别医疗保健提供者。另一个重要的标识符是健康计划标识符(HPID),它用于健康计划。
执行规则
HHS内的民权办公室(OCR)监督隐私和安全规则的执行。涵盖的实体和商业伙伴可能会因违反HIPAA而面临处罚。执行规则规定了违反HIPAA的调查程序。
除了这六项规则外,HHS于2013年发布了总括规则,以加强和扩大HIPAA的某些条款,特别是与受保护健康信息的隐私和安全相关的条款。它为HIPAA隐私、安全、执法和漏洞通知规则带来了重大的增强和更新。
综合规则的一些关键变化包括扩大业务伙伴责任、增加对不合规的处罚、更严格的违反通知要求以及增加患者权利。
资源
SIEM解决方案如何帮助组织遵守HIPAA要求
用例1:建立监控对ePHI威胁的政策和程序
此用例直接映射到HIPAA安全规则164.312(c)(1),该规则要求涵盖的实体及其关联公司“实施政策和程序,以保护ePHI免受不当更改或破坏。”
问题
涵盖的实体及其合作伙伴持有的ePHI往往是威胁者的目标。2023年,发生了惊人的725起违规事件,超过1.33亿份患者记录被泄露。
在医疗保健网络中,ePHI通常存储在集中式系统、云存储系统、备份系统、数据库、电子邮件服务器等中。这些存储组件通常是攻击者的主要目标。对于希望在暗网上出售信息的攻击者来说,窃取敏感患者数据是一项有利可图的冒险。ePHI和dePHI篡改的丢失还有其他令人担忧的后果,如延迟患者治疗、敏感信息的披露以及对医疗机构的法律和财务后果。
解决方案
涵盖的实体必须有正确的政策和程序来保护患者数据。为此,组织需要建立一项策略,从持有ePHI的关键服务器收集和审计日志。此外,SOC团队需要有一个告警机制来通知任何可疑事件。SOC团队应该注意的一些可疑事件包括:
- 对敏感患者信息执行的未经授权的用户活动(如访问尝试、删除和权限更改)。
- 针对ePHI的可疑流程。
- 包含ePHI的设备上的可疑登录。
SIEM解决方案可以提醒分析师未经授权的访问尝试或ePHI篡改。有了清晰的报表,分析师可以追踪可能威胁患者信息安全和完整性的用户、恶意软件或进程。分析师还可以从持有ePHI的设备中钻入日志,以调查和解决事件。
此外,配备事件响应功能的SIEM解决方案可以触发对告警的自动响应,执行预定义的操作,例如禁用可能试图访问ePHI存储设备的用户帐户或停止针对敏感患者文件的进程。
用例2:监控不同端点上的用户活动
此用例直接映射到HIPAA安全规则164.308(a)(3)(ii)(A),该规则要求涵盖的实体及其关联公司“执行授权和/或监督与ePHI合作或在可能访问的地点的员工的程序。”
问题
HIPAA授权在涵盖实体的网络中监控用户活动。这允许安全分析师知道他们的网络中是否发生任何可疑活动,以便他们可以立即阻止它。
解决方案
SIEM解决方案可以提醒SOC分析师注意可疑的用户活动,这些活动可能表明服务器和其他包含患者信息的存储系统存在内部威胁。SOC分析师可以查看可疑的用户登录、特定用户启动的异常进程以及连接到特定用户帐户的任何ePHI文件篡改——所有这些都在SIEM解决方案中。
除了监控之外,SIEM解决方案还促进了日志取证。这允许安全分析师威胁搜索可能绕过网络防御并访问ePHI的恶意软件。有了这些信息,分析师可以调查并快速解决事件,以尽量减少损坏和数据丢失。
用例3:与合规审计流程合作
此用例直接映射到HIPAA执行规则160.310(b),该规则规定涵盖的实体及其关联公司必须“配合投诉调查和合规审查”。
问题
审计对组织来说可能是一个紧张的时刻。公司未能证明合规的审计可能会导致严厉的处罚。违反HIPAA可能会导致金钱处罚、法律诉讼,在严重的情况下,还会导致监禁。
解决方案
在审计期间,合规审计员可能需要访问各种网络活动报表,并可能希望查看SIEM解决方案中的安全配置。
像Log360这样的SIEM解决方案允许管理员设置具有某些权限的客人帐户,审计师只能使用这些权限查看必要的配置。该解决方案还提供量身定制的报表,提供重要信息,并帮助涵盖的实体及其合作伙伴遵守特定的HIPAA标准。
SOC分析师可以:
- 查看关于对敏感患者文件执行的操作的深入报表。
- 获取在持有ePHI的关键服务器上成功和失败的登录尝试的详细信息。
- 接收报表,识别恶意的本地系统进程,并可能危及ePHI安全性。
所有这些都有助于组织成功完成HIPAA审计。
用例4:监控和分析审计日志
此用例直接映射到HIPAA安全规则164.312(b),该规则要求涵盖的实体及其关联公司“实施硬件、软件和/或程序机制,以记录和检查包含或使用ePHI的信息系统中的活动。”
问题
删除日志是攻击者在安全漏洞后用来掩盖其踪迹的策略。恶意内部人员也可能试图通过删除日志来删除他们的行为。
解决方案
SIEM解决方案可以通过保护信息系统活动的所有日志来帮助SOC团队遵守HIPAA审计规则。SIEM解决方案汇集了来自包含ePHI、其他端点和威胁情报源的设备的日志,以便SOC分析师能够全面了解可能破坏ePHI的攻击模式。SOC分析师还可以收到有关日志文件篡改或删除的告警,调查这些事件,并相应地更改安全权限。
用例5:保留日志
此用例直接映射到HIPAA执行规则160.310(c)(1),该规则要求“被保护的实体或商业伙伴必须允许秘书在正常工作时间内访问其设施、账簿、记录、帐户和其他信息来源,包括受保护的健康信息,这些信息与确保遵守适用的行政简化规定有关。”
问题
HIPAA的记录保留要求规定,所有与HIPAA相关的文件必须自政策或程序最后一次生效之日起至少保留六年。
解决方案
像Log360这样的SIEM解决方案允许SOC管理员根据需求配置日志的保留要求。这有助于组织保持合规,并与合规审计合作。
如何遵守HIPAA
安全规则:一般规则
要求164.306(a)(1)
保护所有ePHI,以确保其隐私、准确性和可访问性。
为了遵守规定,您需要监控可能存储ePHI的敏感文件、文件夹和目录。您可以使用文件完整性监控等功能来完成此操作。
要求164.306(a)(2)
您的组织必须能够保护ePHI免受任何合理预期的威胁。
您必须首先开发安全用例,以帮助您的组织应对潜在风险。然后,这些可以指导您的组织创建针对这些威胁的检测规则。
要求164.306(a)(3)
保护ePHI免受可以合理预期的非法使用或访问。
您的组织必须能够持续监控对敏感信息的访问,并防止非法访问。
要求164.306(a)(4)
您的组织必须确保所有员工都遵守安全规则。
为了满足这一要求,您必须能够在文件级别跟踪员工活动,并在员工执行任何不允许的活动时收到告警。
要求164.306(b)(2)(i)
您的组织必须使用考虑到您业务复杂性、规模和能力的安全措施。
您使用的安全措施应该具有高度的可扩展性,并符合您的安全需求。
要求164.306(b)(2)(ii)
您的组织必须使用考虑到您的技术或网络基础架构、硬件和软件能力的安全措施。
您使用的安全措施应该具有高度的可扩展性。如果您使用安全解决方案或软件,它应该能够与您现有的基础架构集成和通信。
要求164.306(b)(2)(iii)
您的组织必须使用具有成本效益的安全措施,同时不影响质量。
只要它们有效,您使用的安全措施就可以提供良好的投资回报率,并且不需要昂贵。
要求164.306(b)(2)(iv)
您的组织必须使用考虑到ePHI潜在风险概率的安全措施。
您必须能够根据特定风险的概率在安全解决方案中创建检测规则。在事件实际发生之前,您的安全解决方案还应该能够让您了解用户和实体风险。
安全规则:行政保障措施
要求164.308(a)(1)(i)
实施策略来检测和遏制安全漏洞。
为了合规,您必须能够根据特定风险的概率在安全解决方案中创建检测规则。您的安全解决方案还应该能够让您自动响应安全漏洞。
要求164.308(a)(1)(ii)(A)
进行风险分析,并评估对ePHI机密性、完整性和可用性的脆弱性。
您的安全解决方案必须突出显示网络中的潜在漏洞。它还必须显示实体的风险分数,包括持有敏感信息的文件服务器。
要求164.308(a)(1)(ii)(D)
实施程序,定期审查信息系统活动记录
有效的SIEM或安全分析解决方案将能够提供重要信息系统活动的集中视图,如审计日志、访问报表和安全事件跟踪报表。
要求164.308(a)(3)(ii)(A)
实施程序来授权和监督使用ePHI的员工。
实施有效的SIEM或安全分析解决方案,监控网络上的用户活动,将能够为您完成此任务。
要求164.308(a)(3)(ii)(B)
实施程序来确定员工的访问级别是否合适。
您必须能够通过按需运行报表来检查员工对特定文件或文件夹的访问级别。您还必须能够执行文件分析,以检测任何不适当的访问。
要求164.308(a)(3)(ii)(C)
实施最低特权政策。
一旦工作完成,可以访问ePHI的员工就不应该再访问它了。您可以使用时间和角色等标准自动执行访问控制策略。
要求164.308(a)(4)(ii)(A)、(B)、(C)
实施授权和授予对ePHI的访问权限的政策和程序
它可以在部门或部门内。您还必须能够根据需要修改用户的权限。为了遵守,您需要设置正确的访问控制策略,并注意违规行为。
要求164.308(a)(5)(ii)(B)
您需要防范、检测和报表恶意软件的程序。
您需要监控组织内所有软件、服务和流程的安装和使用。
要求164.308(a)(5)(ii)(C)
您需要监控登录尝试和报表差异的程序。
跟踪成功和不成功的用户登录和注销的SIEM或安全分析解决方案可以帮助您做到这一点。
要求164.308(a)(5)(ii)(D)
您需要保护用户的密码。
为了遵守,请确保您有一个有效的密码政策,同时监控密码的使用。
要求164.308(a)(6)(i)
如果发生安全事件,您需要能够有效应对。
为了遵守,请确保您有有效的政策。在可能的情况下,本政策必须包括自动响应安全事件的方法。
要求164.308(a)(6)(ii)
如果发生安全事件,您需要能够有效应对。你应该能够做出回应,尽可能减轻事件。
为了遵守,请确保您有有效的政策。本政策必须包括自动响应安全事件的方法。例如,您可以利用剧本和工作流程来实施对事件的第一级响应。
安全规则:技术保障措施
要求164.312(b),(c)(1)
您需要实施一个硬件或软件解决方案,该解决方案可以审计、记录和分析包含ePHI的服务器上的任何活动。您还应该保护ePHI免受篡改和破坏。
可以连接到网络的不同部分并监控所有活动的SIEM解决方案将为您完成此操作。如果发生未经授权的访问或修改,您需要确保组织的IT安全可以发出告警。
要求164.312(c)(2),(d)
保护ePHI免受不当访问。
您需要实施有效的身份和访问管理解决方案来验证和授权用户。
执行规则
要求160.308
如果HHS对可能违反HIPAA的行为进行调查,您的组织必须能够合作并提供有关合规状态的相关详细信息。
您需要能够在审计期间提供适当的报表,以表明您的组织是否合规,以及安全配置的证明
要求160.310(a)
在调查期间提供记录和合规报表
您的组织必须拥有提供PII和PHI隐私和安全信息的记录和报表。
要求160.310(c)
允许HHS任命的审计师访问相关信息
在调查时,HHS可能会要求您的组织允许访问某些敏感信息,以确定您的组织是否合规。
违反通知规则:
要求164.404(2)(c)(A)
提供事件的简明摘要,包括违规日期和发现日期(如果有)
您可以使用SIEM解决方案来研究日志中的取证数据,以确定网络上发生了什么。与时间戳和其他元数据一起,必须向受安全事件影响的个人发送通知。
要求164.404(2)(c)(B):受影响信息的描述:
详细说明在违规中泄露的不安全受保护的健康信息的类别,包括但不限于全名、社会保障号码、出生日期、家庭住址、帐号、诊断、残疾代码和任何其他相关数据。
适当的SIEM解决方案还将为您提供有关哪些信息被泄露的信息。这有助于涵盖的实体通知个人哪些个人信息被泄露。
要求164.406(2)(c)
本条款(a)段规定的通知必须遵守§164.404(c)中概述的规范。这包括对事件的简要概述,包括违规日期,如果可以确定,则包括发现日期。
您可以使用SIEM解决方案来研究日志取证,以确定网络上发生了什么。该分析的简要解释可用于通知媒体。
要求164.410
通知应包括在违规期间访问、获取、使用或披露ePHI的每个人的身份。
适当的SIEM解决方案将为您提供有关哪些信息被泄露的信息。这有助于涵盖的实体通知涵盖的实体哪些个人信息被泄露。
要求164.410(c)(2)
商业伙伴必须向涵盖的实体提供违规的所有必要细节,并提供通知所需的任何其他信息。事件的明确摘要,以及违规日期和发现日期,应该是其中的一部分。
您可以使用SIEM解决方案来了解导致漏洞的事件模式。这可用于通知涵盖的实体。
隐私规则
要求164.524
个人有权访问和获取其受保护的健康信息的副本。例外情况包括心理治疗笔记和为法律诉讼准备的信息。
涵盖的实体在其系统中使用访问控制,以确保只有拥有适当权限的授权人员才能访问ePHI。SIEM监控这些访问尝试。当员工检索请求的ePHI时,SIEM会记录活动,为合规目的创建审计跟踪。如果在检索过程中出现任何异常访问尝试,SIEM可以提醒安全人员进行调查。
要求164.526(d)(4)
如果患者不同意其医疗记录中的某些方面,患者可以要求更改。涵盖的实体可以接受或拒绝请求。如果被拒绝,双方都可以在医疗记录中添加他们的解释(患者的不同意和医生拒绝的理由)。
SIEM解决方案无法更改记录,但它会保留谁访问记录以及何时访问记录的日志。该日志可以帮助证明只有授权人员进行了修改。
要求164.528
您必须提供个人ePHI的所有披露的帐户。
虽然SIEM不直接参与生成会计报表,但它可以通过从各种系统收集日志间接支持合规性,包括那些可能包含PHI访问尝试的日志。通过监控PHI访问日志,SIEM可以帮助创建审计跟踪,证明只有授权人员才能访问信息进行披露。
HIPAA合规清单
为了遵守HIPAA,您需要实施标准政策,并通过适当的意识培训教育相关人员。以下是管理PHI的一些IT最佳实践,并避免不遵守HIPAA和随后的OCR处罚:
密码政策和多因素身份验证:
- 加强密码策略,并在访问医疗记录的所有设备上采用多因素身份验证,以提高安全性。
访问控制的零信任模型:
- 采用零信任安全模型,严格限制对患者信息的访问,以符合基本要求或经患者明确同意,加强网络监控,并减少未经授权的访问。
禁止共享证书:
- 严格禁止员工之间共享凭据,以防止未经授权访问敏感数据。
最小化电子邮件中的PHI:
- 由于电子邮件安全漏洞和未经授权的访问或转发风险,减少对包含PHI的电子邮件的依赖。
定期的HIPAA安全评估:
- 进行常规的HIPAA安全评估,以确保持续遵守更新的安全政策和指南。
防病毒软件更新:
- 确保在所有设备上持续更新防病毒软件,以减轻恶意软件风险和潜在的安全漏洞。
存储服务和应用程序的合规性:
- 验证所有使用的存储服务和应用程序是否符合HIPAA安全指南,以充分保护患者信息。
事件响应计划实施:
- 激活事件响应团队,并在发生数据泄露时及时执行事件响应计划,以尽量减少损害并加快恢复。调查并消除其根源的安全威胁。
文件访问控制和提交:
- 验证共享文档是否包含未经授权的个人可以访问的敏感数据。
- 应要求向审计员提供指定文件,确保通过OCR门户网站以合规格式(Microsoft Excel、Word或PDF)更新和提交。
如何检查你是否合规
关于安全政策和程序的备忘录:
- 所有员工都收到了关于安全政策和程序的备忘录吗?
- 他们读过并证明了吗?
- 证明有记录吗?
安全策略审查和更新:
- 是否有关于审查和更新安全政策的文件?
HIPAA合规培训:
- 是否为所有员工进行了HIPAA合规培训?
- 是否提供进行培训的文件?
- 是否有指定员工监督有效的培训课程和HIPAA合规性?
商业伙伴和HIPAA合规性:
- 所有商业伙伴都已确定了吗?
- 是否与处理医疗保健信息的第三方签订了商业伙伴合同?
- 商业伙伴是否接受过HIPAA合规性的审计?
- 是否妥善存档了商务伙伴审计的相关文档?
安全事件管理:
- 是否有技术和行政基础架构来处理安全事件?
- 是否有系统来跟踪网络漏洞?
- 是否有调查安全事件的文件?
- 是否提供所有安全事件及其原因的综合报表?
违反HIPAA的组织会发生什么?
当一个组织不遵守HIPAA法规时,可能会面临严重后果:
民事罚款(CMPs)
- US$OCR执行HIPAA规则,并对不遵守规定的行为处以民事罚款,每次违规行为可能从100美元到50,000不等。这取决于过失程度和违规严重程度。
- US$对于因故意忽视而未得到纠正的违规行为,可以适用更高的处罚,每年每次违规行为最高可处150万。
纠正行动计划(CAPs)
- 除了罚款外,不合规的机构还必须执行纠正行动计划(CAP)。这些计划定义了该组织必须采取的纠正措施,以解决现有缺陷,以遵守HIPAA法规。
- CAP措施,如修订政策和程序、进行员工培训、加强安全控制以及实施保护受保护健康信息(PHI)的保障措施,将帮助受惩罚组织实现HIPAA合规性。
声誉和信任的丧失
- 违反HIPAA可能会损害该组织在患者、客户和利益相关者中的声誉。它们还导致负面宣传和收入损失。
法律后果
- 违反HIPAA也会产生法律后果,以受影响个人的民事诉讼或集体诉讼的形式。这些法律行动给该组织带来了财务困境。
拒绝支付医疗保险/医疗补助
- 在更高级别的不合规行为中,HHS可能会拒绝向该组织支付医疗保险或医疗补助款项,这加剧了依赖政府计划报销的医疗保健提供者的财务状况。
审计和调查
- 不遵守HIPAA可能会导致OCR或其他监管机构的审计或调查。这些审计包括对组织是否符合HIPAA的彻底审查。被发现不合规的实体可能会面临执法行动。