4.5 安全与隐私

4.5.1 简介

安全和隐私模块描述了如何保护 FHIR 服务器（通过访问控制和授权），如何记录用户授予的权限（同意），以及如何记录已执行的事件（审计日志和出处）。 FHIR 不要求采用单一的技术方法来解决安全和隐私问题；相反，该规范提供了一组构建块，可用于创建安全的私有系统。FHIR不是安全协议，也没有定义任何与安全相关的功能。但是FHIR定义了和其他各种安全协议一起使用的交换协议和内容模型。主要包括以下几个方面：

• 时间同步-所有时钟都应使用NTP/SNTP进行同步，并且系统设计应该对错误值的系统时钟具有鲁棒性
• 通信安全--所有生产数据的交换都应使用TLS（例如，https）进行保护
• 身份验证--用户/客户端必须经过身份认证。对于以web为中心的应用程序，建议使用OAuth。使用OAuth时，需要OAuth的配置文件。考虑在适当情况下使用Smart-On-FHIR
• 授权/访问控制--FHIR定义了支持访问控制管理的安全标签
• 审计-FHIR定义了Provenance和AuditEvent资源，用于追踪资源的来源、作者、历史、状态和访问
• 数字签名-FHIR包括几个专门为数字签名保留的位置
• 附件-FHIR允许二进制资源的附件
• 标签-FHIR允许设置影响资源处理方式的安全标签，见安全标签章节
• 数据管理测略-FHIR定义了一组支持数据交换的功能。并不是FHIR提供的所有功能都适用于相关上下文和管辖权，实施者应确保满足相关法规
• 叙述-应该谨慎显示叙述部分的内容，避免暴露敏感信息
• 输入验证-验证从其他参与者收到的所有输入，以确保数据格式良好，并且不包含会导致不必要的系统行为的内容。通过使用模糊、无效输入攻击和注入攻击等技术，测试确保输入不易受到数据输入验证错误的影响

这里不赘述每个安全原则，具体内容请查看官网：http://hl7.org/fhir/R4/secpriv-module.html。

4.5.2 安全

FHIR 专注于利⽤现有安全解决⽅案的数据访问⽅法和编码。FHIR 中的安全性需要关注⼀系列因素,确保数据只能根据预期和策略被发现、访问或更改。实施应利⽤现有的安全标准和实施，以确保：

• 所有通信都可以加密，以防⽌未经授权的访问
• 发⽣错误时不会泄露信息
• 无法将任何活动的脚本内容注⼊到叙述中
• 可以构建完整的审计跟踪并⽤于检测异常访问模式

请利用成熟的安全框架保证数据安全，包括设备安全、云安全、大数据安全、服务对服务安全等。请参阅NIST移动设备安全和OWASP移动安全。

4.5.3 隐私

FHIR中的隐私包括确保根据个人隐私原则和隐私设计处理个人数据所需的一系列考虑因素，为确保隐私数据的交互，应确保以下几个方面：

• 个人隐私可以通过基于标准的协议（例如，OAuth、用户管理访问）或使用明确的FHIR表示（Consent）来传达
• 可以标记资源以指示它们所代表的数据的敏感性或机密性（安全标签）
• 数据访问记录和审计日志可以与个人共享，例如信息披露（AuditEvent）

对隐私和安全的适当保护是特定于隐私风险和受保护数据的安全风险的。对于实际数据来说，适当保护的概念是非常具体的，要根据具体情况而定。例如，资源的使用方式不同，数据将会面临不同的风险，也需要不同的保护。