陳 明

(福建醫(yī)科大學附屬第一醫(yī)院，福建福州350005)

隨著移動互聯網時代的到來，國內醫(yī)療行業(yè)的眾多單位也陸續(xù)開放移動互聯網接口，掌上醫(yī)院平臺應運而生[1]。掌上醫(yī)院平臺通過移動互聯網應用改善醫(yī)院就診流程，提升醫(yī)院資源利用率，為病患提供更加智慧的醫(yī)院環(huán)境。然而，移動互聯網在給公眾帶來方便快捷的數據服務的同時，也帶來更多的信息安全隱患[2-3]。根據中國互聯網應急中心統(tǒng)計數據顯示，2017年中國移動互聯網的惡意程序數量達到253萬多個，比2016年增長23.4%，持續(xù)8年保持高速增長趨勢[4]。面對嚴峻的信息安全形勢，降低掌上醫(yī)院平臺運行的安全風險，保障患者隱私信息的安全，成為醫(yī)院建設掌上醫(yī)院平臺首先要解決的問題。筆者嘗試分析掌上醫(yī)院平臺存在的信息安全風險，結合信息安全等級保護的相關要求，探討信息安全風險控制措施，從而提高掌上醫(yī)院平臺安全防護能力。

一、掌上醫(yī)院平臺簡介

(一)功能組成及網絡結構

掌上醫(yī)院平臺主要借助移動應用軟件(Application,APP)為大眾提供醫(yī)療服務。掌上醫(yī)院APP分為兩大類，分別是公眾版和醫(yī)護版。公眾版包括醫(yī)療咨詢類、醫(yī)療服務類、公共服務類、線上資金結算平臺等四個模塊，為患者提供預約掛號、分診叫號、智能導診、自助繳費、檢查報告及就醫(yī)信息查閱等方便快捷的移動醫(yī)療服務。醫(yī)護版由門診業(yè)務、住院業(yè)務、信息管理等構成高效、實時、動態(tài)的醫(yī)療信息交互管理平臺，優(yōu)化日常工作管理流程，為醫(yī)護人員提供無時間、空間限制的醫(yī)療信息環(huán)境。

掌上醫(yī)院平臺外部連接互聯網醫(yī)患人員客戶端，為患者和醫(yī)護人員提供數據服務；同時按需連接銀聯、微信、支付寶等移動在線支付的開放接口進行信息交互，實現自助繳費等功能。其內部連接掌上醫(yī)院平臺后臺數據庫和醫(yī)院業(yè)務網，按需與集成平臺或各業(yè)務系統(tǒng)進行信息交互。

(二)業(yè)務處理流程

掌上醫(yī)院平臺主要由訪問子系統(tǒng)、數據交換子系統(tǒng)、業(yè)務運維子系統(tǒng)以及后臺數據庫和業(yè)務處理子系統(tǒng)組成，它深度融合醫(yī)院信息系統(tǒng)(Hospital Information System,HIS)、實驗室信息系統(tǒng)(Laboratory Information System，LIS)、電子病歷系統(tǒng)(Electronic Medical Record，EMR)、影像存檔及通信系統(tǒng)(Picture Archiving and Communication System，PACS)等醫(yī)院內部業(yè)務信息系統(tǒng)，向公眾提供醫(yī)療數據服務(圖1)。

圖1 掌上醫(yī)院平臺業(yè)務處理流程

用戶利用掌上醫(yī)院APP，通過互聯網向掌上醫(yī)院平臺應用訪問子系統(tǒng)發(fā)起醫(yī)療服務數據請求。訪問子系統(tǒng)將數據請求發(fā)送到業(yè)務處理子系統(tǒng)，調用內網掌上醫(yī)院后臺數據庫或核心系統(tǒng)數據庫進行數據處理。在醫(yī)療服務業(yè)務處理完畢后，業(yè)務處理子系統(tǒng)會將處理結果通過數據交換子系統(tǒng)中轉反饋用戶。

(三)用戶與數據

掌上醫(yī)院平臺的用戶主要分為兩類。第一類為醫(yī)院內部員工，包括醫(yī)院業(yè)務普通操作用戶、后臺業(yè)務系統(tǒng)維護人員、系統(tǒng)技術支持用戶和信息安全審計用戶，不同的用戶分配不同的權限以完成相應的工作任務。第二類為患者，包括所有在醫(yī)院信息系統(tǒng)開通就診賬戶的患者，他們根據自身角色所擁有的特定權限辦理各自不同的醫(yī)療服務業(yè)務。

掌上醫(yī)院平臺的數據主要分為以下五種：(1)開展醫(yī)療服務相關業(yè)務的數據；(2)業(yè)務人員用于管理業(yè)務系統(tǒng)運行的有關數據；(3)涉及與掌上醫(yī)院平臺各類用戶相關聯的權限控制以及身份識別的數據；(4)用于監(jiān)控和審計系統(tǒng)的運行管理和系統(tǒng)安全相關的數據，如所有類型用戶的操作日志，業(yè)務數據傳輸日志，系統(tǒng)安全監(jiān)控的記錄等；(5)掌上醫(yī)院平臺運行過程中相關的網絡設備、系統(tǒng)服務器以及安防設備產生的一系列其它數據。

二、掌上醫(yī)院平臺安全風險分析

移動互聯網的應用場景和威脅場景是不斷裂變的，其安全問題主要表現在終端、網絡和業(yè)務應用三個層面，并以終端設備為跳板威脅移動應用所連接的組織、機構。作為基于移動互聯網的應用，掌上醫(yī)院平臺的數據交互過程涉及智能終端、移動通訊網絡、互聯網、院內網絡等多個環(huán)節(jié)，每個環(huán)節(jié)都存在風險因素[5-6]。

(一)移動客戶端安全風險

Android環(huán)境下的掌上醫(yī)院APP極易被不法人員通過各種手段獲取其程序架構、處理流程及加密解密算法等信息。除此之外，客戶端本地存儲的業(yè)務數據如果未加密，極易被攻擊者通過文件管理軟件獲得，造成數據泄露。

(二)無線通信過程安全風險

掌上醫(yī)院APP是基于無線網絡運行的，而無線網是依靠無線電波進行傳輸，若APP程序與服務器在通信過程中缺乏可靠的加密措施，一旦其遭受監(jiān)聽，就會造成用戶個人信息或應用程序編程接口(Application Programming Interface，API)信息的泄露[7]。

(三)網絡邊界接入風險

掌上醫(yī)院平臺的邊界風險最主要是互聯網接入風險，主要包括互聯網用戶接入和移動用戶接入等外部公共網絡風險。一些非法入侵、非法訪問、流量分析、惡意軟件攻擊等行為可能導致業(yè)務系統(tǒng)服務癱瘓等嚴重后果。

(四)操作系統(tǒng)和數據庫系統(tǒng)安全風險

作為掌上醫(yī)院平臺賴以運轉的的基礎及核心軟件，服務器操作系統(tǒng)(包含應用中間件系統(tǒng))和數據庫系統(tǒng)可能存在安全漏洞和弱口令的，一些高危漏洞和弱口令一旦被黑客利用，將會破壞患者敏感信息的保密性與完整性。

(五)API服務平臺安全風險

掌上醫(yī)院平臺的應用程序接口同樣面臨著Web服務端所面臨的安全風險，如抗分布式拒絕服務攻擊、SQL注入漏洞攻擊、跨站腳本攻擊等，這些攻擊可能導致掌上醫(yī)院平臺業(yè)務中斷、數據泄露或者被篡改等后果。

(六)用戶身份信息被冒用風險

在掌上醫(yī)院平臺中，患者的用戶名和密碼一旦被竊取，其隱私信息將遭到泄露。此外，由于員工使用的用戶名和密碼與院內系統(tǒng)相同，其用戶認證信息一旦被盜用，會導致掌上醫(yī)院平臺后端數據被非授權訪問，并給員工的其它系統(tǒng)賬戶帶來安全隱患。

三、掌上醫(yī)院平臺風險控制

2007年6月，國家正式出臺了《信息安全等級保護管理辦法》，明確了信息安全等級保護制度的工作規(guī)范及要求，該辦法與后續(xù)的配套文件形成了國家信息安全等級保護體系，基本滿足了國內等級保護制度的實施需求。2011年12月，國家衛(wèi)生部發(fā)布了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，結合行業(yè)實際，為全國衛(wèi)生行業(yè)信息安全等級保護工作提供了指導意見[8-9]。根據國家發(fā)布的信息安全等級保護相關標準化文件及指導意見，筆者從移動終端安全、數據通信安全、網絡安全架構、用戶身份認證及安全管理等方面闡述掌上醫(yī)院平臺風險控制措施，從而構建掌上醫(yī)院平臺安全防護體系。

(一)移動終端及數據通信安全

為了避免掌上醫(yī)院APP的配置信息被識別和篡改，防止用戶隱私數據泄露，掌上醫(yī)院APP生成的本地存儲文件應當進行全面的加密。除此之外，對于醫(yī)院內部員工使用醫(yī)護版APP的移動終端，醫(yī)院信息部門可運用移動虛擬隔離技術建立統(tǒng)一的工作入口，為其創(chuàng)建獨立的、隔離的和易管理的工作環(huán)境，通過遠程應用禁用、數據清除、文件自動水印和防截屏等技術手段確保掌上醫(yī)院APP敏感信息不泄密。在數據通信安全方面，掌上醫(yī)院平臺可采用虛擬專用網絡(Virtual Private Network，VPN)技術和HTTPS安全加密協議進行通信，并對傳輸的數據進行完整性校驗和防重放校驗，防止惡意數據或者重復數據的提交。

(二)網絡安全架構

掌上醫(yī)院平臺的網絡安全架構是掌上醫(yī)院安全防護體系的基礎，醫(yī)院需設計適應移動互聯時代網絡安全架構的方案，使掌上醫(yī)院平臺對外提供穩(wěn)定的信息服務的同時，對內保證醫(yī)院數據中心的安全[10]。

掌上醫(yī)院平臺的保護邊界和網絡安全區(qū)域是根據各子系統(tǒng)不同的業(yè)務功能以及所處網絡位置進行劃分的，主要包含3條邊界和5個安全區(qū)域。各邊界將掌上醫(yī)院平臺網絡架構劃分為外網、訪問子網、數據交換子網及醫(yī)院內網4個區(qū)域，其連接接口將網絡邏輯拓撲劃分為5個業(yè)務安全區(qū)域(圖2)。安全區(qū)域1和安全區(qū)域2分別向患者和醫(yī)護人員提供訪問接入服務和醫(yī)療數據服務；安全區(qū)域3提供對數據交換子網的安全運維管理；安全區(qū)域4完成掌上醫(yī)院平臺業(yè)務的數據處理和交互；安全區(qū)域5包含掌上醫(yī)院平臺需要對接的醫(yī)院核心業(yè)務系統(tǒng)、集成平臺或者其它輔助系統(tǒng)。

圖2 掌上醫(yī)院平臺系統(tǒng)邊界與安全區(qū)域劃分

掌上醫(yī)院平臺技術安全防護是依據各安全區(qū)域的不同安全防護需求，設計區(qū)域邊界安全防護、域與域之間的安全防護和安全域內部防護等內容。邊界1部署集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數據防泄漏及帶寬管理等功能于一身的防火墻作為隔離設備，為掌上醫(yī)院平臺提供基于應用、用戶及內容等多維度一體化防護。除此之外，安全區(qū)域1內設計部署深度威脅發(fā)現與防護系統(tǒng)以實時檢測和識別難以捉摸的威脅，及時發(fā)現基于內容的攻擊行為；掌上醫(yī)院應用服務器采用Nginx高性能Web服務器，通過配置策略在一定程度上實現Web應用防護系統(tǒng)的功能。

邊界2部署防火墻進行安全域隔離，在安全區(qū)域2部署入侵防御系統(tǒng)，對一些常見的漏洞攻擊行為進行識別和阻斷。在安全區(qū)域3部署安全運維審計系統(tǒng)，對掌上醫(yī)院平臺的整體運行情況進行安全審計和有效監(jiān)控，及時發(fā)現潛在的問題。

邊界3部署網閘和防火墻，設置安全策略對內外網的訪問進行嚴格的端口和服務限制。在安全區(qū)域4部署安全審計系統(tǒng)，實現對掌上醫(yī)院平臺數據庫的新增、刪除、查詢、修改、授權等各種操作行為的審計。安全區(qū)域5部署安全控制準入、網絡防病毒、內網安全管理、虛擬化平臺連續(xù)數據保護等安全防護系統(tǒng)，切實保障醫(yī)院內網數據中心的安全。各個安全區(qū)域技術安全防護設計的有機組合，形成完整的掌上醫(yī)院平臺網絡安全架構(圖3)。

圖3 掌上醫(yī)院平臺網絡安全拓撲結構

(三)用戶身份認證

目前，掌上醫(yī)院APP大多數使用用戶名/口令技術或者動態(tài)口令技術來驗證用戶的安全性，其身份認證的安全性并不高。為了提高醫(yī)院員工身份認證的安全性，醫(yī)院可將員工個人移動終端通過統(tǒng)一工作入口接入安全管理平臺的移動認證中心，在移動端使用單點登錄基礎平臺進行登錄。單點登錄基礎平臺的登錄流程不涉及密鑰落地和密碼代填等不安全登陸方式，結合OAutho2.0安全登陸協議和Token令牌機制能夠更好地保證員工身份認證的安全性。在掌上醫(yī)院APP業(yè)務邏輯方面，用戶在客戶端程序界面進行注冊時，其短信驗證碼的校驗過程應放在服務器端進行，以防止不法分子通過網絡數據包抓取驗證碼，從而冒用他人的身份進行注冊。

(四)安全管理

信息安全管理工作是一個循序漸進的過程，醫(yī)院應設置專門的信息安全管理人員負責此類工作。信息安全管理人員可運用PDCA循環(huán)管理方法對掌上醫(yī)院平臺進行安全風險評估、安全風險抑制、循環(huán)驗證和持續(xù)保障。在例行對掌上醫(yī)院平臺進行掃描滲透任務中，信息安全技術人員對發(fā)現的漏洞和弱口令應及時加固和修改。在安全事件發(fā)生時，醫(yī)院應通過已制定的應急響應管理措施和操作規(guī)程做出緊急響應。除此之外，醫(yī)院應做好網絡、系統(tǒng)、應用的安全監(jiān)測和預警工作，使之制度化并嚴格執(zhí)行，以便發(fā)生任何異常能夠第一時間做出反應。

掌上醫(yī)院平臺安全的風險控制涉及建設、技術、管理等多方面工作，隨著掌上醫(yī)院平臺的功能日益豐富，攻擊技術不斷發(fā)展，其面臨的信息安全風險也將更多元化和復雜化。為了滿足新形勢下網絡安全等級保護工作的需要，國家相關部委對原信息安全等級保護標準體系進行了修訂,出臺了國家網絡安全等級保護2.0標準。新標準將采用移動互聯技術的信息系統(tǒng)作為一個整體對象進行定級，并對其無線網絡邊界的安全防護、移動終端安全接入與管控提出了明確的建設要求與測評要求，強調無線網絡邊界防護、移動終端管控的必要性，對基于移動互聯網的信息系統(tǒng)的實際安全建設和測評工作具有更強的適用性和可操作性[11]。隨著國家網絡安全等級保護進入2.0時代，在移動醫(yī)療信息安全方面探索符合新等級保護標準要求的掌上醫(yī)院平臺安全體系建設成為國內各醫(yī)院下一步的研究方向和工作重點。