角色与权限模型设计
RBAC分层模型
采用四级角色模型:生产商-流通商-医疗机构-监管机构,每个角色仅开放与其业务相关的UDI数据操作权限(如生产商可写入DI数据,医疗机构仅能读取PI数据)。
引入RBAC1角色继承机制,允许子角色继承父角色权限(如区域管理员继承总部权限),减少重复配置。
设置职责分离(SoD),将UDI数据录入、审核、提交操作分配给不同角色,防止数据篡改。
动态属性扩展(ABAC)
基于设备状态(如“召回中”)、用户地理位置(如医院内网IP段)、时间条件(如产品有效期)等动态属性调整权限。
示例:仅允许通过VPN连接的监管人员在产品召回状态下访问完整追溯数据。
核心防护技术
多因子身份认证
生产企业接入UDI数据库时需验证数字证书+动态口令,高危操作(如数据修正)需生物特征二次验证(如声纹/指纹)。
终端设备实施MAC地址白名单管理,植入式医疗器械读写设备需预置TLS证书。
数据分级加密
DI字段(固定标识)采用国密SM4加密存储,PI字段(动态信息)使用AES256动态加密。
建立字段级访问控制,如医疗机构仅能解密查看产品型号、批号,无法获取生产设备序列号等敏感字段。
网络与物理层控制
设备准入认证
通过工业防火墙隔离UDI数据库服务器,仅开放HTTPS 8443端口通信,限制非授权设备接入。
对接入系统的终端设备实施TLS证书预置,确保设备身份可信。
数据本地化存储
