基于心導管室信息管理系統影像數據安全機制的研究和設計

周軒，劉宇軒，彭勇

四川大學華西醫院 a. 放射科；b. 心血管內科，四川 成都 610000

引言

自1984年中國完成第一例冠脈介入治療以來，電生理消融、起搏器植入、先心病介入治療到現在國內初始階段的經導管心臟瓣膜疾病介入治療[1-2]，越來越多的心臟疾病可以在心導管室進行手術治療[3]。心導管室的影像數據全部生成于術中。國內數家超大型醫院的心導管室年均手術量都達到萬臺，也相應生成了數十Trillionbyte的影像數據。這些醫院作為區域醫療中心，除了臨床工作外，還有大量的教學和科研工作[4]，而影像數據則成為支撐這些工作的基礎。如何安全、準確地使用醫療數據，也是國際上醫療信息學領域的熱點研究方向之一[5]。現有的心導管室或者放射科信息系統，大都以賬號密碼為驗證方式進入。一旦賬號密碼泄露，數據就無法保證安全。本文研究了信息系統中的數據安全問題，將所有的用戶操作置于系統監督和權限管控之下，拒絕任何非授權操作。

1 現狀分析

1.1 影像數據管理現狀

以我院心導管室為分析案例。心導管室目前開展了冠脈、射頻電生理、起搏器、先心和瓣膜這5個亞專業組的手術，年手術總量2萬余臺，且呈10%的年增長率。心導管室現有9臺DSA血管機系統，分處2個樓層，近期規劃新院區還將新增8臺DSA血管機系統。手術影像數據存儲是依托內部局域網絡，傳輸至1臺服務器上（圖1）。按照血管機系統物理位置分布，配置了9臺影像工作站。影像數據庫的操作基于第三方軟件，設置了技術工作賬號和TEST賬號。

圖1 心導管室影像數據管理現狀流程圖

1.2 影像數據管理安全分析

1.2.1 賬號安全

導管室人員眾多，本院醫護技等臨床工作人員使用技術工作賬號，全國心臟介入培訓基地學員、西部地區基層醫院進修人員和科研人員等共用TEST賬號。由于采用了統一授權模式，所有用戶使用影像工作站沒有記錄和限制，可以在術者不知情的情況下，調閱并拷貝所有手術影像數據[6]。影像數據導出沒有記錄和限制，無法知道是誰導出了數據，并把數據用到何處，數據極易外泄。

1.2.2 數據存儲安全

服務器單機存儲數據安全性較低，如硬盤發生故障，數據可能丟失。單機存儲空間也受到硬盤的限制，使得數據在線時間短。

1.2.3 數據傳輸安全

數據可以使用光盤刻錄和固態存儲器拷貝兩種方式導出。使用固態存儲器方式，無法保證數據系統不被病毒或木馬感染[7]。來源于基層醫院會診的影像數據，無論是光盤還是固態存儲器直接在工作站讀取數據，均難以保證數據的安全性。

2 安全機制設計

在前期的現狀分析中，我們發現影像數據的安全機制是信息系統工作的重點之一。為了臨床工作安全高效的運行，并滿足教學任務及科研發展對影像數據的需求，我們對系統的權限構架、驗證技術和數據傳輸進行了全新設計。影像數據也不再單獨存儲，全部置于醫院信息中心中央存儲系統[8]，解決了單機存儲數據的安全和空間限制問題，數據在線時間大幅增加。升級后的心導管室信息系統基于醫院內部網絡運行，由信息中心統一負責數據的傳輸、存儲、內外網互聯交互等業務（圖2）。

圖2 心導管室影像數據管理設計流程圖

2.1 權限構架設計

系統將影像數據的管理層級權限[9]，自上而下分為5級：管理級→科室級→亞專業組級→醫療組級→普通級/臨時級。

2.2 系統驗證技術設計

結合傳統的用戶賬號密碼設置，加入多項科技驗證技術，確保各層級用戶在權限內使用系統。所有數據的調閱和輸出，都可以追溯到用戶個人。

（1）生物特征識別技術。所有用戶在信息中心錄入臉部基本特征信息，才能被系統登記，通過層級權限授予[10]。

（2）身份證讀取技術。使用身份證讀取器登記持證者的信息[11]。

（3）移動端驗證技術。申請者在系統中，通過信息中心內外網交互端口，向指定權限者發送求證信息，系統獲得肯定回復后，再發送解決方案給申請者[12]。

2.3 數據外部傳輸設計

為了保護系統不被外來數據的病毒或木馬感染，除網內數據外，所有數據只能輸出，不能進入。網內的各終端機關閉USB數據傳輸功能；光盤驅動器只開放刻錄功能，禁止讀取數據[13]。

3 功能實現

3.1 權限的層級

所有用戶均需在信息中心錄入個人基本信息及身份證信息，建立用戶賬號。由信息中心劃分層級：信息中心管理員→心血管病內科主任/心導管室主任→亞專業組長→亞專業組內醫療組長→醫療組員/進修學員。每層級的功能使用權限，由上級權限者授予。心導管室影像數據權限管理分級圖，見圖3。

圖3 心導管室影像數據權限管理分級圖

3.2 影像數據調閱

使用終端工作站需要雙重驗證。第一步為賬號密碼驗證，通過后進入下一步面部特征比對環節，屏幕上方攝像頭會記錄鏡頭前的人臉，并與授權時的基本臉部信息比對，通過者可以進入軟件操作[14]。

通過驗證后，系統每間隔5 min，會在后臺運行一次面部特征比對程序，如當前使用者未改變，系統不會有提示，可以繼續使用；如當前使用者發生變化，后臺未通過比對，系統終止當前操作，并跳出彈窗，請使用者重新進入雙重驗證環節，通過后使用。

用戶不能查閱上級或同級權限者的影像數據。如需查閱，需在系統上提交申請，系統會根據申請內容，通過網內即時通訊模塊[15]和信息中心內外網交互端口[16]，向有權限者并發短信和移動端信息，得到權限者同意回復后，系統自動發送臨時驗證碼給申請者，申請者憑借該驗證碼，可以在24 h內打開申請的影像數據一次（圖4）。

圖4 影像數據調閱流程圖

所有終端工作站不開放USB數據傳輸和光驅讀取功能。任何來源的影像數據只能在網外電腦端讀取調閱。

3.3 影像數據輸出

用戶導出自身權限內影像數據，只需通過刻錄前的面部特征比對即可，沒有時效和次數限制。

用戶導出權限外的影像數據，須登錄后，在系統上提交申請，系統會根據申請內容，通過網內即時通訊模塊和信息中心內外網交互端口，向有權限者并發短信和移動端信息，得到權限者同意回復后，系統自動發送臨時驗證碼給申請者，申請者可以在系統指定的終端工作站，輸入該驗證碼1次，通過驗證后，會提示用戶在工作站配置的身份證讀取器上，放置身份證件，讀取成功后，系統比對身份證與當前用戶是否為同一人，比對通過，系統記錄存檔后，從中央存儲獲取圖像到當前工作站，第2次輸入該驗證碼，進入影像數據刻錄程序。待刻錄程序完成后，系統自動刪除該本地數據。驗證碼24 h內有效，鍵入兩次后當即失效。影像數據輸出流程圖如圖5所示。

圖5 影像數據輸出流程圖

4 應用效果

4.1 賬號及權限實現

舊系統只能設置賬號和密碼，不能進行任何的層級和權限設置（圖6a）。新系統則可以在管理員端建立賬戶，選擇角色信息，設置層級并配置相應權限（圖6b）。

圖6 賬號權限實現管理界面

4.2 雙重驗證實現

新系統在登錄驗證方式方面，較舊系統的賬號密碼增加了面部識別驗證，實現了雙重驗證登錄，安全性大幅提高（圖7）。

圖7 登錄驗證管理界面

4.3 數據調閱及傳輸管理實現

調閱和刻錄影像數據信息，新系統全部記錄存檔，改變了舊系統沒有數據日志管理的狀況。舊系統沒有數據的調閱記錄，刻錄狀態僅有打鉤的單一標識，刻錄用戶和刻錄次數都無法得知（圖8a）。新系統則完全發生了變化，從申請人、申請時間、授權人，授權狀態、授權時間等等，都有了詳細的記錄，影像數據的日志管理得以規范（圖8b）。

圖8 數據調閱及數據信息管理界面

4.4 應用討論

本研究以提高醫療數據安全、保護患者隱私為目的，從應用技術層面對影像數據系統內部環節的安全機制進行全新設計，建立了影像數據安全防護的新機制。

醫療信息安全的研究目前大多集中于醫療法律政策[17]、安全模型設計、數據加密算法[18]、醫療網絡安全防護[19]等方面，在數據如何安全使用方向的研究不多。而人臉和身份證識別等驗證技術在社保卡比對、患者比對[20]、醫務人員門禁識別[21]、醫院秩序安防[22]等醫療方向的應用較多，但很少被用在醫療數據權限驗證設計上。本研究從實用出發，設計醫院具體子系統的影像數據安全機制，使得心導管室醫療數據信息更加安全。

心導管室信息管理系統的全新安全設計，尤其是雙重驗證技術，同樣適用于醫院的PACS、RIS、LIS等，全院的HIS也有應用的需求。醫護人員的工作強度高、節奏快，沒有時間去關注自己的賬號密碼，長期使用同一密碼有泄露的可能。醫護人員也常因為突發情況離開正在操作的電腦，并沒有退出登錄狀態，任何人都可以接著已登錄的賬號進行系統操作。醫囑權失去監管，醫療安全無法保證，患者隱私可能被泄露。要防范這些風險，除去法律層面的約束[23]，在技術層面也需盡量完善醫療系統的安全機制。醫療相關的信息系統，都必須強化安全機制，特別是在用戶權限和身份判定環節。既不影響操作者使用，又要加以實時驗證。例如，醫護人員下達醫囑，點擊審核時，系統后臺驗證醫囑下達者的面部信息，通過方才審核成功[24]。

心導管室信息管理系統安全機制還存在著不足。用戶身份證信息未與公安系統連接，信息中心初始登記無法驗證身份證的真偽；用戶的面部信息一旦被人盜用，系統的面部特征識別驗證有被欺騙的可能性[25]。我們還需不斷探尋，將虹膜、聲紋等更先進的驗證技術運用在醫療信息系統安全機制上；光盤刻錄速度還是較慢，使用其他快速方式獲取數據也是下一步研究的方向。

5 結論

通過管理層級權限的構架設計，并采用多種校驗技術，對數據傳輸方式進行限制，使得整個系統層級清晰，安全有效，所有的影像數據可追根溯源。心導管室信息系統得以安全、準確地調閱及獲取數據，高效地服務于臨床、教學和科研工作。