基于心導管室信息管理系統(tǒng)影像數(shù)據(jù)安全機制的研究和設計

周軒，劉宇軒，彭勇

四川大學華西醫(yī)院 a. 放射科；b. 心血管內科，四川 成都 610000

引言

自1984年中國完成第一例冠脈介入治療以來，電生理消融、起搏器植入、先心病介入治療到現(xiàn)在國內初始階段的經導管心臟瓣膜疾病介入治療[1-2]，越來越多的心臟疾病可以在心導管室進行手術治療[3]。心導管室的影像數(shù)據(jù)全部生成于術中。國內數(shù)家超大型醫(yī)院的心導管室年均手術量都達到萬臺，也相應生成了數(shù)十Trillionbyte的影像數(shù)據(jù)。這些醫(yī)院作為區(qū)域醫(yī)療中心，除了臨床工作外，還有大量的教學和科研工作[4]，而影像數(shù)據(jù)則成為支撐這些工作的基礎。如何安全、準確地使用醫(yī)療數(shù)據(jù)，也是國際上醫(yī)療信息學領域的熱點研究方向之一[5]?，F(xiàn)有的心導管室或者放射科信息系統(tǒng)，大都以賬號密碼為驗證方式進入。一旦賬號密碼泄露，數(shù)據(jù)就無法保證安全。本文研究了信息系統(tǒng)中的數(shù)據(jù)安全問題，將所有的用戶操作置于系統(tǒng)監(jiān)督和權限管控之下，拒絕任何非授權操作。

1 現(xiàn)狀分析

1.1 影像數(shù)據(jù)管理現(xiàn)狀

以我院心導管室為分析案例。心導管室目前開展了冠脈、射頻電生理、起搏器、先心和瓣膜這5個亞專業(yè)組的手術，年手術總量2萬余臺，且呈10%的年增長率。心導管室現(xiàn)有9臺DSA血管機系統(tǒng)，分處2個樓層，近期規(guī)劃新院區(qū)還將新增8臺DSA血管機系統(tǒng)。手術影像數(shù)據(jù)存儲是依托內部局域網絡，傳輸至1臺服務器上（圖1）。按照血管機系統(tǒng)物理位置分布，配置了9臺影像工作站。影像數(shù)據(jù)庫的操作基于第三方軟件，設置了技術工作賬號和TEST賬號。

圖1 心導管室影像數(shù)據(jù)管理現(xiàn)狀流程圖

1.2 影像數(shù)據(jù)管理安全分析

1.2.1 賬號安全

導管室人員眾多，本院醫(yī)護技等臨床工作人員使用技術工作賬號，全國心臟介入培訓基地學員、西部地區(qū)基層醫(yī)院進修人員和科研人員等共用TEST賬號。由于采用了統(tǒng)一授權模式，所有用戶使用影像工作站沒有記錄和限制，可以在術者不知情的情況下，調閱并拷貝所有手術影像數(shù)據(jù)[6]。影像數(shù)據(jù)導出沒有記錄和限制，無法知道是誰導出了數(shù)據(jù)，并把數(shù)據(jù)用到何處，數(shù)據(jù)極易外泄。

1.2.2 數(shù)據(jù)存儲安全

服務器單機存儲數(shù)據(jù)安全性較低，如硬盤發(fā)生故障，數(shù)據(jù)可能丟失。單機存儲空間也受到硬盤的限制，使得數(shù)據(jù)在線時間短。

1.2.3 數(shù)據(jù)傳輸安全

數(shù)據(jù)可以使用光盤刻錄和固態(tài)存儲器拷貝兩種方式導出。使用固態(tài)存儲器方式，無法保證數(shù)據(jù)系統(tǒng)不被病毒或木馬感染[7]。來源于基層醫(yī)院會診的影像數(shù)據(jù)，無論是光盤還是固態(tài)存儲器直接在工作站讀取數(shù)據(jù)，均難以保證數(shù)據(jù)的安全性。

2 安全機制設計

在前期的現(xiàn)狀分析中，我們發(fā)現(xiàn)影像數(shù)據(jù)的安全機制是信息系統(tǒng)工作的重點之一。為了臨床工作安全高效的運行，并滿足教學任務及科研發(fā)展對影像數(shù)據(jù)的需求，我們對系統(tǒng)的權限構架、驗證技術和數(shù)據(jù)傳輸進行了全新設計。影像數(shù)據(jù)也不再單獨存儲，全部置于醫(yī)院信息中心中央存儲系統(tǒng)[8]，解決了單機存儲數(shù)據(jù)的安全和空間限制問題，數(shù)據(jù)在線時間大幅增加。升級后的心導管室信息系統(tǒng)基于醫(yī)院內部網絡運行，由信息中心統(tǒng)一負責數(shù)據(jù)的傳輸、存儲、內外網互聯(lián)交互等業(yè)務（圖2）。

圖2 心導管室影像數(shù)據(jù)管理設計流程圖

2.1 權限構架設計

系統(tǒng)將影像數(shù)據(jù)的管理層級權限[9]，自上而下分為5級：管理級→科室級→亞專業(yè)組級→醫(yī)療組級→普通級/臨時級。

2.2 系統(tǒng)驗證技術設計

結合傳統(tǒng)的用戶賬號密碼設置，加入多項科技驗證技術，確保各層級用戶在權限內使用系統(tǒng)。所有數(shù)據(jù)的調閱和輸出，都可以追溯到用戶個人。

（1）生物特征識別技術。所有用戶在信息中心錄入臉部基本特征信息，才能被系統(tǒng)登記，通過層級權限授予[10]。

（2）身份證讀取技術。使用身份證讀取器登記持證者的信息[11]。

（3）移動端驗證技術。申請者在系統(tǒng)中，通過信息中心內外網交互端口，向指定權限者發(fā)送求證信息，系統(tǒng)獲得肯定回復后，再發(fā)送解決方案給申請者[12]。

2.3 數(shù)據(jù)外部傳輸設計

為了保護系統(tǒng)不被外來數(shù)據(jù)的病毒或木馬感染，除網內數(shù)據(jù)外，所有數(shù)據(jù)只能輸出，不能進入。網內的各終端機關閉USB數(shù)據(jù)傳輸功能；光盤驅動器只開放刻錄功能，禁止讀取數(shù)據(jù)[13]。

3 功能實現(xiàn)

3.1 權限的層級

所有用戶均需在信息中心錄入個人基本信息及身份證信息，建立用戶賬號。由信息中心劃分層級：信息中心管理員→心血管病內科主任/心導管室主任→亞專業(yè)組長→亞專業(yè)組內醫(yī)療組長→醫(yī)療組員/進修學員。每層級的功能使用權限，由上級權限者授予。心導管室影像數(shù)據(jù)權限管理分級圖，見圖3。

圖3 心導管室影像數(shù)據(jù)權限管理分級圖

3.2 影像數(shù)據(jù)調閱

使用終端工作站需要雙重驗證。第一步為賬號密碼驗證，通過后進入下一步面部特征比對環(huán)節(jié)，屏幕上方攝像頭會記錄鏡頭前的人臉，并與授權時的基本臉部信息比對，通過者可以進入軟件操作[14]。

通過驗證后，系統(tǒng)每間隔5 min，會在后臺運行一次面部特征比對程序，如當前使用者未改變，系統(tǒng)不會有提示，可以繼續(xù)使用；如當前使用者發(fā)生變化，后臺未通過比對，系統(tǒng)終止當前操作，并跳出彈窗，請使用者重新進入雙重驗證環(huán)節(jié)，通過后使用。

用戶不能查閱上級或同級權限者的影像數(shù)據(jù)。如需查閱，需在系統(tǒng)上提交申請，系統(tǒng)會根據(jù)申請內容，通過網內即時通訊模塊[15]和信息中心內外網交互端口[16]，向有權限者并發(fā)短信和移動端信息，得到權限者同意回復后，系統(tǒng)自動發(fā)送臨時驗證碼給申請者，申請者憑借該驗證碼，可以在24 h內打開申請的影像數(shù)據(jù)一次（圖4）。

圖4 影像數(shù)據(jù)調閱流程圖

所有終端工作站不開放USB數(shù)據(jù)傳輸和光驅讀取功能。任何來源的影像數(shù)據(jù)只能在網外電腦端讀取調閱。

3.3 影像數(shù)據(jù)輸出

用戶導出自身權限內影像數(shù)據(jù)，只需通過刻錄前的面部特征比對即可，沒有時效和次數(shù)限制。

用戶導出權限外的影像數(shù)據(jù)，須登錄后，在系統(tǒng)上提交申請，系統(tǒng)會根據(jù)申請內容，通過網內即時通訊模塊和信息中心內外網交互端口，向有權限者并發(fā)短信和移動端信息，得到權限者同意回復后，系統(tǒng)自動發(fā)送臨時驗證碼給申請者，申請者可以在系統(tǒng)指定的終端工作站，輸入該驗證碼1次，通過驗證后，會提示用戶在工作站配置的身份證讀取器上，放置身份證件，讀取成功后，系統(tǒng)比對身份證與當前用戶是否為同一人，比對通過，系統(tǒng)記錄存檔后，從中央存儲獲取圖像到當前工作站，第2次輸入該驗證碼，進入影像數(shù)據(jù)刻錄程序。待刻錄程序完成后，系統(tǒng)自動刪除該本地數(shù)據(jù)。驗證碼24 h內有效，鍵入兩次后當即失效。影像數(shù)據(jù)輸出流程圖如圖5所示。

圖5 影像數(shù)據(jù)輸出流程圖

4 應用效果

4.1 賬號及權限實現(xiàn)

舊系統(tǒng)只能設置賬號和密碼，不能進行任何的層級和權限設置（圖6a）。新系統(tǒng)則可以在管理員端建立賬戶，選擇角色信息，設置層級并配置相應權限（圖6b）。

圖6 賬號權限實現(xiàn)管理界面

4.2 雙重驗證實現(xiàn)

新系統(tǒng)在登錄驗證方式方面，較舊系統(tǒng)的賬號密碼增加了面部識別驗證，實現(xiàn)了雙重驗證登錄，安全性大幅提高（圖7）。

圖7 登錄驗證管理界面

4.3 數(shù)據(jù)調閱及傳輸管理實現(xiàn)

調閱和刻錄影像數(shù)據(jù)信息，新系統(tǒng)全部記錄存檔，改變了舊系統(tǒng)沒有數(shù)據(jù)日志管理的狀況。舊系統(tǒng)沒有數(shù)據(jù)的調閱記錄，刻錄狀態(tài)僅有打鉤的單一標識，刻錄用戶和刻錄次數(shù)都無法得知（圖8a）。新系統(tǒng)則完全發(fā)生了變化，從申請人、申請時間、授權人，授權狀態(tài)、授權時間等等，都有了詳細的記錄，影像數(shù)據(jù)的日志管理得以規(guī)范（圖8b）。

圖8 數(shù)據(jù)調閱及數(shù)據(jù)信息管理界面

4.4 應用討論

本研究以提高醫(yī)療數(shù)據(jù)安全、保護患者隱私為目的，從應用技術層面對影像數(shù)據(jù)系統(tǒng)內部環(huán)節(jié)的安全機制進行全新設計，建立了影像數(shù)據(jù)安全防護的新機制。

醫(yī)療信息安全的研究目前大多集中于醫(yī)療法律政策[17]、安全模型設計、數(shù)據(jù)加密算法[18]、醫(yī)療網絡安全防護[19]等方面，在數(shù)據(jù)如何安全使用方向的研究不多。而人臉和身份證識別等驗證技術在社?？ū葘Α⒒颊弑葘20]、醫(yī)務人員門禁識別[21]、醫(yī)院秩序安防[22]等醫(yī)療方向的應用較多，但很少被用在醫(yī)療數(shù)據(jù)權限驗證設計上。本研究從實用出發(fā)，設計醫(yī)院具體子系統(tǒng)的影像數(shù)據(jù)安全機制，使得心導管室醫(yī)療數(shù)據(jù)信息更加安全。

心導管室信息管理系統(tǒng)的全新安全設計，尤其是雙重驗證技術，同樣適用于醫(yī)院的PACS、RIS、LIS等，全院的HIS也有應用的需求。醫(yī)護人員的工作強度高、節(jié)奏快，沒有時間去關注自己的賬號密碼，長期使用同一密碼有泄露的可能。醫(yī)護人員也常因為突發(fā)情況離開正在操作的電腦，并沒有退出登錄狀態(tài)，任何人都可以接著已登錄的賬號進行系統(tǒng)操作。醫(yī)囑權失去監(jiān)管，醫(yī)療安全無法保證，患者隱私可能被泄露。要防范這些風險，除去法律層面的約束[23]，在技術層面也需盡量完善醫(yī)療系統(tǒng)的安全機制。醫(yī)療相關的信息系統(tǒng)，都必須強化安全機制，特別是在用戶權限和身份判定環(huán)節(jié)。既不影響操作者使用，又要加以實時驗證。例如，醫(yī)護人員下達醫(yī)囑，點擊審核時，系統(tǒng)后臺驗證醫(yī)囑下達者的面部信息，通過方才審核成功[24]。

心導管室信息管理系統(tǒng)安全機制還存在著不足。用戶身份證信息未與公安系統(tǒng)連接，信息中心初始登記無法驗證身份證的真?zhèn)?；用戶的面部信息一旦被人盜用，系統(tǒng)的面部特征識別驗證有被欺騙的可能性[25]。我們還需不斷探尋，將虹膜、聲紋等更先進的驗證技術運用在醫(yī)療信息系統(tǒng)安全機制上；光盤刻錄速度還是較慢，使用其他快速方式獲取數(shù)據(jù)也是下一步研究的方向。

5 結論

通過管理層級權限的構架設計，并采用多種校驗技術，對數(shù)據(jù)傳輸方式進行限制，使得整個系統(tǒng)層級清晰，安全有效，所有的影像數(shù)據(jù)可追根溯源。心導管室信息系統(tǒng)得以安全、準確地調閱及獲取數(shù)據(jù)，高效地服務于臨床、教學和科研工作。