丁 鑫，呂發(fā)金，文銀剛

（1.重慶醫(yī)科大學(xué)生物醫(yī)學(xué)工程學(xué)院超聲醫(yī)學(xué)工程國家重點(diǎn)實(shí)驗(yàn)室，重慶 400016；2.重慶醫(yī)科大學(xué)附屬第一醫(yī)院放射科，重慶 400016；3.超聲醫(yī)療國家工程研究中心，重慶 401121）

隨著信息科技的迅速發(fā)展，各行各業(yè)對海量數(shù)據(jù)的安全管理和維護(hù)的方式也各不相同。在醫(yī)療信息領(lǐng)域中，諸多醫(yī)院也開始推進(jìn)醫(yī)療信息化進(jìn)程，響應(yīng)國家的號召，開展新的工作[1]。越來越多的醫(yī)療科研數(shù)據(jù)平臺、醫(yī)院信息管理平臺、以及相關(guān)數(shù)據(jù)庫的建設(shè)應(yīng)運(yùn)而生[2]。2022 年8 月29 日，國家衛(wèi)建委、中醫(yī)藥局、疾控局聯(lián)合印發(fā)了《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》，進(jìn)一步說明“互聯(lián)網(wǎng)+醫(yī)療健康”的發(fā)展進(jìn)程，醫(yī)學(xué)大數(shù)據(jù)作為國家重要基礎(chǔ)性戰(zhàn)略資源，特別強(qiáng)調(diào)了醫(yī)療數(shù)據(jù)的安全保護(hù)，該管理辦法在第十八到第二十三條中，彰顯出保護(hù)醫(yī)療數(shù)據(jù)安全的重要程度，并且提出數(shù)據(jù)安全管理辦法的措施[3]。由此可見，在醫(yī)療數(shù)字化、信息化的蓬勃發(fā)展當(dāng)中，社會就更要重視醫(yī)學(xué)數(shù)據(jù)的安全保護(hù)[4，5]，因此訪問控制和分級授權(quán)就顯得尤為重要。本文為醫(yī)療數(shù)據(jù)的使用和共享提供安全保障，應(yīng)用在醫(yī)療影像數(shù)據(jù)平臺的場景中當(dāng)中，為其他醫(yī)療科研（影像數(shù)據(jù)）平臺的數(shù)據(jù)安全保障提供借鑒和參考意義。

1 醫(yī)療影像數(shù)據(jù)平臺介紹和數(shù)據(jù)安全的概覽設(shè)計(jì)

醫(yī)療影像數(shù)據(jù)平臺的目的是為了提升臨床科研能力，方便諸多醫(yī)院單位展開遠(yuǎn)程醫(yī)療科研合作，醫(yī)療影像數(shù)據(jù)醫(yī)療數(shù)據(jù)中占有舉足輕重的地位。該平臺主要收集醫(yī)院的影像數(shù)據(jù)、治療信息記錄、患者信息、病理數(shù)據(jù)和患者回訪數(shù)據(jù)等[6]。不同于傳統(tǒng)的影像數(shù)據(jù)平臺，該平臺直接對接診療設(shè)備，整合術(shù)前、術(shù)中、術(shù)后的相關(guān)數(shù)據(jù)，并且提供影像的智能識別、三維重建等功能。方便臨床醫(yī)生、科研工作者進(jìn)行多樣化信息的錄入和醫(yī)療信息的管理，同時(shí)也為手術(shù)室、核磁共振（MR）智能識別提供大量數(shù)據(jù)支持。平臺還提供海量歷史數(shù)據(jù)的查詢、分析、概覽等功能，為醫(yī)學(xué)科研工作奠定基礎(chǔ)。圖1 為海扶治療下的醫(yī)療影像數(shù)據(jù)統(tǒng)計(jì)和可視化展示。

圖1 醫(yī)療影像數(shù)據(jù)平臺的數(shù)據(jù)統(tǒng)計(jì)和可視化展示

在醫(yī)學(xué)數(shù)據(jù)的共享方面，平臺中的數(shù)據(jù)包括影像數(shù)據(jù)、病理數(shù)據(jù)、病例信息、患者信息、治療申報(bào)數(shù)據(jù)、患者跟蹤隨訪記錄等。無論是想要進(jìn)行單純的信息存儲記錄和管理，還是想要與其他科研單位合作，這些行動都必須置于安全的情形中開展[7]。

在平臺上應(yīng)采取加密、授權(quán)管理、完整性保證、日志記錄和數(shù)據(jù)脫敏措施來保障數(shù)據(jù)安全。在實(shí)施這些措施時(shí)，醫(yī)療數(shù)據(jù)的處理常常伴隨著數(shù)據(jù)主體的缺失和管理員的不當(dāng)操作造成影響等問題[8]。例如，未經(jīng)授權(quán)訪問隱私數(shù)據(jù)并且隨意操縱敏感數(shù)據(jù)，可能會發(fā)生臨床影像資料的篡改、不正確的藥物治療記錄、科研數(shù)據(jù)作假等情況。

面對以上問題，首先要考慮的是醫(yī)學(xué)數(shù)據(jù)資源的等級劃分，還需要考慮平臺用戶能訪問哪些數(shù)據(jù)資源，用戶對這些數(shù)據(jù)又擁有何種操作權(quán)限[9]。這樣的設(shè)計(jì)可以很好的應(yīng)用在醫(yī)療影像數(shù)據(jù)平臺中，并且還可以給醫(yī)院信息管理系統(tǒng)提供參考模型。圖2為醫(yī)療數(shù)據(jù)安全的概覽設(shè)計(jì)。

圖2 醫(yī)療數(shù)據(jù)安全的概覽設(shè)計(jì)

2 醫(yī)療數(shù)據(jù)的分級設(shè)計(jì)

從數(shù)據(jù)資源來看，醫(yī)療影像數(shù)據(jù)平臺包括多種多樣的醫(yī)療數(shù)據(jù)。所以醫(yī)療數(shù)據(jù)資源的分級顯得十分必要，數(shù)據(jù)資源等級的劃分是醫(yī)院/科研單位進(jìn)行數(shù)據(jù)安全管理的基本，明確數(shù)據(jù)邊界和范疇，依據(jù)已存在的特征和需求進(jìn)一步將不同級別的數(shù)據(jù)資源與不同的用戶群體匹配關(guān)聯(lián)起來[10，11]。數(shù)據(jù)資源的等級劃分能為數(shù)據(jù)的有效保護(hù)提供重要的作用。表1為數(shù)據(jù)資料等級劃分情況。

表1 數(shù)據(jù)資源的分級劃分

無限制訪問級別：無限制訪問級別的數(shù)據(jù)資源，是安全訪問權(quán)限中最低級別的數(shù)據(jù)。在該平臺的普通用戶均能查詢、使用、下載/拷貝，以及傳播用于教學(xué)等其他目的。同樣有些類型的數(shù)據(jù)還可以進(jìn)行修改，但修改過后共享時(shí)，需要標(biāo)明修改部分以及原數(shù)據(jù)所有者。整體而言，該級別的數(shù)據(jù)是一個(gè)完全開放的數(shù)據(jù)，也是沒有任何限制的數(shù)據(jù)資源。該級別幾乎無數(shù)據(jù)風(fēng)險(xiǎn)和不良影響。在該平臺中無限制訪問級別的數(shù)據(jù)有良惡性瘤的劃分標(biāo)準(zhǔn)，具體還有子宮肌瘤分型標(biāo)準(zhǔn)（D≤3 cm 微小肌瘤，3 cm＜D≤5 cm 小型肌瘤等劃分情況）、指標(biāo)數(shù)值范圍等數(shù)據(jù)。

公益性訪問級別：公益性訪問級別的數(shù)據(jù)資源，相比于無限制訪問級別，該數(shù)據(jù)資源不能進(jìn)行傳播以及用于商業(yè)目的，該類型數(shù)據(jù)同樣可以被用戶查詢、使用、下載拷貝。當(dāng)需要修改后上傳共享時(shí)，需要標(biāo)明修改部分以及原數(shù)據(jù)所有者。該級別的數(shù)據(jù)資源能更好的與其他醫(yī)院、院校、科研所展開更好的科研合作。該級別幾乎無數(shù)據(jù)風(fēng)險(xiǎn)和不良影響。

在該平臺中公益性訪問級別數(shù)據(jù)有醫(yī)院單位自主開放的數(shù)據(jù)（通過知情同意和醫(yī)學(xué)倫理審查的某病種的病患數(shù)據(jù)、跟蹤回訪情況等數(shù)據(jù)）方便開展科研交流和數(shù)據(jù)共享。公益性數(shù)據(jù)特別注重?cái)?shù)據(jù)的脫敏化、匿名化處理。

申請-授權(quán)訪問級別：申請-授權(quán)訪問級別的數(shù)據(jù)資源，是用戶無權(quán)查閱和下載拷貝的數(shù)據(jù)資源。獲取數(shù)據(jù)需要向該數(shù)據(jù)的所有者或者相關(guān)數(shù)據(jù)的授權(quán)方提交申請操作[12]（并非獲得相應(yīng)的操作權(quán)限，而是獲取臨時(shí)角色的身份），當(dāng)然不可進(jìn)行修改、傳播等操作。該級別數(shù)據(jù)涉及隱私較多，信息敏感性較高，泄露后有較大負(fù)面影響。

在該平臺中申請-授權(quán)訪問級別數(shù)據(jù)有醫(yī)院各科室在日常診療收集的數(shù)據(jù)如某病種的病理數(shù)據(jù)、MR/DR/CT 等其他模式的影像資料、病例信息等數(shù)據(jù)。

所有者訪問級別：所有者訪問級別，該級別的數(shù)據(jù)資源的所有者/相關(guān)管理者擁有所屬數(shù)據(jù)的所有操作權(quán)限，需要此類數(shù)據(jù)的用戶，需要走授權(quán)的流程，管理員批準(zhǔn)過后用戶才擁有相應(yīng)角色的特定操作權(quán)限。該級別數(shù)據(jù)涉及敏感信息一般，泄露后存在負(fù)面影響。

在該平臺中所有者訪問級別數(shù)據(jù)有醫(yī)院各科室醫(yī)生個(gè)人或群體的私有數(shù)據(jù)如治療報(bào)告，手術(shù)記錄，治療解決方案等信息。

3 訪問控制與授權(quán)體系

3.1 RBAC 模型 20 世紀(jì)90 年代后，出現(xiàn)了新的訪問控制模型RBAC 模型。RBAC 即基于角色的訪問控制，相比于強(qiáng)制控制訪問（MAC），它更關(guān)心資源的完整性[13]，通俗來說就是什么用戶對何種資源做哪類操作，對于角色定位把握比較靈活，呈現(xiàn)出易于拓展和維護(hù)的特點(diǎn)。

現(xiàn)將RBAC 模型基礎(chǔ)上進(jìn)行修改，適用于醫(yī)療影像數(shù)據(jù)平臺（圖3），將用戶與組織融合連通，將組織（醫(yī)院科室、科研單位部門）與角色相關(guān)聯(lián)，歸于組織下的用戶就無需信息管理人員的依次手動授予相應(yīng)權(quán)限，只需要處理申請-授權(quán)的數(shù)據(jù)資源，將數(shù)據(jù)對應(yīng)的臨時(shí)角色授予申請的用戶，大大的減少了人力成本。

圖3 修改適用醫(yī)療影像數(shù)據(jù)平臺的RBAC 模型設(shè)計(jì)圖

在該本平臺中，組織中心權(quán)限實(shí)際設(shè)置情況：海扶醫(yī)院婦產(chǎn)科主治醫(yī)師李某、重慶醫(yī)科大學(xué)附屬第一醫(yī)院放射科主任呂某、重慶醫(yī)科大學(xué)生物醫(yī)學(xué)工程學(xué)院研究生王某等格式。以用戶對應(yīng)的角色和所在單位定義相應(yīng)的權(quán)限，對應(yīng)下文的由高到低的分級授權(quán)思路。

3.2 分級授權(quán)的管理 利用改良的PBAC 模型，按組織對應(yīng)的角色進(jìn)行分級授予，所有用戶都需要信息中心管理員錄入系統(tǒng)，錄進(jìn)相應(yīng)的個(gè)人基本信息以及身份證信息（臨時(shí)的角色沒有相應(yīng)的身份信息，也就沒有訪問許多數(shù)據(jù)的權(quán)限）。分級授權(quán)的層級劃分為：信息管理人員→管理領(lǐng)導(dǎo)/科室主任→該科室的一些其他分管組長、副主任等等→下面臨床醫(yī)生、科研人員以及醫(yī)學(xué)研究生等。對于每一層級相應(yīng)的角色權(quán)限都由上面一級的角色來嚴(yán)格賦予，當(dāng)然里面出現(xiàn)的問題都可及時(shí)給信息管理人員進(jìn)行反饋，解決相應(yīng)的問題。醫(yī)療影像數(shù)據(jù)的分級授權(quán)管理圖見圖4。

圖4 分級授權(quán)管理設(shè)計(jì)圖

3.3 權(quán)限授予的方式 在權(quán)限的授予方面，信息管理人員可以配置兩種方式，分為手動授權(quán)和審批授權(quán)，對于手動授權(quán)而言，管理員可以把使用者增加到對應(yīng)用戶組，給予相應(yīng)的角色或者給相應(yīng)的角色增加部分用戶。對審批授權(quán)而言，在管理員收到資源訪問申請，給予一定時(shí)限的訪問權(quán)限（擁有臨時(shí)角色的特定權(quán)限），待完成操作后授權(quán)也隨之失效。這樣增加了權(quán)限管理的靈活度，又可以滿足醫(yī)療影像數(shù)據(jù)管理的安全運(yùn)作，圖5 為平臺權(quán)限的審批授權(quán)編輯截圖，圖6 為重慶海扶工程研究中心內(nèi)部試運(yùn)行圖（數(shù)據(jù)來源于海扶醫(yī)院，內(nèi)部試運(yùn)行所以借助工程中心賬號）。

圖5 平臺權(quán)限的授權(quán)編輯截圖

圖6 醫(yī)療影像數(shù)據(jù)平臺在工程中心試運(yùn)行（權(quán)限授予部分）截圖

3.4 影像數(shù)據(jù)資源的拷貝/下載流程 在使用者要拷貝/下載影像數(shù)據(jù)（已完成數(shù)據(jù)脫敏的數(shù)據(jù)）時(shí)，首要的是需要完成登錄信息，向平臺系統(tǒng)提出需要拷貝/下載的影像數(shù)據(jù)申請，通過本平臺的即時(shí)通訊模塊/信息中心交互端口，向數(shù)據(jù)所有者和信息管理人員以消息形式發(fā)送到移動端和醫(yī)療影像數(shù)據(jù)平臺的消息中心，在獲取到授權(quán)同意時(shí)，系統(tǒng)自動發(fā)送臨時(shí)驗(yàn)證碼（驗(yàn)證碼12 h 內(nèi)有效，輸入兩次自動失效）。在申請者收到并輸入驗(yàn)證通過后，進(jìn)行身份認(rèn)證彈窗，結(jié)合身份認(rèn)證機(jī)制，將身份證圖片信息與用戶個(gè)人信息比對相同后，申請者即可對該部分影像數(shù)據(jù)進(jìn)行本地拷貝/下載。同時(shí)數(shù)據(jù)平臺也會產(chǎn)生并留存相關(guān)拷貝/下載的信息反饋，形成安全日志。以防后期發(fā)現(xiàn)問題難找到相應(yīng)責(zé)任人，同時(shí)方便用于安全審計(jì)。整個(gè)申請-授權(quán)級別的影像數(shù)據(jù)拷貝/下載流程圖見圖7。

圖7 申請-授權(quán)級別的影像數(shù)據(jù)拷貝/下載流程圖

4 影像數(shù)據(jù)溯源與加密的設(shè)計(jì)

在醫(yī)療影像數(shù)據(jù)平臺上，影像資料時(shí)刻有著泄露和篡改的風(fēng)險(xiǎn)，影像資料的溯源與安全加密就顯得格外重要。在整個(gè)影像數(shù)據(jù)的完整業(yè)務(wù)周期中，傳輸、轉(zhuǎn)換、顯示等階段，每個(gè)階段都能采用不盡相同的加密策略。在一些病理圖片，放射科影像中，對圖像的清晰度與完整性有著極高的要求，既要保證數(shù)據(jù)的像素級的完整性，還需要防止篡改。影像數(shù)據(jù)可以結(jié)合Sha-3[14]和SM2 進(jìn)行加密，與圖像位的加密技術(shù)相結(jié)合，以確保圖像數(shù)據(jù)不會在傳輸或者存儲時(shí)發(fā)生篡改的問題。

在醫(yī)療數(shù)據(jù)安全領(lǐng)域，區(qū)塊鏈?zhǔn)且粋€(gè)不可忽視的技術(shù)。區(qū)塊鏈技術(shù)的引入既能夠在醫(yī)療數(shù)據(jù)的完整性、不可否認(rèn)性、保密性方面提供強(qiáng)大的支撐，也能夠在數(shù)據(jù)溯源，追蹤責(zé)任方起到很好的效果[15-18]。平臺上可以采用聯(lián)盟鏈+私有鏈的方式，在影像數(shù)據(jù)被記錄到平臺時(shí)，通過脫敏（刪除、替換、泛化模糊等操作）加密（非對稱加密和Hash 值計(jì)算方法）推送至鏈上所屬節(jié)點(diǎn)，附上帶有標(biāo)簽的數(shù)據(jù)如時(shí)間戳、機(jī)構(gòu)、位置等信息[19，20]。通過使用區(qū)塊鏈平臺完成一系列的抽取、打包、推送上鏈等操作。信息管理人員可以在私鑰解密之后，對解密的Hash 值進(jìn)行比對，只有呈現(xiàn)正確的公鑰和相同的Hash 值時(shí)，信息管理人員才可以訪問并且獲取相應(yīng)的調(diào)閱與下載記錄，這樣就實(shí)現(xiàn)了影像數(shù)據(jù)的追蹤溯源和防篡改的功能。

5 總結(jié)與展望

在分級授權(quán)的場景下，實(shí)際上還可以補(bǔ)充另一種精準(zhǔn)的劃分，將角色劃分角色群組：申請數(shù)據(jù)訪問的群組（科研機(jī)構(gòu)，醫(yī)療公司研發(fā)人員等），提供數(shù)據(jù)的群組（醫(yī)院，數(shù)據(jù)運(yùn)營單位等），管理數(shù)據(jù)的群組（信息中心等組織），以及處理數(shù)據(jù)的群組（醫(yī)療公司，信息科等）。以上根據(jù)行為來劃分的角色群組也是一種設(shè)計(jì)思路。

本次設(shè)計(jì)是應(yīng)用在醫(yī)療影像數(shù)據(jù)平臺上，在保證安全的情況下展開醫(yī)學(xué)影像數(shù)據(jù)的交流。采取多方合作的模式，通過數(shù)據(jù)訪問控制與分級授權(quán)機(jī)制，來保障數(shù)據(jù)安全，整合線上與線下資源更好地為數(shù)據(jù)安全服務(wù)。同時(shí)后期需要在平臺系統(tǒng)中加上區(qū)塊鏈技術(shù)，對醫(yī)學(xué)影像數(shù)據(jù)的安全保護(hù)方面給予更多的重視，將數(shù)據(jù)加密和防篡改技術(shù)緊密結(jié)合起來，同時(shí)區(qū)塊鏈技術(shù)也是醫(yī)療信息化安穩(wěn)前進(jìn)的重要一環(huán)。緊跟國家推動的醫(yī)療信息安全戰(zhàn)略，為保障醫(yī)療影像數(shù)據(jù)的安全做出更多貢獻(xiàn)。