基于零信任網(wǎng)絡(luò)的醫(yī)院線上業(yè)務(wù)交互設(shè)計(jì)

翁鵬翔

摘要：隨著物聯(lián)網(wǎng)、移動(dòng)服務(wù)、云計(jì)算等新技術(shù)的發(fā)展和應(yīng)用，人們?cè)谙硎芑ヂ?lián)網(wǎng)服務(wù)帶來的便利同時(shí)，網(wǎng)絡(luò)安全問題也開始滲透到生活的方方面面。為了更安全更充分的利用互聯(lián)網(wǎng)發(fā)展所帶給醫(yī)療行業(yè)的便利，提出了使用零信任網(wǎng)絡(luò)模型來構(gòu)建醫(yī)院線上業(yè)務(wù)，解決現(xiàn)有網(wǎng)絡(luò)安全防護(hù)上存在的架構(gòu)不合理、內(nèi)部安全策略容易失控，乃至于潛在的信息泄露等諸多問題，實(shí)現(xiàn)可信任、可追溯、可控的業(yè)務(wù)交互。

關(guān)鍵詞：網(wǎng)絡(luò)安全;零信任;內(nèi)外網(wǎng)交互;訪問控制;數(shù)據(jù)資源保護(hù)

中圖分類號(hào)：TP309.2 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）24-0063-02

Abstract： With the development of IoT， mobile services， cloud computing and other new technologies， people enjoy the convenience brought by Internet services， while network security issues have begun to penetrate into all aspects of life. In order to make more secure and full use of the convenience brought by the development of the Internet to the medical industry， a zero trust network model is proposed to build the online business of the hospital， to solve many problems existing in the existing network security protection such as unreasonable structure， easy to lose control of internal security strategy， and even potential information leakage， to achieve a trusted， traceable and controllable business interaction.

Key words：network security; zero trust; intranet and external network interaction; access control; data resource protection

1 從傳統(tǒng)基于區(qū)域的架構(gòu)到零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)的概念，最早是在2010年由研究機(jī)構(gòu)Forrester的時(shí)任首席分析師金德維格所提出，在數(shù)年的發(fā)展中，各行各業(yè)對(duì)具體如何實(shí)現(xiàn)適合自己業(yè)務(wù)的安全的零信任網(wǎng)絡(luò)，都有自己不同的理解和側(cè)重，但大都遵循了“永不信任，始終驗(yàn)證”的原則，概括來說，零信任網(wǎng)絡(luò)認(rèn)為無論是內(nèi)部或外部的網(wǎng)絡(luò)，都始終充滿了威脅，不能僅僅依靠網(wǎng)絡(luò)設(shè)備的邊界來判斷網(wǎng)絡(luò)的安全與否，所有經(jīng)過的網(wǎng)絡(luò)流量，都應(yīng)當(dāng)被視為不可靠需要驗(yàn)證的，且訪問控制策略可以動(dòng)態(tài)調(diào)整。

在傳統(tǒng)的醫(yī)院內(nèi)外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)安全架構(gòu)中，一般是基于區(qū)域的安全模型建立的，通過防火墻或其他安全設(shè)備將網(wǎng)絡(luò)分解為不同用途的區(qū)域，特定區(qū)域內(nèi)的用戶、設(shè)備、服務(wù)和應(yīng)用程序間可以相對(duì)自由的通信，然而由于安全設(shè)備的成本及實(shí)際業(yè)務(wù)邏輯劃分等原因，通常受信域被劃分得相當(dāng)寬泛，甚至只是簡(jiǎn)單的區(qū)分為內(nèi)網(wǎng)，外網(wǎng)，DMZ區(qū)域，從好的地方來看，這種網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)簡(jiǎn)單，維護(hù)成本低廉，受信任區(qū)域內(nèi)應(yīng)用程序或設(shè)備可以方便地互聯(lián)互通來實(shí)現(xiàn)各類需求。

傳統(tǒng)基于區(qū)域的網(wǎng)絡(luò)架構(gòu)在有著互聯(lián)互通方便，設(shè)計(jì)簡(jiǎn)單及維護(hù)成本低廉的同時(shí)，也因此帶來了包括過于寬泛的信任域，網(wǎng)絡(luò)安全邊界模糊等一系列問題，零信任網(wǎng)絡(luò)相比傳統(tǒng)的基于區(qū)域信任網(wǎng)絡(luò)的基礎(chǔ)上，將服務(wù)器根據(jù)IP，功能用途，操作系統(tǒng)等類別分為了被稱作“微分段”的更細(xì)粒度的組，并通過搭配相應(yīng)的分組協(xié)議，實(shí)現(xiàn)組內(nèi)服務(wù)和組間服務(wù)的互通，在解決傳統(tǒng)的基于區(qū)域網(wǎng)絡(luò)架構(gòu)下可能存在的不同區(qū)域間子網(wǎng)互通需求的同時(shí)，提供了更加可靠和靈活的網(wǎng)絡(luò)邊界控制。

2 在不安全的網(wǎng)絡(luò)中實(shí)現(xiàn)安全的業(yè)務(wù)交互

在經(jīng)典的醫(yī)院線上業(yè)務(wù)交互中，通?？梢园堰@個(gè)過程抽象為這么樣的一個(gè)模型，用戶通過第三方服務(wù)發(fā)起交易請(qǐng)求——這個(gè)請(qǐng)求可能是預(yù)約掛號(hào)，可能是線上繳費(fèi)，在當(dāng)今時(shí)代下，這個(gè)交易請(qǐng)求還有可能是互聯(lián)網(wǎng)醫(yī)院的線上看診，到第三方提供服務(wù)的服務(wù)器上，再由第三方服務(wù)器根據(jù)用戶的請(qǐng)求，向醫(yī)院的接口服務(wù)器發(fā)起請(qǐng)求并等待醫(yī)院接口服務(wù)返回處理好的業(yè)務(wù)數(shù)據(jù)，而在醫(yī)院接口服務(wù)器處理第三方發(fā)來的請(qǐng)求這個(gè)過程中，很有可能會(huì)涉及訪問內(nèi)網(wǎng)的數(shù)據(jù)庫或者其他的資源，在完成這一系列過程后，第三方服務(wù)把處理好的請(qǐng)求結(jié)果反饋到用戶。這個(gè)始于用戶，途徑第三方服務(wù)，醫(yī)院接口服務(wù)，最后終于用戶的交易請(qǐng)求便完成了它的生命周期。

在前一段所描述的線上交互過程中，幾乎每一個(gè)階段都有一個(gè)關(guān)于“我”的問題，“我”是誰？“我”應(yīng)該信任誰？“我”可以做什么？在零信任網(wǎng)絡(luò)中，每一個(gè)試圖證明我是我的請(qǐng)求都應(yīng)當(dāng)被仔細(xì)從多個(gè)方面進(jìn)行驗(yàn)證后才可以授權(quán)，而一些敏感的請(qǐng)求，比如線上問診，充值繳費(fèi)等需要更加嚴(yán)苛的驗(yàn)證，但同時(shí)，作為醫(yī)院的業(yè)務(wù)來說，我們又希望用戶在使用醫(yī)院線上服務(wù)的時(shí)候有著良好的體驗(yàn)，不會(huì)受到太多由于安全驗(yàn)證而帶來的干擾，甚至希望這個(gè)過程是透明的，僅有必要的時(shí)候，才會(huì)打擾用戶的操作。

當(dāng)用戶首次注冊(cè)第三方平臺(tái)所提供服務(wù)的時(shí)候，驗(yàn)證過程實(shí)際上已經(jīng)開始了，由于醫(yī)療行業(yè)的特殊性，不能僅要求用戶提供簡(jiǎn)單的信息即可完成注冊(cè)，而需要驗(yàn)證持有者是用戶本人，隨著人臉識(shí)別技術(shù)的發(fā)展，這個(gè)問題非常容易就能得到解決，而在用戶完成注冊(cè)后，第三方平臺(tái)需要根據(jù)已經(jīng)與醫(yī)院對(duì)接好的規(guī)則為用戶生成一個(gè)唯一的ID，生成ID的規(guī)則可能會(huì)包含用戶在醫(yī)院內(nèi)的就診卡ID，用戶登錄第三方平臺(tái)時(shí)按照已經(jīng)確定的函數(shù)生成帶有平臺(tái)代碼的UUID，用戶的身份證號(hào)，用戶的地理位置等，生成的用戶ID將會(huì)作為這個(gè)用戶的在系統(tǒng)內(nèi)的唯一標(biāo)識(shí)符而伴隨著用戶發(fā)起的每個(gè)請(qǐng)求的全周期。

我們假設(shè)這個(gè)用戶在完成注冊(cè)之后，想通過第三方平臺(tái)發(fā)起一次預(yù)約掛號(hào)的請(qǐng)求，當(dāng)他選好想掛號(hào)的醫(yī)生和時(shí)間段，點(diǎn)擊“立即預(yù)約”按鈕之后，一個(gè)新的驗(yàn)證過程開始了，第三方服務(wù)器將這個(gè)用戶的請(qǐng)求報(bào)文用md5計(jì)算后，添加在請(qǐng)求的末尾，作為報(bào)文未被篡改的證明，并將用戶的ID和當(dāng)前時(shí)間作為密鑰加密報(bào)文，通過HTTPS協(xié)議經(jīng)醫(yī)院防火墻發(fā)向醫(yī)院的接口服務(wù)器，在經(jīng)過防火墻的時(shí)候，防火墻會(huì)掃描此HTTPS請(qǐng)求是否符合一般性約定，如具有有效的證書，有效的字段，有效的報(bào)文頭，并來自可信的IP，隨后，醫(yī)院的接口服務(wù)器會(huì)根據(jù)約定好的規(guī)則為這個(gè)用戶生成臨時(shí)密鑰并解密此報(bào)文，驗(yàn)證解密后報(bào)文的md5值，審核此次操作發(fā)起人是否有響應(yīng)的權(quán)限，如一切無誤，便執(zhí)行此操作并返回結(jié)果。

真實(shí)世界里，為了實(shí)現(xiàn)整個(gè)預(yù)約掛號(hào)的業(yè)務(wù)，通常醫(yī)院內(nèi)部的接口服務(wù)器并不是獨(dú)立的一臺(tái)，很大可能上還需要訪問醫(yī)院內(nèi)網(wǎng)中醫(yī)院信息系統(tǒng)的數(shù)據(jù)庫來確定是否具有可掛號(hào)的號(hào)源，并把這個(gè)用戶掛號(hào)的請(qǐng)求寫入數(shù)據(jù)庫中，而這種數(shù)據(jù)庫一般都需要更高等級(jí)的保護(hù)，不能允許其他應(yīng)用程序或服務(wù)隨意增刪查改，傳統(tǒng)網(wǎng)絡(luò)條件下，可能會(huì)通過配置訪問控制規(guī)則，或者在數(shù)據(jù)庫內(nèi)分配數(shù)據(jù)庫用戶來解決這個(gè)問題，這些問題，在網(wǎng)絡(luò)中存在多個(gè)需要高等級(jí)保護(hù)數(shù)據(jù)資源的時(shí)候，就顯得尤為麻煩和不可靠，在零信任網(wǎng)絡(luò)中，為了解決此類驗(yàn)證和配置的問題，我們將網(wǎng)絡(luò)分為控制平面和數(shù)據(jù)平面，網(wǎng)絡(luò)中除去驗(yàn)證，轉(zhuǎn)發(fā)，審計(jì)等功能的部分外，都可以視作是屬于數(shù)據(jù)平面的部分。

為了控制訪問者實(shí)際可以使用的資源，對(duì)受限制資源的訪問首先要經(jīng)過控制平面的身份驗(yàn)證和授權(quán)，在控制平面上可以設(shè)置上文所述的精細(xì)的訪問策略控制，一旦訪問者通過了控制平面的認(rèn)可，控制平面便可以通過反向代理技術(shù)建立一條加密的臨時(shí)轉(zhuǎn)發(fā)通道，連通訪問者和要訪問的資源，有一點(diǎn)類似于SDN（軟件定義網(wǎng)絡(luò)），對(duì)訪問者來說，整個(gè)過程是透明的，在訪問沒有得到授權(quán)的時(shí)候，訪問者僅能看到控制平面返回的訪問禁止信息，因此很好地保護(hù)了內(nèi)部服務(wù)器的信息，潛在的惡意訪問者也不能根據(jù)服務(wù)器的返回信息收集到內(nèi)部服務(wù)器的特征信息。

3 沒有絕對(duì)安全的系統(tǒng)

沒有絕對(duì)安全的系統(tǒng)一直是業(yè)界的共識(shí)，任何一個(gè)軟件都有可能存在bug的可能，而使用軟件的人也很可能存在著或有意或無意的非常規(guī)操作，很多時(shí)候數(shù)據(jù)是一個(gè)單位最重要的資產(chǎn)，相對(duì)于可控的軟件流程，人員是真實(shí)世界里最薄弱的一環(huán)，一個(gè)擁有高級(jí)權(quán)限的管理人員卻使用了弱密碼就有可能使所有的安全防范措施毀于一旦，因此零信任網(wǎng)絡(luò)基于“始終驗(yàn)證，從不信任”的原則，對(duì)各種行為場(chǎng)景建立數(shù)據(jù)安全防護(hù)策略保障數(shù)據(jù)安全，對(duì)不同敏感級(jí)別的數(shù)據(jù)使用不同等級(jí)的驗(yàn)證策略，配合風(fēng)險(xiǎn)控制策略，做到主動(dòng)感知用戶的異常操作，盡最大可能確保數(shù)據(jù)安全。數(shù)據(jù)安全仍然任重而道遠(yuǎn)。

參考文獻(xiàn)：

[1] 焦仃.為什么說“零信任”將成為網(wǎng)絡(luò)安全流行框架之一[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018，44（4）：54-55.

[2] 王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò)：安全模型、機(jī)制及研究進(jìn)展[J].軟件學(xué)報(bào)，2016，27（4）：969-992.

[3] 王叔野，李剛.基于反向代理技術(shù)的Web防火墻[J].教育技術(shù)導(dǎo)刊，2009，8（7）：148-149.

[4] 俞華.醫(yī)院內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)配置實(shí)踐[J].中國數(shù)字醫(yī)學(xué)，2017，12（3）：94-96.

[5] 胡外光，呂書建，凌科峰.零信任安全架構(gòu)在醫(yī)院的應(yīng)用與實(shí)踐[J].現(xiàn)代經(jīng)濟(jì)信息，2019（24）：33-35.

[6] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報(bào)，2015，41（2）：72-84.

[7] 金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討[J].信息安全與通信保密，2007，5（7）：109-110，114.

[8] 陳少龍.基于虛擬化技術(shù)的網(wǎng)絡(luò)訪問控制系統(tǒng)模型研究[D].北京：北京郵電大學(xué)，2009.

【通聯(lián)編輯：代影】