中醫藥大數據云服務平臺的醫療數據安全隱私保護設計

◆程德生 萬晶 宋國彩 錢剛 俞成龍

中醫藥大數據云服務平臺的醫療數據安全隱私保護設計

◆程德生 萬晶 宋國彩 錢剛 俞成龍

（杭州中軟安人網絡通信股份有限公司 浙江 310000）

隨著新一代技術的迅猛發展，大數據和云計算技術被廣泛應用于各個領域，特別是在中醫藥領域發揮著十份重要的作用。但大數據和云計算的發展為中醫藥領域帶來便利的同時，醫療數據的安全問題也隨著產生，特別是一些醫療數據可能會涉及到病患的個人隱私，一旦數據信息泄露就會造成極為惡劣的影響或嚴重的損失。本文通過對中醫藥大數據云服務平臺數據安全和隱私保護設計，極大的保護醫療數據的安全性。

大數據；醫療數據；數據安全；隱私保護

當前，全球都處于大數據時代的浪潮中，大數據是一種內容龐大、形式多樣化的信息資源，已被各個國家應用于醫療、電商、傳媒、安防等多個領域。中醫藥信息化是我國人口健康信息化和中醫藥事業發展的重要組成部分，在醫療信息技術化的快速發展時代，醫療數據呈指數級增長，醫療產業的各個領域都需要大數據支持，這一資產無疑給中醫藥發展帶來了巨大的便利。但是大數據技術的發展在為中醫藥數據信息帶來便利的同時，數據信息容易丟失與泄露的問題亟須解決。因此，基于大數據技術，對中醫藥大數據云服務平臺數據安全隱私保護研究，能夠極大的保護醫療數據的安全性。

1 中醫藥大數據云服務平臺的醫療數據安全隱私保護設計思路

根據中醫藥大數據平臺的中的信息運行環境分析，總結提出如下中醫藥云服務平臺的總體保護方案：

業務系統數據安全解決方案，主要內容包括應用分區分層、安全架構設計和邊界防護等內容。生產環境數據安全解決方案，主要包括數據的分類分級、數據防泄漏處理和監控預警等內容。非生產環境數據安全解決方案，主要包括數據脫敏和數據防泄漏等內容。數據安全交換解決方案，主要是建立數據安全交換策略和數據安全交換通道。詳細介紹見表1。

表1 解決方案

中醫藥大數據云服務平臺的涉及跨系統的整合，對數據的管控和交換提出了如下的保護思路（圖1）：

圖1 保護思路

2 中醫藥云服務平臺數據安全設計

建立可信的安全管理體系，基于可信計算技術進行設計，通過建立統一的體系架構，接口、協議和數據結構規范，研發有關可信功能組件、可信中間件等，實現系統安全態勢綜合分析、實時響應和體系化防御，并能夠根據不同的安全需求進行擴展。建立中醫藥云平臺的整體安全架構，其中整體安全策略、安全架構、安全基礎設施和安全措施的設計，形成有利于保護中醫藥大數據平臺的技術規范。中醫藥云服務平臺數據安全保護相關安全設計、開發與測試知識庫具有通用性，可以進行推廣和培訓，提升中醫藥大數據平臺相關系統研發人員的安全素質。

2.1 數據分類分級策略

建立中醫藥云服務平臺數據分類分級體系：對中醫業務數據進行整理和識別，按各級類目建立數據框架，形成數據分類表，識別重要業務敏感數據的類型、歸屬科室、存儲方式、期限，并提出保護措施建議。

2.2 中醫藥云服務平臺信息安全管理體系

建立中醫藥云服務平臺信息安全管理規范，確定中醫醫療信息保護方面的總體安全策略、信息安全交換管理機制和信息安全技術防護及安全管理要求。建立中醫藥平臺信息保護基線與檢查管理辦法，信息保護的技術要求和管理要求按最低標準確定，并且確定相應的檢查項、檢查方法和綜合評估打分機制。建立人員安全行為規范，規范運維人員的信息操作行為，并建立相關個人信息保護獎懲機制。

2.3 中醫藥云服務平臺數據安全防護技術

ADS流量清洗中心主要用于部署相關策略，防止不同流量類型的DDoS網絡攻擊。DDoS流量清洗方案由異常流量分析系統和流量清洗系統組成，異常流量分析系統使用Netflow等方法采集出口路由器流量數據，深入分析采集到的流量數據，發現DDoS異常流量后，將觸發告警，并通知流量清洗系統。流量清洗系統接收到異常流量分析系統發送的通知后，通過BGP等路由技術牽引出攻擊流量，然后對攻擊流量進行識別與清洗，并對攻擊流量進行過濾，最后再使用路由技術（如策略路由、GRE等）將清洗后的正常流量回注到網絡中，由此實現對DDoS異常流量的清洗和過濾。

WAF設備阻斷應用層攻擊，如SQL注入、命令行注入、路徑遍歷等攻擊。云安全中心主要是基于云端強大的安全分析能力，分析可疑的互聯網攻擊流量，向WAF設備和IDP設備下發安全策略，進行聯動阻斷。

服務器端實施抗篡改設計，定期掃描漏洞，發現漏洞，及時報警，及時修復。在數據庫端實施數據加密和完整性保護策略，保證數據的安全性，達到即使數據被拿走也無法讀取的效果。

為保護中醫藥數據，防止中醫藥數據泄露，引入數據安全策略管理模塊、日志數據安全模塊、交易數據安全模塊（圖2）。

圖2 模塊關系圖

其中：

數據安全策略管理模塊實現數據安全策略的管理和分發。

交易數據安全模塊負責對數據報文進行解析，并根據接收策略阻斷非法數據泄露路徑和告警。

日志數據安全模塊負責日志數據的安全訪問，根據接收到的策略，阻斷非法的數據外泄路徑和報警。

3 中醫藥云服務平臺隱私保護技術

隱私就是個人、機構等實體不愿意他人知道或他人不便于知道的信息。在特定的數據應用程序中，隱私是指數據所有者不希望泄露的敏感信息，包括敏感數據和由數據表示的特征，例如用戶的移動電話號碼，固定電話號碼和公司業務信息。但是，對于不同的數據和數據所有者，隱私的定義也有所不同。例如，保守的患者將疾病信息視為私人信息，而開放的患者則不然。一般來說，隱私所有者的角度而言，隱私可分為個人不想公開的信息，如身份證號、病例等。共同隱私則不僅包含個人的隱私，還包括所有個人不希望暴露的共享信息，如公司員工的平均薪資、薪資分布等信息。

隱私保護技術主要解決兩個問題：如何確保數據在應用過程中不泄露隱私，以及如何更有利于數據的應用。隱私保護技術主要包括數據變換的隱私保護技術、基于匿名化的隱私保護技術和基于訪問控制的隱私保護技術等。

3.1 基于數據交換的隱私保護

所謂的數據轉換是一種保護方法，它可以轉換敏感屬性并使某些原始數據失真，但同時可以使某些數據或數據屬性保持不變。數據失真技術通過擾動原始數據來實現隱私保護，它要使擾動后的數據同時滿足：攻擊者無法找到真實的原始數據以及失真后的數據仍然保持某些性質不變這兩點，這就保證了基于失真數據的某些應用的可行性。

3.2 基于匿名化的隱私保護

匿名化是指刪除或修改數據擁有者的個人信息，以及帶有敏感屬性的明確標識符，從而無法通過數據識別特定的個人。數據匿名化通常使用兩種基本操作：抑制（抑制某數據項，即不發布該數據項）和泛化（對數據進行更概括、抽象的描述）。

每種隱私保護技術都有其優缺點?；跀祿D換的技術比較高效，但存在一定程度的信息丟失；基于加密技術恰恰相反，它能保證最終數據的準確性和安全性，但計算開銷比較大；而限制發布技術的優點是能保證所發布的數據一定真實，但發布的數據會有一定的信息丟失。在大數據隱私保護方面，我們將根據不同的應用場景和業務需求，選擇適當的隱私保護技術，確保中醫藥大數據云服務平臺的隱私保護。

3.3 基于訪問控制的隱私保護

訪問控制（Access Control）指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通過基于角色訪問控制（RBAC）模型，賦予不同級別的訪問者相對應的訪問權限，級別高的訪問者可訪問關鍵資源，防止不合法用戶進入系統竊取關鍵資源，同時防止合法訪問者對關鍵資源的不合法利用。

3.4 基于數字水印的隱私保護

數字水印是將一些標識信息直接嵌入數字載體（多媒體、文檔、軟件）中，用來標識版權或用戶信息，且不影響原載體的使用價值，也不容易被探知或修改，具有隱蔽性、魯棒性、抗篡改性和安全性等特征。為了確保中醫藥云服務平臺的數據的真實性、可靠性，運用數字水印技術對醫療數據進行加密，防止不法分子篡改和獲取醫療數據信息，保證了醫療數據的安全。

4 總結

通過結合大數據參考框架和大數據安全與隱私保護參考框架，建設大數據安全和隱私保護可信技術體系，基于云服務平臺下大數據的溯源、水印、身份認證、匿名保護等技術，總結大數據環境下數據安全和隱私保護需求，從設施層、數據層、接口層、系統層安全防護四個方面開展安全可信防護研究，并形成數據安全與隱私保護模塊，實現了對中醫藥醫療信息的保護，提高了中醫藥醫療信息的可靠性與安全性。

[1]姚劍鋒.基于大數據的醫療保險信息安全隱私保護研究[J].微型電腦應用，2020，36(11)：168-170.

[2]張云飛，王曉潔.大數據環境下信息安全與隱私保護研究[J].數字技術與應用，2017（7）：190-191.

[3]楊麗麗．大數據時代信息隱私關注與隱私保護行為研究[J].電子商務，2017（5）：48-49.

[4]:呂欣，韓曉露.大數據安全和隱私保護技術架構研究[J].信息安全研究，2016，2（3）：244-250.

[5]李治城，胡欣宇. 大數據背景下數據安全與隱私保護問題研究[J]. 物聯網技術，2020（6）：76-78.

[6]凃云杰. 大數據時代的數據安全與隱私保護問題研究[J].無線互聯科技，:2019，16（8）：155-156.

[7]馮登國. 信息時代大數據技術安全發展趨勢思考——評《大數據安全與隱私保護》[J]. 安全與環境學報，2020， 20（5）：2044.

國家重點研發計劃“大數據驅動的中醫智能輔助診斷服務系統”項目（項目編號：2017YFB1002300）課題五“中醫藥大數據云服務平臺與應用示范”（課題編號：2017YFB1002305）