随着5G、新一代人工智能、大数据和云计算等技术的发展,健康医疗行业中的信息技术的发展迎来了史无前例的机遇。医疗与信息化技术的持续融合,为健康医疗大数据的涌现带来了新的机遇。近年来,由于医疗大数据较高的战略价值,国家对医疗大数据的重视程度越来越高。但医疗大数据中包含患者的各类隐私信息以及医疗信息系统（Hospital Information System,HIS）易受到外部攻击或内部人员过度访问造成隐私数据泄露导致的信息安全问题,使得医疗大数据的利用率并不高。因此,如何保证HIS中医疗数据的信息安全问题成为医疗大数据共享和使用的必要前提。本文针对医疗大数据隐私保护问题进行研究,将风险、使用控制（Usage Control,UCON）与访问控制技术相结合,探究适合医疗大数据环境下的隐私保护方法。本文的研究重点集中体现在以下两点:1.构建风险评估和风险预测模型。该模型根据医生历史访问记录和操作行为的不同将风险评估划分为直接风险和间接风险评估,其中直接风险为医生工作目标与访问医疗记录之间的偏离度;间接风险为医生对病历信息的操作。不同的风险指标拥有不同的权重,本文采用变异系数法为直接风险和间接风险中的风险指标分配权重,并根据不同权重和风险值进行综合历史风险值量化。在风险预测中,将历史访问风险趋势考虑在内,采用指数移动加权平均法进行此次访问的风险值的预测。根据整个科室内医生的综合历史风险值使用凝聚层次聚类将医生聚为四类,并为每类医生划分允许进行操作的风险区间和访问权限。2.构建访问控制模型。在第一个模型的基础上提出基于风险和UCON的访问控制模型。首先根据用户身份认证模块对用户身份合法性进行验证,避免非法用户对系统发出访问请求,其次根据UCON模型决策连续性的特点,引入“连续访问”机制,一次访问请求可以访问多个相关的医疗信息,并对拥有访问权限用户的访问过程进行监控,提高权限的利用率,减少系统的响应时间,最后使用属性更新模块根据此次访问记录对风险预测值进行更新。模型提出一个访问控制权限动作集,动作集根据用户的访问场景和用户风险值进行分析,为其分配不同的访问权限,减少内部泄露信息的发生,并减少因医生过度访问医疗信息带来的隐私风险。