譚鴻智

(湖南省常德市第一中醫(yī)醫(yī)院,湖南 常德 415000)

0 引言

隨著眾多醫(yī)改政策的不斷發(fā)布和落實(shí),醫(yī)療信息化的重點(diǎn)落在了一病例信息化的各項(xiàng)臨床信息信息化項(xiàng)目,以及以醫(yī)聯(lián)體為主體的衛(wèi)生信息共享系統(tǒng)。而隨著各種新型網(wǎng)絡(luò)技術(shù)在醫(yī)院中的普及以及互聯(lián)網(wǎng)醫(yī)院的不斷發(fā)展,大數(shù)據(jù)等新興技術(shù)也逐漸成了醫(yī)院內(nèi)不可分割的一部分。目前我國現(xiàn)行的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)體系對數(shù)據(jù)安全保護(hù)提出了明確要求,網(wǎng)絡(luò)安全事件的激增和勒索軟件病毒的擴(kuò)散給醫(yī)院數(shù)據(jù)的安全性帶來了挑戰(zhàn)。大型醫(yī)院信息系統(tǒng)多,數(shù)據(jù)量大。因此,怎樣在保證數(shù)據(jù)傳輸?shù)陌踩缘幕A(chǔ)上,實(shí)現(xiàn)醫(yī)院內(nèi)外部數(shù)據(jù)的流暢傳輸,是目前網(wǎng)絡(luò)技術(shù)工作者面臨的一大挑戰(zhàn)。

1 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的構(gòu)建

1.1 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的意義

通常大型醫(yī)院都會(huì)使用將醫(yī)院內(nèi)網(wǎng)與外網(wǎng)物理隔絕的方式,將涉及病人隱私信息的數(shù)據(jù)存儲(chǔ)在內(nèi)網(wǎng)中實(shí)現(xiàn)數(shù)據(jù)安全。但隨著社會(huì)和經(jīng)濟(jì)的發(fā)展,有相當(dāng)一部分的醫(yī)院信息系統(tǒng)中的數(shù)據(jù)需要上傳到互聯(lián)網(wǎng)中進(jìn)行開放。一般來說,醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)的數(shù)據(jù)交互是通過安全認(rèn)證的U盤進(jìn)行數(shù)據(jù)傳輸,但這種方法同樣存在傳輸效率過低、安全保障性差等缺點(diǎn),無法滿足醫(yī)院日漸巨大的數(shù)據(jù)交互問題?？尚诺臄?shù)據(jù)交互平臺(tái)可以解決醫(yī)院多個(gè)孤立網(wǎng)絡(luò)中不同企業(yè)系統(tǒng)之間的連接問題,保證數(shù)據(jù)的安全高效交換[1]。

1.2 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的架構(gòu)

可信數(shù)據(jù)交互平臺(tái)總體架構(gòu)由安全管理中心、分類系統(tǒng)前端和可信數(shù)據(jù)交互組件3個(gè)模塊組成。安全管理中心由系統(tǒng)管理、安全管理和安全審計(jì)3個(gè)模塊組成。主要負(fù)責(zé)系統(tǒng)配置、策略管理、策略接口的提供、策略信息的接收以及與安全審核的交互。在不使用分級系統(tǒng)安全管理中心的分級系統(tǒng)中,分級系統(tǒng)前端可以對交叉資質(zhì)接入業(yè)務(wù)進(jìn)行安全標(biāo)識(shí),并負(fù)責(zé)提供從接入服務(wù)到資格認(rèn)證的接口。可信數(shù)據(jù)交互組件用于為多層企業(yè)系統(tǒng)提供交互接口,并根據(jù)管理中心的指令檢查和仲裁需要交互的服務(wù),并提供數(shù)據(jù)流控制、訪問控制、身份驗(yàn)證、日志檢查等功能。

1.3 構(gòu)成醫(yī)院數(shù)據(jù)安全交互平臺(tái)的技術(shù)

目前,許多系統(tǒng)既不使用安全管理中心,也不識(shí)別系統(tǒng)中的主體和對象。因此,很難通過分類系統(tǒng)識(shí)別它們,也很難識(shí)別它們在網(wǎng)絡(luò)運(yùn)行中的行為?？尚艛?shù)據(jù)交互平臺(tái)使用特定的平臺(tái)安全標(biāo)簽技術(shù),為沒有安全標(biāo)簽的多級系統(tǒng)提供連接服務(wù),并為多級組件數(shù)據(jù)化提供基礎(chǔ)。

與傳統(tǒng)的標(biāo)簽不同,可信數(shù)據(jù)交互平臺(tái)可以提供基于主題和對象信息、訪問控制權(quán)、應(yīng)用程序協(xié)議等的多維標(biāo)記。此外,經(jīng)過一定的延遲后,多維標(biāo)記可以自動(dòng)替換,允許動(dòng)態(tài)標(biāo)記。多維動(dòng)態(tài)標(biāo)簽技術(shù)可以有效地保護(hù)對象和標(biāo)簽使用的對象,避免身份變更問題[2]。

系統(tǒng)前端為與公司數(shù)據(jù)的交互提供了通用接口,并支持將數(shù)據(jù)格式轉(zhuǎn)換為不同的標(biāo)準(zhǔn)協(xié)議。應(yīng)用層協(xié)議將交互數(shù)據(jù)流與應(yīng)用層的攻擊類型庫和安全授權(quán)規(guī)則進(jìn)行比較,以過濾源位置的數(shù)據(jù)包,并防止目標(biāo)服務(wù)器上的應(yīng)用層攻擊。

可信數(shù)據(jù)交互平臺(tái)允許基于可信網(wǎng)絡(luò)登錄后進(jìn)行數(shù)據(jù)交換。本系統(tǒng)中的可信連接模塊通過可信身份管理,為網(wǎng)絡(luò)中的安全終端設(shè)備建立可信身份,保證對終端設(shè)備的安全可靠訪問。受信任的終端可以通過可信交換與分級系統(tǒng)前端相互訪問,未經(jīng)授權(quán)的用戶不能訪問互連前端,確保只有具有合法身份并經(jīng)安全管理員批準(zhǔn)且符合適用安全策略的終端才能訪問系統(tǒng)數(shù)據(jù)[3]。

不同系統(tǒng)之間的數(shù)據(jù)交換是通過交互平臺(tái)中的多個(gè)交互組件進(jìn)行的,使用專用的硬件和通信協(xié)議,以安全、可控的方式隔離業(yè)務(wù)交互。

2 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的安全性分析

在實(shí)踐中,數(shù)據(jù)交互平臺(tái)的安全不僅會(huì)受到惡意攻擊的威脅,還會(huì)受到數(shù)據(jù)安全的威脅。鑒于數(shù)據(jù)安全是指通過可信數(shù)據(jù)非法闖入內(nèi)網(wǎng)系統(tǒng)竊取敏感數(shù)據(jù)的外部用戶,或非法對外披露敏感內(nèi)部數(shù)據(jù)的內(nèi)部員工,惡意攻擊外部用戶進(jìn)入可信數(shù)據(jù)交互組件以共計(jì)網(wǎng)絡(luò)系統(tǒng)[4]。因此,受信任的數(shù)據(jù)交互平臺(tái)針對這兩個(gè)主要領(lǐng)域可能包含的不確定性采取以下幾種預(yù)防措施。

2.1 保障數(shù)據(jù)安全

平臺(tái)系統(tǒng)組件系統(tǒng)之間的數(shù)據(jù)傳輸通過可信網(wǎng)絡(luò)連接進(jìn)行。可信網(wǎng)絡(luò)連接的安全功能可以避免交換源被仿冒的風(fēng)險(xiǎn),整個(gè)從源到目標(biāo)的交換都建立在一個(gè)可以防止惡意數(shù)據(jù)交換的信任機(jī)制上。安全標(biāo)記用于驗(yàn)證數(shù)據(jù)的合法性,并對可信數(shù)據(jù)交互組件的訪問級別進(jìn)行分類。安全鏈路組件通過分析安全功能來確定數(shù)據(jù)是否可以通過組件傳輸?shù)搅硪欢?并且在沒有安全標(biāo)記的情況下不會(huì)釋放數(shù)據(jù)。此外,安全令牌具有不同的訪問級別,連接組件將識(shí)別安全令牌的訪問級別,從而避免訪問級別溢出現(xiàn)象,并確保數(shù)據(jù)交換以可控和可管理的方式進(jìn)行。通過配置可傳輸文件類型的黑白名單,平臺(tái)的可信數(shù)據(jù)交互平臺(tái)可以只允許傳輸內(nèi)聯(lián)網(wǎng)應(yīng)用程序生成的記錄文件,禁止傳輸文件、可執(zhí)行文件和腳本文件,使用不可逆算法對平臺(tái)上內(nèi)網(wǎng)數(shù)據(jù)文件中的敏感信息進(jìn)行加密,并使用應(yīng)用系統(tǒng)對通過外部網(wǎng)絡(luò)交換的文件進(jìn)行加密,以防止數(shù)據(jù)被更改。

2.2 防范惡意攻擊

數(shù)據(jù)交互平臺(tái)的所有組件都有擴(kuò)展模塊,其中數(shù)據(jù)交互通過云端執(zhí)行,數(shù)據(jù)完整性檢查在應(yīng)用程序和設(shè)備上執(zhí)行。這提供了針對惡意腳本、特洛伊木馬和病毒的主動(dòng)保護(hù),并基于最低權(quán)限限制應(yīng)用程序操作。機(jī)密數(shù)據(jù)交互平臺(tái)只能通過管理平臺(tái)集中配置。關(guān)于提供可信數(shù)據(jù)交互平臺(tái)的指令降低了攻擊的可能性。只有當(dāng)外部用戶通過外部防火墻且入侵監(jiān)控系統(tǒng)未檢測到時(shí),才可能對受信任的數(shù)據(jù)交互平臺(tái)進(jìn)行攻擊。另外在平臺(tái)系統(tǒng)的網(wǎng)絡(luò)前端,只有內(nèi)網(wǎng)前端提供管理服務(wù)器,并會(huì)關(guān)閉所有其他未使用的服務(wù)端口,以防止外部用戶攻擊文件服務(wù)器。

3 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的目前應(yīng)用和發(fā)展方向

3.1 醫(yī)院數(shù)據(jù)安全交互平臺(tái)的應(yīng)用

考慮到在建設(shè)醫(yī)院加護(hù)平臺(tái)時(shí)跨網(wǎng)安全交換數(shù)據(jù)的重要性,通過對醫(yī)院數(shù)據(jù)交換方法的深入研究,結(jié)合醫(yī)院系統(tǒng)的業(yè)務(wù)特點(diǎn),采用雙機(jī)自動(dòng)備份的方法,建立了內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間可靠的數(shù)據(jù)交互平臺(tái)。交互類型有文件級交互和應(yīng)用程序級交互。文件級交互通常用于異步數(shù)據(jù)傳輸,應(yīng)用程序級交互通常用于緊急需求。文件級交互過程如下:Internet分類系統(tǒng)前端負(fù)責(zé)收集查詢文件并將其傳輸?shù)絻?nèi)網(wǎng)分類系統(tǒng)前端,以獲取交互組件的可靠數(shù)據(jù)。

由于醫(yī)院業(yè)務(wù)系統(tǒng)的多樣性,信息交互安全平臺(tái)在大型醫(yī)院得到了廣泛的應(yīng)用。為了實(shí)現(xiàn)數(shù)據(jù)共享和互操作,不同系統(tǒng)之間原有的交互模式逐漸發(fā)展成為統(tǒng)一的信息集成平臺(tái)。因此,研究設(shè)計(jì)可靠的應(yīng)用級交互和交互需求,可以加強(qiáng)醫(yī)院信息集成平臺(tái)之間的深度集成,并進(jìn)一步提高應(yīng)用程序級別的請求響應(yīng)能力,使各業(yè)務(wù)線系統(tǒng)更健康、更敏感。同時(shí),醫(yī)院業(yè)務(wù)對實(shí)時(shí)性的要求也很高。后續(xù)可以對內(nèi)部和外部交互的實(shí)時(shí)性進(jìn)行研究,并建立適當(dāng)?shù)慕换セ赝藱C(jī)制,以確保內(nèi)部和外部交互服務(wù)的連續(xù)性。

3.2 醫(yī)院數(shù)據(jù)安全交互平臺(tái)未來的展望

一個(gè)安全高效的數(shù)據(jù)交換解決方案具有良好的示范效果。醫(yī)院的多個(gè)系統(tǒng)都需要在內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間交換信息,但是由于數(shù)據(jù)安全的考量,醫(yī)院需要按照安全策略隔離兩個(gè)網(wǎng)絡(luò)。但隨著業(yè)務(wù)發(fā)展的需要,數(shù)據(jù)傳輸對信息系統(tǒng)的交互效率和服務(wù)質(zhì)量產(chǎn)生了很大的影響。使用可信平臺(tái)進(jìn)行數(shù)據(jù)交互、訪問控制、標(biāo)記控制、對評估系統(tǒng)主機(jī)和來賓的多級訪問,通過對應(yīng)用日志和其他一些技術(shù)和方法的運(yùn)用,解決不同系統(tǒng)之間的數(shù)據(jù)操作性問題,必將改善醫(yī)院的門診服務(wù)和互動(dòng)能力,從而提高醫(yī)院的整體服務(wù)水平。

4 結(jié)語

將安全高效的數(shù)據(jù)交互平臺(tái)引入醫(yī)院與外部的信息交換系統(tǒng)中,將會(huì)對醫(yī)院信息系統(tǒng)的未來發(fā)展方向深遠(yuǎn)的影響。在確保系統(tǒng)和數(shù)據(jù)安全的大前提下,這類信息交互平臺(tái)可以提供精準(zhǔn)的實(shí)時(shí)互聯(lián)網(wǎng)服務(wù),從而大大提高互聯(lián)網(wǎng)搜索服務(wù)的范圍和準(zhǔn)確性。