基于心导管室信息管理系统影像数据安全机制的研究和设计

2020-06-09周轩刘宇轩彭勇

中国医疗设备 2020年4期

周轩，刘宇轩，彭勇

四川大学华西医院 a. 放射科；b. 心血管内科，四川成都 610000

引言

自1984年中国完成第一例冠脉介入治疗以来，电生理消融、起搏器植入、先心病介入治疗到现在国内初始阶段的经导管心脏瓣膜疾病介入治疗[1-2]，越来越多的心脏疾病可以在心导管室进行手术治疗[3]。心导管室的影像数据全部生成于术中。国内数家超大型医院的心导管室年均手术量都达到万台，也相应生成了数十Trillionbyte的影像数据。这些医院作为区域医疗中心，除了临床工作外，还有大量的教学和科研工作[4]，而影像数据则成为支撑这些工作的基础。如何安全、准确地使用医疗数据，也是国际上医疗信息学领域的热点研究方向之一[5]。现有的心导管室或者放射科信息系统，大都以账号密码为验证方式进入。一旦账号密码泄露，数据就无法保证安全。本文研究了信息系统中的数据安全问题，将所有的用户操作置于系统监督和权限管控之下，拒绝任何非授权操作。

1 现状分析

1.1 影像数据管理现状

以我院心导管室为分析案例。心导管室目前开展了冠脉、射频电生理、起搏器、先心和瓣膜这5个亚专业组的手术，年手术总量2万余台，且呈10%的年增长率。心导管室现有9台DSA血管机系统，分处2个楼层，近期规划新院区还将新增8台DSA血管机系统。手术影像数据存储是依托内部局域网络，传输至1台服务器上（图1）。按照血管机系统物理位置分布，配置了9台影像工作站。影像数据库的操作基于第三方软件，设置了技术工作账号和TEST账号。

图1 心导管室影像数据管理现状流程图

1.2 影像数据管理安全分析

1.2.1 账号安全

导管室人员众多，本院医护技等临床工作人员使用技术工作账号，全国心脏介入培训基地学员、西部地区基层医院进修人员和科研人员等共用TEST账号。由于采用了统一授权模式，所有用户使用影像工作站没有记录和限制，可以在术者不知情的情况下，调阅并拷贝所有手术影像数据[6]。影像数据导出没有记录和限制，无法知道是谁导出了数据，并把数据用到何处，数据极易外泄。

1.2.2 数据存储安全

服务器单机存储数据安全性较低，如硬盘发生故障，数据可能丢失。单机存储空间也受到硬盘的限制，使得数据在线时间短。

1.2.3 数据传输安全

数据可以使用光盘刻录和固态存储器拷贝两种方式导出。使用固态存储器方式，无法保证数据系统不被病毒或木马感染[7]。来源于基层医院会诊的影像数据，无论是光盘还是固态存储器直接在工作站读取数据，均难以保证数据的安全性。

2 安全机制设计

在前期的现状分析中，我们发现影像数据的安全机制是信息系统工作的重点之一。为了临床工作安全高效的运行，并满足教学任务及科研发展对影像数据的需求，我们对系统的权限构架、验证技术和数据传输进行了全新设计。影像数据也不再单独存储，全部置于医院信息中心中央存储系统[8]，解决了单机存储数据的安全和空间限制问题，数据在线时间大幅增加。升级后的心导管室信息系统基于医院内部网络运行，由信息中心统一负责数据的传输、存储、内外网互联交互等业务（图2）。

图2 心导管室影像数据管理设计流程图

2.1 权限构架设计

系统将影像数据的管理层级权限[9]，自上而下分为5级：管理级→科室级→亚专业组级→医疗组级→普通级/临时级。

2.2 系统验证技术设计

结合传统的用户账号密码设置，加入多项科技验证技术，确保各层级用户在权限内使用系统。所有数据的调阅和输出，都可以追溯到用户个人。

（1）生物特征识别技术。所有用户在信息中心录入脸部基本特征信息，才能被系统登记，通过层级权限授予[10]。

（2）身份证读取技术。使用身份证读取器登记持证者的信息[11]。

（3）移动端验证技术。申请者在系统中，通过信息中心内外网交互端口，向指定权限者发送求证信息，系统获得肯定回复后，再发送解决方案给申请者[12]。

2.3 数据外部传输设计

为了保护系统不被外来数据的病毒或木马感染，除网内数据外，所有数据只能输出，不能进入。网内的各终端机关闭USB数据传输功能；光盘驱动器只开放刻录功能，禁止读取数据[13]。

3 功能实现

3.1 权限的层级

所有用户均需在信息中心录入个人基本信息及身份证信息，建立用户账号。由信息中心划分层级：信息中心管理员→心血管病内科主任/心导管室主任→亚专业组长→亚专业组内医疗组长→医疗组员/进修学员。每层级的功能使用权限，由上级权限者授予。心导管室影像数据权限管理分级图，见图3。

图3 心导管室影像数据权限管理分级图

3.2 影像数据调阅

使用终端工作站需要双重验证。第一步为账号密码验证，通过后进入下一步面部特征比对环节，屏幕上方摄像头会记录镜头前的人脸，并与授权时的基本脸部信息比对，通过者可以进入软件操作[14]。

通过验证后，系统每间隔5 min，会在后台运行一次面部特征比对程序，如当前使用者未改变，系统不会有提示，可以继续使用；如当前使用者发生变化，后台未通过比对，系统终止当前操作，并跳出弹窗，请使用者重新进入双重验证环节，通过后使用。

用户不能查阅上级或同级权限者的影像数据。如需查阅，需在系统上提交申请，系统会根据申请内容，通过网内即时通讯模块[15]和信息中心内外网交互端口[16]，向有权限者并发短信和移动端信息，得到权限者同意回复后，系统自动发送临时验证码给申请者，申请者凭借该验证码，可以在24 h内打开申请的影像数据一次（图4）。

图4 影像数据调阅流程图

所有终端工作站不开放USB数据传输和光驱读取功能。任何来源的影像数据只能在网外电脑端读取调阅。

3.3 影像数据输出

用户导出自身权限内影像数据，只需通过刻录前的面部特征比对即可，没有时效和次数限制。

用户导出权限外的影像数据，须登录后，在系统上提交申请，系统会根据申请内容，通过网内即时通讯模块和信息中心内外网交互端口，向有权限者并发短信和移动端信息，得到权限者同意回复后，系统自动发送临时验证码给申请者，申请者可以在系统指定的终端工作站，输入该验证码1次，通过验证后，会提示用户在工作站配置的身份证读取器上，放置身份证件，读取成功后，系统比对身份证与当前用户是否为同一人，比对通过，系统记录存档后，从中央存储获取图像到当前工作站，第2次输入该验证码，进入影像数据刻录程序。待刻录程序完成后，系统自动删除该本地数据。验证码24 h内有效，键入两次后当即失效。影像数据输出流程图如图5所示。

图5 影像数据输出流程图

4 应用效果

4.1 账号及权限实现

旧系统只能设置账号和密码，不能进行任何的层级和权限设置（图6a）。新系统则可以在管理员端建立账户，选择角色信息，设置层级并配置相应权限（图6b）。

图6 账号权限实现管理界面

4.2 双重验证实现

新系统在登录验证方式方面，较旧系统的账号密码增加了面部识别验证，实现了双重验证登录，安全性大幅提高（图7）。

图7 登录验证管理界面

4.3 数据调阅及传输管理实现

调阅和刻录影像数据信息，新系统全部记录存档，改变了旧系统没有数据日志管理的状况。旧系统没有数据的调阅记录，刻录状态仅有打钩的单一标识，刻录用户和刻录次数都无法得知（图8a）。新系统则完全发生了变化，从申请人、申请时间、授权人，授权状态、授权时间等等，都有了详细的记录，影像数据的日志管理得以规范（图8b）。

图8 数据调阅及数据信息管理界面

4.4 应用讨论

本研究以提高医疗数据安全、保护患者隐私为目的，从应用技术层面对影像数据系统内部环节的安全机制进行全新设计，建立了影像数据安全防护的新机制。

医疗信息安全的研究目前大多集中于医疗法律政策[17]、安全模型设计、数据加密算法[18]、医疗网络安全防护[19]等方面，在数据如何安全使用方向的研究不多。而人脸和身份证识别等验证技术在社保卡比对、患者比对[20]、医务人员门禁识别[21]、医院秩序安防[22]等医疗方向的应用较多，但很少被用在医疗数据权限验证设计上。本研究从实用出发，设计医院具体子系统的影像数据安全机制，使得心导管室医疗数据信息更加安全。

心导管室信息管理系统的全新安全设计，尤其是双重验证技术，同样适用于医院的PACS、RIS、LIS等，全院的HIS也有应用的需求。医护人员的工作强度高、节奏快，没有时间去关注自己的账号密码，长期使用同一密码有泄露的可能。医护人员也常因为突发情况离开正在操作的电脑，并没有退出登录状态，任何人都可以接着已登录的账号进行系统操作。医嘱权失去监管，医疗安全无法保证，患者隐私可能被泄露。要防范这些风险，除去法律层面的约束[23]，在技术层面也需尽量完善医疗系统的安全机制。医疗相关的信息系统，都必须强化安全机制，特别是在用户权限和身份判定环节。既不影响操作者使用，又要加以实时验证。例如，医护人员下达医嘱，点击审核时，系统后台验证医嘱下达者的面部信息，通过方才审核成功[24]。

心导管室信息管理系统安全机制还存在着不足。用户身份证信息未与公安系统连接，信息中心初始登记无法验证身份证的真伪；用户的面部信息一旦被人盗用，系统的面部特征识别验证有被欺骗的可能性[25]。我们还需不断探寻，将虹膜、声纹等更先进的验证技术运用在医疗信息系统安全机制上；光盘刻录速度还是较慢，使用其他快速方式获取数据也是下一步研究的方向。