肖 璦 盧雅雯 呂智慧 吳 杰 祖立軍

1(復(fù)旦大學(xué)計算機(jī)科學(xué)技術(shù)學(xué)院 上海 200433)2(中國銀聯(lián)股份有限公司 上海 201201)

0 引 言

隨著現(xiàn)代社會高速的信息化和網(wǎng)絡(luò)化，各種應(yīng)用、服務(wù)、網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)與信息都在以爆炸式的速度增長?，F(xiàn)在關(guān)于大數(shù)據(jù)的研究已是人們耳熟能詳?shù)脑掝}，大數(shù)據(jù)的收集、開發(fā)和利用，已經(jīng)成為當(dāng)今社會的潮流之一。事實上，大數(shù)據(jù)的分析應(yīng)用對于政府或企業(yè)的決策有著非常積極的作用。

現(xiàn)在，生物醫(yī)療大數(shù)據(jù)給醫(yī)療衛(wèi)生領(lǐng)域帶來了深刻的變革，其被廣泛應(yīng)用在領(lǐng)域內(nèi)的各個方面，包括電子病歷、決策支持系統(tǒng)、遠(yuǎn)程醫(yī)療、個人健康管理、精準(zhǔn)醫(yī)療[1]等，蘊藏著巨大的醫(yī)療價值和科研價值。我國對于生物醫(yī)療大數(shù)據(jù)的發(fā)展也很關(guān)注，頒布了各類文件支持生物醫(yī)療大數(shù)據(jù)的基礎(chǔ)建設(shè)。

生物醫(yī)療大數(shù)據(jù)在為人們提供高效、便利服務(wù)的同時，也帶來了一系列的挑戰(zhàn)[2]如隱私安全保障問題。相較于過去，大數(shù)據(jù)時代下的生物醫(yī)療大數(shù)據(jù)泄露的后果更為嚴(yán)重。例如，個人的身體缺陷、疾病情況，甚至是基因缺陷，都可能會使其在投保險求職時受到不公正對待。并且，隨著醫(yī)療信息系統(tǒng)的普及，患者就醫(yī)時被采集到的醫(yī)療信息包含了詳細(xì)的個人信息。數(shù)據(jù)泄露后，基于個人基本信息，可關(guān)聯(lián)到主體在金融、通信、交通等領(lǐng)域的信息，從而帶來嚴(yán)重的經(jīng)濟(jì)、精神損失。

為了保障隱私安全，本文梳理了生物醫(yī)療大數(shù)據(jù)研究背景和保護(hù)現(xiàn)狀，并以生物醫(yī)療大數(shù)據(jù)的生命周期為基礎(chǔ)，對生命周期中各個階段的隱私安全保障行為進(jìn)行規(guī)范。同時，基于OpenStack搭建了一個大數(shù)據(jù)云平臺來保障電子數(shù)據(jù)在云上的安全性。

1 大數(shù)據(jù)時代下的生物醫(yī)學(xué)

1.1 生物醫(yī)療大數(shù)據(jù)的研究背景

醫(yī)療衛(wèi)生領(lǐng)域每年都會產(chǎn)生海量的生物醫(yī)療數(shù)據(jù)，其數(shù)據(jù)規(guī)?？蛇_(dá)到TB或PB級別[3]。這些生物醫(yī)療數(shù)據(jù)可被簡單地分為兩類：用于臨床醫(yī)療的醫(yī)療數(shù)據(jù)和用于科學(xué)研究的生物數(shù)據(jù)。其中用于臨床醫(yī)療的醫(yī)療數(shù)據(jù)主要為患者的診療檔案，包括了患者的個人基本信息、診療信息、影像報告、治療方案、藥物使用信息、手術(shù)記錄、住院信息等。而用于科學(xué)研究的生物數(shù)據(jù)則包含了基因數(shù)據(jù)、生物樣本、實驗記錄等。

通過對生物醫(yī)療大數(shù)據(jù)的收集、處理和分析，醫(yī)療人員的相關(guān)決策獲得了海量歷史數(shù)據(jù)的支持，疾病預(yù)防和診療的效率得到了提升。此外，生物醫(yī)療大數(shù)據(jù)還可用于疾病預(yù)防、藥物研究、基因分析、疫情監(jiān)測、人體保健等領(lǐng)域。

但是，隨著生物醫(yī)療大數(shù)據(jù)平臺和技術(shù)的發(fā)展，相關(guān)隱私泄露事件頻發(fā)。生物醫(yī)療大數(shù)據(jù)的隱私安全問題面臨著重大的挑戰(zhàn)。醫(yī)療衛(wèi)生行業(yè)的特殊性以及生物醫(yī)療數(shù)據(jù)的敏感性要求人們在快速發(fā)展生物醫(yī)療大數(shù)據(jù)的同時，也要加大對生物醫(yī)療信息隱私保護(hù)的重視。

1.2 國內(nèi)生物醫(yī)療大數(shù)據(jù)保護(hù)現(xiàn)狀

我國對于生物醫(yī)療大數(shù)據(jù)的發(fā)展也是十分關(guān)注，有關(guān)生物醫(yī)療大數(shù)據(jù)的文件政策也是層出不窮。2014年，衛(wèi)計委頒布了《基于電子病歷的醫(yī)院信息平臺技術(shù)規(guī)范》《基于居民健康檔案的區(qū)域衛(wèi)生信息平臺技術(shù)規(guī)范》等文件。2015年，國務(wù)院頒布了《關(guān)于城市公立醫(yī)院綜合改革試點的指導(dǎo)意見》，并在《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》中指出要在健康醫(yī)療領(lǐng)域全面推廣大數(shù)據(jù)應(yīng)用，構(gòu)建以人為本、惠及全民的民生服務(wù)新體系[4]。2016年，國務(wù)院頒布了《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》；中國信息通信研究院頒布了《大數(shù)據(jù)白皮書(2016)》，并在其中描述了醫(yī)療領(lǐng)域大數(shù)據(jù)應(yīng)用的進(jìn)展情況及發(fā)展趨勢。2017年，國家開始施行《中華人民共和國網(wǎng)絡(luò)安全法》，將對信息安全的保護(hù)由行政法規(guī)層面逐步上升到了法律層面。2018年，國家衛(wèi)健委頒布了《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》，對生物醫(yī)療數(shù)據(jù)的標(biāo)準(zhǔn)管理、安全管理、服務(wù)管理、管理監(jiān)督四個方面進(jìn)行了規(guī)范。2019年，《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》正式發(fā)布，明確規(guī)定了個人信息的管理機(jī)制、技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處置辦法，進(jìn)一步加強(qiáng)了個人信息的安全保護(hù)。這些文件內(nèi)容覆蓋了醫(yī)院信息化、醫(yī)藥信息化、數(shù)據(jù)融合等領(lǐng)域，為生物醫(yī)療大數(shù)據(jù)的建設(shè)提供了強(qiáng)有力的支持。

2 生物醫(yī)療大數(shù)據(jù)生命周期下的數(shù)據(jù)安全保障

生物醫(yī)療大數(shù)據(jù)中涵蓋了大量的個人隱私信息，為了降低隱私泄露的風(fēng)險，需要對數(shù)據(jù)使用者和管理者的數(shù)據(jù)操作行為進(jìn)行規(guī)范。本節(jié)以生物醫(yī)療大數(shù)據(jù)的生命周期為線索，對生命周期各個階段的數(shù)據(jù)安全保障進(jìn)行研究并給出建議。

從生物醫(yī)療視角出發(fā)，基于張靜[5]對于大數(shù)據(jù)生命周期的定義，將生物醫(yī)療大數(shù)據(jù)的生命周期分為數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)應(yīng)用、數(shù)據(jù)共享、數(shù)據(jù)銷毀這六個階段。

2.1 數(shù)據(jù)采集階段

數(shù)據(jù)采集階段是大數(shù)據(jù)生命周期的第一個階段。在這一階段，個人的生物醫(yī)療數(shù)據(jù)被采集，為未來的數(shù)據(jù)處理和分析奠定了基礎(chǔ)。

個人生物醫(yī)療數(shù)據(jù)的采集手段繁多，包括個人資料填寫、醫(yī)生就診問詢、醫(yī)療設(shè)備收集、醫(yī)學(xué)研究志愿者自愿提供等。獲取的內(nèi)容主要有個人基本信息、個人醫(yī)療信息和生物數(shù)據(jù)樣本。其中：個人基本信息包括姓名、電話號碼、家庭住址、婚姻狀況等信息；個人醫(yī)療信息包括病情、藥方、過敏史、患病史等信息；生物數(shù)據(jù)樣本包括血液樣本、基因樣本、生物組織樣本等。收集到的數(shù)據(jù)和樣本會被用于數(shù)據(jù)主體的臨床治療或醫(yī)療相關(guān)的科學(xué)研究。

收集數(shù)據(jù)時需要獲得數(shù)據(jù)主體的知情和同意。在獲取數(shù)據(jù)或生物樣本時需要以文字形式告知數(shù)據(jù)主體獲取的方式、內(nèi)容和用途。若在獲取時不確定數(shù)據(jù)是否具有后續(xù)用途，需要獲得數(shù)據(jù)主體的動態(tài)知情同意，即每次數(shù)據(jù)用于新的用途之前，就要向數(shù)據(jù)主體說明，再次獲得數(shù)據(jù)主體的同意。必須要在獲得數(shù)據(jù)主體知情和同意的前提下才可以進(jìn)行數(shù)據(jù)的采集工作，在數(shù)據(jù)主體不同意的情況下不應(yīng)當(dāng)采集數(shù)據(jù)或生物樣本。

在數(shù)據(jù)的采集過程中應(yīng)當(dāng)遵循最小化原則，避免收集無關(guān)目的的隱私數(shù)據(jù)，即收集的數(shù)據(jù)的類型和數(shù)量應(yīng)與獲取目的有直接關(guān)聯(lián)。同時，收集隱私數(shù)據(jù)應(yīng)有特別提示，在以書面或網(wǎng)絡(luò)形式獲取數(shù)據(jù)時需標(biāo)明是否為隱私數(shù)據(jù)，以及必填/非必填項。

數(shù)據(jù)采集時也需要對數(shù)據(jù)進(jìn)行簡單的處理，包括對采集到的數(shù)據(jù)進(jìn)行核對與矯正。對于生物樣本，則需要及時貼好標(biāo)簽，做好相應(yīng)的標(biāo)識以便與其記錄進(jìn)行關(guān)聯(lián)。

進(jìn)行數(shù)據(jù)采集的人員需要進(jìn)行管理。其中涉及隱私數(shù)據(jù)采集的人員需要經(jīng)過隱私數(shù)據(jù)安全培訓(xùn)，并簽訂安全保密協(xié)議。接觸數(shù)據(jù)的人員不得篡改或記錄數(shù)據(jù)，不得保留數(shù)據(jù)備份、部分或全部生物樣本。

2.2 數(shù)據(jù)存儲階段

數(shù)據(jù)被采集后需要根據(jù)相應(yīng)的要求進(jìn)行存儲。海量的數(shù)據(jù)被集中存儲和管理，這要求我們保障數(shù)據(jù)存儲環(huán)境的安全性。

首先,需要明確存儲的對象。存儲的數(shù)據(jù)對象包括以紙質(zhì)、網(wǎng)絡(luò)、醫(yī)療器械等方式采集到的生物數(shù)據(jù)和醫(yī)院、醫(yī)療相關(guān)研究機(jī)構(gòu)獲取的生物樣本。存儲的目的是為數(shù)據(jù)主體后續(xù)治療或后續(xù)患病治療提供參考，也會為相似病例治療提供參考，部分會成為科研病例的素材。

其次，不同介質(zhì)的數(shù)據(jù)會有不同的存儲手段。重要紙質(zhì)材料應(yīng)有專門房間妥善保存。經(jīng)過采集和錄入的數(shù)據(jù)應(yīng)存儲在數(shù)據(jù)庫中，存儲數(shù)據(jù)的服務(wù)器及其備份服務(wù)器等應(yīng)放置在可靠安全的環(huán)境里。生物樣本應(yīng)存放在適宜的環(huán)境下。

然后,存儲的數(shù)據(jù)也需要進(jìn)行一定的處理。在隱私保護(hù)方面，需要對姓名、身份證號等關(guān)鍵追溯性信息做脫敏處理，對隱私數(shù)據(jù)設(shè)置隱私標(biāo)記。信息安全技術(shù)個人信息安全規(guī)范中有規(guī)定：收集個人信息后，需要立即進(jìn)行去標(biāo)識化處理，并采取技術(shù)和管理兩方面的措施，將去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息分開存儲，并確保在后續(xù)的個人信息處理中不能重新識別個人[6]。同時，數(shù)據(jù)保存應(yīng)遵從時間最小化原則，即個人信息保存期限應(yīng)為實現(xiàn)目的所必須的最短時間，超出個人信息保存期限后，應(yīng)對個人信息進(jìn)行刪除或匿名化處理。

另外，從數(shù)據(jù)管理的角度來看，數(shù)據(jù)存儲方應(yīng)建立專門的數(shù)據(jù)管理系統(tǒng)來對獲取的生物數(shù)據(jù)進(jìn)行管理。為數(shù)據(jù)管理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址[7]；對存儲數(shù)據(jù)的數(shù)據(jù)庫網(wǎng)絡(luò)進(jìn)行防火墻等隔離手段，保證網(wǎng)絡(luò)隔離；定期進(jìn)行數(shù)據(jù)備份(本地及異地)，并做好容災(zāi)方案。

最后，在管理人員方面，數(shù)據(jù)存儲方應(yīng)為數(shù)據(jù)管理系統(tǒng)、存儲數(shù)據(jù)的機(jī)房、保存生物樣本的房間分配相應(yīng)管理者，并明確其責(zé)任范圍。管理者需要經(jīng)過隱私數(shù)據(jù)保護(hù)培訓(xùn)并簽訂數(shù)據(jù)保護(hù)協(xié)議。同時需要建立數(shù)據(jù)管理制度體系，其中包括安全策略、管理制度、操作規(guī)程等[7]。

2.3 數(shù)據(jù)訪問階段

經(jīng)過采集、存儲階段后，生物醫(yī)療數(shù)據(jù)已經(jīng)可以支持簡單的醫(yī)療診斷行為，例如患者的醫(yī)療數(shù)據(jù)被醫(yī)護(hù)人員訪問查詢以便于治療方案的確定和實行。為了保障患者的隱私，降低信息泄露風(fēng)險，訪問行為需要被約束和控制。

在訪問手段上，由于生物醫(yī)療數(shù)據(jù)在物理意義上可分為電子數(shù)據(jù)、紙質(zhì)文檔、生物樣本，所以訪問手段也相對多樣。電子數(shù)據(jù)可以通過數(shù)據(jù)管理系統(tǒng)訪問，也可以直接訪問數(shù)據(jù)庫；紙質(zhì)文檔和生物樣本則需要直接接觸和翻閱。

對于電子數(shù)據(jù)，應(yīng)對訪問人員進(jìn)行訪問控制和安全審計。訪問數(shù)據(jù)管理系統(tǒng)需要有合法身份，通過其身份對應(yīng)權(quán)限進(jìn)行訪問。訪問系統(tǒng)的合法身份在獲取其身份及對應(yīng)權(quán)限前需要了解涉及隱私數(shù)據(jù)類型，并簽訂協(xié)議。非系統(tǒng)內(nèi)人員如有正當(dāng)理由需要訪問系統(tǒng)，需要進(jìn)行審批，獲得臨時身份后訪問。

對于物理數(shù)據(jù)，訪問機(jī)房或存儲紙質(zhì)文檔、生物樣本的房間需要進(jìn)行審批，并對人員進(jìn)出進(jìn)行記錄。

2.4 數(shù)據(jù)應(yīng)用階段

應(yīng)用階段是生物醫(yī)療大數(shù)據(jù)產(chǎn)生價值的重要階段。在這一階段，海量的數(shù)據(jù)被處理、分析和解釋，能有效地輔助醫(yī)療領(lǐng)域的決策制定。

應(yīng)用數(shù)據(jù)的整個過程中都要獲得數(shù)據(jù)所有者的明示同意，即數(shù)據(jù)所有者對其個人數(shù)據(jù)的處理做出明確授權(quán)的行為，包括書面聲明等。在應(yīng)用數(shù)據(jù)前，應(yīng)獲得數(shù)據(jù)主體的明示同意。在應(yīng)用數(shù)據(jù)的過程中，應(yīng)用范圍不得超出數(shù)據(jù)收集過程中所聲稱的范圍，若超出上述范圍，需再次征得數(shù)據(jù)主體的明示同意。對收集的數(shù)據(jù)進(jìn)行加工處理后產(chǎn)生的新數(shù)據(jù)應(yīng)被認(rèn)為是數(shù)據(jù)主體的生物數(shù)據(jù)，所以對新數(shù)據(jù)的使用也應(yīng)獲得數(shù)據(jù)主體的明示同意。

在數(shù)據(jù)應(yīng)用的過程中，需要對數(shù)據(jù)的操作、管理行為進(jìn)行約束，有專人基于數(shù)據(jù)應(yīng)用相關(guān)規(guī)章制度監(jiān)管數(shù)據(jù)應(yīng)用過程，負(fù)責(zé)數(shù)據(jù)使用的申請和審批。應(yīng)消除數(shù)據(jù)中與研究目的無關(guān)的信息，使數(shù)據(jù)無法追溯到主體；應(yīng)采取權(quán)限控制技術(shù)，使不同領(lǐng)域的人員僅獲取其領(lǐng)域所需的生物醫(yī)療數(shù)據(jù)，降低數(shù)據(jù)竊取的可能性；應(yīng)保障對數(shù)據(jù)進(jìn)行分析、挖掘后產(chǎn)生的新數(shù)據(jù)[8]的安全性；應(yīng)控制數(shù)據(jù)的流動，限制數(shù)據(jù)的使用范圍，使數(shù)據(jù)不進(jìn)入保險、保健等盈利行業(yè)；應(yīng)保障數(shù)據(jù)可視化過程中的安全性，使個人的信息不被公開泄露。

2.5 數(shù)據(jù)共享階段

隨著共享信息平臺的建立，各行各業(yè)都開始嘗試進(jìn)行數(shù)據(jù)的共享，醫(yī)療行業(yè)也不例外。特別在臨床醫(yī)療領(lǐng)域內(nèi)，患者通常會到不同的醫(yī)院治療疾病，這時，個人生物醫(yī)療數(shù)據(jù)就可以在不同的醫(yī)院中進(jìn)行共享。此舉消除了數(shù)據(jù)的孤島，讓醫(yī)生的診斷決策有更堅實的基礎(chǔ)。數(shù)據(jù)共享在為醫(yī)療領(lǐng)域帶來便利的同時也增加了隱私泄露的可能性。 數(shù)據(jù)共享雙方都應(yīng)嚴(yán)格規(guī)范自身的數(shù)據(jù)共享行為，防止惡意人員獲取共享數(shù)據(jù)。

共享的數(shù)據(jù)內(nèi)容主要包括各醫(yī)療機(jī)構(gòu)之間相互協(xié)作進(jìn)行臨床治療所需的醫(yī)療數(shù)據(jù)和各科研機(jī)構(gòu)用于醫(yī)學(xué)研究所需的生物數(shù)據(jù)。數(shù)據(jù)共享的方式主要包括線下方式的數(shù)據(jù)共享；基于共享數(shù)據(jù)庫的在線數(shù)據(jù)共享；基于請求和反饋的數(shù)據(jù)共享。

為了保障傳輸過程中的數(shù)據(jù)安全，出于研究目的傳輸?shù)臄?shù)據(jù)應(yīng)進(jìn)行匿名化、去標(biāo)識化處理，讓數(shù)據(jù)無法追溯到個體；線下共享數(shù)據(jù)時應(yīng)采取措施保證傳輸過程的安全性；線上傳輸數(shù)據(jù)時應(yīng)采用文本、圖像加密等技術(shù)保證數(shù)據(jù)的完整性和保密性。

在使用共享數(shù)據(jù)時，共享數(shù)據(jù)接收方應(yīng)將共享數(shù)據(jù)與接收方原有數(shù)據(jù)隔離存儲，并基于最小授權(quán)原則對接收的數(shù)據(jù)進(jìn)行訪問控制、提供身份鑒別服務(wù)，也應(yīng)對共享數(shù)據(jù)的操作行為進(jìn)行安全審計，并保留審計記錄。

需要有第三方機(jī)構(gòu)對共享數(shù)據(jù)發(fā)送方和共享數(shù)據(jù)接收方的數(shù)據(jù)共享行為進(jìn)行管理。第三方機(jī)構(gòu)應(yīng)制定數(shù)據(jù)共享相關(guān)規(guī)章制度和文件，執(zhí)行并落實相關(guān)的管理制度，監(jiān)管數(shù)據(jù)共享行為。

共享數(shù)據(jù)雙方應(yīng)配合第三方機(jī)構(gòu)的指導(dǎo)和監(jiān)管，遵循數(shù)據(jù)共享的相關(guān)流程規(guī)定，不應(yīng)私自進(jìn)行數(shù)據(jù)共享。共享數(shù)據(jù)發(fā)送方應(yīng)保證發(fā)送數(shù)據(jù)的真實性，不得篡改數(shù)據(jù)；當(dāng)共享時限到達(dá)后，共享數(shù)據(jù)發(fā)送方應(yīng)檢驗共享數(shù)據(jù)接受方是否歸還共享樣本、是否刪除共享數(shù)據(jù)。共享數(shù)據(jù)接收方人員不得私自獲取、復(fù)制、更改、存儲共享數(shù)據(jù)；當(dāng)共享時限到達(dá)時，共享數(shù)據(jù)接收方應(yīng)歸還共享樣本并刪除共享數(shù)據(jù)。

2.6 數(shù)據(jù)銷毀階段

數(shù)據(jù)銷毀階段是數(shù)據(jù)生命周期的最后一個階段。所有的數(shù)據(jù)都有時效性，收集到的生物數(shù)據(jù)在患者康復(fù)、研究結(jié)束或數(shù)據(jù)到達(dá)保存期限后應(yīng)被銷毀。

數(shù)據(jù)的銷毀可分為數(shù)據(jù)刪除和實物銷毀。數(shù)據(jù)刪除對應(yīng)于電子數(shù)據(jù)的刪除，需要采取一定的措施防止他人通過技術(shù)手段恢復(fù)存儲設(shè)備中的生物數(shù)據(jù)，例如亂碼數(shù)據(jù)覆蓋、設(shè)備格式化等。實物銷毀對應(yīng)于紙質(zhì)文檔、存儲設(shè)備、生物樣本的銷毀，其中：存儲設(shè)備應(yīng)采取永久消磁或徹底銷毀手段進(jìn)行處理；紙質(zhì)報告應(yīng)進(jìn)行粉碎處理；樣本應(yīng)按照相應(yīng)規(guī)章制度進(jìn)行處理。

各機(jī)構(gòu)需要在數(shù)據(jù)保存期限到達(dá)后銷毀數(shù)據(jù)。其中：對生物數(shù)據(jù)進(jìn)行處理、計算后的衍生數(shù)據(jù)應(yīng)設(shè)有保存期限，到期后應(yīng)刪除；共享數(shù)據(jù)到期后應(yīng)刪除；生物樣本等實物到達(dá)保存期限或不能使用后應(yīng)銷毀；數(shù)據(jù)主體在機(jī)構(gòu)違反法律法規(guī)或與數(shù)據(jù)主體的約定時，要求機(jī)構(gòu)銷毀個人數(shù)據(jù)時，機(jī)構(gòu)應(yīng)刪除數(shù)據(jù)并銷毀對應(yīng)實物；機(jī)構(gòu)停止運營后應(yīng)刪除所有生物數(shù)據(jù)并銷毀對應(yīng)實物。

各機(jī)構(gòu)的數(shù)據(jù)銷毀人員也應(yīng)遵循相關(guān)的規(guī)定，不應(yīng)保留、復(fù)制銷毀數(shù)據(jù)，應(yīng)檢查銷毀結(jié)果，若有遺漏則再次銷毀。

3 平臺實現(xiàn)

本文基于OpenStack初步建立了一個大數(shù)據(jù)平臺，提供了電子數(shù)據(jù)的安全保障管理環(huán)境。

本平臺為每個業(yè)務(wù)系統(tǒng)建立專用的虛擬資源空間，使之在相對隔離的環(huán)境中可信、高效地運行，并可按需靈活調(diào)整。具體功能包括：平臺物理資源調(diào)度和管理、虛擬運行環(huán)境的自動化配置和交付、平臺性能監(jiān)測和優(yōu)化等。

除此之外，為了保障平臺和平臺中各系統(tǒng)的信息安全，如圖 1所示，本平臺采用基礎(chǔ)平臺安全防護(hù)，基于虛擬化的安全隔離、安全初始化及交付、接入控制、安全審計監(jiān)控、多粒度訪問控制等機(jī)制，建立安全保障體系，為平臺和系統(tǒng)的運行提供安全服務(wù)。

圖1 平臺安全服務(wù)部署情況

本平臺的基礎(chǔ)平臺安全防護(hù)采用了控制平臺和業(yè)務(wù)平臺相對分離的思路?？刂破脚_完全對外隔離，僅連接平臺的物理資源；業(yè)務(wù)平臺是構(gòu)筑于控制平臺之上的虛擬化平臺，可對外連接?？刂破脚_與業(yè)務(wù)平臺間的連接將受到嚴(yán)格控制，安全防護(hù)的重心將放在控制平臺。針對控制平臺，我們根據(jù)網(wǎng)絡(luò)、主機(jī)、存儲設(shè)備的具體規(guī)劃，采取相應(yīng)的安全防護(hù)機(jī)制，包括外網(wǎng)部署防火墻、內(nèi)網(wǎng)劃分獨立網(wǎng)段、采用統(tǒng)一身份驗證和授權(quán)管理、關(guān)鍵通道入侵檢測設(shè)施等。

基于虛擬化的安全隔離為每個虛擬機(jī)分配專用的計算、存儲和網(wǎng)絡(luò)資源，可防止殘余數(shù)據(jù)的利用，消除側(cè)信道。安全初始化及交付階段采用隨機(jī)化因素改變虛擬空間的缺省安全機(jī)制配置，并通過安全的通道和環(huán)節(jié)將相關(guān)的認(rèn)證因子進(jìn)行交付。

接入控制部分提供身份認(rèn)證和授權(quán)管理服務(wù)，采用安全接入機(jī)制使授權(quán)用戶進(jìn)入系統(tǒng)，防止非授權(quán)用戶對平臺和系統(tǒng)造成損害。

安全審計監(jiān)控實現(xiàn)多層次監(jiān)測數(shù)據(jù)的關(guān)聯(lián)分析，并向用戶提供對監(jiān)測數(shù)據(jù)的查詢和分析服務(wù)，實現(xiàn)安全審計。用戶通過安全審計和監(jiān)測服務(wù)，可實現(xiàn)對相關(guān)事件的溯源。

多粒度訪問控制機(jī)制能實現(xiàn)對多樣化數(shù)據(jù)資源的保護(hù)。生物醫(yī)療大數(shù)據(jù)類型駁雜、體量巨大，難以采用統(tǒng)一的數(shù)據(jù)訪問控制機(jī)制，因此本平臺采用了多粒度的訪問控制，對資源類型和資源實例進(jìn)行權(quán)限管理。

業(yè)務(wù)系統(tǒng)在上線運行后會面臨各式各樣的數(shù)據(jù)安全挑戰(zhàn)，相應(yīng)的安全防護(hù)措施是必不可少的。本平臺為電子數(shù)據(jù)安全保障提供了必要的安全服務(wù)，降低了信息安全風(fēng)險。但對數(shù)據(jù)的攻擊手段是不斷變化、不斷發(fā)展的，因此，本平臺會在未來繼續(xù)完善數(shù)據(jù)保護(hù)措施，使電子數(shù)據(jù)保護(hù)方案更加完備。

4 結(jié) 語

當(dāng)下我國醫(yī)療衛(wèi)生領(lǐng)域在生物醫(yī)療大數(shù)據(jù)的使用方面尚未形成標(biāo)準(zhǔn)的規(guī)范，這導(dǎo)致數(shù)據(jù)的安全保障管理方面存在很多風(fēng)險。本文則以數(shù)據(jù)的生命周期為基礎(chǔ)，面向數(shù)據(jù)使用者和管理者，給出在數(shù)據(jù)采集、存儲、訪問、應(yīng)用、共享、銷毀等階段的隱私安全保障建議。希望能以此為基礎(chǔ)形成生物醫(yī)療大數(shù)據(jù)監(jiān)管規(guī)范框架并撰寫數(shù)據(jù)共享的保障監(jiān)管規(guī)范。

同時，本文建立了一個基于OpenStack的大數(shù)據(jù)平臺，為數(shù)據(jù)系統(tǒng)的運行提供了安全的防護(hù)，保障了電子數(shù)據(jù)的安全。