基于區塊鏈的醫療數據共享安全平臺的設計與實現

金憲珊，邢海寧，劉松林，魏一鳴

1. 樹蘭（杭州）醫院 信息中心，浙江 杭州 310011；2. 杭州趣鏈科技有限公司，浙江 杭州 310011；3. 杭州數鈕科技有限公司，浙江 杭州 310011；4. 浙江大學 計算機科學與技術學院， 浙江 杭州 310011

引言

醫療服務信息化是國際發展的趨勢，也是我國醫療改革的重要內容和必由之路[1]。醫療數據的安全共享直接關系到醫療服務信息化的順利進行。醫療數據能否安全使用，關乎社會穩定、國家安全[2]。國務院意見指出：如何有序地讓醫院內部的信息實現及時鏈接、醫院之間的數據信息安全共享，是現階段醫院信息化系統升級的重要目標。傳統共享平臺將用戶賬號密碼和密碼驗證程序存儲在中心節點服務器上，如果攻擊者攻陷服務器并篡改密碼，就可以冒充合法用戶獲取數據；傳統數據庫存放審計日志，也可能被攻擊者篡改。如何在確保安全的前提下，支持臨床科研、醫藥研究、全民健康管理等需求，成為當前醫療數據共享所面臨的主要挑戰。關乎國家安全、國計民生的醫療數據在近年來面臨泄露、篡改、非法利用等嚴峻的安全考驗。

基于區塊鏈的醫療數據共享安全平臺（以下簡稱“平臺”），利用區塊鏈技術，結合實現數據安全共享和隱私保護的需求，使用國產自主可控的底層核心技術，支持在醫院等機構的快速實施和部署，實現對數據獲取的高性能動態脫敏，且具備主動防御能力，能夠保障數據共享全過程合法合規。提供可管理、可審計、可追溯的醫療數據分享方式，適用于互聯網醫院調用院內數據、多中心醫療數據聯合科研、檢驗檢查結果互認、電子病歷調閱等醫療數據共享場景。

1 平臺架構設計

1.1 架構

區塊鏈數據安全共享平臺架設在醫院內網，見圖1。互聯網應用通過接口前置機訪問區塊鏈數據共享安全平臺；平臺解析數據請求后，通過區塊鏈對訪問方進行用戶認證，對經授權的合法訪問方，平臺將其數據請求轉發到接口服務器或數據庫視圖進行數據調用，并對返回的結果進行脫敏、加密后，將封裝的數據傳回第三方接口前置機。醫院數據節點配備的本地區塊鏈節點可安裝在醫院網絡的外網部分，這既能提高醫院從區塊鏈讀取數據的效率，又能避免安裝在醫院內網時帶來的跨越網閘的成本。

圖1 安全平臺網絡架構圖

平臺的業務架構如圖2所示。平臺將院內數據處理后，加密傳輸給數據使用方。平臺的模塊包括控制中心、賬戶體系、數據安全、隱私保護、國密算法、區塊鏈服務和透明代理共7個模塊。控制中心提供了對整個系統的管理接口；賬戶體系維護了各用戶的身份信息；隱私保護模塊實現了數據的脫敏；數據安全模塊設置了防御黑客攻擊的策略；國密算法模塊進一步保證了數據共享的安全；區塊鏈服務貫穿了整個平臺的業務流程，包括CA認證、流程管控和監管追溯等。

圖2 安全平臺業務架構圖

1.2 平臺特點

（1）使用國產自主可控的底層核心技術。平臺采用自主研發的聯盟區塊鏈技術，符合信息安全自主可控的國家戰略。

（2）支持快速實施和部署。平臺內置高性能透明代理引擎，可以與院內數據接口和院外應用快速對接，實施和部署周期短。

（3）實現高性能動態脫敏。平臺根據敏感數據標記模型和預設的脫敏規則對共享的數據進行高效動態脫敏。相對比靜態脫敏，動態脫敏無需建立脫敏庫，極大地節省了存儲空間，更可靈活修改配置。

（4）具備主動防御能力。平臺具備攻擊智能識別引擎，通過對數據請求進行特征分析，判斷其是否為惡意請求。對惡意請求可阻斷其數據通道，進行主動防御。

（5）保障數據共享合規。平臺依據法律法規提供數據分級和脫敏規則，對數據審批流程進行管控，對數據獲取記錄可追溯可審計，從而保障了數據共享的合規性。

2 流程與功能

平臺從功能上主要分為用戶管理、審批管理、鑒權、數據脫敏、數據加密、數據上鏈和監管追溯七個功能模塊，其功能流程如圖3所示。平臺的數據采集、處理和共享過程在后臺進行，需要用戶進行的操作有申請服務、審批服務、管理服務、管理接口、查看上鏈信息和配置隱私保護等。

圖3 功能流程圖

2.1 用戶管理

區塊鏈數據共享安全平臺提供Web管理平臺，統一提供數據使用申請、附件上傳、附件調閱、數據審批、數據權限設置、業務統計分析、監管服務等功能。系統將用戶分為：超級管理員、管理員、數據使用方三個級別的用戶。數據使用方關聯應用身份識別的相關設置。

針對來自前置機的第三方應用的身份識別和鑒權，區塊鏈數據共享安全平臺提供身份識別插件，用戶通過配置第三方應用身份識別特征，實現應用程序訪問時的身份識別，身份識別插件滿足不同醫院接口調用權限的機制。

2.2 審批管理

審批管理為醫院信息管理部門提供數據訪問審批、配置、權限管理的Web服務，僅限醫院內部網絡訪問。審批管理模塊主要實現以下功能：提供醫院數據訪問申請功能；管理者通過瀏覽器頁面對申請方進行審批；向管理者提供數據使用規劃、脫敏級別、自定敏感數據定義、人群定義、接口生效期限等權限控制功能。對審批流程、申請方權限進行區塊鏈上鏈，確保審批過程可審計、可追溯。

2.3 鑒權模塊

第三方應用前置機通過URL、數據庫SQL等訪問代理服務時，平臺通過身份識別體系實時對用戶權限進行快速鑒定，包括身份合法性、訪問地址合法性、接口訪問權限、數據字段權限等，并對鑒權的結果進行區塊鏈上鏈存證。

2.4 數據脫敏

參考GB/T 35273-2020《信息安全技術個人信息安全規范》[3]和GB/T 39725-2020《信息安全技術 健康醫療數據安全指南》[4]，區塊鏈數據共享安全平臺內置了適用于醫療機構快速規劃數據脫敏策略的敏感數據標記模型。支持管理員進行手工維護敏感數據項，支持數據庫字段關聯等功能。脫敏算法包括數值替換、混洗、遮擋、泛化、替換、刪除置空、HASH哈希值替換等，根據字段、敏感數據的數據類型，系統地進行混合運用[5]。

2.5 數據加密

基于可插拔的加密機制，對于業務完整生命周期所涉及的數據、通信傳輸、物理連接等方面都能進行不同策略的加密[6-9]，通過多級加密保證平臺數據的安全，平臺完全支持國密算法。包括 SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法和SM4對稱加密算法。

2.6 數據上鏈

根據數據獲取的事前、事中和事后三個階段，分別設置了事前審批、事中鑒權獲取和事后審計核查三個階段流程。管理人員通過查看服務日志和操作日志獲取上鏈信息[10-11]。

2.7 監管追溯

區塊鏈數據共享安全平臺構建了一套完整的數據使用授權、數據交換鑒權、分級隱私脫敏、數據加密、基于區塊鏈的數據訪問路徑追溯體系，為數據訪問提供了完善的安全和監管方案。

平臺通過授權管理、接口數據調用全周期鑒權和存證，確保日常數據交換接口的權限可監管、可追溯。經區塊鏈存在的數據訪問記錄具有無可爭議的事實依據，對數據訪問的全流程進行上鏈，確保數據訪問路徑的全程可回溯，當發生數據泄露時，能快速定位源頭以及快速處理高風險的缺陷。

3 結果

國家衛健委發布《公立醫院高質量發展促進行動（2021-2025）》[12]，要求建設“三位一體”的智慧醫院信息系統。醫院智慧服務評價體系中，網絡安全、信息安全、數據安全是重點基礎內容。平臺創新性地結合了區塊鏈的技術特點，提供了數據交互的審批、授權、脫敏、審計、追溯等各方面的安全保障，助力醫院順利通過智慧醫院評級。

數據共享安全平臺依托區塊鏈技術的不可篡改、可追溯、可審計、公開透明等特性，重構了醫院數據共享安全體系，實現數據共享開放的安全管制與智能監管[13-17]。平臺掃除數據安全死角，與傳統信息安全產品相互補充，構筑更嚴密的安全防線，實現數據從產生到加工、存儲、使用、流通、價值管理等各個流程的有序管控，符合醫院智慧服務評價指標中數據安全5級的要求，見圖4。

圖4 平臺應用實例

4 討論

平臺實現了區塊鏈技術與業務需求的融合，使得區塊鏈技術在醫療領域的科學落地。平臺填補了醫療機構數據共享體系的市場空白，可廣泛應用于醫院數據開放共享、醫聯體數據協作、醫保數據交換、科研數據協作等領域，為醫療信息安全與醫療大數據共享開放應用保駕護航。同時，該體系也可廣泛應用于數據價值流通領域，緊跟國家數據要素戰略、“十四五”規劃等政策步伐，積極推動數據由資源向要素轉換，以創新賦能數字經濟。

但是平臺的區塊鏈節點部署還需線下構建。未來，區塊鏈技術可與云技術結合。可將區塊鏈技術整合至云服務平臺中，通過區塊鏈向用戶提供服務，進一步降低企業應用區塊鏈的部署成本，進而提升區塊鏈對企業的支持。