【作者】李柯，夏勇，王偉南京醫(yī)科大學附屬無錫市人民醫(yī)院，無錫市，214023

?

醫(yī)院移動就診新模式中安全策略模型的探討

【作者】李柯，夏勇，王偉
南京醫(yī)科大學附屬無錫市人民醫(yī)院，無錫市，214023

【摘要】該文探討分析了目前移動醫(yī)院信息安全的現(xiàn)狀，提出一種移動診療安全新模式，并對其架構和涉及的解決方案進行了詳盡的闡述。該模型的運用使得醫(yī)院信息化整體安全水平得到進一步的提高和加強，對提升醫(yī)院整體管理水平有著積極意義。

【關 鍵 詞】移動醫(yī)院；信息安全；解決方案；醫(yī)院管理

0　引言

隨著無線移動技術的興起和發(fā)展，移動醫(yī)療系統(tǒng)在國內方興未艾，其中以移動護理、生命體征監(jiān)測、無線輸液等領域最具代表性，這些系統(tǒng)的運用，很大程度上簡化了診療服務流程，使得醫(yī)護人員的工作效率得到進一步提升。然而，隨著醫(yī)院信息化[1]程度的不斷提高，信息安全已成為醫(yī)院工作中不可回避的重要問題。

1　現(xiàn)狀分析

近年來移動醫(yī)療[2]在為醫(yī)療行業(yè)帶來無數(shù)便利的同時，其信息安全問題也接踵而來，人們對于移動健康應用監(jiān)管領域的擔憂也愈加嚴重，據(jù)國外開放安全基金(Open Security Foundation)[6]統(tǒng)計，近年來發(fā)生的資料泄密事件中，有將近1/7來自于醫(yī)療行業(yè)，而且這一數(shù)字每年還在不斷攀升。如何保障移動醫(yī)療的數(shù)據(jù)安全和數(shù)據(jù)隱私，成為了國內外移動醫(yī)療機構亟待解決的問題。

2　移動診療安全策略模型介紹

在開放式數(shù)據(jù)流及移動通信網(wǎng)絡的環(huán)境下，網(wǎng)絡信息的安全性和保證患者隱私對于醫(yī)療行業(yè)是至關重要的。為此本文嘗試構建醫(yī)院移動就診安全模型，如圖1所示。我們從帳戶、硬件、服務、以及數(shù)據(jù)交互四大重要環(huán)節(jié)進行考慮和探討，通過層層安全控制，力爭將信息安全[3]隱患降低到最低。

圖1　安全模型圖Fig.1 Security model diagram

2.1硬件架構和環(huán)境安全

系統(tǒng)硬件架構包括前置機、防火墻、網(wǎng)閘等。在確保網(wǎng)絡安全方面，系統(tǒng)外圍聯(lián)合運用防火墻和網(wǎng)閘，兩者取長補短配合使用，由于兩者的工作原理不同，安全側重點也不一樣。防火墻作為第一層安全防護，能有效管理各類訪問數(shù)據(jù)包，通過限制網(wǎng)絡邊界的方式來禁止入侵者破壞網(wǎng)絡；其次對沒有權限的用戶進行限定，禁止其接入；最后在防護過程中進行網(wǎng)絡監(jiān)測。網(wǎng)閘作為第二層防護，它是一種物理存儲介質，一種簡單的控制管理電路。網(wǎng)閘部署在內外網(wǎng)之間，內外網(wǎng)之間永遠間接連接，兩者在同一周期內有且只有一個網(wǎng)絡會與網(wǎng)閘之間進行非TCP/IP協(xié)議的數(shù)據(jù)交換，最大限度地隔離內外網(wǎng)，維護內部系統(tǒng)和核心應用的安全，并能有效杜絕防火墻技術的安全漏洞。與此同時，我們在內外網(wǎng)之間部署有前置機服務器，對外提供各種接口服務，對內隔離保護后臺核心應用，保證外部請求和用戶不能直接訪問核心服務。前置機提供了與核心服務主機交流的一個橋梁，經過前置機的控制和調用可以大大減輕后臺核心服務器的壓力。

2.2賬戶控制安全

賬戶控制分為用戶認證、家庭安全控制以及變更控制三部分組成。系統(tǒng)提供了多種認證方式，包括卡號姓名匹配、身份證號認證、手機號碼驗證等，用戶注冊時需提供身份證號，并通過手機號碼進行短信驗證，綁定就診卡時必須與院內預留的信息相符且通過唯一性驗證方能成功綁定。系統(tǒng)提供了家庭賬戶安全控制功能，利用注冊時的預留信息進行驗證，可將父母賬戶、兒女賬戶以及夫妻賬戶合并為統(tǒng)一的家庭賬戶，在家庭賬戶中可確定一名管理員，對家庭賬戶的類型和權限做出有效管理，與此同時家庭成員隨時可解除自己被綁定狀態(tài)。變更控制方面系統(tǒng)則從兩點入手提供有效保障，一方面若用戶賬戶開啟了自動登陸，系統(tǒng)會提供用戶設置專用簡化密碼服務；另一方面若用戶未開啟自動登陸功能，系統(tǒng)通過密碼保護用戶安全，系統(tǒng)登陸有時效性，過期失效。

2.3院方服務安全

院方對各類服務進行嚴格的評審，允許開放的服務才可以被部署；服務出入院方局域網(wǎng)環(huán)境必須被完美包裝，避免泄露任何信息；出入院方的服務請求必須是通過規(guī)范的入口、采用規(guī)范的格式，并且請求方是已經被安全認證的；服務的調用日志時刻被審計，出現(xiàn)意外范圍的請求調用，必須馬上進行預警通知。

2.4數(shù)據(jù)交互安全

由于訪問請求與端對端間數(shù)據(jù)在流轉和遷移過程中的安全性顯得格外重要，所以接下來重點探討的是數(shù)據(jù)交互安全，為此我們嘗試建立安全訪問通道，并在各層間通信過程中采用數(shù)字簽名技術和非對稱加密方式來保障數(shù)據(jù)和訪問的安全性。

移動終端、服務端、以及院方ESB服務總線控制端三方進行數(shù)據(jù)交互訪問時，為了對端對端間的訪問進行有效的控制，防止越級訪問和敏感數(shù)據(jù)泄露等風險的發(fā)生，系統(tǒng)使用SSL VPN協(xié)議來建立安全訪問通道。

SSL VPN是一種新興的VPN技術。SSL VPN指的是以SSL協(xié)議建立加密連接的VPN網(wǎng)絡。SSL VPN考慮的是應用程序的安全性，其協(xié)議工作在傳輸層之上，保護的是應用程序之間的安全連接和訪問，更多應用在web的遠程安全接入方面。

通過SSL VPN建立的安全訪問通道，我們可以實現(xiàn)對數(shù)據(jù)和請求的細粒度訪問控制。移動終端用戶接入院方ESB服務控制端時，系統(tǒng)后臺提供了多種接入訪問方式，并根據(jù)相應安全策略的檢查，來檢測接入訪問的安全性，防止越級訪問現(xiàn)象的出現(xiàn)。與此同時，安全通道采用基于角色的權限管理方式，為每個接入用戶分配相應的角色，一方面根據(jù)用戶的身份來控制接入ESB端的數(shù)量，防止服務端負載過大，另一方面動態(tài)分配接入用戶的角色權限，限制用戶可以訪問的服務器端資源。

通過安全訪問通道的建立和運用，我們能夠有效防止病患私密數(shù)據(jù)的泄露，避免個人健康信息以不正當或惡意目的被采集、存儲以及使用，切實保障院內各類信息數(shù)據(jù)的安全。流程和圖例如下：

步驟1：用戶發(fā)起訪問控制請求，系統(tǒng)檢測接入訪問的安全性。

步驟2：檢測被請求的數(shù)據(jù)是否被允許訪問，若允許則進入角色訪問控制流程步驟3。

步驟3：根據(jù)接入用戶提供的信息和數(shù)據(jù)庫內用戶的屬性信息，依據(jù)相應的角色集規(guī)則為用戶分配角色，并根據(jù)用戶角色判定用戶的訪問目的。

步驟4：檢測用戶訪問目的和角色目的是否一致，若一致則進入步驟5。

步驟5：角色被激活，用戶訪問請求生效。

圖2　安全訪問通道流程圖Fig.2 Safe access channel fl ow diagram

在數(shù)據(jù)傳輸過程中，我們采用非對稱加密技術和數(shù)字簽名相結合的方案。非對稱密鑰加密是指在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的(即公鑰)，解密密鑰是保密的(即私鑰)。

對于端對端間訪問的身份驗證我們采用數(shù)字簽名技術，利用請求端(移動終端、ESB端等)的私鑰對身份信息加密，與原傳輸數(shù)據(jù)一起發(fā)送給服務端。服務端只有用請求端的公鑰才能解密被加密的訪問信息并進行身份驗證。

端對端間的數(shù)據(jù)傳輸過程我們使用RSA算法和數(shù)字簽名來實現(xiàn)，請求端使用服務端提供的公鑰對傳輸數(shù)據(jù)進行加密，并使用自己的私鑰對傳輸數(shù)據(jù)進行相應的數(shù)字簽名，服務端則使用自己的私鑰對數(shù)據(jù)進行解密，并使用請求端發(fā)布的公鑰對數(shù)字簽名進行身份驗證，以保證數(shù)據(jù)來源的安全和完整。

3　總結與展望

從目前來看，移動互聯(lián)網(wǎng)醫(yī)療正處于一個無序發(fā)展的市場，移動就診在為醫(yī)院診療服務帶來諸多便利的同時，其安全問題始終是業(yè)內人士值得關注的重點。特別是信息安全和服務質量的風險尤其巨大。醫(yī)院信息安全建設作為一項系統(tǒng)工程，必須不斷優(yōu)化安全策略，才能應對不同的安全風險挑戰(zhàn)。本文從移動互聯(lián)網(wǎng)醫(yī)院的實際應用出發(fā)，分析了當前移動醫(yī)院信息安全的現(xiàn)狀，提出一種移動診療安全新模式。該模式的運用使得醫(yī)院移動就診平臺處于相對較高的安全水平，進而保證醫(yī)院管理工作的順利開展。

參考文獻

[1] 王志華, 尚華, 李包羅. 依靠信息化提升醫(yī)院管理水平[J]. 中國數(shù)字醫(yī)學, 2011, 6(9): 10-12.

[2] 王帥, 杜春淼, 沙憲政. 淺談國內移動醫(yī)療軟件監(jiān)管工作[J]. 中國醫(yī)療器械雜志, 2015, 39(5): 353-355.

[3] 蔡雨蒙, 朱一新, 劉云, 等. 醫(yī)療衛(wèi)生行業(yè)信息安全等級保護探討[J]. 醫(yī)學信息學, 2014, 35(9): 12-15.

[4] 傅征. 醫(yī)院信息化推進之路[J].中華醫(yī)院管理雜志, 2002, 18(4): 197-198.

[5] 王遠朋. Android系統(tǒng)下的移動醫(yī)生工作站的研究與設計[D]. 鎮(zhèn)江: 江蘇大學, 2014.

[6] Agarwal S, Lau CT. Remote health monitoring using mobile phones and Web services[J].Tele Med e-Health, 2010, 16(5): 603-607.

The Explore of the Security Strategy Model in Hospital Mobile Clinic New Mode

【W(wǎng)riters】LI Ke, XIA Yong, WANG Wei
Wuxi People’s Hospital Affi liated to Nanjing Medical University, Wuxi, 214023

【Abstract】The paper elaborates and analyzes the current status of mobile hospital information security, then puts forward a security new model of the mobile treatment, then its architecture and solutions is elaborated. The use of this model makes the overall security level of hospital information to be further improved and enhanced, it has a positive signifi cance to promote the overall hospital management level.

【Key words】mobile hospital, information security, solutions, hospital management

【中圖分類號】TP315

【文獻標志碼】A

doi:10.3969/j.issn.1671-7104.2016.02.023

文章編號：1671-7104(2016)02-0150-03

收稿日期：2015-11-05

基金項目：無錫市醫(yī)管中心智慧醫(yī)療項目(YGZXH1408)

作者簡介：李柯，E-mail：lk_yaya@163.com