医疗影像数据平台的数据安全设计与应用

丁 鑫，吕发金，文银刚

（1.重庆医科大学生物医学工程学院超声医学工程国家重点实验室，重庆 400016；2.重庆医科大学附属第一医院放射科，重庆 400016；3.超声医疗国家工程研究中心，重庆 401121）

随着信息科技的迅速发展，各行各业对海量数据的安全管理和维护的方式也各不相同。在医疗信息领域中，诸多医院也开始推进医疗信息化进程，响应国家的号召，开展新的工作[1]。越来越多的医疗科研数据平台、医院信息管理平台、以及相关数据库的建设应运而生[2]。2022 年8 月29 日，国家卫建委、中医药局、疾控局联合印发了《医疗卫生机构网络安全管理办法》，进一步说明“互联网+医疗健康”的发展进程，医学大数据作为国家重要基础性战略资源，特别强调了医疗数据的安全保护，该管理办法在第十八到第二十三条中，彰显出保护医疗数据安全的重要程度，并且提出数据安全管理办法的措施[3]。由此可见，在医疗数字化、信息化的蓬勃发展当中，社会就更要重视医学数据的安全保护[4，5]，因此访问控制和分级授权就显得尤为重要。本文为医疗数据的使用和共享提供安全保障，应用在医疗影像数据平台的场景中当中，为其他医疗科研（影像数据）平台的数据安全保障提供借鉴和参考意义。

1 医疗影像数据平台介绍和数据安全的概览设计

医疗影像数据平台的目的是为了提升临床科研能力，方便诸多医院单位展开远程医疗科研合作，医疗影像数据医疗数据中占有举足轻重的地位。该平台主要收集医院的影像数据、治疗信息记录、患者信息、病理数据和患者回访数据等[6]。不同于传统的影像数据平台，该平台直接对接诊疗设备，整合术前、术中、术后的相关数据，并且提供影像的智能识别、三维重建等功能。方便临床医生、科研工作者进行多样化信息的录入和医疗信息的管理，同时也为手术室、核磁共振（MR）智能识别提供大量数据支持。平台还提供海量历史数据的查询、分析、概览等功能，为医学科研工作奠定基础。图1 为海扶治疗下的医疗影像数据统计和可视化展示。

图1 医疗影像数据平台的数据统计和可视化展示

在医学数据的共享方面，平台中的数据包括影像数据、病理数据、病例信息、患者信息、治疗申报数据、患者跟踪随访记录等。无论是想要进行单纯的信息存储记录和管理，还是想要与其他科研单位合作，这些行动都必须置于安全的情形中开展[7]。

在平台上应采取加密、授权管理、完整性保证、日志记录和数据脱敏措施来保障数据安全。在实施这些措施时，医疗数据的处理常常伴随着数据主体的缺失和管理员的不当操作造成影响等问题[8]。例如，未经授权访问隐私数据并且随意操纵敏感数据，可能会发生临床影像资料的篡改、不正确的药物治疗记录、科研数据作假等情况。

面对以上问题，首先要考虑的是医学数据资源的等级划分，还需要考虑平台用户能访问哪些数据资源，用户对这些数据又拥有何种操作权限[9]。这样的设计可以很好的应用在医疗影像数据平台中，并且还可以给医院信息管理系统提供参考模型。图2为医疗数据安全的概览设计。

图2 医疗数据安全的概览设计

2 医疗数据的分级设计

从数据资源来看，医疗影像数据平台包括多种多样的医疗数据。所以医疗数据资源的分级显得十分必要，数据资源等级的划分是医院/科研单位进行数据安全管理的基本，明确数据边界和范畴，依据已存在的特征和需求进一步将不同级别的数据资源与不同的用户群体匹配关联起来[10，11]。数据资源的等级划分能为数据的有效保护提供重要的作用。表1为数据资料等级划分情况。

表1 数据资源的分级划分

无限制访问级别：无限制访问级别的数据资源，是安全访问权限中最低级别的数据。在该平台的普通用户均能查询、使用、下载/拷贝，以及传播用于教学等其他目的。同样有些类型的数据还可以进行修改，但修改过后共享时，需要标明修改部分以及原数据所有者。整体而言，该级别的数据是一个完全开放的数据，也是没有任何限制的数据资源。该级别几乎无数据风险和不良影响。在该平台中无限制访问级别的数据有良恶性瘤的划分标准，具体还有子宫肌瘤分型标准（D≤3 cm 微小肌瘤，3 cm＜D≤5 cm 小型肌瘤等划分情况）、指标数值范围等数据。

公益性访问级别：公益性访问级别的数据资源，相比于无限制访问级别，该数据资源不能进行传播以及用于商业目的，该类型数据同样可以被用户查询、使用、下载拷贝。当需要修改后上传共享时，需要标明修改部分以及原数据所有者。该级别的数据资源能更好的与其他医院、院校、科研所展开更好的科研合作。该级别几乎无数据风险和不良影响。

在该平台中公益性访问级别数据有医院单位自主开放的数据（通过知情同意和医学伦理审查的某病种的病患数据、跟踪回访情况等数据）方便开展科研交流和数据共享。公益性数据特别注重数据的脱敏化、匿名化处理。

申请-授权访问级别：申请-授权访问级别的数据资源，是用户无权查阅和下载拷贝的数据资源。获取数据需要向该数据的所有者或者相关数据的授权方提交申请操作[12]（并非获得相应的操作权限，而是获取临时角色的身份），当然不可进行修改、传播等操作。该级别数据涉及隐私较多，信息敏感性较高，泄露后有较大负面影响。

在该平台中申请-授权访问级别数据有医院各科室在日常诊疗收集的数据如某病种的病理数据、MR/DR/CT 等其他模式的影像资料、病例信息等数据。

所有者访问级别：所有者访问级别，该级别的数据资源的所有者/相关管理者拥有所属数据的所有操作权限，需要此类数据的用户，需要走授权的流程，管理员批准过后用户才拥有相应角色的特定操作权限。该级别数据涉及敏感信息一般，泄露后存在负面影响。

在该平台中所有者访问级别数据有医院各科室医生个人或群体的私有数据如治疗报告，手术记录，治疗解决方案等信息。

3 访问控制与授权体系

3.1 RBAC 模型 20 世纪90 年代后，出现了新的访问控制模型RBAC 模型。RBAC 即基于角色的访问控制，相比于强制控制访问（MAC），它更关心资源的完整性[13]，通俗来说就是什么用户对何种资源做哪类操作，对于角色定位把握比较灵活，呈现出易于拓展和维护的特点。

现将RBAC 模型基础上进行修改，适用于医疗影像数据平台（图3），将用户与组织融合连通，将组织（医院科室、科研单位部门）与角色相关联，归于组织下的用户就无需信息管理人员的依次手动授予相应权限，只需要处理申请-授权的数据资源，将数据对应的临时角色授予申请的用户，大大的减少了人力成本。

图3 修改适用医疗影像数据平台的RBAC 模型设计图

在该本平台中，组织中心权限实际设置情况：海扶医院妇产科主治医师李某、重庆医科大学附属第一医院放射科主任吕某、重庆医科大学生物医学工程学院研究生王某等格式。以用户对应的角色和所在单位定义相应的权限，对应下文的由高到低的分级授权思路。

3.2 分级授权的管理 利用改良的PBAC 模型，按组织对应的角色进行分级授予，所有用户都需要信息中心管理员录入系统，录进相应的个人基本信息以及身份证信息（临时的角色没有相应的身份信息，也就没有访问许多数据的权限）。分级授权的层级划分为：信息管理人员→管理领导/科室主任→该科室的一些其他分管组长、副主任等等→下面临床医生、科研人员以及医学研究生等。对于每一层级相应的角色权限都由上面一级的角色来严格赋予，当然里面出现的问题都可及时给信息管理人员进行反馈，解决相应的问题。医疗影像数据的分级授权管理图见图4。

图4 分级授权管理设计图

3.3 权限授予的方式 在权限的授予方面，信息管理人员可以配置两种方式，分为手动授权和审批授权，对于手动授权而言，管理员可以把使用者增加到对应用户组，给予相应的角色或者给相应的角色增加部分用户。对审批授权而言，在管理员收到资源访问申请，给予一定时限的访问权限（拥有临时角色的特定权限），待完成操作后授权也随之失效。这样增加了权限管理的灵活度，又可以满足医疗影像数据管理的安全运作，图5 为平台权限的审批授权编辑截图，图6 为重庆海扶工程研究中心内部试运行图（数据来源于海扶医院，内部试运行所以借助工程中心账号）。

图5 平台权限的授权编辑截图

图6 医疗影像数据平台在工程中心试运行（权限授予部分）截图

3.4 影像数据资源的拷贝/下载流程 在使用者要拷贝/下载影像数据（已完成数据脱敏的数据）时，首要的是需要完成登录信息，向平台系统提出需要拷贝/下载的影像数据申请，通过本平台的即时通讯模块/信息中心交互端口，向数据所有者和信息管理人员以消息形式发送到移动端和医疗影像数据平台的消息中心，在获取到授权同意时，系统自动发送临时验证码（验证码12 h 内有效，输入两次自动失效）。在申请者收到并输入验证通过后，进行身份认证弹窗，结合身份认证机制，将身份证图片信息与用户个人信息比对相同后，申请者即可对该部分影像数据进行本地拷贝/下载。同时数据平台也会产生并留存相关拷贝/下载的信息反馈，形成安全日志。以防后期发现问题难找到相应责任人，同时方便用于安全审计。整个申请-授权级别的影像数据拷贝/下载流程图见图7。

图7 申请-授权级别的影像数据拷贝/下载流程图

4 影像数据溯源与加密的设计

在医疗影像数据平台上，影像资料时刻有着泄露和篡改的风险，影像资料的溯源与安全加密就显得格外重要。在整个影像数据的完整业务周期中，传输、转换、显示等阶段，每个阶段都能采用不尽相同的加密策略。在一些病理图片，放射科影像中，对图像的清晰度与完整性有着极高的要求，既要保证数据的像素级的完整性，还需要防止篡改。影像数据可以结合Sha-3[14]和SM2 进行加密，与图像位的加密技术相结合，以确保图像数据不会在传输或者存储时发生篡改的问题。

在医疗数据安全领域，区块链是一个不可忽视的技术。区块链技术的引入既能够在医疗数据的完整性、不可否认性、保密性方面提供强大的支撑，也能够在数据溯源，追踪责任方起到很好的效果[15-18]。平台上可以采用联盟链+私有链的方式，在影像数据被记录到平台时，通过脱敏（删除、替换、泛化模糊等操作）加密（非对称加密和Hash 值计算方法）推送至链上所属节点，附上带有标签的数据如时间戳、机构、位置等信息[19，20]。通过使用区块链平台完成一系列的抽取、打包、推送上链等操作。信息管理人员可以在私钥解密之后，对解密的Hash 值进行比对，只有呈现正确的公钥和相同的Hash 值时，信息管理人员才可以访问并且获取相应的调阅与下载记录，这样就实现了影像数据的追踪溯源和防篡改的功能。

5 总结与展望

在分级授权的场景下，实际上还可以补充另一种精准的划分，将角色划分角色群组：申请数据访问的群组（科研机构，医疗公司研发人员等），提供数据的群组（医院，数据运营单位等），管理数据的群组（信息中心等组织），以及处理数据的群组（医疗公司，信息科等）。以上根据行为来划分的角色群组也是一种设计思路。

本次设计是应用在医疗影像数据平台上，在保证安全的情况下展开医学影像数据的交流。采取多方合作的模式，通过数据访问控制与分级授权机制，来保障数据安全，整合线上与线下资源更好地为数据安全服务。同时后期需要在平台系统中加上区块链技术，对医学影像数据的安全保护方面给予更多的重视，将数据加密和防篡改技术紧密结合起来，同时区块链技术也是医疗信息化安稳前进的重要一环。紧跟国家推动的医疗信息安全战略，为保障医疗影像数据的安全做出更多贡献。