金宪珊，邢海宁，刘松林，魏一鸣

1. 树兰（杭州）医院 信息中心，浙江 杭州 310011；2. 杭州趣链科技有限公司，浙江 杭州 310011；3. 杭州数钮科技有限公司，浙江 杭州 310011；4. 浙江大学 计算机科学与技术学院， 浙江 杭州 310011

引言

医疗服务信息化是国际发展的趋势，也是我国医疗改革的重要内容和必由之路[1]。医疗数据的安全共享直接关系到医疗服务信息化的顺利进行。医疗数据能否安全使用，关乎社会稳定、国家安全[2]。国务院意见指出：如何有序地让医院内部的信息实现及时链接、医院之间的数据信息安全共享，是现阶段医院信息化系统升级的重要目标。传统共享平台将用户账号密码和密码验证程序存储在中心节点服务器上，如果攻击者攻陷服务器并篡改密码，就可以冒充合法用户获取数据；传统数据库存放审计日志，也可能被攻击者篡改。如何在确保安全的前提下，支持临床科研、医药研究、全民健康管理等需求，成为当前医疗数据共享所面临的主要挑战。关乎国家安全、国计民生的医疗数据在近年来面临泄露、篡改、非法利用等严峻的安全考验。

基于区块链的医疗数据共享安全平台（以下简称“平台”），利用区块链技术，结合实现数据安全共享和隐私保护的需求，使用国产自主可控的底层核心技术，支持在医院等机构的快速实施和部署，实现对数据获取的高性能动态脱敏，且具备主动防御能力，能够保障数据共享全过程合法合规。提供可管理、可审计、可追溯的医疗数据分享方式，适用于互联网医院调用院内数据、多中心医疗数据联合科研、检验检查结果互认、电子病历调阅等医疗数据共享场景。

1 平台架构设计

1.1 架构

区块链数据安全共享平台架设在医院内网，见图1。互联网应用通过接口前置机访问区块链数据共享安全平台；平台解析数据请求后，通过区块链对访问方进行用户认证，对经授权的合法访问方，平台将其数据请求转发到接口服务器或数据库视图进行数据调用，并对返回的结果进行脱敏、加密后，将封装的数据传回第三方接口前置机。医院数据节点配备的本地区块链节点可安装在医院网络的外网部分，这既能提高医院从区块链读取数据的效率，又能避免安装在医院内网时带来的跨越网闸的成本。

图1 安全平台网络架构图

平台的业务架构如图2所示。平台将院内数据处理后，加密传输给数据使用方。平台的模块包括控制中心、账户体系、数据安全、隐私保护、国密算法、区块链服务和透明代理共7个模块。控制中心提供了对整个系统的管理接口；账户体系维护了各用户的身份信息；隐私保护模块实现了数据的脱敏；数据安全模块设置了防御黑客攻击的策略；国密算法模块进一步保证了数据共享的安全；区块链服务贯穿了整个平台的业务流程，包括CA认证、流程管控和监管追溯等。

图2 安全平台业务架构图

1.2 平台特点

（1）使用国产自主可控的底层核心技术。平台采用自主研发的联盟区块链技术，符合信息安全自主可控的国家战略。

（2）支持快速实施和部署。平台内置高性能透明代理引擎，可以与院内数据接口和院外应用快速对接，实施和部署周期短。

（3）实现高性能动态脱敏。平台根据敏感数据标记模型和预设的脱敏规则对共享的数据进行高效动态脱敏。相对比静态脱敏，动态脱敏无需建立脱敏库，极大地节省了存储空间，更可灵活修改配置。

（4）具备主动防御能力。平台具备攻击智能识别引擎，通过对数据请求进行特征分析，判断其是否为恶意请求。对恶意请求可阻断其数据通道，进行主动防御。

（5）保障数据共享合规。平台依据法律法规提供数据分级和脱敏规则，对数据审批流程进行管控，对数据获取记录可追溯可审计，从而保障了数据共享的合规性。

2 流程与功能

平台从功能上主要分为用户管理、审批管理、鉴权、数据脱敏、数据加密、数据上链和监管追溯七个功能模块，其功能流程如图3所示。平台的数据采集、处理和共享过程在后台进行，需要用户进行的操作有申请服务、审批服务、管理服务、管理接口、查看上链信息和配置隐私保护等。

图3 功能流程图

2.1 用户管理

区块链数据共享安全平台提供Web管理平台，统一提供数据使用申请、附件上传、附件调阅、数据审批、数据权限设置、业务统计分析、监管服务等功能。系统将用户分为：超级管理员、管理员、数据使用方三个级别的用户。数据使用方关联应用身份识别的相关设置。

针对来自前置机的第三方应用的身份识别和鉴权，区块链数据共享安全平台提供身份识别插件，用户通过配置第三方应用身份识别特征，实现应用程序访问时的身份识别，身份识别插件满足不同医院接口调用权限的机制。

2.2 审批管理

审批管理为医院信息管理部门提供数据访问审批、配置、权限管理的Web服务，仅限医院内部网络访问。审批管理模块主要实现以下功能：提供医院数据访问申请功能；管理者通过浏览器页面对申请方进行审批；向管理者提供数据使用规划、脱敏级别、自定敏感数据定义、人群定义、接口生效期限等权限控制功能。对审批流程、申请方权限进行区块链上链，确保审批过程可审计、可追溯。

2.3 鉴权模块

第三方应用前置机通过URL、数据库SQL等访问代理服务时，平台通过身份识别体系实时对用户权限进行快速鉴定，包括身份合法性、访问地址合法性、接口访问权限、数据字段权限等，并对鉴权的结果进行区块链上链存证。

2.4 数据脱敏

参考GB/T 35273-2020《信息安全技术个人信息安全规范》[3]和GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》[4]，区块链数据共享安全平台内置了适用于医疗机构快速规划数据脱敏策略的敏感数据标记模型。支持管理员进行手工维护敏感数据项，支持数据库字段关联等功能。脱敏算法包括数值替换、混洗、遮挡、泛化、替换、删除置空、HASH哈希值替换等，根据字段、敏感数据的数据类型，系统地进行混合运用[5]。

2.5 数据加密

基于可插拔的加密机制，对于业务完整生命周期所涉及的数据、通信传输、物理连接等方面都能进行不同策略的加密[6-9]，通过多级加密保证平台数据的安全，平台完全支持国密算法。包括 SM2椭圆曲线公钥密码算法、SM3密码杂凑算法和SM4对称加密算法。

2.6 数据上链

根据数据获取的事前、事中和事后三个阶段，分别设置了事前审批、事中鉴权获取和事后审计核查三个阶段流程。管理人员通过查看服务日志和操作日志获取上链信息[10-11]。

2.7 监管追溯

区块链数据共享安全平台构建了一套完整的数据使用授权、数据交换鉴权、分级隐私脱敏、数据加密、基于区块链的数据访问路径追溯体系，为数据访问提供了完善的安全和监管方案。

平台通过授权管理、接口数据调用全周期鉴权和存证，确保日常数据交换接口的权限可监管、可追溯。经区块链存在的数据访问记录具有无可争议的事实依据，对数据访问的全流程进行上链，确保数据访问路径的全程可回溯，当发生数据泄露时，能快速定位源头以及快速处理高风险的缺陷。

3 结果

国家卫健委发布《公立医院高质量发展促进行动（2021-2025）》[12]，要求建设“三位一体”的智慧医院信息系统。医院智慧服务评价体系中，网络安全、信息安全、数据安全是重点基础内容。平台创新性地结合了区块链的技术特点，提供了数据交互的审批、授权、脱敏、审计、追溯等各方面的安全保障，助力医院顺利通过智慧医院评级。

数据共享安全平台依托区块链技术的不可篡改、可追溯、可审计、公开透明等特性，重构了医院数据共享安全体系，实现数据共享开放的安全管制与智能监管[13-17]。平台扫除数据安全死角，与传统信息安全产品相互补充，构筑更严密的安全防线，实现数据从产生到加工、存储、使用、流通、价值管理等各个流程的有序管控，符合医院智慧服务评价指标中数据安全5级的要求，见图4。

图4 平台应用实例

4 讨论

平台实现了区块链技术与业务需求的融合，使得区块链技术在医疗领域的科学落地。平台填补了医疗机构数据共享体系的市场空白，可广泛应用于医院数据开放共享、医联体数据协作、医保数据交换、科研数据协作等领域，为医疗信息安全与医疗大数据共享开放应用保驾护航。同时，该体系也可广泛应用于数据价值流通领域，紧跟国家数据要素战略、“十四五”规划等政策步伐，积极推动数据由资源向要素转换，以创新赋能数字经济。

但是平台的区块链节点部署还需线下构建。未来，区块链技术可与云技术结合。可将区块链技术整合至云服务平台中，通过区块链向用户提供服务，进一步降低企业应用区块链的部署成本，进而提升区块链对企业的支持。