掌上醫(yī)院平臺(tái)信息安全風(fēng)險(xiǎn)分析與控制

陳 明

(福建醫(yī)科大學(xué)附屬第一醫(yī)院，福建福州350005)

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，國(guó)內(nèi)醫(yī)療行業(yè)的眾多單位也陸續(xù)開放移動(dòng)互聯(lián)網(wǎng)接口，掌上醫(yī)院平臺(tái)應(yīng)運(yùn)而生[1]。掌上醫(yī)院平臺(tái)通過移動(dòng)互聯(lián)網(wǎng)應(yīng)用改善醫(yī)院就診流程，提升醫(yī)院資源利用率，為病患提供更加智慧的醫(yī)院環(huán)境。然而，移動(dòng)互聯(lián)網(wǎng)在給公眾帶來方便快捷的數(shù)據(jù)服務(wù)的同時(shí)，也帶來更多的信息安全隱患[2-3]。根據(jù)中國(guó)互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)數(shù)據(jù)顯示，2017年中國(guó)移動(dòng)互聯(lián)網(wǎng)的惡意程序數(shù)量達(dá)到253萬多個(gè)，比2016年增長(zhǎng)23.4%，持續(xù)8年保持高速增長(zhǎng)趨勢(shì)[4]。面對(duì)嚴(yán)峻的信息安全形勢(shì)，降低掌上醫(yī)院平臺(tái)運(yùn)行的安全風(fēng)險(xiǎn)，保障患者隱私信息的安全，成為醫(yī)院建設(shè)掌上醫(yī)院平臺(tái)首先要解決的問題。筆者嘗試分析掌上醫(yī)院平臺(tái)存在的信息安全風(fēng)險(xiǎn)，結(jié)合信息安全等級(jí)保護(hù)的相關(guān)要求，探討信息安全風(fēng)險(xiǎn)控制措施，從而提高掌上醫(yī)院平臺(tái)安全防護(hù)能力。

一、掌上醫(yī)院平臺(tái)簡(jiǎn)介

(一)功能組成及網(wǎng)絡(luò)結(jié)構(gòu)

掌上醫(yī)院平臺(tái)主要借助移動(dòng)應(yīng)用軟件(Application,APP)為大眾提供醫(yī)療服務(wù)。掌上醫(yī)院APP分為兩大類，分別是公眾版和醫(yī)護(hù)版。公眾版包括醫(yī)療咨詢類、醫(yī)療服務(wù)類、公共服務(wù)類、線上資金結(jié)算平臺(tái)等四個(gè)模塊，為患者提供預(yù)約掛號(hào)、分診叫號(hào)、智能導(dǎo)診、自助繳費(fèi)、檢查報(bào)告及就醫(yī)信息查閱等方便快捷的移動(dòng)醫(yī)療服務(wù)。醫(yī)護(hù)版由門診業(yè)務(wù)、住院業(yè)務(wù)、信息管理等構(gòu)成高效、實(shí)時(shí)、動(dòng)態(tài)的醫(yī)療信息交互管理平臺(tái)，優(yōu)化日常工作管理流程，為醫(yī)護(hù)人員提供無時(shí)間、空間限制的醫(yī)療信息環(huán)境。

掌上醫(yī)院平臺(tái)外部連接互聯(lián)網(wǎng)醫(yī)患人員客戶端，為患者和醫(yī)護(hù)人員提供數(shù)據(jù)服務(wù)；同時(shí)按需連接銀聯(lián)、微信、支付寶等移動(dòng)在線支付的開放接口進(jìn)行信息交互，實(shí)現(xiàn)自助繳費(fèi)等功能。其內(nèi)部連接掌上醫(yī)院平臺(tái)后臺(tái)數(shù)據(jù)庫(kù)和醫(yī)院業(yè)務(wù)網(wǎng)，按需與集成平臺(tái)或各業(yè)務(wù)系統(tǒng)進(jìn)行信息交互。

(二)業(yè)務(wù)處理流程

掌上醫(yī)院平臺(tái)主要由訪問子系統(tǒng)、數(shù)據(jù)交換子系統(tǒng)、業(yè)務(wù)運(yùn)維子系統(tǒng)以及后臺(tái)數(shù)據(jù)庫(kù)和業(yè)務(wù)處理子系統(tǒng)組成，它深度融合醫(yī)院信息系統(tǒng)(Hospital Information System,HIS)、實(shí)驗(yàn)室信息系統(tǒng)(Laboratory Information System，LIS)、電子病歷系統(tǒng)(Electronic Medical Record，EMR)、影像存檔及通信系統(tǒng)(Picture Archiving and Communication System，PACS)等醫(yī)院內(nèi)部業(yè)務(wù)信息系統(tǒng)，向公眾提供醫(yī)療數(shù)據(jù)服務(wù)(圖1)。

圖1 掌上醫(yī)院平臺(tái)業(yè)務(wù)處理流程

用戶利用掌上醫(yī)院APP，通過互聯(lián)網(wǎng)向掌上醫(yī)院平臺(tái)應(yīng)用訪問子系統(tǒng)發(fā)起醫(yī)療服務(wù)數(shù)據(jù)請(qǐng)求。訪問子系統(tǒng)將數(shù)據(jù)請(qǐng)求發(fā)送到業(yè)務(wù)處理子系統(tǒng)，調(diào)用內(nèi)網(wǎng)掌上醫(yī)院后臺(tái)數(shù)據(jù)庫(kù)或核心系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)處理。在醫(yī)療服務(wù)業(yè)務(wù)處理完畢后，業(yè)務(wù)處理子系統(tǒng)會(huì)將處理結(jié)果通過數(shù)據(jù)交換子系統(tǒng)中轉(zhuǎn)反饋用戶。

(三)用戶與數(shù)據(jù)

掌上醫(yī)院平臺(tái)的用戶主要分為兩類。第一類為醫(yī)院內(nèi)部員工，包括醫(yī)院業(yè)務(wù)普通操作用戶、后臺(tái)業(yè)務(wù)系統(tǒng)維護(hù)人員、系統(tǒng)技術(shù)支持用戶和信息安全審計(jì)用戶，不同的用戶分配不同的權(quán)限以完成相應(yīng)的工作任務(wù)。第二類為患者，包括所有在醫(yī)院信息系統(tǒng)開通就診賬戶的患者，他們根據(jù)自身角色所擁有的特定權(quán)限辦理各自不同的醫(yī)療服務(wù)業(yè)務(wù)。

掌上醫(yī)院平臺(tái)的數(shù)據(jù)主要分為以下五種：(1)開展醫(yī)療服務(wù)相關(guān)業(yè)務(wù)的數(shù)據(jù)；(2)業(yè)務(wù)人員用于管理業(yè)務(wù)系統(tǒng)運(yùn)行的有關(guān)數(shù)據(jù)；(3)涉及與掌上醫(yī)院平臺(tái)各類用戶相關(guān)聯(lián)的權(quán)限控制以及身份識(shí)別的數(shù)據(jù)；(4)用于監(jiān)控和審計(jì)系統(tǒng)的運(yùn)行管理和系統(tǒng)安全相關(guān)的數(shù)據(jù)，如所有類型用戶的操作日志，業(yè)務(wù)數(shù)據(jù)傳輸日志，系統(tǒng)安全監(jiān)控的記錄等；(5)掌上醫(yī)院平臺(tái)運(yùn)行過程中相關(guān)的網(wǎng)絡(luò)設(shè)備、系統(tǒng)服務(wù)器以及安防設(shè)備產(chǎn)生的一系列其它數(shù)據(jù)。

二、掌上醫(yī)院平臺(tái)安全風(fēng)險(xiǎn)分析

移動(dòng)互聯(lián)網(wǎng)的應(yīng)用場(chǎng)景和威脅場(chǎng)景是不斷裂變的，其安全問題主要表現(xiàn)在終端、網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用三個(gè)層面，并以終端設(shè)備為跳板威脅移動(dòng)應(yīng)用所連接的組織、機(jī)構(gòu)。作為基于移動(dòng)互聯(lián)網(wǎng)的應(yīng)用，掌上醫(yī)院平臺(tái)的數(shù)據(jù)交互過程涉及智能終端、移動(dòng)通訊網(wǎng)絡(luò)、互聯(lián)網(wǎng)、院內(nèi)網(wǎng)絡(luò)等多個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都存在風(fēng)險(xiǎn)因素[5-6]。

(一)移動(dòng)客戶端安全風(fēng)險(xiǎn)

Android環(huán)境下的掌上醫(yī)院APP極易被不法人員通過各種手段獲取其程序架構(gòu)、處理流程及加密解密算法等信息。除此之外，客戶端本地存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)如果未加密，極易被攻擊者通過文件管理軟件獲得，造成數(shù)據(jù)泄露。

(二)無線通信過程安全風(fēng)險(xiǎn)

掌上醫(yī)院APP是基于無線網(wǎng)絡(luò)運(yùn)行的，而無線網(wǎng)是依靠無線電波進(jìn)行傳輸，若APP程序與服務(wù)器在通信過程中缺乏可靠的加密措施，一旦其遭受監(jiān)聽，就會(huì)造成用戶個(gè)人信息或應(yīng)用程序編程接口(Application Programming Interface，API)信息的泄露[7]。

(三)網(wǎng)絡(luò)邊界接入風(fēng)險(xiǎn)

掌上醫(yī)院平臺(tái)的邊界風(fēng)險(xiǎn)最主要是互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)，主要包括互聯(lián)網(wǎng)用戶接入和移動(dòng)用戶接入等外部公共網(wǎng)絡(luò)風(fēng)險(xiǎn)。一些非法入侵、非法訪問、流量分析、惡意軟件攻擊等行為可能導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)癱瘓等嚴(yán)重后果。

(四)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)安全風(fēng)險(xiǎn)

作為掌上醫(yī)院平臺(tái)賴以運(yùn)轉(zhuǎn)的的基礎(chǔ)及核心軟件，服務(wù)器操作系統(tǒng)(包含應(yīng)用中間件系統(tǒng))和數(shù)據(jù)庫(kù)系統(tǒng)可能存在安全漏洞和弱口令的，一些高危漏洞和弱口令一旦被黑客利用，將會(huì)破壞患者敏感信息的保密性與完整性。

(五)API服務(wù)平臺(tái)安全風(fēng)險(xiǎn)

掌上醫(yī)院平臺(tái)的應(yīng)用程序接口同樣面臨著Web服務(wù)端所面臨的安全風(fēng)險(xiǎn)，如抗分布式拒絕服務(wù)攻擊、SQL注入漏洞攻擊、跨站腳本攻擊等，這些攻擊可能導(dǎo)致掌上醫(yī)院平臺(tái)業(yè)務(wù)中斷、數(shù)據(jù)泄露或者被篡改等后果。

(六)用戶身份信息被冒用風(fēng)險(xiǎn)

在掌上醫(yī)院平臺(tái)中，患者的用戶名和密碼一旦被竊取，其隱私信息將遭到泄露。此外，由于員工使用的用戶名和密碼與院內(nèi)系統(tǒng)相同，其用戶認(rèn)證信息一旦被盜用，會(huì)導(dǎo)致掌上醫(yī)院平臺(tái)后端數(shù)據(jù)被非授權(quán)訪問，并給員工的其它系統(tǒng)賬戶帶來安全隱患。

三、掌上醫(yī)院平臺(tái)風(fēng)險(xiǎn)控制

2007年6月，國(guó)家正式出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》，明確了信息安全等級(jí)保護(hù)制度的工作規(guī)范及要求，該辦法與后續(xù)的配套文件形成了國(guó)家信息安全等級(jí)保護(hù)體系，基本滿足了國(guó)內(nèi)等級(jí)保護(hù)制度的實(shí)施需求。2011年12月，國(guó)家衛(wèi)生部發(fā)布了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》，結(jié)合行業(yè)實(shí)際，為全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作提供了指導(dǎo)意見[8-9]。根據(jù)國(guó)家發(fā)布的信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)化文件及指導(dǎo)意見，筆者從移動(dòng)終端安全、數(shù)據(jù)通信安全、網(wǎng)絡(luò)安全架構(gòu)、用戶身份認(rèn)證及安全管理等方面闡述掌上醫(yī)院平臺(tái)風(fēng)險(xiǎn)控制措施，從而構(gòu)建掌上醫(yī)院平臺(tái)安全防護(hù)體系。

(一)移動(dòng)終端及數(shù)據(jù)通信安全

為了避免掌上醫(yī)院APP的配置信息被識(shí)別和篡改，防止用戶隱私數(shù)據(jù)泄露，掌上醫(yī)院APP生成的本地存儲(chǔ)文件應(yīng)當(dāng)進(jìn)行全面的加密。除此之外，對(duì)于醫(yī)院內(nèi)部員工使用醫(yī)護(hù)版APP的移動(dòng)終端，醫(yī)院信息部門可運(yùn)用移動(dòng)虛擬隔離技術(shù)建立統(tǒng)一的工作入口，為其創(chuàng)建獨(dú)立的、隔離的和易管理的工作環(huán)境，通過遠(yuǎn)程應(yīng)用禁用、數(shù)據(jù)清除、文件自動(dòng)水印和防截屏等技術(shù)手段確保掌上醫(yī)院APP敏感信息不泄密。在數(shù)據(jù)通信安全方面，掌上醫(yī)院平臺(tái)可采用虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)技術(shù)和HTTPS安全加密協(xié)議進(jìn)行通信，并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行完整性校驗(yàn)和防重放校驗(yàn)，防止惡意數(shù)據(jù)或者重復(fù)數(shù)據(jù)的提交。

(二)網(wǎng)絡(luò)安全架構(gòu)

掌上醫(yī)院平臺(tái)的網(wǎng)絡(luò)安全架構(gòu)是掌上醫(yī)院安全防護(hù)體系的基礎(chǔ)，醫(yī)院需設(shè)計(jì)適應(yīng)移動(dòng)互聯(lián)時(shí)代網(wǎng)絡(luò)安全架構(gòu)的方案，使掌上醫(yī)院平臺(tái)對(duì)外提供穩(wěn)定的信息服務(wù)的同時(shí)，對(duì)內(nèi)保證醫(yī)院數(shù)據(jù)中心的安全[10]。

掌上醫(yī)院平臺(tái)的保護(hù)邊界和網(wǎng)絡(luò)安全區(qū)域是根據(jù)各子系統(tǒng)不同的業(yè)務(wù)功能以及所處網(wǎng)絡(luò)位置進(jìn)行劃分的，主要包含3條邊界和5個(gè)安全區(qū)域。各邊界將掌上醫(yī)院平臺(tái)網(wǎng)絡(luò)架構(gòu)劃分為外網(wǎng)、訪問子網(wǎng)、數(shù)據(jù)交換子網(wǎng)及醫(yī)院內(nèi)網(wǎng)4個(gè)區(qū)域，其連接接口將網(wǎng)絡(luò)邏輯拓?fù)鋭澐譃?個(gè)業(yè)務(wù)安全區(qū)域(圖2)。安全區(qū)域1和安全區(qū)域2分別向患者和醫(yī)護(hù)人員提供訪問接入服務(wù)和醫(yī)療數(shù)據(jù)服務(wù)；安全區(qū)域3提供對(duì)數(shù)據(jù)交換子網(wǎng)的安全運(yùn)維管理；安全區(qū)域4完成掌上醫(yī)院平臺(tái)業(yè)務(wù)的數(shù)據(jù)處理和交互；安全區(qū)域5包含掌上醫(yī)院平臺(tái)需要對(duì)接的醫(yī)院核心業(yè)務(wù)系統(tǒng)、集成平臺(tái)或者其它輔助系統(tǒng)。

圖2 掌上醫(yī)院平臺(tái)系統(tǒng)邊界與安全區(qū)域劃分

掌上醫(yī)院平臺(tái)技術(shù)安全防護(hù)是依據(jù)各安全區(qū)域的不同安全防護(hù)需求，設(shè)計(jì)區(qū)域邊界安全防護(hù)、域與域之間的安全防護(hù)和安全域內(nèi)部防護(hù)等內(nèi)容。邊界1部署集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏及帶寬管理等功能于一身的防火墻作為隔離設(shè)備，為掌上醫(yī)院平臺(tái)提供基于應(yīng)用、用戶及內(nèi)容等多維度一體化防護(hù)。除此之外，安全區(qū)域1內(nèi)設(shè)計(jì)部署深度威脅發(fā)現(xiàn)與防護(hù)系統(tǒng)以實(shí)時(shí)檢測(cè)和識(shí)別難以捉摸的威脅，及時(shí)發(fā)現(xiàn)基于內(nèi)容的攻擊行為；掌上醫(yī)院應(yīng)用服務(wù)器采用Nginx高性能Web服務(wù)器，通過配置策略在一定程度上實(shí)現(xiàn)Web應(yīng)用防護(hù)系統(tǒng)的功能。

邊界2部署防火墻進(jìn)行安全域隔離，在安全區(qū)域2部署入侵防御系統(tǒng)，對(duì)一些常見的漏洞攻擊行為進(jìn)行識(shí)別和阻斷。在安全區(qū)域3部署安全運(yùn)維審計(jì)系統(tǒng)，對(duì)掌上醫(yī)院平臺(tái)的整體運(yùn)行情況進(jìn)行安全審計(jì)和有效監(jiān)控，及時(shí)發(fā)現(xiàn)潛在的問題。

邊界3部署網(wǎng)閘和防火墻，設(shè)置安全策略對(duì)內(nèi)外網(wǎng)的訪問進(jìn)行嚴(yán)格的端口和服務(wù)限制。在安全區(qū)域4部署安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)掌上醫(yī)院平臺(tái)數(shù)據(jù)庫(kù)的新增、刪除、查詢、修改、授權(quán)等各種操作行為的審計(jì)。安全區(qū)域5部署安全控制準(zhǔn)入、網(wǎng)絡(luò)防病毒、內(nèi)網(wǎng)安全管理、虛擬化平臺(tái)連續(xù)數(shù)據(jù)保護(hù)等安全防護(hù)系統(tǒng)，切實(shí)保障醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)中心的安全。各個(gè)安全區(qū)域技術(shù)安全防護(hù)設(shè)計(jì)的有機(jī)組合，形成完整的掌上醫(yī)院平臺(tái)網(wǎng)絡(luò)安全架構(gòu)(圖3)。

圖3 掌上醫(yī)院平臺(tái)網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)

(三)用戶身份認(rèn)證

目前，掌上醫(yī)院APP大多數(shù)使用用戶名/口令技術(shù)或者動(dòng)態(tài)口令技術(shù)來驗(yàn)證用戶的安全性，其身份認(rèn)證的安全性并不高。為了提高醫(yī)院?jiǎn)T工身份認(rèn)證的安全性，醫(yī)院可將員工個(gè)人移動(dòng)終端通過統(tǒng)一工作入口接入安全管理平臺(tái)的移動(dòng)認(rèn)證中心，在移動(dòng)端使用單點(diǎn)登錄基礎(chǔ)平臺(tái)進(jìn)行登錄。單點(diǎn)登錄基礎(chǔ)平臺(tái)的登錄流程不涉及密鑰落地和密碼代填等不安全登陸方式，結(jié)合OAutho2.0安全登陸協(xié)議和Token令牌機(jī)制能夠更好地保證員工身份認(rèn)證的安全性。在掌上醫(yī)院APP業(yè)務(wù)邏輯方面，用戶在客戶端程序界面進(jìn)行注冊(cè)時(shí)，其短信驗(yàn)證碼的校驗(yàn)過程應(yīng)放在服務(wù)器端進(jìn)行，以防止不法分子通過網(wǎng)絡(luò)數(shù)據(jù)包抓取驗(yàn)證碼，從而冒用他人的身份進(jìn)行注冊(cè)。

(四)安全管理

信息安全管理工作是一個(gè)循序漸進(jìn)的過程，醫(yī)院應(yīng)設(shè)置專門的信息安全管理人員負(fù)責(zé)此類工作。信息安全管理人員可運(yùn)用PDCA循環(huán)管理方法對(duì)掌上醫(yī)院平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估、安全風(fēng)險(xiǎn)抑制、循環(huán)驗(yàn)證和持續(xù)保障。在例行對(duì)掌上醫(yī)院平臺(tái)進(jìn)行掃描滲透任務(wù)中，信息安全技術(shù)人員對(duì)發(fā)現(xiàn)的漏洞和弱口令應(yīng)及時(shí)加固和修改。在安全事件發(fā)生時(shí)，醫(yī)院應(yīng)通過已制定的應(yīng)急響應(yīng)管理措施和操作規(guī)程做出緊急響應(yīng)。除此之外，醫(yī)院應(yīng)做好網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的安全監(jiān)測(cè)和預(yù)警工作，使之制度化并嚴(yán)格執(zhí)行，以便發(fā)生任何異常能夠第一時(shí)間做出反應(yīng)。

掌上醫(yī)院平臺(tái)安全的風(fēng)險(xiǎn)控制涉及建設(shè)、技術(shù)、管理等多方面工作，隨著掌上醫(yī)院平臺(tái)的功能日益豐富，攻擊技術(shù)不斷發(fā)展，其面臨的信息安全風(fēng)險(xiǎn)也將更多元化和復(fù)雜化。為了滿足新形勢(shì)下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的需要，國(guó)家相關(guān)部委對(duì)原信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系進(jìn)行了修訂,出臺(tái)了國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)。新標(biāo)準(zhǔn)將采用移動(dòng)互聯(lián)技術(shù)的信息系統(tǒng)作為一個(gè)整體對(duì)象進(jìn)行定級(jí)，并對(duì)其無線網(wǎng)絡(luò)邊界的安全防護(hù)、移動(dòng)終端安全接入與管控提出了明確的建設(shè)要求與測(cè)評(píng)要求，強(qiáng)調(diào)無線網(wǎng)絡(luò)邊界防護(hù)、移動(dòng)終端管控的必要性，對(duì)基于移動(dòng)互聯(lián)網(wǎng)的信息系統(tǒng)的實(shí)際安全建設(shè)和測(cè)評(píng)工作具有更強(qiáng)的適用性和可操作性[11]。隨著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代，在移動(dòng)醫(yī)療信息安全方面探索符合新等級(jí)保護(hù)標(biāo)準(zhǔn)要求的掌上醫(yī)院平臺(tái)安全體系建設(shè)成為國(guó)內(nèi)各醫(yī)院下一步的研究方向和工作重點(diǎn)。