彭程

摘 要：2013年，“棱鏡門”掀起了民眾對(duì)信息安全和個(gè)人隱私保護(hù)的深層思考，而醫(yī)療行業(yè)作為重點(diǎn)行業(yè)領(lǐng)域，更是需要建立長(zhǎng)期有效的機(jī)制來(lái)保障醫(yī)療數(shù)據(jù)的安全和數(shù)據(jù)的隱私。本文從區(qū)域衛(wèi)生信息平臺(tái)的發(fā)展需求入手，圍繞著數(shù)據(jù)傳輸、身份認(rèn)證、請(qǐng)求審計(jì)、數(shù)據(jù)生成幾個(gè)步驟建設(shè)平臺(tái)中的信息安全與隱私保護(hù)體系。

關(guān)鍵詞：信息安全；隱私保護(hù)；分布式計(jì)算；元數(shù)據(jù)

1.引言

在醫(yī)療過(guò)程中，患者疾病和醫(yī)療行為的信息會(huì)形成關(guān)于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關(guān)的情況，還包括這些情況蘊(yùn)涵的其他關(guān)鍵信息?；颊叩年P(guān)鍵信息因診療服務(wù)需要被醫(yī)療機(jī)構(gòu)以及醫(yī)護(hù)人員合法獲悉，而不希望他人也知悉的個(gè)人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯(lián)系方式、既往史等。

患者的診療信息通過(guò)數(shù)據(jù)交換或者是其他的途徑，會(huì)出現(xiàn)在因特網(wǎng)或者內(nèi)部網(wǎng)絡(luò)環(huán)境中，在數(shù)據(jù)交換的路徑中，就需要建立有效的數(shù)據(jù)安全保障機(jī)制來(lái)防止數(shù)據(jù)的泄露。

2.問(wèn)題提出

目前區(qū)域衛(wèi)生信息平臺(tái)一部分作用是數(shù)據(jù)中轉(zhuǎn)以及全程健康檔案的管理。隨著區(qū)域的發(fā)展以及應(yīng)用的加深，區(qū)域平臺(tái)將會(huì)在數(shù)據(jù)協(xié)同以及服務(wù)協(xié)同領(lǐng)域發(fā)揮其重要作用。隨著數(shù)據(jù)協(xié)同等多方面的應(yīng)用加深，對(duì)數(shù)據(jù)安全以及數(shù)據(jù)隱私的要求會(huì)比現(xiàn)階段更加迫切。眾多省級(jí)平臺(tái)的建設(shè)方案中，已將該點(diǎn)作為重點(diǎn)內(nèi)容進(jìn)行建設(shè)。目前區(qū)域平臺(tái)主要將先進(jìn)的業(yè)務(wù)理念作為亮點(diǎn)，而較忽略隱藏在業(yè)務(wù)之下的保障體系，如安全和隱私。如果有一個(gè)較為系統(tǒng)及全面的保障體系，能夠在協(xié)同的各個(gè)步驟進(jìn)行無(wú)縫的嵌入，保證數(shù)據(jù)協(xié)同的安全。先進(jìn)的業(yè)務(wù)加完備的保障體系，是否能夠?qū)^(qū)域平臺(tái)提高一個(gè)層次呢？而現(xiàn)今區(qū)域衛(wèi)生信息平臺(tái)又是如何建立該體系的呢？

3.問(wèn)題分析

根據(jù)前面提出的問(wèn)題，我們開始分析。區(qū)域衛(wèi)生信息平臺(tái)中協(xié)同與共享都屬于數(shù)據(jù)的協(xié)同，協(xié)同的步驟簡(jiǎn)單可概括為發(fā)起請(qǐng)求-數(shù)據(jù)傳入-請(qǐng)求驗(yàn)證-生成數(shù)據(jù)-數(shù)據(jù)返回-結(jié)束請(qǐng)求。在這幾個(gè)步驟當(dāng)中，又可以簡(jiǎn)要概括為數(shù)據(jù)傳輸、身份認(rèn)證、請(qǐng)求審計(jì)、數(shù)據(jù)生成（數(shù)據(jù)隱私動(dòng)作）等。

下面，我們圍繞著上述幾個(gè)大點(diǎn)開始建立安全與隱私體系。

4.安全體系設(shè)計(jì)

目前，區(qū)域衛(wèi)生信息平臺(tái)的安全保護(hù)措施主要有以下幾種：

1） 數(shù)據(jù)傳輸加密

傳輸過(guò)程采用高強(qiáng)度基于1024bit的公鑰/私鑰加密機(jī)制保證網(wǎng)絡(luò)傳輸?shù)陌踩ɑ阢y行支付的安全標(biāo)準(zhǔn)）。公鑰-私鑰對(duì)由衛(wèi)生管理機(jī)構(gòu)統(tǒng)一發(fā)放，并且周期性更新，加密算法采用RSA標(biāo)準(zhǔn)算法。如果數(shù)據(jù)在傳輸過(guò)程中被惡意截取，因?yàn)闆](méi)有密鑰也無(wú)法解密查看傳輸?shù)膬?nèi)容，可以最大程度的保證市民數(shù)據(jù)的安全。

為了保證加密的效率，系統(tǒng)采用數(shù)字信封技術(shù)來(lái)實(shí)現(xiàn)，既保證了網(wǎng)絡(luò)的安全傳輸，又保證了加密效率。

4.1.1 數(shù)據(jù)上行過(guò)程

a） 首先獲取隨機(jī)DES鑰匙，采用DES算法對(duì)傳輸內(nèi)容加密，然后醫(yī)療機(jī)構(gòu)采用衛(wèi)生管理機(jī)構(gòu)公布的公鑰把DES鑰匙進(jìn)行加密形成數(shù)字信封，最后把密文和數(shù)字信封通過(guò)網(wǎng)絡(luò)傳輸?shù)叫l(wèi)生管理機(jī)構(gòu)。

b） 衛(wèi)生管理機(jī)構(gòu)收到加密數(shù)據(jù)包后，使用自己的私鑰（私鑰存儲(chǔ)在衛(wèi)生廳本地，不在網(wǎng)絡(luò)上傳輸）采用RSA算法對(duì)信封解密獲取DES鑰匙，然后采用DES算法對(duì)加密包解密，獲取原始數(shù)據(jù)內(nèi)容，保存至數(shù)據(jù)庫(kù)。

4.1.2 數(shù)據(jù)下行過(guò)程

a） 醫(yī)療機(jī)構(gòu)（第三方系統(tǒng)）（下稱請(qǐng)求方）發(fā)起服務(wù)請(qǐng)求。

b） 衛(wèi)生管理機(jī)構(gòu)接收到請(qǐng)求后從數(shù)據(jù)庫(kù)查找對(duì)應(yīng)的數(shù)據(jù)內(nèi)容，采用DES算法對(duì)數(shù)據(jù)進(jìn)行加密，然后獲取請(qǐng)求方的公鑰，采用RSA算法把DES鑰匙加密形成數(shù)字信封，一起和加密內(nèi)容發(fā)送給請(qǐng)求方。

c） 請(qǐng)求方獲取到加密包后，使用自己的私鑰和RSA算法對(duì)數(shù)字信封解密獲取DES鑰匙，然后采用DES算法對(duì)加密包解密，查看數(shù)據(jù)原始內(nèi)容。

2） 身份認(rèn)證與權(quán)限控制

4.2.1 主體身份認(rèn)證

確保每個(gè)用戶必須具有唯一的身份標(biāo)識(shí)和唯一的身份鑒別信息，確保來(lái)源合法。當(dāng)請(qǐng)求方偽造時(shí)，系統(tǒng)可以主動(dòng)的鑒別出，并積極拒絕。

4.2.2 操作權(quán)限控制

操作權(quán)限是基于應(yīng)用層次的權(quán)限控制，在用戶使用應(yīng)用系統(tǒng)當(dāng)中，不同角色的個(gè)體有著不同的操作權(quán)限，比如登錄、新增、刪除、修改、導(dǎo)出等，對(duì)個(gè)體進(jìn)行授權(quán)后，只能操作有權(quán)限的動(dòng)作。

4.2.3 數(shù)據(jù)權(quán)限控制

數(shù)據(jù)權(quán)限基于全方位的數(shù)據(jù)結(jié)構(gòu)，將已有的關(guān)系型數(shù)據(jù)庫(kù)維護(hù)到系統(tǒng)當(dāng)中（元數(shù)據(jù)）。對(duì)數(shù)據(jù)進(jìn)行分割，將數(shù)據(jù)區(qū)塊按需要分發(fā)給用戶，用戶在獲取之前被數(shù)據(jù)權(quán)限攔截器進(jìn)行攔截，查看到的數(shù)據(jù)是其有權(quán)限查看的那部分。

3） 審計(jì)日志

審計(jì)日志是在應(yīng)用層次的審計(jì)操作，對(duì)用戶在使用應(yīng)用系統(tǒng)中的的行為進(jìn)行收集、統(tǒng)計(jì)、分析，對(duì)出現(xiàn)或者可能出現(xiàn)的安全問(wèn)題進(jìn)行提醒，并為事后的責(zé)任問(wèn)題提供支持。

4.3.1 行為審計(jì)記錄

平臺(tái)主要記錄每個(gè)業(yè)務(wù)用戶的關(guān)鍵操作，如用戶登錄、退出、批量導(dǎo)出數(shù)據(jù)等關(guān)鍵行為。審計(jì)記錄一般包括事件的日期，事件，類型，主體，結(jié)果等相關(guān)內(nèi)容。為了減少資源的消耗，審計(jì)日志一般保留半年。

4.3.2 對(duì)安全信息的統(tǒng)計(jì)分析

通過(guò)對(duì)海量審計(jì)記錄的分析，通過(guò)建立多維度，多條件的分析模型，對(duì)用戶的關(guān)鍵操作進(jìn)行關(guān)聯(lián)分析，并得出各類數(shù)據(jù)報(bào)表，便于運(yùn)維人員從多角度進(jìn)行監(jiān)控

5.隱私體系設(shè)計(jì)

隱私設(shè)計(jì)體系基于元數(shù)據(jù)，對(duì)最小粒度的個(gè)體進(jìn)行隱私設(shè)置，通過(guò)隱私規(guī)則執(zhí)行引擎進(jìn)行處理后，得到經(jīng)過(guò)隱私處理的數(shù)據(jù)。

1） 隱私規(guī)則定義

隱私規(guī)則定制了平臺(tái)內(nèi)資源的隱私程度級(jí)別和形式。其中隱私規(guī)則包含了對(duì)平臺(tái)資源數(shù)據(jù)的模糊、隱藏、替換、過(guò)濾操作、匿名的規(guī)則管理。平臺(tái)可以根據(jù)實(shí)際應(yīng)用場(chǎng)景，配置規(guī)則，對(duì)資源進(jìn)行隱私處理，對(duì)查詢數(shù)據(jù)的進(jìn)行過(guò)濾，或者對(duì)查詢字段的模糊處理，如用戶身份證等進(jìn)行部分替換“*”處理。

2） 隱私規(guī)則分配

隱私規(guī)則創(chuàng)建完后，需要對(duì)規(guī)則進(jìn)行一個(gè)有效的分配，才能使其得到一個(gè)有效的利用。隱私保護(hù)規(guī)則創(chuàng)建完后，一般情況下，將規(guī)則分配給用戶，用戶在請(qǐng)求數(shù)據(jù)時(shí)，經(jīng)過(guò)隱私規(guī)則執(zhí)行引擎進(jìn)行模糊操作，最終出來(lái)的數(shù)據(jù)即為隱私后的數(shù)據(jù)。

3） 隱私規(guī)則執(zhí)行引擎

隱私規(guī)則執(zhí)行器，是對(duì)分配的隱私規(guī)則進(jìn)行一個(gè)有效執(zhí)行的核心攔截處理部件。平臺(tái)對(duì)外提供的服務(wù)都會(huì)經(jīng)過(guò)隱私規(guī)則執(zhí)行器，自動(dòng)識(shí)別隱私保護(hù)規(guī)則，返回或者共享的數(shù)據(jù)是經(jīng)過(guò)隱私設(shè)定的數(shù)據(jù)。

數(shù)據(jù)的隱私操作為數(shù)據(jù)密集型計(jì)算，隱私規(guī)則執(zhí)行器需要有良好的計(jì)算能力，作為平臺(tái)不可或缺的組件，采用分布式服務(wù)的理念進(jìn)行設(shè)計(jì)，在用戶發(fā)起一次隱私計(jì)算時(shí)，通過(guò)分發(fā)器均勻分發(fā)給隱私執(zhí)行引擎，再由合并算法進(jìn)行隱私合并，最終形成一份完整的隱私數(shù)據(jù)。

6.總結(jié)

便捷與安全總是處在兩個(gè)對(duì)立面，一味的追求便捷與高效是偏激的，信息安全和隱私是這個(gè)時(shí)代不可避免的威脅，解決這個(gè)威脅，不是在單方面有著完備的解決方案就可以解決的，作為數(shù)據(jù)傳輸?shù)妮d體，需建立長(zhǎng)期有效的信息安全保障機(jī)制，制定信息安全關(guān)鍵技術(shù)和重點(diǎn)產(chǎn)品目錄，以保證數(shù)據(jù)在系統(tǒng)內(nèi)流轉(zhuǎn)的安全。

（作者單位：新疆克拉瑪依市第二人民醫(yī)院信息科，新疆 克拉瑪依 834000）