信息安全與隱私保護設計

彭程

摘 要：2013年，“棱鏡門”掀起了民眾對信息安全和個人隱私保護的深層思考，而醫療行業作為重點行業領域，更是需要建立長期有效的機制來保障醫療數據的安全和數據的隱私。本文從區域衛生信息平臺的發展需求入手，圍繞著數據傳輸、身份認證、請求審計、數據生成幾個步驟建設平臺中的信息安全與隱私保護體系。

關鍵詞：信息安全；隱私保護；分布式計算；元數據

1.引言

在醫療過程中，患者疾病和醫療行為的信息會形成關于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關的情況，還包括這些情況蘊涵的其他關鍵信息。患者的關鍵信息因診療服務需要被醫療機構以及醫護人員合法獲悉，而不希望他人也知悉的個人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯系方式、既往史等。

患者的診療信息通過數據交換或者是其他的途徑，會出現在因特網或者內部網絡環境中，在數據交換的路徑中，就需要建立有效的數據安全保障機制來防止數據的泄露。

2.問題提出

目前區域衛生信息平臺一部分作用是數據中轉以及全程健康檔案的管理。隨著區域的發展以及應用的加深，區域平臺將會在數據協同以及服務協同領域發揮其重要作用。隨著數據協同等多方面的應用加深，對數據安全以及數據隱私的要求會比現階段更加迫切。眾多省級平臺的建設方案中，已將該點作為重點內容進行建設。目前區域平臺主要將先進的業務理念作為亮點，而較忽略隱藏在業務之下的保障體系，如安全和隱私。如果有一個較為系統及全面的保障體系，能夠在協同的各個步驟進行無縫的嵌入，保證數據協同的安全。先進的業務加完備的保障體系，是否能夠將區域平臺提高一個層次呢？而現今區域衛生信息平臺又是如何建立該體系的呢？

3.問題分析

根據前面提出的問題，我們開始分析。區域衛生信息平臺中協同與共享都屬于數據的協同，協同的步驟簡單可概括為發起請求-數據傳入-請求驗證-生成數據-數據返回-結束請求。在這幾個步驟當中，又可以簡要概括為數據傳輸、身份認證、請求審計、數據生成（數據隱私動作）等。

下面，我們圍繞著上述幾個大點開始建立安全與隱私體系。

4.安全體系設計

目前，區域衛生信息平臺的安全保護措施主要有以下幾種：

1） 數據傳輸加密

傳輸過程采用高強度基于1024bit的公鑰/私鑰加密機制保證網絡傳輸的安全（基于銀行支付的安全標準）。公鑰-私鑰對由衛生管理機構統一發放，并且周期性更新，加密算法采用RSA標準算法。如果數據在傳輸過程中被惡意截取，因為沒有密鑰也無法解密查看傳輸的內容，可以最大程度的保證市民數據的安全。

為了保證加密的效率，系統采用數字信封技術來實現，既保證了網絡的安全傳輸，又保證了加密效率。

4.1.1 數據上行過程

a） 首先獲取隨機DES鑰匙，采用DES算法對傳輸內容加密，然后醫療機構采用衛生管理機構公布的公鑰把DES鑰匙進行加密形成數字信封，最后把密文和數字信封通過網絡傳輸到衛生管理機構。

b） 衛生管理機構收到加密數據包后，使用自己的私鑰（私鑰存儲在衛生廳本地，不在網絡上傳輸）采用RSA算法對信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，獲取原始數據內容，保存至數據庫。

4.1.2 數據下行過程

a） 醫療機構（第三方系統）（下稱請求方）發起服務請求。

b） 衛生管理機構接收到請求后從數據庫查找對應的數據內容，采用DES算法對數據進行加密，然后獲取請求方的公鑰，采用RSA算法把DES鑰匙加密形成數字信封，一起和加密內容發送給請求方。

c） 請求方獲取到加密包后，使用自己的私鑰和RSA算法對數字信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，查看數據原始內容。

2） 身份認證與權限控制

4.2.1 主體身份認證

確保每個用戶必須具有唯一的身份標識和唯一的身份鑒別信息，確保來源合法。當請求方偽造時，系統可以主動的鑒別出，并積極拒絕。

4.2.2 操作權限控制

操作權限是基于應用層次的權限控制，在用戶使用應用系統當中，不同角色的個體有著不同的操作權限，比如登錄、新增、刪除、修改、導出等，對個體進行授權后，只能操作有權限的動作。

4.2.3 數據權限控制

數據權限基于全方位的數據結構，將已有的關系型數據庫維護到系統當中（元數據）。對數據進行分割，將數據區塊按需要分發給用戶，用戶在獲取之前被數據權限攔截器進行攔截，查看到的數據是其有權限查看的那部分。

3） 審計日志

審計日志是在應用層次的審計操作，對用戶在使用應用系統中的的行為進行收集、統計、分析，對出現或者可能出現的安全問題進行提醒，并為事后的責任問題提供支持。

4.3.1 行為審計記錄

平臺主要記錄每個業務用戶的關鍵操作，如用戶登錄、退出、批量導出數據等關鍵行為。審計記錄一般包括事件的日期，事件，類型，主體，結果等相關內容。為了減少資源的消耗，審計日志一般保留半年。

4.3.2 對安全信息的統計分析

通過對海量審計記錄的分析，通過建立多維度，多條件的分析模型，對用戶的關鍵操作進行關聯分析，并得出各類數據報表，便于運維人員從多角度進行監控

5.隱私體系設計

隱私設計體系基于元數據，對最小粒度的個體進行隱私設置，通過隱私規則執行引擎進行處理后，得到經過隱私處理的數據。

1） 隱私規則定義

隱私規則定制了平臺內資源的隱私程度級別和形式。其中隱私規則包含了對平臺資源數據的模糊、隱藏、替換、過濾操作、匿名的規則管理。平臺可以根據實際應用場景，配置規則，對資源進行隱私處理，對查詢數據的進行過濾，或者對查詢字段的模糊處理，如用戶身份證等進行部分替換“*”處理。

2） 隱私規則分配

隱私規則創建完后，需要對規則進行一個有效的分配，才能使其得到一個有效的利用。隱私保護規則創建完后，一般情況下，將規則分配給用戶，用戶在請求數據時，經過隱私規則執行引擎進行模糊操作，最終出來的數據即為隱私后的數據。

3） 隱私規則執行引擎

隱私規則執行器，是對分配的隱私規則進行一個有效執行的核心攔截處理部件。平臺對外提供的服務都會經過隱私規則執行器，自動識別隱私保護規則，返回或者共享的數據是經過隱私設定的數據。

數據的隱私操作為數據密集型計算，隱私規則執行器需要有良好的計算能力，作為平臺不可或缺的組件，采用分布式服務的理念進行設計，在用戶發起一次隱私計算時，通過分發器均勻分發給隱私執行引擎，再由合并算法進行隱私合并，最終形成一份完整的隱私數據。

6.總結

便捷與安全總是處在兩個對立面，一味的追求便捷與高效是偏激的，信息安全和隱私是這個時代不可避免的威脅，解決這個威脅，不是在單方面有著完備的解決方案就可以解決的，作為數據傳輸的載體，需建立長期有效的信息安全保障機制，制定信息安全關鍵技術和重點產品目錄，以保證數據在系統內流轉的安全。

（作者單位：新疆克拉瑪依市第二人民醫院信息科，新疆 克拉瑪依 834000）