1 引言

隐私是一个抽象的概念，隐私的本质是一种信息，一种属于私人的排他性的不愿为他人知晓或干涉的信息[1]。在具体应用中，隐私即用户不愿意泄露的敏感信息，包括用户和用户的敏感数据。敏感信息不仅包括代表个人身份的信息如姓名、出生日期，还包括个人不愿意被外界周知的信息如婚姻状况或者疾病[2]。随着大数据的兴起，隐私保护问题面临更大的挑战，尤其是医疗领域、电信领域、银行领域。当医疗数据被泄露时，轻者被相关企业商家各种骚扰推销，重者被非法使用，造成不可预计的后果。医疗隐私数据的存储和控制并不受初始权利人的影响，个人无法要求对电子病历进行修改和删除，患者没有医疗隐私数据的所有权和处置权，隐私保护问题在信息化时代已经和我们的生活密切相关。

从信息泄露的途径和方式进行分类，医疗数据隐私保护面临的挑战主要分3种：医院个人信息的泄露，大数据挖掘的挑战，云平台中跨域数据存储的挑战。本文对3种挑战存在的问题和目前已有的解决方案进行研究，在分析的基础上提出一种医疗隐私数据的保护框架模型，并对其安全性进行了分析。

2 医疗数据隐私面临的安全性问题

2.1 数据泄露

信息技术的快速发展，信息的存储和共享给人们的生活带来了质的飞跃。医疗信息的存储从纸质病历过渡到了电子病历到使用完整的医疗信息系统(Hospital Information System, HIS)，医院逐渐使用电子病历系统软件进行病历的统计，将复杂多样的数据存储在数据库中。电子病历的泄露方式主要有两种，一种是非交互式泄露，主要是医院信息系统内部的泄露，或者内部人员的泄露，比如数据库操作者被盈利机构高价购买数据，另一种是交互式泄露，也就是医疗数据发布以及在不同机构之间共享时造成的信息泄露，特别是大数据时代数据共享变得普及，交互式泄露问题更加严重。

自然灾害对区域经济发展的长期影响也没有达成一致的结论，不同的学者持不同的观点[62，70，78].自然灾害对GDP的长期发展可能是负的、正的或者是无影响.吴吉东等也将自然灾害对区域经济发展的影响归纳为了3种典型的情景，即“因灾得利”型、“因灾失利”型和无影响.除此之外，自然灾害对区域经济发展的影响大小不仅取决于灾害自身的强度，还与区域经济的发展水平、土地面积、识字率、制度水平、人均收入、贸易开放程度等因素密切相关.在研究自然灾害的宏观经济影响时，区分不同的灾种(如地震地质类灾害、气象类灾害、生物灾害)，以及不同的产业部门(如工业、农业、服务业)，能使得研究结果更具有针对性和实际意义.

2.2 数据挖掘的挑战

大数据时代提高了医疗数据的透明度，医疗行业对电子健康记录、临床数据大规模的应用以及医疗数据的外包都会造成医疗隐私泄露的风险[3]。

首先，数据的监测，使得隐私无处躲藏。通信技术的定位和监测使得每个人变得透明，何时何地都有可能正在受到他人的监视，个人隐私急需得到保护。

其中m1和m2是任意两条明文信息，并且r1和r2分别是m1和m2所对应的随机数。

最后，数据挖掘使得隐私被二次利用。数据挖掘是对数据的二次利用，通过数据关联、聚类、分类等方法分析大量看似不相关的数据发现有意义的技术结果，实验表明对数据进行关联挖掘可以精确到个人。一旦对医疗数据进行数据挖掘，许多隐藏的敏感信息和相关模型可能会泄露给不可信任的机构。其次在数据挖掘时个人隐私保护并不能像搜集信息时可以通过主体的知情同意来实现。有些本身不是敏感的个人隐私数据，被同意共享后，经过数据挖掘中属性信息的组合，结合背景知识和外部信息可分析推测出个体敏感信息[4]。

大数据时代医学领域从数据库(Database，DB)到大数据(Big Data，BD)的转变趋势使每个人在大数据时代都将是透明的存在着，大数据的聚集与关联性也使人类医疗隐私的保护面临更加复杂的挑战[5]。同时数据库的存储使得人们的疾病等敏感信息被更长远的记住。

2.3 数据存储的挑战

随着云计算技术的广泛应用，大量数据不再全部放在本地数据库中，而是放在云平台中存储[6]。云的存储与计算大大提高了处理数据的速度。但云平台虚拟化的服务模式也随之带来了一系列的安全问题。

首先，数据和应用会分布到多个数据中心，需要保护的边界的变化增加了隐私保护的复杂度。

其次，数据存储机构不同于传统方式。数据是以碎片化的模式存储在云环境下，而且是多租户共享资源，很难准确知道敏感数据存储的物理位置，一些基于物理机的数据保护机制与手段都不再起作用了，而且用户在使用虚拟资源时多个用户可能指向的是同一个物理资源，如果虚拟软件在云平台上存在安全漏洞，则用户的数据可能会泄露。

最后，对数据的操作权限不同。用户将数据传到云中，云服务商对数据具有操作权，用户不是对所有数据都拥有控制权，只是对一小部分数据拥有特权。在和云服务供应商合作时不可避免的要提供个人身份信息，但云服务商收集的信息的程度是我们不知道的。

3 医疗隐私保护技术分析

基于生猪自产自销户防疫工作中存在的问题，养殖人员应完善防疫措施，遵循防疫原则，针对防疫工作中的问题，制定相应的解决对策，以保证生猪自产自销的顺利进行，全面提升基层民众的经济水平。

通过对记录进行处理，使攻击者利用外部数据时不能仅通过一条记录关联到某个个体，以此来防止身份泄漏。防止属性泄漏的方法是确保数据发布后不会泄漏新的个人信息。防止推理泄漏的途径主要是去除发布数据中能将使个人敏感信息高概率地推断出的统计属性。

基于我校的办学目标和人才培养定位，大学计算机基础课在体现计算思维的前提下针对不同专业和学生的接受能力提供多种内容组织方法：强调对问题求解方法的理解，突出如何将问题转化为算法和程序设计等内容；强调对计算系统和环境的理解，突出计算机技术与专业领域的深度融合，在计算系统理解和问题求解方法上同时体现广度和深度的要求。在面对不同的人才培养目标时，课程实施方案应按照适用、有效的原则，主动调整教学内容、改革教学模式。

在技术方面，医疗隐私保护技术和普通数据的隐私保护技术大体类似，隐私保护的研究领域主要关注数字溯源、基于数据加密的技术、数字水印、基于数据挖掘的技术、访问控制、基于限制发布的技术等。

3.1 基于数据加密

基于数据的加密是一种隐藏敏感数据的方法，在分布式应用环境中应用较多。传统的数据加密技术有对称加密如3DES、AES、SM1、SM4等和非对称加密算法如RSA、ECC、Diffie-Hellman、ElGamal数字签名。

大头菜20株酵母分离菌株经28S r DNA D1/D2区测序后，将结果在NCBI用Blast进行比对，具体对比结果及序列相似性见表3。

基于限制发布技术的研究集中于“数据匿名化”，当前这类技术主要是保证对敏感数据及隐私的披露风险在可接受范围内，从而实现隐私保护。其主要分为有选择地发布原始数据、发布精度较低的敏感数据或者不发布敏感数据。匿名化模型主要有K-anonymity、L-diversity、t-closeness等。此技术的优点是可以保证发布的数据是真实的，但发布的数据会有一定的信息丢失。

(1)允许在明文上运行同态的加法运算。该算法可以描述为：

D(E(m1,r1)*E(m2,r2)modn2)=m1+m2modn

其次，数据共享使得隐私被滥用。大数据时代电子病历系统数据的共享可以有效促进医学的研究和发展，但同时人们的医疗信息也可能成为商品被出售：联网营销人员根据患者信息可以为个人量身定制医疗广告；医疗保险推销人员可能查到病人的病历资料和电话号码，从而推销某种疾病保险[4]。

延边大学教育技术学专业本科阶段的培养目标为：培养具备良好的思想道德觉悟、专业学科知识扎实和较强的应用能力，能够在教育领域、企事业单位、各级电教馆等机构进行教学系统设计、教学媒体的开发、应用等工作或继续攻读学位研究生的具有创新精神、实践能力和跨文化素质的复合型、应用型人才[1]。

(2)允许在明文上运行同态的乘法运算。该算法可以描述为：

D(E(m1,r1)m2modn2)=m1*m2modn

其中m1和m2是任意两条明文信息，并且r1是m1所对应的随机数。

早期的同态加密方案仅支持对密文的加法运算和一次乘法运算。全同态加密方案允许对密文进行任意的操作，人们可以使用加密数据执行诸如检索、比较等操作，以获得正确的结果，而在整个过程中无需解密数据，很好的解决了云计算中将数据及其操作委托给第三方时的保密问题，因而非常适合在云计算环境中保护数据的隐私性。全同态加密保护云数据的用户数据的隐私和和计算外包服务，但不能提供可验证的外包计算验证。基于同态加密技术也提出了键-值存储和多级索引处理的方案，该解决方案使得用户查询的结点不可能由数据持有者或者云平台识别。

安全多方计算SMC，即使两个或多个站点通过特定协议完成了计算，每个参与方在计算完所有数据后都只知道自己的输入数据和最终结果[8]。目前SMC的主要研究工作集中在减少计算开销、优化分布式计算协议以及使用SMC作为解决问题的工具[9]。

基于加密的技术优点是没有信息的丢失，它可以保证最终数据的准确性和安全性，但计算开销比较大。现有的加密技术只局限于某一种数据挖掘方法的隐私保护，不具有通用性。

(2) 两种方法都能够确定转子所在的60°电角度位置区域,通过定位力矩与转子位置的关系能够准确找到转子的位置;

3.2 数字水印技术

数字水印技术作为加密技术的补充，是一种用不可察觉的方式在数据载体内嵌入标识信息而不影响其使用的方法[10]。

惠榛等提出了一种可以自动化地配置访问控制策略的面向医疗大数据的访问控制模型，该模型能够适应性地调整医生的访问能力，避免医生滥用访问权限而泄露病人隐私，从而保护患者的隐私信息[24]。霍成义等人提出了一种面向患者的隐私保护访问控制模型POP-PAC，该模型通过患者参与来定义自身敏感数据访问控制规则[25]。比如患者对自己的信息的授权是仅用于医疗研究，则用户的访问请求是非医疗研究的都不被允许。下图给出了基于策略的访问控制模型。

针对医学数据的版权问题，带有数字水印技术的电子签名[12]将水印隐藏于数字化信号中，可以保护患者对医学图像的所有权和保护医学数字产品的合法拷贝和传播，从而实现对身份识别和版权的保护。数字水印技术应用到电子病历中可以有效防止电子病历的伪造，进而实现对电子病历的版权保护和患者隐私的保护。

还有一些用于数据库和文本文件的水印方案[13]，在数据库表中嵌入脆弱性水印，在大数据的挖掘分析时，可以及时发现数据项的变化。

So the old woman made a gingerbread man.She gave him currant eyes，a cherry nose and a big，big smile.

数字水印技术的缺点是其隐蔽性会随着水印信息容量的增加而降低，因此需要在鲁棒性、隐蔽性和水印容量之间找到平衡。

3.3 面向数据挖掘的隐私保护技术

根据不同的数据集和不同的挖掘结果需求，常用的数据挖掘技术有聚类、回归分析、关联规则挖掘、分类、Web数据挖掘等。相应的隐私保护技术主要包括基于数据失真的技术、基于数据隐藏的技术和差分隐私技术。

(一)基于数据失真的技术

面对频发的隐私泄露事件，迫切需要有效解决隐私保护问题。为了保护医疗数据的敏感信息不被泄露，通常要考虑三方面，身份泄露、属性泄露和推理泄露。

数据失真技术是通过添加噪声、交换等技术扰动原始数据使敏感数据失真，但处理后的数据仍然保持某些属性不变的方法。目前常见算法包括随机化、凝聚等。

随机化技术包括随机扰动和随机化应答。随机扰动用随机化过程来修改敏感数据，而随机化应答的敏感数据是以对特定问题作出回应的方式间接提供给外界的[9]。凝聚技术处理后的数据，都可以用通用的重构算法进行处理，重构后不会披露原始记录的隐私[9]。随机化技术的缺点是：所有的应用都需要重建数据的分布，针对不同的应用需要设计特定的算法对转换后的数据进行处理。

主要观察指标：针灸操作评分表，单人徒手心肺复苏术评分表，新疆医科大学外科基本技能评分表，体格检查考核评分标准（模块一、二、三、四）。考试通过率主要参照学生参与执业医师考试并获得资格证书进行计算。在本次研究中考察学生的就业率，即已就业人数除以毕业总人数乘以100%。

基于数据失真的技术，效率比较高，但却存在一定程度的信息丢失。

针对旅游行政部门对酒店行业管理权限较小的问题，要逐步提升旅游行政部门在酒店行业的管理权限。完善广西旅游酒店业协会功能，增强广西旅游酒店业协会监督和协调作用，建立信息共享平台，加强对旅游酒店行业各类数据的统计和发展动态的发布，同时推动广西各地市建立旅游酒店业协会。每年定期组织考察、培训、评比等活动，提高酒店管理水平。策划技能比拼大赛，设计中式铺床、中餐宴会摆台、西餐宴会摆台、鸡尾酒调制、集体工装展示及英语等比赛项目，切实推动广西旅游星级酒店的岗位练兵、技能比试及业务培训，全面提升广西旅游星级酒店业服务质量和水平。

(二)基于数据隐藏

关联规则隐藏(ARH)针对在数据挖掘过程中可能挖掘出的敏感规则进行隐藏，在数据挖掘隐私保护领域正受到越来越多的关注与研究。该技术使得这些敏感数据集有可能生成的关联规则不会再被挖掘出来，并且对非敏感数据集没有任何影响[14]。

(三)差分隐私技术

口碑传播是人与人之间最直接的沟通，是形成品牌美誉度的重要途径。在品牌传播方式中，基于人际沟通的口碑传播最易为消费者接受。大多数研究文献认为，口碑传播是市场中最强大的控制力之一。由于在影响消费者态度和行为中所起的重要作用，口碑被誉为“零号媒介”，被视为当今世界最廉价的信息传播工具和高可信度的宣传媒介[3]。

差分隐私技术是一种由数学理论支撑的强健的隐私保护技术，主要方法是扰动和采样，使处理后的某些数据属性和统计属性保持不变，提供最大化的查询结果的同时还保证个人隐私的泄露不超过预先设定的阈值，以便可以执行数据挖掘和其他操作[15]。

农民虽然淳朴实在，在消费上也会用脚投票，谁卖的东西好，谁卖的东西不好，心里明镜似的。这次回老家，妻子准备去场镇买豆浆机，母亲叮嘱说，别到场上某家电器店买，他家东西不好价格还坑人，去年你舅舅在那里买了一台，购买时看起来好好的，拿回家就不能用了，回去理论还态度恶劣。妻子从场镇回来后说，那家电器店年初就倒闭了。镇上人说，那家店卖歪货，谁还会去那里买东西，不倒闭才怪呢。

差分隐私技术比较显著的特征就是严格的定义并提供了量化评估方法，使用了隐私预算ε来量化地定义保护程度，它保证添加或删除数据集中的一条数据后数据库的查询结果不会受到影响，这一点也区别于数据失真。差分隐私无需考虑攻击者拥有的可能的背景知识，即使最坏情况下，攻击者获得除一条记录以外的所有敏感数据，这条记录的敏感属性信息仍然可以得到保护，这一点特质与大数据的隐私需求不谋而合，保证了最小的私密性泄露和最大的效用性。

3.4 基于限制发布

Rivest等首次提出了同态加密(Homomorphic Encryption)的概念。同态加密对密文进行特定的代数运算的加密结果，与对明文进行同样的运算再将结果加密一样[7]。同态加密算法可以有效避免存储的加密数据在进行分布式处理时的加解密过程。同态加密方法的性质如下：

K-匿名模型通过泛化的方法将所要发布的关系数据划分为多个等价类，每个等价类都必须包含不少于K条相似数据，在等价类中，任意一条数据都无法和其他K-1条数据区分，从而使得敏感属性泄露的概率变为原来的1/K[16]。K匿名技术的特性使得攻击者无法区分等价组中的K条数据，在医疗隐私保护中被广泛的应用。匿名效果图如下：

图1 数据匿名发布图

K匿名可以阻止身份公开，但无法防止属性公开，仍然可能存在同质攻击和背景知识链接攻击的风险，L-diversity模型在K-匿名基础上进行改进，提出每一个等价类的敏感属性必须不少于L个不同的值[17]。L-diversity模型的提出使得链接攻击者能确认某个个体的敏感属性的概率最多是1/L，但L-diversity不能有效防止相似性攻击的问题。

t-closeness准则，要求所有等价类中敏感属性的分布与该属性的全局分布尽量保持一致，t-closeness 限制了准标识符和敏感属性之间的联系，通过阈值t的设置可以平衡隐私保护和数据价值[18]。基于分组的隐私保护模型的缺点是它的安全性与攻击者所掌握的背景知识相关，难以抵抗“合成式”攻击、“前景知识”攻击、“deFinetti”攻击等。其次这些方法无法提供一种有效且严格的方法来证明其隐私保护水平，当模型参数改变时，无法对隐私保护水平进行定量分析[19]。

其他工作包括(a,k)-匿名模型、(k,e)匿名模型、(X,Y)匿名模型等。此外，周水庚等设计基于数据库的保护方案[9]，是基于数据库设计动态数据集匿名发布实现对数据的隐私保护。在大数据场景中，攻击者不仅能从同一发布源获得数据，而且可以通过多种渠道获得数据，因此数据发布匿名保护问题变得更为复杂，需要更深入的研究。

3.5 数据溯源

数据溯源(Data Provenance)技术在大数据概念出现之前就已经在数据库领域得到了广泛研究。数据溯源通过标记数据来记录数据仓库中数据的查询与传播历史，可以帮助人们确定数据仓库中各项数据的来源。由于医疗数据的来源多样化和数据海量化，所以有必要记录数据的来源及其传播过程，为后期数据挖掘分析和数据管理提供支持。

数据溯源技术还可以用于文件的溯源与恢复，文献[21]创建了一个可以自动搜集起源数据的数据源存储系统原型系统。

此外溯源技术在云存储场景中也有应用，针对海量溯源信息的存储等问题，设计和实现了一个高性能溯源信息存储系统，采用多层次的存储架构，能有效描述和存储海量的溯源信息，使得用户可以简单高效的对数据进行存取[21]。

为了保护云平台上存储的数据的机密性，可以采用同态加密、安全多方计算(Secure Multiparty Computation,SMC)等方案来实现。

数据溯源技术应用于隐私保护中还要考虑技术自身的安全性保护以及与隐私保护之间的平衡。数据来源往往本身就是敏感数据，获得数据和分析数据需要与隐私保护平衡。溯源技术标记自身是否正确，数据内容之间的安全绑定问题等都需要进一步研究。

3.6 身份认证技术

访问控制主要是决定用户的权限和访问的资源。可以划分为基于角色的访问控制、基于风险的访问控制和基于策略的访问控制。

(一)基于角色的访问控制

基于角色的访问控制通过为用户分配角色，可对数据的访问权限进行控制。基于传统的访问控制模型，一些研究通过将角色与访问目的、责任结合起来，提出了改进方案。

Smith等提出一种基于情景的访问控制模型来加强HIPPA的隐私保护功能，从而规范医疗事务过程[22]。渠世艳等提出一种针对医疗信息系统的基于目的管理的隐私保护访问控制，访问控制被细化为直接存储在数据库中的数据，通过HISPA模型将目的作为隐私保护访问决策的一个因子，其继承了RBAC模型并满足健康记录拥有者对于个人隐私记录的细粒度访问控制[23]。

(二)基于风险的访问控制

动态的基于风险的访问控制模型使用量化和集合的风险矩阵来管理用户对于云端资源的访问[24]。针对医疗数据的隐私保护，Wang等在RBAC的基础上提出了一种可量化风险自适应访问控制模型，通过定义量化算法，利用统计学和信息论的方法，当医生访问与目标不相关的信息时会导致高风险，访问相关的信息则产生低风险，从而实现基于风险的访问控制[24]。但在大数据应用环境中，数据更加复杂，风险的定义和量化都更加困难。

(三)基于策略的访问控制

该方法中患者可以制定自己的个人策略，标记自己认为的敏感信息和个人信息可以被访问的目的IP，将个人策略和访问目的关联起来，个人信息的用途必须与自己的策略一致，否则必须得到患者的同意才能使用。

数字水印技术还能保护医学图像的版权认证和篡改检测，其通过将隐秘信息或标志信息嵌入医学图像中，来有效的保护医学图像隐私信息[11]。

图2 基于策略的访问控制模型

具体流程可以描述为：

(1)通过身份认证登录到医院信息系统，并发起访问请求(Access Purpose, AP)访问医疗数据。

(2)根据用户角色和访问请求AP，判断用户目的。角色目的一致则继续，否则被拒绝。

3.2 最佳工艺参数为漂烫温度 91 ℃、漂烫时间 4 min、切片厚度4 mm和冷冻时间3 h，在此条件得到规范化综合评分 0.9572，与预测值（0.9453）基本一致，说明该回归模型准确，主成分分析与响应面分析法相结合对马铃薯脆片预处理工艺进行优化的综合评价方法准确可行。

(3)检测角色的目的和患者的个人策略是否一致，是则该角色激活请求生效，否则阻塞访问并抛出访问异常。

(4)请求生效后则向数据库发送查询语句，其中会自动检测敏感属性进行替换。

(5)最后返回与原数据格式一致的根据患者个人策略脱敏后的数据。

基于策略的访问控制算法有效解决了细粒度访问控制问题，特别是针对患者敏感数据未经许可而被动泄露的问题。

本章总结了目前医疗数据隐私保护技术，主要是对原始数据集各种加密和限制发布，以及在访问环节的访问控制，即使在大数据平台中，保护算法还是基础的，因此对大数据平台本身和大数据自带数据库的保护需要进一步研究，比如对大数据的平台进行保护以及算法的安全性保护。

4 医疗隐私保护安全框架

针对上文提出的数据隐私面临的安全性问题，目前隐私保护技术有许多，但单一的技术都不能完全解决隐私泄露的问题，医疗隐私保护必须将多种技术结合起来。针对医疗隐私数据保护存在的问题，现提出一种通用的医疗隐私保护安全框架，如图3所示。

图3 医疗隐私保护安全框架

现在医疗系统中的数据分为格式化数据、非格式化数据和半格式化数据，单一的技术很难实现完美的隐私保护。该框架是一种通用的医疗隐私保护框架，在具体的应用环境中，针对实际需要解决的隐私保护问题，结合隐私保护技术的特点和应用场景，选择最适用的技术以达到最好的效果。该框架包括法律体系、安全通信体系、隐私保护技术体系、风险评估体系和风险监控体系5大部分，为实现大数据隐私管理提供技术支持。

(一)法律体系

健全完善数据隐私法律规范是降低大数据时代医疗隐私侵权风险的重要措施。本文只要讨论技术方案，对此不做详细介绍。

从美国BIM标准体系和中国P-BIM标准体系的区别可以看出，对主导BIM技术的不同认知以及产生不同的BIM实施方式，中国BIM标准的当前任务是建立中国BIM标准体系（如图2），其兼容中国及国际主流BIM标准体系，将信息技术标准与工程技术标准按照中国工程建设流程及技术人员的需求，通过符合标准P-BIM 软件建立有效连接，使建筑工程项目全生命期的所有信息为工程技术人员完成任务方便应用。

(二)通信安全体系

通信安全体系是法律体系和隐私保护技术体系之间的桥梁，对违反策略和规定的人进行追责。从而保证客户端和服务器端的通信安全，防止第三方窃听和非法访问。

(三)隐私保护技术体系

主要是实现对数据源的保护。隐私保护的实践中应用匿名化组件、加密技术组件和数据挖掘技术可以从原始数据集对数据进行加密保护。隐私保护技术体系是医疗隐私保护安全框架的核心，有以下功能：

(1)可以支持不同类型的查询需求，如聚集查询、范围技术查询等大数据环境下常用的交互式操作。

(2)可以支持不同数据类型的发布需求。

(3)支持数据挖掘和机器学习的分析需求。数据分析是大数据的核心，能挖掘出大数据真实的价值，如线性逻辑回归、支持向量机分类、深度学习等。

(4)支持自适应选择隐私管理技术的需求。大数据环境下，不同类型、不同敏感级别发数据需要的保护程度不同，进而需要的技术也不同，第二章中几种隐私保护技术各有针对性的保护，在大数据隐私保护时候要根据不同的需求选择合适的保护技术，确保保护效果最好。

(四)风险评估和风险监控

风险评估是信息安全保障体系建立过程中的重要评价方法和决策机制，因此在隐私保护的框架中安全风险评估是基础性工作和重要环节。改进的评估模型可以更好的结合大时代的特性，例如基于机器学习的风险评估在泛化和识别正确率方面更有优势。

风险评估机制可以在大数据应用的初级阶段分析出风险的大小，进而在上层隐私保护技术体系中指导选择相应的技术。例如根据角色判断用户安全等级，判断隐私分析大小，选择隐私保护技术。

(五)风险监控体系

监控体系是隐私保护技术体系的基础，在大数据处理时，能监控到恶意操作，在应用环境可信度不高的环境中扫描到外部恶意攻击，为上层隐私保护技术体系发出隐私风险信号。

目前大数据时代，隐私保护需要在数据动态更新的同时进行动态的脱敏保护，且要满足数据发布的标准。因此需要在快速处理数据的大数据平台上结合以上多种隐私保护技术，使得医疗隐私得到更好的保护。

5 总结与展望

隐私保护技术适应范围和性能不尽相同，基于数据加密的隐私保护技术适合对隐私要求完美保护，但代价是较高的计算开销，在分布式环境下，还会增加通信开销。数据匿名化技术在各方面都比较平衡，能以较低的计算开销和信息缺损实现对隐私保护。医疗数据隐私保护问题被广泛研究，但医疗数据规模巨大，数据种类复杂，特定针对医疗数据的隐私保护技术仍需不断完善。

随着大数据中分布式数据库和web应用和发展，隐私保护面临一系列新的问题和挑战，云计算中数据跨域使用，数据库的变化等要求能实现对动态数据的利用和隐私保护。传统的对静态数据的保护已经不能满足要求。大数据和云计算本身平台的安全性等都需要进一步去研究完善。只有通过技术手段与相关政法规等相结合，才能更好地解决大数据安全与隐私保护问题。

参考文献

[1] 刘雅辉，张铁赢，靳小龙，等.大数据时代的个人隐私保护[J].计算机研究与发展，2015(1):229-247.

[2] 张思.电子病历个人信息保护法律规制[J].中国医院管理，2014(7):55-56.

[3] 郭丽娟.大数据的特点及未来发展趋势[J].信息通信，2014(10):195.

[4] De Montjoye Y-A, Hidalgo C A, Verleysen M, et al.Unique in the crowd: The privacy bounds of human mobility[J]. Scientic reports, 2013(3):1376.

[5] 王强芬.大数据时代背景下医疗隐私保护的伦理困境及实现途径[J].中国医学伦理学，2016,29(4):685-689.

[6] 刘明辉，张尼，张云勇，等. 云环境下的敏感数据保护技术研究[J].电信科学，2014(11):2-8.

[7] 李美云，李剑，黄超.基于同态加密的可信云存储平台[J].信息网络安全，2012(9):35-40.

[8] 孙茂华.安全多方计算及其应用研究[D].北京：北京邮电大学，2013. [13] 王健. 基于隐私保护的数据挖掘若干关键技术研究[D].东华大学，2011

[9] 周水庚，李丰，陶宇飞，等. 面向数据库应用的隐私保护研究综述[J]. 计算机学报，2009(5):847-861.

[10] 冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机学报，2014,37(1):246-258.

[11] 董莉，王玲，江沸菠.一种基于医学图像中感兴趣区域的数字水印算法[J]. 电子技术应用，2007(1):136-139.

[12] 韩俊凤. 基于数字水印的医生电子签名[D].成都：电子科技大学，2006.

[13] 张勇，赵东宁，李德毅. 关系数据库数字水印技术[J]. 计算机工程与应用，2003(25):193-195.

[14] 柏怡婧. 数据挖掘隐私保护在医疗信息系统中的研究[D].成都：电子科技大学，2016.

[15] 张啸剑，孟小峰. 面向数据发布和分析的差分隐私保护[J]. 计算机学报，2014,37(4):927-949.

[16] 杨高明，杨静，张健沛.隐私保护的数据发布研究[J].计算机科学，2011,38(9):11-17.

[17] Ganta S R, Kasiviswanathan S P, Smith A. Composition attacks and auxiliary information in data privacy[C]//Proceedings of the 14th ACM SIGKDD international conference on Knowledge discovery and data mining. ACM, 2008.

[18] Wong R C W, Fu A W C, Wang K, et al. Can the utility of anonymized data be used for privacy breaches?[J]. ACM Transactions on Knowledge Discovery from Data (TKDD), 2011,5(3):16.

[19] 熊平，朱天清，王晓峰.差分隐私保护及其应用[J].计算机学报，2014,37(1):101-122.

[20] Muniswamy-Reddy K K, Holland D A, Braun U, et al. Provenance-aware storage systems[C]//USENIX Annual Technical Conference, General Track, 2006:43-56.

[21] 彭安琪. 分布式溯源信息存储系统的研究与实现[D].成都：电子科技大学，2016.

[22] Smith H E. A Context-Based Access Control Model for HIPAA Privacy and Security Compliance[R]. SANS Institute, 2001.

[23] 渠世艳，蒋兴浩，孙锬锋，等. 基于目的管理的医疗信息系统隐私保护访问控制模型[J]. 计算机应用与软件，2011(3):74-76.

[24] 惠榛，李昊，张敏，等.面向医疗大数据的风险自适应的访问控制模型[J]. 通信学报，2015(12):190-199。

[25] 霍成义，吴振强. 面向患者的医疗信息系统隐私保护访问控制模型[J]. 计算机应用与软件，2014(11):75-77