摘要：醫(yī)療數(shù)據(jù)中包含患者隱私信息等很多敏感數(shù)據(jù)，一旦泄露就會產生嚴重的社會問題。為了加強醫(yī)院信息安全建設，降低醫(yī)療數(shù)據(jù)安全風險，防止敏感數(shù)據(jù)被泄露，文章在對醫(yī)療數(shù)據(jù)分級分類的基礎上建立了一套動態(tài)脫敏系統(tǒng)，自動識別敏感數(shù)據(jù)并使用預先制定的脫敏規(guī)則實時動態(tài)脫敏。文章應用數(shù)據(jù)動態(tài)脫敏技術，實現(xiàn)了對數(shù)據(jù)的實時保護，確保敏感信息在數(shù)據(jù)使用過程中不被泄露，并且不破壞數(shù)據(jù)的統(tǒng)計特性與關聯(lián)性。數(shù)據(jù)動態(tài)脫敏系統(tǒng)有效地提升了醫(yī)院的信息安全水平，是醫(yī)療數(shù)據(jù)保護領域的一項重要進步。

關鍵詞：信息安全；數(shù)據(jù)安全保護；醫(yī)療數(shù)據(jù)；動態(tài)脫敏

中圖分類號：TP309文獻標志碼：A

0引言

在醫(yī)療健康領域高質量發(fā)展的背景下，醫(yī)療信息化建設取得了顯著成就，電子病歷、遠程醫(yī)療、互聯(lián)網(wǎng)醫(yī)院等新興服務模式逐漸成為常態(tài)。然而，隨著醫(yī)療數(shù)據(jù)量的激增和數(shù)據(jù)共享需求的提升，數(shù)據(jù)安全保護面臨前所未有的挑戰(zhàn)。醫(yī)療數(shù)據(jù)中包含大量敏感信息，一旦泄露，不僅侵犯患者隱私權，還可能導致嚴重的社會問題和法律風險［1］。因此，如何在保障數(shù)據(jù)流通和共享的同時，有效保護數(shù)據(jù)安全，成為醫(yī)療信息化發(fā)展的關鍵問題［2］。動態(tài)脫敏技術作為一種平衡數(shù)據(jù)利用與隱私保護的有效手段，其在醫(yī)院網(wǎng)絡安全領域中的應用顯得尤為重要［3］。本文探討了動態(tài)脫敏技術的工作原理及其在醫(yī)療領域數(shù)據(jù)安全保護中的應用實踐，以期為醫(yī)療機構信息安全提供一種參考方案，促進醫(yī)療數(shù)據(jù)的安全高效利用。

1相關技術與理論基礎

1.1數(shù)據(jù)脫敏技術概述

數(shù)據(jù)脫敏技術是信息安全領域中用于保護敏感數(shù)據(jù)及個人隱私數(shù)據(jù)的重要手段，通過將原始數(shù)據(jù)中的敏感部分用加密、截取、替換、混淆、仿真等形式轉換成非敏感形式，以防止出現(xiàn)未授權訪問或數(shù)據(jù)泄露。數(shù)據(jù)脫敏技術的應用場景為數(shù)據(jù)共享、測試和開發(fā)環(huán)境等，脫敏對象包括結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。數(shù)據(jù)脫敏技術分為動態(tài)脫敏和靜態(tài)脫敏2大類［4］。

數(shù)據(jù)脫敏的關鍵是在保護數(shù)據(jù)的敏感性和保證數(shù)據(jù)的可用性中找到一個平衡點。在醫(yī)療數(shù)據(jù)中使用脫敏技術，既要保留數(shù)據(jù)的分析價值，便于進行醫(yī)療研究和數(shù)據(jù)分析，又要保護患者個人屬性、健康狀況、醫(yī)療行為中的隱私數(shù)據(jù)。脫敏策略的選擇和實施需要綜合考慮數(shù)據(jù)類型、敏感度、使用場景和合規(guī)要求。

1.2動態(tài)脫敏與傳統(tǒng)脫敏技術的比較

動態(tài)脫敏與靜態(tài)脫敏在多個方面存在差異。靜態(tài)脫敏通常用于開發(fā)、測試和培訓等非生產環(huán)境，對數(shù)據(jù)進行一次性處理，將敏感數(shù)據(jù)替換為假數(shù)據(jù)或模糊數(shù)據(jù)［5］，脫敏效果如圖1所示。靜態(tài)脫敏的優(yōu)點是操作簡單，易于實現(xiàn)；缺點是脫敏后的數(shù)據(jù)可能會失去其原始的統(tǒng)計特性和分布模式，在數(shù)據(jù)分析和測試中存在局限性。

相比之下，動態(tài)脫敏則是一種更為靈活和安全的技術。它允許在實時環(huán)境中根據(jù)訪問者的權限級別動態(tài)地處理數(shù)據(jù)。動態(tài)脫敏技術可以實時地對敏感數(shù)據(jù)進行加解密，確保只有授權用戶才能訪問原始的真實數(shù)據(jù)，非授權用戶根據(jù)設定的脫敏策略訪問不同級別的脫敏數(shù)據(jù)，脫敏效果如圖2所示。這種方法的優(yōu)點是在保護數(shù)據(jù)隱私的同時提供更加真實的數(shù)據(jù)使用體驗，尤其適用于需要實時數(shù)據(jù)處理和分析的生產環(huán)境［6］。

然而，動態(tài)脫敏技術由于需要更精細的訪問控制和更復雜的邏輯來處理不同用戶的數(shù)據(jù)訪問請求，面臨著諸如系統(tǒng)性能壓力、復雜脫敏規(guī)則的維護以及脫敏系統(tǒng)本身的安全性帶來的挑戰(zhàn)。

1.3動態(tài)脫敏技術的工作原理

動態(tài)脫敏技術基于對數(shù)據(jù)流的監(jiān)控進行實時數(shù)據(jù)脫敏處理。該技術預先制定一套脫敏規(guī)則集，為不同權限級別的用戶按照需要匹配相應的規(guī)則，當用戶請求訪問數(shù)據(jù)時，系統(tǒng)會識別用戶的身份和權限級別，根據(jù)預設的脫敏規(guī)則，結合數(shù)據(jù)分級分類后整理出的敏感數(shù)據(jù)字典，輸出可用的最小數(shù)據(jù)集，并生成審計日志［7］。

動態(tài)脫敏系統(tǒng)架構如圖3所示。訪問控制管理模塊用于控制用戶對數(shù)據(jù)的訪問，確保只有授權用戶才能發(fā)起脫敏請求。數(shù)據(jù)發(fā)現(xiàn)與分類讓系統(tǒng)能夠自動識別和分類敏感數(shù)據(jù)。脫敏規(guī)則引擎是動態(tài)脫敏系統(tǒng)的核心，系統(tǒng)根據(jù)用戶的權限和請求上下文，動態(tài)地應用脫敏規(guī)則。實時脫敏處理模塊對數(shù)據(jù)進行實時的加解密、數(shù)據(jù)格式變換等操作，對非授權訪問實現(xiàn)脫敏效果。審計與日志模塊記錄所有的數(shù)據(jù)訪問和脫敏操作，以便于事后審計和監(jiān)控。

動態(tài)脫敏系統(tǒng)的核心是實時脫敏處理模塊，包含基于數(shù)據(jù)集脫敏和基于SQL改寫2種技術路線。該模塊將動態(tài)脫敏系統(tǒng)看作一個代理程序，可切斷請求者與業(yè)務數(shù)據(jù)庫之間的直接訪問，請求者向該代理程序提交查詢請求。在基于數(shù)據(jù)集的脫敏模式下，代理程序將請求不作處理轉發(fā)至數(shù)據(jù)庫服務端，在收到返回的數(shù)據(jù)集后，根據(jù)配置中的脫敏規(guī)則返回脫敏數(shù)據(jù)；在基于SQL改寫的脫敏模式下，代理程序在收到查詢請求后即根據(jù)脫敏規(guī)則確定需要脫敏的字段和方式，修改SQL語句后再轉發(fā)到數(shù)據(jù)庫服務器，此時服務器返回的信息即為安全的脫敏數(shù)據(jù)［8］。

2動態(tài)脫敏技術實施流程

2.1敏感數(shù)據(jù)識別與分類

在動態(tài)脫敏技術的實施流程中，研究者首先要開展敏感數(shù)據(jù)的識別與分類工作。這一過程涉及對醫(yī)療機構中存儲的海量數(shù)據(jù)進行系統(tǒng)性的審查，識別出含有個人隱私信息及需要保護的敏感數(shù)據(jù)。根據(jù)《數(shù)據(jù)安全法》和相關醫(yī)療數(shù)據(jù)保護法規(guī)，個人身份信息、健康狀況、醫(yī)療記錄等均屬于敏感數(shù)據(jù)范疇。識別敏感數(shù)據(jù)通常采用自動化工具，結合人工智能和機器學習技術，提高識別的準確性和效率。數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的敏感程度和重要性劃分為不同的級別?；颊叩纳矸菪畔⒑驮\療記錄通常被劃分為高敏感級別，一般的醫(yī)療服務信息屬于較低敏感級別。數(shù)據(jù)分級分類有助于確定脫敏策略，能夠為數(shù)據(jù)的安全合規(guī)管理提供依據(jù)。

2.2脫敏規(guī)則的制定與實施

脫敏規(guī)則的制定基于數(shù)據(jù)分類的結果，結合數(shù)據(jù)的使用場景、訪問者的權限級別以及合規(guī)性要求，是動態(tài)脫敏技術實施的核心。對于高敏感級別的數(shù)據(jù)，需要采用數(shù)據(jù)加密或完全替換等強脫敏規(guī)則；對于低敏感級別的數(shù)據(jù)，可以采用數(shù)據(jù)泛化或部分掩碼等輕脫敏規(guī)則。在制定脫敏規(guī)則時，要盡可能保留數(shù)據(jù)的統(tǒng)計特性和關聯(lián)性，在確保數(shù)據(jù)安全的同時，提高數(shù)據(jù)的實用性和分析價值。

動態(tài)脫敏技術的實現(xiàn)依賴于部署在網(wǎng)絡中的動態(tài)脫敏系統(tǒng)。一個典型的動態(tài)脫敏系統(tǒng)架構包括數(shù)據(jù)源、脫敏引擎、訪問控制模塊、審計日志模塊和用戶界面等關鍵組件［9］。數(shù)據(jù)源是脫敏系統(tǒng)的對象，可以是醫(yī)療機構的數(shù)據(jù)庫、數(shù)據(jù)倉庫或其他數(shù)據(jù)存儲系統(tǒng)；脫敏引擎是負責根據(jù)訪問請求和脫敏規(guī)則實時處理數(shù)據(jù)；訪問控制模塊確保只有授權用戶才能訪問敏感數(shù)據(jù)；審計日志模塊記錄所有數(shù)據(jù)訪問和脫敏操作，以便于事后審計和監(jiān)控；用戶界面提供給系統(tǒng)管理員和數(shù)據(jù)保護專家，用于配置脫敏規(guī)則和管理脫敏策略。

隨著醫(yī)療機構數(shù)據(jù)量的增長和業(yè)務需求的變化，系統(tǒng)需要支持高并發(fā)的數(shù)據(jù)訪問來保證實時性，并提供靈活的脫敏策略管理，具有可擴展性和可維護性。同時，系統(tǒng)還應具備高度的安全性，防止成為攻擊的目標，從而保護敏感數(shù)據(jù)的安全。

3動態(tài)脫敏技術在南京市江寧醫(yī)院的應用

3.1動態(tài)脫敏系統(tǒng)實現(xiàn)

南京市江寧醫(yī)院搭建的動態(tài)脫敏系統(tǒng)旨在實現(xiàn)對醫(yī)療敏感數(shù)據(jù)，尤其是患者隱私數(shù)據(jù)的實時保護。系統(tǒng)的設計與數(shù)據(jù)分級分類工作的開展相結合，確保不同敏感級別的數(shù)據(jù)能得到相應強度的保護。

系統(tǒng)采用多層安全模型，架構上分為數(shù)據(jù)源層、脫敏處理層、訪問控制層和審計監(jiān)控層。數(shù)據(jù)源層負責與醫(yī)院信息系統(tǒng)、電子病歷系統(tǒng)和實驗室信息管理系統(tǒng)等數(shù)據(jù)源進行接口對接，脫敏處理層通過規(guī)則引擎對敏感數(shù)據(jù)進行實時處理，訪問控制層負責用戶身份驗證和權限管理，審計監(jiān)控層記錄所有數(shù)據(jù)訪問和脫敏操作，為事后審計提供依據(jù)。

在制定脫敏規(guī)則時，南京市江寧醫(yī)院結合了國家法律法規(guī)和行業(yè)標準，參照《國家衛(wèi)生信息資源分類與編碼管理規(guī)范》（WS/T 787—2021）對醫(yī)療數(shù)據(jù)進行了細致的分類和分級。這項工作的第一步是厘清數(shù)據(jù)資產，之后將數(shù)據(jù)按照基礎資源、業(yè)務資源、主題資源3大塊進一步細化，再識別出個人信息數(shù)據(jù)。個人信息分為基本資料、身份信息、生物識別信息、網(wǎng)絡身份標識、健康生理信息、教育工作信息、財產信息、身份鑒別信息、通信信息、聯(lián)系人信息、設備信息、位置信息等類別，其中涉及特定身份、未成年人個人信息、生物識別信息、身份鑒別信息、醫(yī)療健康、金融賬戶、行蹤軌跡的都屬于敏感個人信息［10］，應根據(jù)使用場景作脫敏處理。數(shù)據(jù)分類分級及個人敏感信息標識完成后，系統(tǒng)為這些數(shù)據(jù)匹配了掩碼、泛化、加密等不同的脫敏策略。

南京市江寧醫(yī)院動態(tài)脫敏系統(tǒng)的實時脫敏模塊采用基于結果集處理的脫敏方法，脫敏后的數(shù)據(jù)保留原始數(shù)據(jù)的邏輯、一致性和統(tǒng)計特征。加密脫敏采用一種融合了哈希和內積運算的國密算法，基于可變的數(shù)據(jù)和密文長度，兼顧了數(shù)據(jù)安全與處理效率。系統(tǒng)還提供了一個易于操作的管理界面，數(shù)據(jù)安全管理員能夠方便地配置和管理脫敏規(guī)則。

3.2應用效果分析

南京市江寧醫(yī)院于2023年上線動態(tài)脫敏系統(tǒng)，現(xiàn)已接入20臺重要系統(tǒng)數(shù)據(jù)庫服務器，覆蓋了醫(yī)院的電子病歷系統(tǒng)、實驗室信息管理系統(tǒng)、影像存儲傳輸系統(tǒng)等關鍵醫(yī)療數(shù)據(jù)存儲點，有效地減少了醫(yī)療數(shù)據(jù)泄露的風險。通過對敏感數(shù)據(jù)的實時脫敏處理，即使發(fā)生數(shù)據(jù)泄露事件，泄露的數(shù)據(jù)也難以被直接識別和利用，保護了患者的隱私權益。

動態(tài)脫敏的方式提高了醫(yī)療數(shù)據(jù)的可用性。通過保留數(shù)據(jù)的統(tǒng)計特性和關聯(lián)性，脫敏后的數(shù)據(jù)在醫(yī)療分析和研究中的使用率超過95%，仍然可以用于醫(yī)療分析和研究，科研工作和臨床決策的效率對比之前使用手工脫敏方式時提高了54.5%，這說明動態(tài)脫敏方式能夠更好地支持醫(yī)院的科研工作和臨床決策。系統(tǒng)的訪問控制為不同權限級別的用戶提供相應的數(shù)據(jù)訪問，滿足各自的數(shù)據(jù)需求，用戶滿意度從73.5%提升至89.7%

系統(tǒng)的應用還促進了醫(yī)院數(shù)據(jù)管理的規(guī)范化和標準化。通過對數(shù)據(jù)進行分級分類管理，數(shù)據(jù)安全管理體系覆蓋率從45%提升至85%，實現(xiàn)了患者隱私數(shù)據(jù)保護全覆蓋，數(shù)據(jù)管理效率也得到了提升。

系統(tǒng)的實施也提高了醫(yī)院在數(shù)據(jù)安全方面的合規(guī)性。通過自動化的脫敏處理和嚴格的訪問控制以及詳細的操作日志和審計報告，南京市江寧醫(yī)院能夠更好地達到《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》《信息安全技術 個人信息安全規(guī)范》等相關規(guī)范文件的要求。

4討論

4.1動態(tài)脫敏技術面臨的挑戰(zhàn)

在技術層面，為了避免在高并發(fā)環(huán)境下出現(xiàn)的性能瓶頸，動態(tài)脫敏系統(tǒng)需要具備高效處理大量實時數(shù)據(jù)請求的能力。因此，系統(tǒng)設計必須采用高效的脫敏算法，通過硬件加速、負載均衡等技術提升處理能力。隨著脫敏規(guī)則數(shù)量的增加，如何有效管理和維護這些規(guī)則，確保其準確性和更新的及時性，成為技術實施中的一個重要問題。

在安全層面，動態(tài)脫敏系統(tǒng)只有在傳輸和存儲過程中使用可靠的加密算法、嚴格實施訪問控制機制以及定期安全審計和漏洞掃描，才能具備足夠的安全性，以抵御潛在的外部攻擊和內部泄露的風險。

在合規(guī)性層面，隨著數(shù)據(jù)保護相關法規(guī)的不斷更新，醫(yī)療機構必須確保其脫敏策略和操作符合最新的法律法規(guī)要求。涉及跨境數(shù)據(jù)的復雜性也增加了合規(guī)的難度，需要醫(yī)療機構與國際伙伴合作，共同遵守跨境數(shù)據(jù)保護的標準和協(xié)議。

4.2應對策略

為了應對上述挑戰(zhàn)，確保醫(yī)療數(shù)據(jù)的安全，加強患者隱私的保護，醫(yī)療機構應當強化安全技術力量，利用最新技術，如：更優(yōu)化的機器學習算法、更高性能的計算資源來提升脫敏系統(tǒng)的效率和智能化水平；開發(fā)和部署自動化的脫敏規(guī)則管理系統(tǒng)，以簡化規(guī)則創(chuàng)建、更新和維護工作，定期審查和測試脫敏規(guī)則，確保其有效性和適應性；實施多層次的安全措施，加強網(wǎng)絡安全縱深防御，以提高系統(tǒng)的安全性；加強內部人員的權限管理和安全意識培訓，以降低內部威脅的風險；對醫(yī)療機構的員工進行數(shù)據(jù)保護法規(guī)的培訓，提高其對法規(guī)要求的認識和理解；建立合規(guī)性審查機制，定期評估脫敏系統(tǒng)的合規(guī)性；建立完善的應急響應機制，制定應急預案、組織應急演練和組建快速響應團隊，以快速應對數(shù)據(jù)泄露和其他安全事件。

5結語

動態(tài)脫敏系統(tǒng)能夠根據(jù)用戶的權限級別動態(tài)地對敏感數(shù)據(jù)進行脫敏處理，降低了數(shù)據(jù)泄露的風險，為醫(yī)療機構保護患者隱私和醫(yī)療數(shù)據(jù)安全提供了有力的手段；同時，促進了數(shù)據(jù)的合理利用，提升了醫(yī)療服務的效率。然而，隨著醫(yī)療數(shù)據(jù)量的增長和數(shù)據(jù)保護法規(guī)的加強，動態(tài)脫敏技術也面臨著性能、安全性和合規(guī)性方面的挑戰(zhàn)。醫(yī)療機構需要不斷創(chuàng)新和完善動態(tài)脫敏技術，強化技術防護，提高系統(tǒng)性能；同時，加強法規(guī)合規(guī)培訓，更有效地保護醫(yī)院數(shù)據(jù)安全。

參考文獻

［1］沈劍歡，瞿懷榮.醫(yī)院患者信息保護實踐［J］.醫(yī)學信息，2023（19）：5-9.

［2］李蒞.健康醫(yī)療數(shù)據(jù)安全治理體系構建與場景實踐［J］.中國信息安全，2022（7）：59-61.

［3］劉榮管，王兆棟，鄧蘭華，等.基于數(shù)據(jù)元的醫(yī)療數(shù)據(jù)脫敏方法研究［J］.信息技術與信息化，2023（7）：4-7.

［4］唐迪，顧健，張凱悅，等.數(shù)據(jù)脫敏技術發(fā)展趨勢［J］.保密科學技術，2021（4）：4-11.

［5］李世強.靜態(tài)數(shù)據(jù)脫敏系統(tǒng)的設計與實現(xiàn)［D］.北京：北京郵電大學，2020.

［6］李銳.數(shù)據(jù)動態(tài)脫敏技術的研究與應用［D］.北京：北京交通大學，2023.

［7］唐凱，張國明，楚勝翔.基于數(shù)據(jù)脫敏技術的大數(shù)據(jù)隱私安全應用與實踐［J］.中國衛(wèi)生信息管理雜志，2022（3）：436-442.

［8］董子嫻.動態(tài)數(shù)據(jù)脫敏技術的研究［D］.北京：華北電力大學，2021.

［9］龐文迪，南樂，蔡蘇平，等.基于數(shù)據(jù)加密脫敏的數(shù)據(jù)安全管控平臺功能設計［J］.長江信息通信，2023（1）：154-156.

［10］裴俊暉，劉柳.區(qū)分于隱私的個人信息分級保護研究［J］.社會科學動態(tài)，2024（1）：87-94.

（編輯沈強編輯）

Application of dynamic data masking techniques in medical data security protection

ZHAO" Xin

（Nanjing Jiangning Hospital， Nanjing 211100， China）

Abstract： Medical data contains a large amount of sensitive datas such as patient privacy information， a leak of that could lead to serious social issues. To strengthen information security construction of hospital， reduce the risks of medical data security， and avoid sensitive data leakage，a dynamic data masking system is established based on data classification and predefined rules. By dynamic data masking techniques，the system ensures that data is protected in real time without compromising the data’s statistical properties or its relationships. The implementation of the dynamic data masking system has significantly enhanced the information security level of the hospital. Consequently， it is an important advancement in the field of medical data protection.

Key words： information security; data security protection; medical data; dynamic data masking