信息安全与隐私保护设计

摘 要：2013年，“棱镜门”掀起了民众对信息安全和个人隐私保护的深层思考，而医疗行业作为重点行业领域，更是需要建立长期有效的机制来保障医疗数据的安全和数据的隐私。本文从区域卫生信息平台的发展需求入手，围绕着数据传输、身份认证、请求审计、数据生成几个步骤建设平台中的信息安全与隐私保护体系。

关键词：信息安全；隐私保护；分布式计算；元数据

1.引言

在医疗过程中，患者疾病和医疗行为的信息会形成关于患者的身体特征、健康状况的客观记录。这些记录既包括患者身体特征记录、诊断记录以及其他和健康相关的情况，还包括这些情况蕴涵的其他关键信息。患者的关键信息因诊疗服务需要被医疗机构以及医护人员合法获悉，而不希望他人也知悉的个人情况，即患者的隐私，通常包括：姓名、性别、出生日期、家庭地址、联系方式、既往史等。

患者的诊疗信息通过数据交换或者是其他的途径，会出现在因特网或者内部网络环境中，在数据交换的路径中，就需要建立有效的数据安全保障机制来防止数据的泄露。

2.问题提出

目前区域卫生信息平台一部分作用是数据中转以及全程健康档案的管理。随着区域的发展以及应用的加深，区域平台将会在数据协同以及服务协同领域发挥其重要作用。随着数据协同等多方面的应用加深，对数据安全以及数据隐私的要求会比现阶段更加迫切。众多省级平台的建设方案中，已将该点作为重点内容进行建设。目前区域平台主要将先进的业务理念作为亮点，而较忽略隐藏在业务之下的保障体系，如安全和隐私。如果有一个较为系统及全面的保障体系，能够在协同的各个步骤进行无缝的嵌入，保证数据协同的安全。先进的业务加完备的保障体系，是否能够将区域平台提高一个层次呢？而现今区域卫生信息平台又是如何建立该体系的呢？

3.问题分析

根据前面提出的问题，我们开始分析。区域卫生信息平台中协同与共享都属于数据的协同，协同的步骤简单可概括为发起请求-数据传入-请求验证-生成数据-数据返回-结束请求。在这几个步骤当中，又可以简要概括为数据传输、身份认证、请求审计、数据生成（数据隐私动作）等。

下面，我们围绕着上述几个大点开始建立安全与隐私体系。

4.安全体系设计

目前，区域卫生信息平台的安全保护措施主要有以下几种：

1） 数据传输加密

传输过程采用高强度基于1024bit的公钥/私钥加密机制保证网络传输的安全（基于银行支付的安全标准）。公钥-私钥对由卫生管理机构统一发放，并且周期性更新，加密算法采用RSA标准算法。如果数据在传输过程中被恶意截取，因为没有密钥也无法解密查看传输的内容，可以最大程度的保证市民数据的安全。

为了保证加密的效率，系统采用数字信封技术来实现，既保证了网络的安全传输，又保证了加密效率。

4.1.1 数据上行过程

a） 首先获取随机DES钥匙，采用DES算法对传输内容加密，然后医疗机构采用卫生管理机构公布的公钥把DES钥匙进行加密形成数字信封，最后把密文和数字信封通过网络传输到卫生管理机构。

b） 卫生管理机构收到加密数据包后，使用自己的私钥（私钥存储在卫生厅本地，不在网络上传输）采用RSA算法对信封解密获取DES钥匙，然后采用DES算法对加密包解密，获取原始数据内容，保存至数据库。

4.1.2 数据下行过程

a） 医疗机构（第三方系统）（下称请求方）发起服务请求。

b） 卫生管理机构接收到请求后从数据库查找对应的数据内容，采用DES算法对数据进行加密，然后获取请求方的公钥，采用RSA算法把DES钥匙加密形成数字信封，一起和加密内容发送给请求方。

c） 请求方获取到加密包后，使用自己的私钥和RSA算法对数字信封解密获取DES钥匙，然后采用DES算法对加密包解密，查看数据原始内容。

2） 身份认证与权限控制

4.2.1 主体身份认证

确保每个用户必须具有唯一的身份标识和唯一的身份鉴别信息，确保来源合法。当请求方伪造时，系统可以主动的鉴别出，并积极拒绝。

4.2.2 操作权限控制

操作权限是基于应用层次的权限控制，在用户使用应用系统当中，不同角色的个体有着不同的操作权限，比如登录、新增、删除、修改、导出等，对个体进行授权后，只能操作有权限的动作。

4.2.3 数据权限控制

数据权限基于全方位的数据结构，将已有的关系型数据库维护到系统当中（元数据）。对数据进行分割，将数据区块按需要分发给用户，用户在获取之前被数据权限拦截器进行拦截，查看到的数据是其有权限查看的那部分。

3） 审计日志

审计日志是在应用层次的审计操作，对用户在使用应用系统中的的行为进行收集、统计、分析，对出现或者可能出现的安全问题进行提醒，并为事后的责任问题提供支持。

4.3.1 行为审计记录

平台主要记录每个业务用户的关键操作，如用户登录、退出、批量导出数据等关键行为。审计记录一般包括事件的日期，事件，类型，主体，结果等相关内容。为了减少资源的消耗，审计日志一般保留半年。

4.3.2 对安全信息的统计分析

通过对海量审计记录的分析，通过建立多维度，多条件的分析模型，对用户的关键操作进行关联分析，并得出各类数据报表，便于运维人员从多角度进行监控

5.隐私体系设计

隐私设计体系基于元数据，对最小粒度的个体进行隐私设置，通过隐私规则执行引擎进行处理后，得到经过隐理的数据。

1） 隐私规则定义

隐私规则定制了平台内资源的隐私程度级别和形式。其中隐私规则包含了对平台资源数据的模糊、隐藏、替换、过滤操作、匿名的规则管理。平台可以根据实际应用场景，配置规则，对资源进行隐理，对查询数据的进行过滤，或者对查询字段的模糊处理，如用户身份证等进行部分替换“*”处理。

2） 隐私规则分配

隐私规则创建完后，需要对规则进行一个有效的分配，才能使其得到一个有效的利用。隐私保护规则创建完后，一般情况下，将规则分配给用户，用户在请求数据时，经过隐私规则执行引擎进行模糊操作，最终出来的数据即为隐私后的数据。

3） 隐私规则执行引擎

隐私规则执行器，是对分配的隐私规则进行一个有效执行的核心拦截处理部件。平台对外提供的服务都会经过隐私规则执行器，自动识别隐私保护规则，返回或者共享的数据是经过隐私设定的数据。

数据的隐私操作为数据密集型计算，隐私规则执行器需要有良好的计算能力，作为平台不可或缺的组件，采用分布式服务的理念进行设计，在用户发起一次隐私计算时，通过分发器均匀分发给隐私执行引擎，再由合并算法进行隐私合并，最终形成一份完整的隐私数据。

6.总结

便捷与安全总是处在两个对立面，一味的追求便捷与高效是偏激的，信息安全和隐私是这个时代不可避免的威胁，解决这个威胁，不是在单方面有着完备的解决方案就可以解决的，作为数据传输的载体，需建立长期有效的信息安全保障机制，制定信息安全关键技术和重点产品目录，以保证数据在系统内流转的安全。

（作者单位：新疆克拉玛依市第二人民医院信息科，新疆 克拉玛依 834000）