基于概率猶豫模糊集的醫療數據安全風險評估

李波波 張明飛

摘? 要：醫療數據一直以來都深受網絡攻擊和竊取行為的威脅。因缺乏相關的標準和規范，我國的醫療數據安全風險事前評估沿用網絡安全風險評估體系。基于數據安全能力成熟度模型，從醫療數據全生命周期角度出發，以醫療系統業務流為主線，對醫療數據安全風險進行分析，構建了醫療數據安全風險評估模型，并提出一種基于概率猶豫模糊集的層次分析和逼近理想解排序法，用于對安全風險模型進行量化分析。

關鍵詞：概率猶豫模糊集；層次分析法；數據安全風險評估；數據安全能力成熟度模型

中圖分類號：TP391? ? 文獻標識碼：A? 文章編號：2096-4706（2023）06-0102-05

Assessment of Medical Data Security Risk Based on Probabilistic Hesitant Fuzzy Set

LI Bobo， ZHANG Mingfei

（North China University of Water Resources and Electric Power， Zhengzhou? 450046， China）

Abstract： Medical data has always been threatened by network attacks and theft. Due to the lack of relevant standards and norms， China's medical data security risk pre-assessment continues to use the network security risk assessment system. Based on the data security capability? maturity model， from the perspective of the whole life cycle of medical data， and taking the business flow of medical system as the main line， the medical data security risk is analyzed， and the medical data security risk assessment model is constructed， and an Analytic Hierarchy Process and approximate ideal solution ranking method based on probabilistic hesitation fuzzy set is proposed for quantitative analysis of the security risk model.

Keywords： probabilistic hesitant fuzzy set; Analytic Hierarchy Process; data security risk assessment; data security capability maturity model

0? 引? 言

醫療行業是數據安全問題頻發的行業，醫療數據因其自身所具有的敏感度強、泄露風險高、管控難度大等特點，時常遭遇惡意的網絡攻擊或被竊取而引發數據泄露事件[1]。同時，這些安全風險和泄露事件還會抑制人們對醫療數據合理開放共享的意愿和積極性，阻礙醫療領域數字化賦能和轉型工作的開展。2021年6月，我國頒布《數據安全法》，正式將數據安全保護納入法律體系中，體現出國家對數據安全問題的關注?！稊祿踩ā分忻鞔_要求數據所有者定期對其數據開展風險評估工作[2]。

數據安全風險評估工作目前尚處于起步階段，相關的實施規范和標準制度都是在實踐活動中不斷完善。數據安全風險評估理論和實施方法是學術界近年來的研究熱點。在數據安全風險評估模型研究方面，《數據安全能力成熟度模型》[3]中提出DSMM（Data Security Capability Maturity Model）框架模型。楊曉琪等人[4]提出了基于DSMM的數據安全評估模型（Management & Technology Data Security Evaluation Model， MTDSEM）。王標等人[5]基于網絡安全等級保護2.0框架，依據信息安全風險評估方法創建用于對政府開放數據進行數據安全風險評估的模型。顧欣等人[6]從數據的全生命周期對BIM（Building Information Modeling）數據進行評估，但卻疏于考慮數據管理時的安全風險。

在風險評估量化計算方法的研究方面，傳統的信息安全量化分析中多采用矩陣法[7]、模糊綜合評價法[8]等方法。這些方法在實際工程中已經得到驗證，但在專家決策信息表達方面仍有欠缺。在專家決策信息表達方面，如何表達專家主觀層面的猶豫性和模糊性以及因專家個人傾向性和專家數量等原因造成的專家決策信息重要程度差異性一直是研究的重點。概率猶豫模糊集（Hesitant Probabilistic Fuzzy Set， HPFS）[9-11]是一種有效的專家決策信息表達方式。在保障醫療數據安全方面，因其具有安全風險多，人們對醫療數據安全風險危害認知差異大的特點，不同專家對安全風險評估意見往往存在較大差異，引入概率猶豫模糊集的概念后能夠準確表達專家決策信息，避免信息流失。

本文從醫療業務流程分析入手，在《數據安全能力成熟度模型》的基礎上，構建面向醫療數據的風險評估模型，通過引入概率猶豫模糊集方法探索一種面向醫療數據的風險評估實施方案。

1? 醫療數據安全風險評估

1.1? 醫療數據安全風險評估要素分析

DSMM框架模型是目前國內數據安全風險評估的主要依據，該模型以數據為核心，所提供的功能包括數據全生命周期安全和通用安全兩個方面。DSMM框架模型數據安全過程域維度如圖1所示。

醫療數據主要承載對象是各類醫療信息系統中的復雜業務流程，其中包括事務型數據流、結構化和非結構化業務數據流、系統角色權限數據等，涵蓋數據全生命周期中的數據流轉和數據管理兩項主要活動。以DSMM框架模型為基礎架構，通過對醫療數據安全風險類型的分析，構建了基于數據全生命周期和數據管理的醫療數據安全風險指標體系，如圖2所示。

1.1.1? 數據全生命周期安全

數據全生命周期包括數據采集、傳輸、存儲等多個階段。數據安全風險評估活動包含數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。

數據采集安全是指組織內新生數據和外部數據采集階段的安全風險。數據傳輸安全是指數據在實體間傳輸階段的安全風險。數據存儲安全是指數據在存儲介質中的安全風險。數據處理安全是指組織對數據進行計算、分析、可視化等操作中的安全風險。數據交換安全是指某組織與其他組織或個人進行數據交換時的安全風險。數據銷毀安全是指數據及數據存儲介質在銷毀時的安全風險。

1.1.2? 數據管理安全

數據管理安全是指組織對數據管理工作的要求，即從組織制度、人員操作、日志審計等方面來保障數據安全。數據管理安全主要包括組織與人員管理安全、元數據管理安全、合規管理、監控與審計、安全事件應急管理。

1.2? 醫療數據安全風險評估計算模型

為實現醫療數據安全風險量化計算，依據醫療數據安全風險評估指標體系，提出一種基于概率猶豫模糊集和AHP-TOPSIS方法的醫療數據安全風險評估方法。

1.2.1? 風險評估指標權重確認

依據醫療數據安全風險評估體系，按照1-9比例標度法構造比較矩陣。依據決策者對兩個評級指標相對重要程度的判斷，在對矩陣中的信息進行賦值的過程中要考慮到醫療行業數據安全風險的特點。

針對一級醫療數據安全風險指標集{C1， C2}構建比較矩陣H。

針對二級醫療數據安全風險指標集{C11， C12， C13， C14， C15， C16}構建比較矩陣H1。

同理，針對各級醫療數據風險指標集構建比較矩陣H2、H11、H12、H13、H14、H15、H16。

然后根據AHP指標權重計算方法，一級醫療數據安全風險指標集{C1， C2}對醫療數據安全風險C指標權重如式（1）所示：

（1）

同理，二級醫療數據安全風險指標對一級指標{C1， C2}的指標權重為W11、W12，三級醫療數據安全風險指標對二級指標{C11， C12， C13， C14， C15， C16}的指標權重為W111、W112、W113、W114、W115、W116。

對指標權重結果進行一致性檢驗，若通過一致性檢驗則計算二級醫療數據安全風險指標{C21， C22， C23， C24， C25}與三級醫療數據安全風險指標對數據安全風險C的權重。

二級指標權重計算公式如式（2）所示：

（2）

三級指標權重計算公式如式（3）所示：

（3）

通過構建風險指標權重計算模型，醫療數據安全風險評估量化結果可以映射到數據全生命周期的各階段評估項目中。

1.2.2? 醫療數據安全風險等級判定

基于概率猶豫模糊集的TOPSIS方法可用于計算醫療數據安全風險等級，根據需要評估的醫療機構的醫療數據安全現狀，對所構建的底層數據安全風險指標進行評價。不同醫療機構的醫療數據安全風險指標評價結果不同，將評價結果分為五級，邀請風險評估領域的專家進行打分，假設每位專家的權重相等，評價等級如表1所示。

依據專家打分結果，統計每個風險等級對應的專家數量，構建醫療數據安全風險概率猶豫模糊判斷矩陣A。

依據上一步得到的底層指標權重如式（4）：

（4）

采用海明距離公式（5）：

（5）

計算加權正理想距離? 與加權負理想距離 ，如式（6）所示：

（6）

其中， 和? 中的每一個元素隨著概率猶豫模糊元hij（ pij）中的元素個數而定，且pλ與概率猶豫模糊元hij（ pij）隸屬度概率相等。

最后依據安全風險等級計算公式計算評估對象的綜合風險值，如式（7）所示：

（7）

其中，參數θ∈[0，1]表示決策者的風險偏好系數，若θ＜0.5，則表示決策者屬于風險規避型；若θ＞0.5，則表示決策者屬于風險接受型。風險值CIpi越大，代表評價對象數據安全的風險越大。

2? 實例分析

以某醫院HIS系統中的醫療數據作為評估對象進行實例分析。依據提出的醫療數據安全風險評估流程和醫療數據安全風險評估模型進行數據安全風險評估。

2.1? 醫療數據安全風險計算

2.1.1? 確定評估對象

以某醫院HIS系統中的醫療數據作為評估對象，涉及數據庫343個、數據表10 605個、數據字段115 869個、業務類型2 302種。這些數據包括基礎類型、個人屬性、醫療應用、系統信息、組織機構、客體信息、醫療支付、衛生資源、健康狀況、通用類型10個分類。

HIS系統數據業務包含醫療數據的全生命周期過程，即涵蓋醫療影像檢驗、輸血檢驗、手術麻醉等數據業務。以醫療影像檢驗業務為例介紹數據全生命周期流動過程，如圖3所示。首先是門診醫生采集患者信息，開具醫療影像檢驗的申請；其次是影像科采集患者醫療影像，并將影像數據儲存在PACS系統中，生成醫療影像索引及檢驗報告發送至HIS系統。HIS系統數據庫中儲存PACS系統中醫療影像數據的索引。此外，當HIS系統數據庫存儲不足時，由于醫療機構的特殊性（不刪除數據），通過添加存儲單元來增加數據容量。

2.1.2? 醫療數據安全風險指標權重計算

分別針對一級數據安全風險評價指標、二級數據安全風險評價指標和三級數據安全風險評價指標構建比較矩陣H1、H2、H3、H11、H12、H13、H14、H15、H16。

針對一級風險評價指標（數據全生命周期安全C1、數據管理安全C2）構建比較矩陣H。

（8）

通過計算，得到W1={w1，w2}={0.66，0.34}。

同理，其他各級指標的計算方法相同，并經過一致性檢驗。

2.1.3? 計算底層指標對C的權重并排序

運用式（4）（5）分別計算二級指標（組織與人員管理安全C21、元數據管理安全C22、合規管理C23、監控與審計安全C24、安全事件應急管理安全C25）與三級指標對醫療數據安全C的權重。

計算后對結果進行排序，底層指標權重如表2所示。

2.1.4? 醫療數據安全等級判定

首先，分別對醫療數據安全底層指標安全風險等級進行單獨判定。為保證判定結果的準確性和科學性，邀請20位在醫療數據安全及風險評估方面有豐富經驗的專家進行評判。整理的評價結果及專家意見結果如表3所示。

根據專家意見結果表中的數據，采用式（6）來計算評估對象的加權正理想距離和加權負理想距離。計算得到加權正理想距離 =0.801 3，加權負理想距離 =0.198 7。最終運用風險等級判定式（7）來計算評估對象的醫療數據安全風險值。當θ=0.5時，醫療數據安全風險值CIpj=0.198 7，根據表1的風險等級范圍，該醫院醫療數據安全風險等級為“低”。其中，指標組織與人員管理安全C21的正理想距離計算過程如圖4所示。

2.1.5? 結果分析

首先，從專家評價結果出發，基于概率猶豫模糊集的專家評價信息表達方式，采用多個隸屬度來表達群決策中不同專家的評價意見，同時為每個隸屬度添加概率信息，避免因專家個人傾向及專家數量帶來的隸屬度重要程度差異性問題，進而能夠更加準確地表達專家的評價信息，獲得符合醫院數據安全風險真實狀況的數據安全風險評估信息。

其次，從底層指標排序結果出發，在24個醫療數據安全風險評估要素中，數據傳輸加密、存儲媒體安全、組織與人員管理三個數據安全風險要素處于前三位?；诖?，說明這些數據安全要素對醫療數據安全具有較大影響，是醫療數據安全風險的主要來源。傳輸過程數據加密方法、醫療數據存儲階段的安全防護方案以及完善的醫療數據安全管理制度是避免醫療機構發生數據安全風險事件的有效防護措施。

最后，從綜合醫療數據安全風險評價結果出發，如果某醫院整體醫療數據安全風險等級為“低”，那么該醫院發生數據安全問題的風險較小。該醫院具備較強的醫療數據安全意識、完善的醫療數據安全管理制度、完整的數據安全風險防護體系，并能根據技術的發展持續優化自身的數據安全風險能力。

2.2? 案例實施效果評價

為了驗證本文所提醫療數據安全風險評估模型和量化方法的有效性，引入模糊綜合評價法[5]，將此方法作為傳統方法對2.1節實例進行醫療數據安全風險評估。通過計算得到模糊綜合評價結果B={0，0，0.09，0.302，0.601}，根據模糊綜合評價計算結果，隸屬度最大值為“0.601”，依據最大隸屬度原則，得出該醫院安全風險等級為“低”。通過對比得知，兩種方法得到的醫療數據安全風險等級相等。

依據《健康醫療數據安全指南》對該醫院HIS系統中的醫療數據進行安全檢查。醫療數據包括基礎類型、個人屬性、醫療應用等十個種類。依據患者查詢、醫生調閱、移動應用、醫療器械四個應用場景對該數據的全生命周期及管理階段進行檢查。該醫療數據符合《健康醫療數據安全指南》中對醫療數據的安全要求，醫院對于醫療數據安全具有相對完善的保護體系。因此，醫療數據安全評價等級為“低”在合理的范圍之內。

醫院不會輕易刪除醫療數據，即使是在數據存儲空間不足時，也會通過增加存儲單元來擴充數據空間。因此，數據銷毀安全階段的兩項相關指標權重排名相對靠后，這也驗證了本文所構建模型的合理性。

通過對兩種不同方法所得的評估結果進行對比，以及對該醫院數據的安全檢查，可以驗證本文所提醫療數據安全風險評估模型與量化方法的有效性。

3? 結? 論

基于較為成熟的信息風險評估理論和方法，研究DSMM數據安全成熟度模型，構建了基于概率猶豫模糊集和AHP-TOPSIS方法的醫療數據安全風險評估模型。以鄭州某醫院HIS系統中的數據進行實例分析，分析結果驗證了模型的有效性。對醫療機構的數據安全風險進行量化評估，對醫療機構可能存在的安全風險進行預警性評估，這些舉措對維護醫療機構數據安全，防止數據泄露，減少醫療機構和患者的損失具有現實意義。同時，履行《數據安全法》對數據所有者要求的相應法律責任。本文的醫療數據安全風險指標選取參照DSMM模型。但是醫療數據安全風險指標并不是一成不變的，它會隨著新技術的發展、數據安全需求的變化而不斷豐富。醫療數據安全風險要素也會不斷調整，各數據安全風險要素的具體內容也會不斷發生改變，模型中的指標也會更加符合醫療數據的安全需求。此外，決策者的性格偏好及醫療數據安全風險意識對評估結果也有著顯著影響。

參考文獻：

[1] 中關村網絡安全與信息化產業聯盟數據安全治理專業委員會.數據安全治理白皮書4.0 [EB/OL].[2022-10-12].https：//dsj.guizhou.gov.cn/xwzx/gnyw/202206/t20220609_74678503.html.

[2] 劉桂鋒，阮冰穎，劉瓊.加強數據安全防護提升數據治理能力——《中華人民共和國數據安全法（草案）》解讀 [J].農業圖書情報學報，2021，33（4）：4-13.

[3] 全國信息安全標準化技術委員會.信息安全技術 數據安全能力成熟度模型：GB/T 37988-2019 [S].北京：中國標準出版社，2019.

[4] 楊曉琪，白利芳，唐剛.基于DSMM模型的數據安全評估模型研究與設計 [J].信息網絡安全，2021，21（9）：90-95.

[5] 王標，劉興洋，許卡，等.政府開放數據的國家安全風險評估模型研究 [J].網絡與信息安全學報，2020，6（6）：80-87.

[6] 顧欣，易豪，徐淑珍，等.基于BIM數據的安全評估體系研究 [J].現代計算機，2021，27（24）：21-25.

[7] 全國信息安全標準化技術委員會.信息安全技術 信息安全風險評估實施指南：GB/T 31509-2015 [S].北京：中國標準出版社，2015.

[8] 張利，彭建芬，杜宇鴿，等.信息安全風險評估的綜合評估方法綜述 [J].清華大學學報：自然科學版，2012，52（10）：1364-1369.

[9] ZHANG S，XU Z，HE Y. Operations and integrations of probabilistic hesitant fuzzy information in decision making [J].Information Fusion，2017，38：1-11.

[10] LI J，WANG J. Multi-criteria outranking methods with hesitant probabilistic fuzzy sets [J].Cognitive Computation，2017，9（5）：611-625.

[11] 劉玉敏，朱峰，靳琳琳.基于概率猶豫模糊熵的多屬性決策方法 [J].控制與決策，2019，34（4）：861-870.

作者簡介：李波波（1998.08—），男，漢族，河南洛陽人，碩士研究生在讀，研究方向：數據安全。

收稿日期：2022-11-02