基于概率犹豫模糊集的医疗数据安全风险评估

李波波 张明飞

摘  要：医疗数据一直以来都深受网络攻击和窃取行为的威胁。因缺乏相关的标准和规范，我国的医疗数据安全风险事前评估沿用网络安全风险评估体系。基于数据安全能力成熟度模型，从医疗数据全生命周期角度出发，以医疗系统业务流为主线，对医疗数据安全风险进行分析，构建了医疗数据安全风险评估模型，并提出一种基于概率犹豫模糊集的层次分析和逼近理想解排序法，用于对安全风险模型进行量化分析。

关键词：概率犹豫模糊集；层次分析法；数据安全风险评估；数据安全能力成熟度模型

中图分类号：TP391    文献标识码：A  文章编号：2096-4706（2023）06-0102-05

Assessment of Medical Data Security Risk Based on Probabilistic Hesitant Fuzzy Set

LI Bobo， ZHANG Mingfei

（North China University of Water Resources and Electric Power， Zhengzhou  450046， China）

Abstract： Medical data has always been threatened by network attacks and theft. Due to the lack of relevant standards and norms， China's medical data security risk pre-assessment continues to use the network security risk assessment system. Based on the data security capability  maturity model， from the perspective of the whole life cycle of medical data， and taking the business flow of medical system as the main line， the medical data security risk is analyzed， and the medical data security risk assessment model is constructed， and an Analytic Hierarchy Process and approximate ideal solution ranking method based on probabilistic hesitation fuzzy set is proposed for quantitative analysis of the security risk model.

Keywords： probabilistic hesitant fuzzy set; Analytic Hierarchy Process; data security risk assessment; data security capability maturity model

0  引  言

醫疗行业是数据安全问题频发的行业，医疗数据因其自身所具有的敏感度强、泄露风险高、管控难度大等特点，时常遭遇恶意的网络攻击或被窃取而引发数据泄露事件[1]。同时，这些安全风险和泄露事件还会抑制人们对医疗数据合理开放共享的意愿和积极性，阻碍医疗领域数字化赋能和转型工作的开展。2021年6月，我国颁布《数据安全法》，正式将数据安全保护纳入法律体系中，体现出国家对数据安全问题的关注。《数据安全法》中明确要求数据所有者定期对其数据开展风险评估工作[2]。

数据安全风险评估工作目前尚处于起步阶段，相关的实施规范和标准制度都是在实践活动中不断完善。数据安全风险评估理论和实施方法是学术界近年来的研究热点。在数据安全风险评估模型研究方面，《数据安全能力成熟度模型》[3]中提出DSMM（Data Security Capability Maturity Model）框架模型。杨晓琪等人[4]提出了基于DSMM的数据安全评估模型（Management & Technology Data Security Evaluation Model， MTDSEM）。王标等人[5]基于网络安全等级保护2.0框架，依据信息安全风险评估方法创建用于对政府开放数据进行数据安全风险评估的模型。顾欣等人[6]从数据的全生命周期对BIM（Building Information Modeling）数据进行评估，但却疏于考虑数据管理时的安全风险。

在风险评估量化计算方法的研究方面，传统的信息安全量化分析中多采用矩阵法[7]、模糊综合评价法[8]等方法。这些方法在实际工程中已经得到验证，但在专家决策信息表达方面仍有欠缺。在专家决策信息表达方面，如何表达专家主观层面的犹豫性和模糊性以及因专家个人倾向性和专家数量等原因造成的专家决策信息重要程度差异性一直是研究的重点。概率犹豫模糊集（Hesitant Probabilistic Fuzzy Set， HPFS）[9-11]是一种有效的专家决策信息表达方式。在保障医疗数据安全方面，因其具有安全风险多，人们对医疗数据安全风险危害认知差异大的特点，不同专家对安全风险评估意见往往存在较大差异，引入概率犹豫模糊集的概念后能够准确表达专家决策信息，避免信息流失。

本文从医疗业务流程分析入手，在《数据安全能力成熟度模型》的基础上，构建面向医疗数据的风险评估模型，通过引入概率犹豫模糊集方法探索一种面向医疗数据的风险评估实施方案。

1  医疗数据安全风险评估

1.1  医疗数据安全风险评估要素分析

DSMM框架模型是目前国内数据安全风险评估的主要依据，该模型以数据为核心，所提供的功能包括数据全生命周期安全和通用安全两个方面。DSMM框架模型数据安全过程域维度如图1所示。

醫疗数据主要承载对象是各类医疗信息系统中的复杂业务流程，其中包括事务型数据流、结构化和非结构化业务数据流、系统角色权限数据等，涵盖数据全生命周期中的数据流转和数据管理两项主要活动。以DSMM框架模型为基础架构，通过对医疗数据安全风险类型的分析，构建了基于数据全生命周期和数据管理的医疗数据安全风险指标体系，如图2所示。

1.1.1  数据全生命周期安全

数据全生命周期包括数据采集、传输、存储等多个阶段。数据安全风险评估活动包含数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。

数据采集安全是指组织内新生数据和外部数据采集阶段的安全风险。数据传输安全是指数据在实体间传输阶段的安全风险。数据存储安全是指数据在存储介质中的安全风险。数据处理安全是指组织对数据进行计算、分析、可视化等操作中的安全风险。数据交换安全是指某组织与其他组织或个人进行数据交换时的安全风险。数据销毁安全是指数据及数据存储介质在销毁时的安全风险。

1.1.2  数据管理安全

数据管理安全是指组织对数据管理工作的要求，即从组织制度、人员操作、日志审计等方面来保障数据安全。数据管理安全主要包括组织与人员管理安全、元数据管理安全、合规管理、监控与审计、安全事件应急管理。

1.2  医疗数据安全风险评估计算模型

为实现医疗数据安全风险量化计算，依据医疗数据安全风险评估指标体系，提出一种基于概率犹豫模糊集和AHP-TOPSIS方法的医疗数据安全风险评估方法。

1.2.1  风险评估指标权重确认

依据医疗数据安全风险评估体系，按照1-9比例标度法构造比较矩阵。依据决策者对两个评级指标相对重要程度的判断，在对矩阵中的信息进行赋值的过程中要考虑到医疗行业数据安全风险的特点。

针对一级医疗数据安全风险指标集{C1， C2}构建比较矩阵H。

针对二级医疗数据安全风险指标集{C11， C12， C13， C14， C15， C16}构建比较矩阵H1。

同理，针对各级医疗数据风险指标集构建比较矩阵H2、H11、H12、H13、H14、H15、H16。

然后根据AHP指标权重计算方法，一级医疗数据安全风险指标集{C1， C2}对医疗数据安全风险C指标权重如式（1）所示：

（1）

同理，二级医疗数据安全风险指标对一级指标{C1， C2}的指标权重为W11、W12，三级医疗数据安全风险指标对二级指标{C11， C12， C13， C14， C15， C16}的指标权重为W111、W112、W113、W114、W115、W116。

对指标权重结果进行一致性检验，若通过一致性检验则计算二级医疗数据安全风险指标{C21， C22， C23， C24， C25}与三级医疗数据安全风险指标对数据安全风险C的权重。

二级指标权重计算公式如式（2）所示：

（2）

三级指标权重计算公式如式（3）所示：

（3）

通过构建风险指标权重计算模型，医疗数据安全风险评估量化结果可以映射到数据全生命周期的各阶段评估项目中。

1.2.2  医疗数据安全风险等级判定

基于概率犹豫模糊集的TOPSIS方法可用于计算医疗数据安全风险等级，根据需要评估的医疗机构的医疗数据安全现状，对所构建的底层数据安全风险指标进行评价。不同医疗机构的医疗数据安全风险指标评价结果不同，将评价结果分为五级，邀请风险评估领域的专家进行打分，假设每位专家的权重相等，评价等级如表1所示。

依据专家打分结果，统计每个风险等级对应的专家数量，构建医疗数据安全风险概率犹豫模糊判断矩阵A。

依据上一步得到的底层指标权重如式（4）：

（4）

采用海明距离公式（5）：

（5）

计算加权正理想距离  与加权负理想距离 ，如式（6）所示：

（6）

其中， 和  中的每一个元素随着概率犹豫模糊元hij（ pij）中的元素个数而定，且pλ与概率犹豫模糊元hij（ pij）隶属度概率相等。

最后依据安全风险等级计算公式计算评估对象的综合风险值，如式（7）所示：

（7）

其中，参数θ∈[0，1]表示决策者的风险偏好系数，若θ＜0.5，则表示决策者属于风险规避型；若θ＞0.5，则表示决策者属于风险接受型。风险值CIpi越大，代表评价对象数据安全的风险越大。

2  实例分析

以某医院HIS系统中的医疗数据作为评估对象进行实例分析。依据提出的医疗数据安全风险评估流程和医疗数据安全风险评估模型进行数据安全风险评估。

2.1  医疗数据安全风险计算

2.1.1  确定评估对象

以某医院HIS系统中的医疗数据作为评估对象，涉及数据库343个、数据表10 605个、数据字段115 869个、业务类型2 302种。这些数据包括基础类型、个人属性、医疗应用、系统信息、组织机构、客体信息、医疗支付、卫生资源、健康状况、通用类型10个分类。

HIS系统数据业务包含医疗数据的全生命周期过程，即涵盖医疗影像检验、输血检验、手术麻醉等数据业务。以医疗影像检验业务为例介绍数据全生命周期流动过程，如图3所示。首先是门诊医生采集患者信息，开具医疗影像检验的申请；其次是影像科采集患者医疗影像，并将影像数据储存在PACS系统中，生成医疗影像索引及检验报告发送至HIS系统。HIS系统数据库中储存PACS系统中医疗影像数据的索引。此外，当HIS系统数据库存储不足时，由于医疗机构的特殊性（不删除数据），通过添加存储单元来增加数据容量。

2.1.2  医疗数据安全风险指标权重计算

分别针对一级数据安全风险评价指标、二级数据安全风险评价指标和三级数据安全风险评价指标构建比较矩阵H1、H2、H3、H11、H12、H13、H14、H15、H16。

针对一级风险评价指标（数据全生命周期安全C1、数据管理安全C2）构建比较矩阵H。

（8）

通过计算，得到W1={w1，w2}={0.66，0.34}。

同理，其他各级指标的计算方法相同，并经过一致性检验。

2.1.3  计算底层指标对C的权重并排序

运用式（4）（5）分别计算二级指标（组织与人员管理安全C21、元数据管理安全C22、合规管理C23、监控与审计安全C24、安全事件应急管理安全C25）与三级指标对医疗数据安全C的权重。

计算后对结果进行排序，底层指标权重如表2所示。

2.1.4  医疗数据安全等级判定

首先，分别对医疗数据安全底层指标安全风险等级进行单独判定。为保证判定结果的准确性和科学性，邀请20位在医疗数据安全及风险评估方面有丰富经验的专家进行评判。整理的评价结果及专家意见结果如表3所示。

根据专家意见结果表中的数据，采用式（6）来计算评估对象的加权正理想距离和加权负理想距离。计算得到加权正理想距离 =0.801 3，加权负理想距离 =0.198 7。最终运用风险等级判定式（7）来计算评估对象的医疗数据安全风险值。当θ=0.5时，医疗数据安全风险值CIpj=0.198 7，根据表1的风险等级范围，该医院医疗数据安全风险等级为“低”。其中，指标组织与人员管理安全C21的正理想距离计算过程如图4所示。

2.1.5  结果分析

首先，从专家评价结果出发，基于概率猶豫模糊集的专家评价信息表达方式，采用多个隶属度来表达群决策中不同专家的评价意见，同时为每个隶属度添加概率信息，避免因专家个人倾向及专家数量带来的隶属度重要程度差异性问题，进而能够更加准确地表达专家的评价信息，获得符合医院数据安全风险真实状况的数据安全风险评估信息。

其次，从底层指标排序结果出发，在24个医疗数据安全风险评估要素中，数据传输加密、存储媒体安全、组织与人员管理三个数据安全风险要素处于前三位。基于此，说明这些数据安全要素对医疗数据安全具有较大影响，是医疗数据安全风险的主要来源。传输过程数据加密方法、医疗数据存储阶段的安全防护方案以及完善的医疗数据安全管理制度是避免医疗机构发生数据安全风险事件的有效防护措施。

最后，从综合医疗数据安全风险评价结果出发，如果某医院整体医疗数据安全风险等级为“低”，那么该医院发生数据安全问题的风险较小。该医院具备较强的医疗数据安全意识、完善的医疗数据安全管理制度、完整的数据安全风险防护体系，并能根据技术的发展持续优化自身的数据安全风险能力。

2.2  案例实施效果评价

为了验证本文所提医疗数据安全风险评估模型和量化方法的有效性，引入模糊综合评价法[5]，将此方法作为传统方法对2.1节实例进行医疗数据安全风险评估。通过计算得到模糊综合评价结果B={0，0，0.09，0.302，0.601}，根据模糊综合评价计算结果，隶属度最大值为“0.601”，依据最大隶属度原则，得出该医院安全风险等级为“低”。通过对比得知，两种方法得到的医疗数据安全风险等级相等。

依据《健康医疗数据安全指南》对该医院HIS系统中的医疗数据进行安全检查。医疗数据包括基础类型、个人属性、医疗应用等十个种类。依据患者查询、医生调阅、移动应用、医疗器械四个应用场景对该数据的全生命周期及管理阶段进行检查。该医疗数据符合《健康医疗数据安全指南》中对医疗数据的安全要求，医院对于医疗数据安全具有相对完善的保护体系。因此，医疗数据安全评价等级为“低”在合理的范围之内。

医院不会轻易删除医疗数据，即使是在数据存储空间不足时，也会通过增加存储单元来扩充数据空间。因此，数据销毁安全阶段的两项相关指标权重排名相对靠后，这也验证了本文所构建模型的合理性。

通过对两种不同方法所得的评估结果进行对比，以及对该医院数据的安全检查，可以验证本文所提医疗数据安全风险评估模型与量化方法的有效性。

3  结  论

基于较为成熟的信息风险评估理论和方法，研究DSMM数据安全成熟度模型，构建了基于概率犹豫模糊集和AHP-TOPSIS方法的医疗数据安全风险评估模型。以郑州某医院HIS系统中的数据进行实例分析，分析结果验证了模型的有效性。对医疗机构的数据安全风险进行量化评估，对医疗机构可能存在的安全风险进行预警性评估，这些举措对维护医疗机构数据安全，防止数据泄露，减少医疗机构和患者的损失具有现实意义。同时，履行《数据安全法》对数据所有者要求的相应法律责任。本文的医疗数据安全风险指标选取参照DSMM模型。但是医疗数据安全风险指标并不是一成不变的，它会随着新技术的发展、数据安全需求的变化而不断丰富。医疗数据安全风险要素也会不断调整，各数据安全风险要素的具体内容也会不断发生改变，模型中的指标也会更加符合医疗数据的安全需求。此外，决策者的性格偏好及医疗数据安全风险意识对评估结果也有着显著影响。

参考文献：

[1] 中关村网络安全与信息化产业联盟数据安全治理专业委员会.数据安全治理白皮书4.0 [EB/OL].[2022-10-12].https：//dsj.guizhou.gov.cn/xwzx/gnyw/202206/t20220609_74678503.html.

[2] 刘桂锋，阮冰颖，刘琼.加强数据安全防护提升数据治理能力——《中华人民共和国数据安全法（草案）》解读 [J].农业图书情报学报，2021，33（4）：4-13.

[3] 全国信息安全标准化技术委员会.信息安全技术 数据安全能力成熟度模型：GB/T 37988-2019 [S].北京：中国标准出版社，2019.

[4] 杨晓琪，白利芳，唐刚.基于DSMM模型的数据安全评估模型研究与设计 [J].信息网络安全，2021，21（9）：90-95.

[5] 王标，刘兴洋，许卡，等.政府开放数据的国家安全风险评估模型研究 [J].网络与信息安全学报，2020，6（6）：80-87.

[6] 顾欣，易豪，徐淑珍，等.基于BIM數据的安全评估体系研究 [J].现代计算机，2021，27（24）：21-25.

[7] 全国信息安全标准化技术委员会.信息安全技术 信息安全风险评估实施指南：GB/T 31509-2015 [S].北京：中国标准出版社，2015.

[8] 张利，彭建芬，杜宇鸽，等.信息安全风险评估的综合评估方法综述 [J].清华大学学报：自然科学版，2012，52（10）：1364-1369.

[9] ZHANG S，XU Z，HE Y. Operations and integrations of probabilistic hesitant fuzzy information in decision making [J].Information Fusion，2017，38：1-11.

[10] LI J，WANG J. Multi-criteria outranking methods with hesitant probabilistic fuzzy sets [J].Cognitive Computation，2017，9（5）：611-625.

[11] 刘玉敏，朱峰，靳琳琳.基于概率犹豫模糊熵的多属性决策方法 [J].控制与决策，2019，34（4）：861-870.

作者简介：李波波（1998.08—），男，汉族，河南洛阳人，硕士研究生在读，研究方向：数据安全。

收稿日期：2022-11-02