申报单位及主要成员

江苏省人民医院
江苏爱星科技有限公司
王忠民、蔡雨蒙、单红伟
项目缘起 
2021年,武汉GE数据窃取事件引发了全社会对医学影像数据安全的强烈关注,医学数据是国家基础性战略资源,其安全传输、保密、隐私保护等问题已成为重大数据安全问题。
针对GE、西门子和飞利浦等医疗设备工业标准DICOM传输协议中数据安全问题,项目组已研发并上线具备内生的非侵入式面向切面的传输链路层加固DICOM安全网关,实现了智能可信设备管理、身份认证管理、隐私脱敏、统一智能安全策略管理等安全体系,实现医疗数据网络传输和数据应用的安全可控。
项目主要用于江苏省人民医院全院PACS几百个节点的边缘DICOM数据网关硬件的应用示范项目研发。通过在医院内网部署实施,实现了网络中对抓包、嗅探和非法接入设备等攻击的有效防范。项目具有较好的推广前景。项目已在江苏省人民医院使用,作为平台类医疗行业专属安全产品,拟在“十四五”周期内在上百家医联体单位进行部署。
痛点与挑战
难点1:DICOM协议安全加固和指令级精细化管控。
针对医院多种设备的生态不兼容复杂场景,研究非侵入式的通用DICOM协议架构及协议功能指令,本项目采用区块链加密算法结合的技术,通过研发DICOM数据网关,实现对医院网络中所有的医学影像数据网络传输进行链路层和指令级精细化管控的功能,支撑国内医院网络中占比80%的医学影像数据安全的管理。
难点2:大容量影像数据安全传输的高效性
研究现有网络架构的性能需求指标,针对加固后对性能的损耗,为满足业务需求,本项目选择联盟链技术和分布式计算技术,通过测试各种加密算法实现的效率,实现确保每台网关设备每秒100M字节的加密效率。因为加密与解密设备时M对N的关系。一般而言数据中心网关解密设备对应多台加密设备,所以网关解密设备至少具备每秒500M字节解密性能。支撑医院各应用系统的低延迟正常使用。
难点3:DICOM数据网关的高可用
研究现有场景网络架构的业务要求高可用,本项目拟选择网路旁路Bypass技术,通过研发双子网并行的架构,实现对医院网络中所有的医学影像数据网络加密传输在网络逻辑上具备透明性保障,支撑医院网络中医学影像数据安全传输高可用管理。
方法与路径
基于工业标准DICOM协议对各类医院检查设备医疗影像数据网络传输、加密控制、流向管理、AI学习平台数据开放及统一策略管控平台的安全管控需求,以“协议链路加固-国密加密-分布式日志-统一管控”的思路开展研究工作。
图1项目体系架构图
在针对医学影像数据采集传输普遍通用的DICOM协议安全加固方面,突破原协议依赖CA证书SSL单点加密逻辑不适用复杂的统一管理问题,研究实现医院内部所有影像设备PACS网络统一管理的DICOM数据网关管控解决方案,依托研发的DICOM数据网关,提高医院全网医学影像数据的网络传输和访问的高安全、高可用。在加密技术方面,研究采用国密和区块链加密结合等算法,即保证DICOM网关节点加固、又保证低延迟的业务应用要求的联盟链技术框架,实现内生的非侵入式面向切面的链路层和指令级的多维度加固,保证原有系统的高可用和高性能。并且对网络中大量不同厂家的设备实现统一安全策略集中管理。
零信任DICOM网关系统设计
数据网关设计基于区块链联盟链架构实现高安全、低延迟、可信设备管理、数字签名的分布式日志系统、可信身份认证,为保障业务和安全的平衡,选择内生的非侵入式面向切面的设计模式,对医院现有应用无修改需求,并联接入边缘节点,网关联盟链独立组网,实现网络层面的安全冗余。采用产、学、研、用结合的联合模式,研发了具有应用示范性的医学影像数据全流程网络安全方案,为项目提供研发需求分析、技术架构集成、场景测试效果、研发资金和人才等支撑和保障。
本项目计划建设一个联盟链,提供设备身份认证、数据存证(POE)、智能合约(Smart Contract)等服务。将现有的DICOM通讯体系与区块链结合起来,并加入网关的设计,实现在区块链基础下的五层防护。贯彻“主动防御”胜于“事后补救”的理念,对于接入节点默认不信任,将安全贯穿并融入产品的生命周期,使得数据安全与个人信息保护和业务双赢。
图3医院原有放射系统网络互联互通体系图
图3中描述的原有医院放射系统网络互联互通体系,显示出各影像设备数据输出后,数据直接发送到数据中心,各业务终端无传输安全管控地进行数据请求和响应。缺乏统一的兼容各厂商设备地网络安全可信控制本项目为系统管理平台实现统一的可信身份认证、可信设备管理、可信策略管理、可信数据分析、可信日志管理等架构功能,采用智能内生的非侵入式设计方案解决了以往对各厂商和复杂应用业务系统难以灵活动态管理的问题。
图4显示了江苏省人民医院现在的所有DICOM影像数据归档PACS服务网络拓扑,涉及97台大型检查设备和500多DICOM服务节点,数据量达到日交换TB级。数据存储采用中心化数据冷池的方案,一旦被内部攻击,会导致数据大量泄露。
本项目底层使用区块联盟链的形式做技术支撑,业务层面构建基于区块链的DICOM零信任安全新体系。
图5基于区块链的DICOM零信任网关体系图
图5在图3的基础上,在每个单元的设备输出输入端加入DICOM数据网关,实现可信设备认证、可信身份认证、灵活的数据流量流向管控、自生网关节点形成联盟链,实现分布式日志系统,加强了影像数据网络安全传输。
创新与成果
创新点1:区块链在医学影像数据管控中的应用创新
在加密技术和区块链技术赋能的基础上,基于DICOM协议的网络传输安全,大量设备动态统一管理、分布式日志抗抵赖性等,研究开发一整套解决方案
创新点2:电子水印在医学影像数据防泄露中的应用创新
医学影像数据是很多医学AI系统的机器学习基础,基于DICOM协议的数据,如何解决日常医生看片正常诊断,同时被非法AI系统抓取后无法使用的功能需求上,结合电子噪音水印,研究开发解决方案。
创新点3:聚焦DICOM协议底层安全链路加固的创新
由于医院软硬件厂商众多,DICOM协议的实现也千差万别,因此导致DICOM协议长期处于非安全运行模式,也造成了由厂商入手几乎无法统一解决这个问题,只要有一个厂商不能支持严格的安全协议,就无法真正实施安全策略。
成果:针对医院中广泛生态的工业标准DICOM协议,数据量庞大的影像数据安全问题,一直都是业界研究的重点,基于业务效率和安全性能的矛盾性,很多方案都很难全面实现。医疗数据网络传输专有协议普遍存在各厂家网络安全私有协议不兼容,节点多而难以统一安全管理的问题。本项目开展了DICOM协议的传输层安全加固技术研发,实现了对医学影像数据从设备端输出开始进行内生的非侵入式面向切面网络链路层的安全管控,研发了具有实际场景应用性的DICOM数据网关产品,形成了对已有业务系统零修改的协议分析与安全加固系统,提供DICOM协议指令级分析与处理能力,实现易落地、易推广,应用成效显著。
项目推广意义
影像检查数据作为辅助医生临床诊断的重要支撑之一有着重要的用途,医疗影像设备往往部署在无人监控的场景下,直接暴露在物理环境中,需要安全可靠的技术保障。医院影像系统通常会与临床数据中心、科研平台、众多业务系统进行交互,同样需要安全可靠的影像数据传输协议,确保攻击者无法对诊疗数据非法篡改,医疗机构的网络建设往往物联网终端、医疗影像设备混合在一张网络中。
影像检查资料作为辅助诊疗的重要依据,在科研、教学方面应用广泛。用户多,需求不一,不同的数据传输途径导致患者个人信息存在泄露的可能。第三方辅助诊疗系统的应用也依赖于院内原始影像数据的输入。美国患者安全组织(PSO)之一的ECRI 研究所发布了《2022年十大医疗技术危害》,其中第一项危害:网络安全攻击可能会破坏医疗保健服务,影响患者安全。如何在保障数据安全、患者个人信息不被泄露的同时,提高医学数据应用水平,推进临床科研建设也是数据管理的痛点。