動態脫敏技術在醫院數據安全保護中的應用

摘要：醫療數據中包含患者隱私信息等很多敏感數據，一旦泄露就會產生嚴重的社會問題。為了加強醫院信息安全建設，降低醫療數據安全風險，防止敏感數據被泄露，文章在對醫療數據分級分類的基礎上建立了一套動態脫敏系統，自動識別敏感數據并使用預先制定的脫敏規則實時動態脫敏。文章應用數據動態脫敏技術，實現了對數據的實時保護，確保敏感信息在數據使用過程中不被泄露，并且不破壞數據的統計特性與關聯性。數據動態脫敏系統有效地提升了醫院的信息安全水平，是醫療數據保護領域的一項重要進步。

關鍵詞：信息安全；數據安全保護；醫療數據；動態脫敏

中圖分類號：TP309文獻標志碼：A

0引言

在醫療健康領域高質量發展的背景下，醫療信息化建設取得了顯著成就，電子病歷、遠程醫療、互聯網醫院等新興服務模式逐漸成為常態。然而，隨著醫療數據量的激增和數據共享需求的提升，數據安全保護面臨前所未有的挑戰。醫療數據中包含大量敏感信息，一旦泄露，不僅侵犯患者隱私權，還可能導致嚴重的社會問題和法律風險［1］。因此，如何在保障數據流通和共享的同時，有效保護數據安全，成為醫療信息化發展的關鍵問題［2］。動態脫敏技術作為一種平衡數據利用與隱私保護的有效手段，其在醫院網絡安全領域中的應用顯得尤為重要［3］。本文探討了動態脫敏技術的工作原理及其在醫療領域數據安全保護中的應用實踐，以期為醫療機構信息安全提供一種參考方案，促進醫療數據的安全高效利用。

1相關技術與理論基礎

1.1數據脫敏技術概述

數據脫敏技術是信息安全領域中用于保護敏感數據及個人隱私數據的重要手段，通過將原始數據中的敏感部分用加密、截取、替換、混淆、仿真等形式轉換成非敏感形式，以防止出現未授權訪問或數據泄露。數據脫敏技術的應用場景為數據共享、測試和開發環境等，脫敏對象包括結構化數據、半結構化數據和非結構化數據。數據脫敏技術分為動態脫敏和靜態脫敏2大類［4］。

數據脫敏的關鍵是在保護數據的敏感性和保證數據的可用性中找到一個平衡點。在醫療數據中使用脫敏技術，既要保留數據的分析價值，便于進行醫療研究和數據分析，又要保護患者個人屬性、健康狀況、醫療行為中的隱私數據。脫敏策略的選擇和實施需要綜合考慮數據類型、敏感度、使用場景和合規要求。

1.2動態脫敏與傳統脫敏技術的比較

動態脫敏與靜態脫敏在多個方面存在差異。靜態脫敏通常用于開發、測試和培訓等非生產環境，對數據進行一次性處理，將敏感數據替換為假數據或模糊數據［5］，脫敏效果如圖1所示。靜態脫敏的優點是操作簡單，易于實現；缺點是脫敏后的數據可能會失去其原始的統計特性和分布模式，在數據分析和測試中存在局限性。

相比之下，動態脫敏則是一種更為靈活和安全的技術。它允許在實時環境中根據訪問者的權限級別動態地處理數據。動態脫敏技術可以實時地對敏感數據進行加解密，確保只有授權用戶才能訪問原始的真實數據，非授權用戶根據設定的脫敏策略訪問不同級別的脫敏數據，脫敏效果如圖2所示。這種方法的優點是在保護數據隱私的同時提供更加真實的數據使用體驗，尤其適用于需要實時數據處理和分析的生產環境［6］。

然而，動態脫敏技術由于需要更精細的訪問控制和更復雜的邏輯來處理不同用戶的數據訪問請求，面臨著諸如系統性能壓力、復雜脫敏規則的維護以及脫敏系統本身的安全性帶來的挑戰。

1.3動態脫敏技術的工作原理

動態脫敏技術基于對數據流的監控進行實時數據脫敏處理。該技術預先制定一套脫敏規則集，為不同權限級別的用戶按照需要匹配相應的規則，當用戶請求訪問數據時，系統會識別用戶的身份和權限級別，根據預設的脫敏規則，結合數據分級分類后整理出的敏感數據字典，輸出可用的最小數據集，并生成審計日志［7］。

動態脫敏系統架構如圖3所示。訪問控制管理模塊用于控制用戶對數據的訪問，確保只有授權用戶才能發起脫敏請求。數據發現與分類讓系統能夠自動識別和分類敏感數據。脫敏規則引擎是動態脫敏系統的核心，系統根據用戶的權限和請求上下文，動態地應用脫敏規則。實時脫敏處理模塊對數據進行實時的加解密、數據格式變換等操作，對非授權訪問實現脫敏效果。審計與日志模塊記錄所有的數據訪問和脫敏操作，以便于事后審計和監控。

動態脫敏系統的核心是實時脫敏處理模塊，包含基于數據集脫敏和基于SQL改寫2種技術路線。該模塊將動態脫敏系統看作一個代理程序，可切斷請求者與業務數據庫之間的直接訪問，請求者向該代理程序提交查詢請求。在基于數據集的脫敏模式下，代理程序將請求不作處理轉發至數據庫服務端，在收到返回的數據集后，根據配置中的脫敏規則返回脫敏數據；在基于SQL改寫的脫敏模式下，代理程序在收到查詢請求后即根據脫敏規則確定需要脫敏的字段和方式，修改SQL語句后再轉發到數據庫服務器，此時服務器返回的信息即為安全的脫敏數據［8］。

2動態脫敏技術實施流程

2.1敏感數據識別與分類

在動態脫敏技術的實施流程中，研究者首先要開展敏感數據的識別與分類工作。這一過程涉及對醫療機構中存儲的海量數據進行系統性的審查，識別出含有個人隱私信息及需要保護的敏感數據。根據《數據安全法》和相關醫療數據保護法規，個人身份信息、健康狀況、醫療記錄等均屬于敏感數據范疇。識別敏感數據通常采用自動化工具，結合人工智能和機器學習技術，提高識別的準確性和效率。數據分類是根據數據的敏感程度和重要性劃分為不同的級別。患者的身份信息和診療記錄通常被劃分為高敏感級別，一般的醫療服務信息屬于較低敏感級別。數據分級分類有助于確定脫敏策略，能夠為數據的安全合規管理提供依據。

2.2脫敏規則的制定與實施

脫敏規則的制定基于數據分類的結果，結合數據的使用場景、訪問者的權限級別以及合規性要求，是動態脫敏技術實施的核心。對于高敏感級別的數據，需要采用數據加密或完全替換等強脫敏規則；對于低敏感級別的數據，可以采用數據泛化或部分掩碼等輕脫敏規則。在制定脫敏規則時，要盡可能保留數據的統計特性和關聯性，在確保數據安全的同時，提高數據的實用性和分析價值。

動態脫敏技術的實現依賴于部署在網絡中的動態脫敏系統。一個典型的動態脫敏系統架構包括數據源、脫敏引擎、訪問控制模塊、審計日志模塊和用戶界面等關鍵組件［9］。數據源是脫敏系統的對象，可以是醫療機構的數據庫、數據倉庫或其他數據存儲系統；脫敏引擎是負責根據訪問請求和脫敏規則實時處理數據；訪問控制模塊確保只有授權用戶才能訪問敏感數據；審計日志模塊記錄所有數據訪問和脫敏操作，以便于事后審計和監控；用戶界面提供給系統管理員和數據保護專家，用于配置脫敏規則和管理脫敏策略。

隨著醫療機構數據量的增長和業務需求的變化，系統需要支持高并發的數據訪問來保證實時性，并提供靈活的脫敏策略管理，具有可擴展性和可維護性。同時，系統還應具備高度的安全性，防止成為攻擊的目標，從而保護敏感數據的安全。

3動態脫敏技術在南京市江寧醫院的應用

3.1動態脫敏系統實現

南京市江寧醫院搭建的動態脫敏系統旨在實現對醫療敏感數據，尤其是患者隱私數據的實時保護。系統的設計與數據分級分類工作的開展相結合，確保不同敏感級別的數據能得到相應強度的保護。

系統采用多層安全模型，架構上分為數據源層、脫敏處理層、訪問控制層和審計監控層。數據源層負責與醫院信息系統、電子病歷系統和實驗室信息管理系統等數據源進行接口對接，脫敏處理層通過規則引擎對敏感數據進行實時處理，訪問控制層負責用戶身份驗證和權限管理，審計監控層記錄所有數據訪問和脫敏操作，為事后審計提供依據。

在制定脫敏規則時，南京市江寧醫院結合了國家法律法規和行業標準，參照《國家衛生信息資源分類與編碼管理規范》（WS/T 787—2021）對醫療數據進行了細致的分類和分級。這項工作的第一步是厘清數據資產，之后將數據按照基礎資源、業務資源、主題資源3大塊進一步細化，再識別出個人信息數據。個人信息分為基本資料、身份信息、生物識別信息、網絡身份標識、健康生理信息、教育工作信息、財產信息、身份鑒別信息、通信信息、聯系人信息、設備信息、位置信息等類別，其中涉及特定身份、未成年人個人信息、生物識別信息、身份鑒別信息、醫療健康、金融賬戶、行蹤軌跡的都屬于敏感個人信息［10］，應根據使用場景作脫敏處理。數據分類分級及個人敏感信息標識完成后，系統為這些數據匹配了掩碼、泛化、加密等不同的脫敏策略。

南京市江寧醫院動態脫敏系統的實時脫敏模塊采用基于結果集處理的脫敏方法，脫敏后的數據保留原始數據的邏輯、一致性和統計特征。加密脫敏采用一種融合了哈希和內積運算的國密算法，基于可變的數據和密文長度，兼顧了數據安全與處理效率。系統還提供了一個易于操作的管理界面，數據安全管理員能夠方便地配置和管理脫敏規則。

3.2應用效果分析

南京市江寧醫院于2023年上線動態脫敏系統，現已接入20臺重要系統數據庫服務器，覆蓋了醫院的電子病歷系統、實驗室信息管理系統、影像存儲傳輸系統等關鍵醫療數據存儲點，有效地減少了醫療數據泄露的風險。通過對敏感數據的實時脫敏處理，即使發生數據泄露事件，泄露的數據也難以被直接識別和利用，保護了患者的隱私權益。

動態脫敏的方式提高了醫療數據的可用性。通過保留數據的統計特性和關聯性，脫敏后的數據在醫療分析和研究中的使用率超過95%，仍然可以用于醫療分析和研究，科研工作和臨床決策的效率對比之前使用手工脫敏方式時提高了54.5%，這說明動態脫敏方式能夠更好地支持醫院的科研工作和臨床決策。系統的訪問控制為不同權限級別的用戶提供相應的數據訪問，滿足各自的數據需求，用戶滿意度從73.5%提升至89.7%

系統的應用還促進了醫院數據管理的規范化和標準化。通過對數據進行分級分類管理，數據安全管理體系覆蓋率從45%提升至85%，實現了患者隱私數據保護全覆蓋，數據管理效率也得到了提升。

系統的實施也提高了醫院在數據安全方面的合規性。通過自動化的脫敏處理和嚴格的訪問控制以及詳細的操作日志和審計報告，南京市江寧醫院能夠更好地達到《信息安全技術 健康醫療數據安全指南》《信息安全技術 個人信息安全規范》等相關規范文件的要求。

4討論

4.1動態脫敏技術面臨的挑戰

在技術層面，為了避免在高并發環境下出現的性能瓶頸，動態脫敏系統需要具備高效處理大量實時數據請求的能力。因此，系統設計必須采用高效的脫敏算法，通過硬件加速、負載均衡等技術提升處理能力。隨著脫敏規則數量的增加，如何有效管理和維護這些規則，確保其準確性和更新的及時性，成為技術實施中的一個重要問題。

在安全層面，動態脫敏系統只有在傳輸和存儲過程中使用可靠的加密算法、嚴格實施訪問控制機制以及定期安全審計和漏洞掃描，才能具備足夠的安全性，以抵御潛在的外部攻擊和內部泄露的風險。

在合規性層面，隨著數據保護相關法規的不斷更新，醫療機構必須確保其脫敏策略和操作符合最新的法律法規要求。涉及跨境數據的復雜性也增加了合規的難度，需要醫療機構與國際伙伴合作，共同遵守跨境數據保護的標準和協議。

4.2應對策略

為了應對上述挑戰，確保醫療數據的安全，加強患者隱私的保護，醫療機構應當強化安全技術力量，利用最新技術，如：更優化的機器學習算法、更高性能的計算資源來提升脫敏系統的效率和智能化水平；開發和部署自動化的脫敏規則管理系統，以簡化規則創建、更新和維護工作，定期審查和測試脫敏規則，確保其有效性和適應性；實施多層次的安全措施，加強網絡安全縱深防御，以提高系統的安全性；加強內部人員的權限管理和安全意識培訓，以降低內部威脅的風險；對醫療機構的員工進行數據保護法規的培訓，提高其對法規要求的認識和理解；建立合規性審查機制，定期評估脫敏系統的合規性；建立完善的應急響應機制，制定應急預案、組織應急演練和組建快速響應團隊，以快速應對數據泄露和其他安全事件。

5結語

動態脫敏系統能夠根據用戶的權限級別動態地對敏感數據進行脫敏處理，降低了數據泄露的風險，為醫療機構保護患者隱私和醫療數據安全提供了有力的手段；同時，促進了數據的合理利用，提升了醫療服務的效率。然而，隨著醫療數據量的增長和數據保護法規的加強，動態脫敏技術也面臨著性能、安全性和合規性方面的挑戰。醫療機構需要不斷創新和完善動態脫敏技術，強化技術防護，提高系統性能；同時，加強法規合規培訓，更有效地保護醫院數據安全。

參考文獻

［1］沈劍歡，瞿懷榮.醫院患者信息保護實踐［J］.醫學信息，2023（19）：5-9.

［2］李蒞.健康醫療數據安全治理體系構建與場景實踐［J］.中國信息安全，2022（7）：59-61.

［3］劉榮管，王兆棟，鄧蘭華，等.基于數據元的醫療數據脫敏方法研究［J］.信息技術與信息化，2023（7）：4-7.

［4］唐迪，顧健，張凱悅，等.數據脫敏技術發展趨勢［J］.保密科學技術，2021（4）：4-11.

［5］李世強.靜態數據脫敏系統的設計與實現［D］.北京：北京郵電大學，2020.

［6］李銳.數據動態脫敏技術的研究與應用［D］.北京：北京交通大學，2023.

［7］唐凱，張國明，楚勝翔.基于數據脫敏技術的大數據隱私安全應用與實踐［J］.中國衛生信息管理雜志，2022（3）：436-442.

［8］董子嫻.動態數據脫敏技術的研究［D］.北京：華北電力大學，2021.

［9］龐文迪，南樂，蔡蘇平，等.基于數據加密脫敏的數據安全管控平臺功能設計［J］.長江信息通信，2023（1）：154-156.

［10］裴俊暉，劉柳.區分于隱私的個人信息分級保護研究［J］.社會科學動態，2024（1）：87-94.

（編輯沈強編輯）

Application of dynamic data masking techniques in medical data security protection

ZHAO" Xin

（Nanjing Jiangning Hospital， Nanjing 211100， China）

Abstract： Medical data contains a large amount of sensitive datas such as patient privacy information， a leak of that could lead to serious social issues. To strengthen information security construction of hospital， reduce the risks of medical data security， and avoid sensitive data leakage，a dynamic data masking system is established based on data classification and predefined rules. By dynamic data masking techniques，the system ensures that data is protected in real time without compromising the data’s statistical properties or its relationships. The implementation of the dynamic data masking system has significantly enhanced the information security level of the hospital. Consequently， it is an important advancement in the field of medical data protection.

Key words： information security; data security protection; medical data; dynamic data masking