彭程

摘 要：2013年，“棱鏡門”掀起了民眾對信息安全和個人隱私保護的深層思考，而醫(yī)療行業(yè)作為重點行業(yè)領(lǐng)域，更是需要建立長期有效的機制來保障醫(yī)療數(shù)據(jù)的安全和數(shù)據(jù)的隱私。本文從區(qū)域衛(wèi)生信息平臺的發(fā)展需求入手，圍繞著數(shù)據(jù)傳輸、身份認證、請求審計、數(shù)據(jù)生成幾個步驟建設(shè)平臺中的信息安全與隱私保護體系。

關(guān)鍵詞：信息安全；隱私保護；分布式計算；元數(shù)據(jù)

1.引言

在醫(yī)療過程中，患者疾病和醫(yī)療行為的信息會形成關(guān)于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關(guān)的情況，還包括這些情況蘊涵的其他關(guān)鍵信息。患者的關(guān)鍵信息因診療服務(wù)需要被醫(yī)療機構(gòu)以及醫(yī)護人員合法獲悉，而不希望他人也知悉的個人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯(lián)系方式、既往史等。

患者的診療信息通過數(shù)據(jù)交換或者是其他的途徑，會出現(xiàn)在因特網(wǎng)或者內(nèi)部網(wǎng)絡(luò)環(huán)境中，在數(shù)據(jù)交換的路徑中，就需要建立有效的數(shù)據(jù)安全保障機制來防止數(shù)據(jù)的泄露。

2.問題提出

目前區(qū)域衛(wèi)生信息平臺一部分作用是數(shù)據(jù)中轉(zhuǎn)以及全程健康檔案的管理。隨著區(qū)域的發(fā)展以及應(yīng)用的加深，區(qū)域平臺將會在數(shù)據(jù)協(xié)同以及服務(wù)協(xié)同領(lǐng)域發(fā)揮其重要作用。隨著數(shù)據(jù)協(xié)同等多方面的應(yīng)用加深，對數(shù)據(jù)安全以及數(shù)據(jù)隱私的要求會比現(xiàn)階段更加迫切。眾多省級平臺的建設(shè)方案中，已將該點作為重點內(nèi)容進行建設(shè)。目前區(qū)域平臺主要將先進的業(yè)務(wù)理念作為亮點，而較忽略隱藏在業(yè)務(wù)之下的保障體系，如安全和隱私。如果有一個較為系統(tǒng)及全面的保障體系，能夠在協(xié)同的各個步驟進行無縫的嵌入，保證數(shù)據(jù)協(xié)同的安全。先進的業(yè)務(wù)加完備的保障體系，是否能夠?qū)^(qū)域平臺提高一個層次呢？而現(xiàn)今區(qū)域衛(wèi)生信息平臺又是如何建立該體系的呢？

3.問題分析

根據(jù)前面提出的問題，我們開始分析。區(qū)域衛(wèi)生信息平臺中協(xié)同與共享都屬于數(shù)據(jù)的協(xié)同，協(xié)同的步驟簡單可概括為發(fā)起請求-數(shù)據(jù)傳入-請求驗證-生成數(shù)據(jù)-數(shù)據(jù)返回-結(jié)束請求。在這幾個步驟當(dāng)中，又可以簡要概括為數(shù)據(jù)傳輸、身份認證、請求審計、數(shù)據(jù)生成（數(shù)據(jù)隱私動作）等。

下面，我們圍繞著上述幾個大點開始建立安全與隱私體系。

4.安全體系設(shè)計

目前，區(qū)域衛(wèi)生信息平臺的安全保護措施主要有以下幾種：

1） 數(shù)據(jù)傳輸加密

傳輸過程采用高強度基于1024bit的公鑰/私鑰加密機制保證網(wǎng)絡(luò)傳輸?shù)陌踩ɑ阢y行支付的安全標(biāo)準(zhǔn)）。公鑰-私鑰對由衛(wèi)生管理機構(gòu)統(tǒng)一發(fā)放，并且周期性更新，加密算法采用RSA標(biāo)準(zhǔn)算法。如果數(shù)據(jù)在傳輸過程中被惡意截取，因為沒有密鑰也無法解密查看傳輸?shù)膬?nèi)容，可以最大程度的保證市民數(shù)據(jù)的安全。

為了保證加密的效率，系統(tǒng)采用數(shù)字信封技術(shù)來實現(xiàn)，既保證了網(wǎng)絡(luò)的安全傳輸，又保證了加密效率。

4.1.1 數(shù)據(jù)上行過程

a） 首先獲取隨機DES鑰匙，采用DES算法對傳輸內(nèi)容加密，然后醫(yī)療機構(gòu)采用衛(wèi)生管理機構(gòu)公布的公鑰把DES鑰匙進行加密形成數(shù)字信封，最后把密文和數(shù)字信封通過網(wǎng)絡(luò)傳輸?shù)叫l(wèi)生管理機構(gòu)。

b） 衛(wèi)生管理機構(gòu)收到加密數(shù)據(jù)包后，使用自己的私鑰（私鑰存儲在衛(wèi)生廳本地，不在網(wǎng)絡(luò)上傳輸）采用RSA算法對信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，獲取原始數(shù)據(jù)內(nèi)容，保存至數(shù)據(jù)庫。

4.1.2 數(shù)據(jù)下行過程

a） 醫(yī)療機構(gòu)（第三方系統(tǒng)）（下稱請求方）發(fā)起服務(wù)請求。

b） 衛(wèi)生管理機構(gòu)接收到請求后從數(shù)據(jù)庫查找對應(yīng)的數(shù)據(jù)內(nèi)容，采用DES算法對數(shù)據(jù)進行加密，然后獲取請求方的公鑰，采用RSA算法把DES鑰匙加密形成數(shù)字信封，一起和加密內(nèi)容發(fā)送給請求方。

c） 請求方獲取到加密包后，使用自己的私鑰和RSA算法對數(shù)字信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，查看數(shù)據(jù)原始內(nèi)容。

2） 身份認證與權(quán)限控制

4.2.1 主體身份認證

確保每個用戶必須具有唯一的身份標(biāo)識和唯一的身份鑒別信息，確保來源合法。當(dāng)請求方偽造時，系統(tǒng)可以主動的鑒別出，并積極拒絕。

4.2.2 操作權(quán)限控制

操作權(quán)限是基于應(yīng)用層次的權(quán)限控制，在用戶使用應(yīng)用系統(tǒng)當(dāng)中，不同角色的個體有著不同的操作權(quán)限，比如登錄、新增、刪除、修改、導(dǎo)出等，對個體進行授權(quán)后，只能操作有權(quán)限的動作。

4.2.3 數(shù)據(jù)權(quán)限控制

數(shù)據(jù)權(quán)限基于全方位的數(shù)據(jù)結(jié)構(gòu)，將已有的關(guān)系型數(shù)據(jù)庫維護到系統(tǒng)當(dāng)中（元數(shù)據(jù)）。對數(shù)據(jù)進行分割，將數(shù)據(jù)區(qū)塊按需要分發(fā)給用戶，用戶在獲取之前被數(shù)據(jù)權(quán)限攔截器進行攔截，查看到的數(shù)據(jù)是其有權(quán)限查看的那部分。

3） 審計日志

審計日志是在應(yīng)用層次的審計操作，對用戶在使用應(yīng)用系統(tǒng)中的的行為進行收集、統(tǒng)計、分析，對出現(xiàn)或者可能出現(xiàn)的安全問題進行提醒，并為事后的責(zé)任問題提供支持。

4.3.1 行為審計記錄

平臺主要記錄每個業(yè)務(wù)用戶的關(guān)鍵操作，如用戶登錄、退出、批量導(dǎo)出數(shù)據(jù)等關(guān)鍵行為。審計記錄一般包括事件的日期，事件，類型，主體，結(jié)果等相關(guān)內(nèi)容。為了減少資源的消耗，審計日志一般保留半年。

4.3.2 對安全信息的統(tǒng)計分析

通過對海量審計記錄的分析，通過建立多維度，多條件的分析模型，對用戶的關(guān)鍵操作進行關(guān)聯(lián)分析，并得出各類數(shù)據(jù)報表，便于運維人員從多角度進行監(jiān)控

5.隱私體系設(shè)計

隱私設(shè)計體系基于元數(shù)據(jù)，對最小粒度的個體進行隱私設(shè)置，通過隱私規(guī)則執(zhí)行引擎進行處理后，得到經(jīng)過隱私處理的數(shù)據(jù)。

1） 隱私規(guī)則定義

隱私規(guī)則定制了平臺內(nèi)資源的隱私程度級別和形式。其中隱私規(guī)則包含了對平臺資源數(shù)據(jù)的模糊、隱藏、替換、過濾操作、匿名的規(guī)則管理。平臺可以根據(jù)實際應(yīng)用場景，配置規(guī)則，對資源進行隱私處理，對查詢數(shù)據(jù)的進行過濾，或者對查詢字段的模糊處理，如用戶身份證等進行部分替換“*”處理。

2） 隱私規(guī)則分配

隱私規(guī)則創(chuàng)建完后，需要對規(guī)則進行一個有效的分配，才能使其得到一個有效的利用。隱私保護規(guī)則創(chuàng)建完后，一般情況下，將規(guī)則分配給用戶，用戶在請求數(shù)據(jù)時，經(jīng)過隱私規(guī)則執(zhí)行引擎進行模糊操作，最終出來的數(shù)據(jù)即為隱私后的數(shù)據(jù)。

3） 隱私規(guī)則執(zhí)行引擎

隱私規(guī)則執(zhí)行器，是對分配的隱私規(guī)則進行一個有效執(zhí)行的核心攔截處理部件。平臺對外提供的服務(wù)都會經(jīng)過隱私規(guī)則執(zhí)行器，自動識別隱私保護規(guī)則，返回或者共享的數(shù)據(jù)是經(jīng)過隱私設(shè)定的數(shù)據(jù)。

數(shù)據(jù)的隱私操作為數(shù)據(jù)密集型計算，隱私規(guī)則執(zhí)行器需要有良好的計算能力，作為平臺不可或缺的組件，采用分布式服務(wù)的理念進行設(shè)計，在用戶發(fā)起一次隱私計算時，通過分發(fā)器均勻分發(fā)給隱私執(zhí)行引擎，再由合并算法進行隱私合并，最終形成一份完整的隱私數(shù)據(jù)。

6.總結(jié)

便捷與安全總是處在兩個對立面，一味的追求便捷與高效是偏激的，信息安全和隱私是這個時代不可避免的威脅，解決這個威脅，不是在單方面有著完備的解決方案就可以解決的，作為數(shù)據(jù)傳輸?shù)妮d體，需建立長期有效的信息安全保障機制，制定信息安全關(guān)鍵技術(shù)和重點產(chǎn)品目錄，以保證數(shù)據(jù)在系統(tǒng)內(nèi)流轉(zhuǎn)的安全。

（作者單位：新疆克拉瑪依市第二人民醫(yī)院信息科，新疆 克拉瑪依 834000）