◆孫保峰 譚健 程銘

醫(yī)院外聯(lián)業(yè)務(wù)集成平臺數(shù)據(jù)安全防護方案設(shè)計

◆孫保峰 譚健 程銘通訊作者

（鄭州大學第一附屬醫(yī)院 河南 450000）

醫(yī)院外聯(lián)業(yè)務(wù)集成平臺是醫(yī)院所有對外業(yè)務(wù)的集成服務(wù)管理系統(tǒng)，該系統(tǒng)既要向外部提供服務(wù)，又要與醫(yī)院內(nèi)部核心業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)交換，同時該系統(tǒng)還包含醫(yī)院財務(wù)結(jié)算、門診量、財務(wù)收入等敏感信息。文章針對鄭州大學第一附屬醫(yī)院外聯(lián)集成平臺現(xiàn)狀，針對性地設(shè)計了外聯(lián)集成平臺數(shù)據(jù)安全防護方案，從網(wǎng)絡(luò)防火墻、入侵防御、網(wǎng)閘、數(shù)據(jù)庫審計、“堡壘機”及服務(wù)器日志審計等幾個層面對外聯(lián)集成平臺的數(shù)據(jù)進行安全防護，確保了外聯(lián)集成平臺的數(shù)據(jù)安全，從而為醫(yī)院整體信息化安全提供了重要保障。

外聯(lián)業(yè)務(wù)；集成平臺；數(shù)據(jù)安全；防護方案

隨著互聯(lián)網(wǎng)+醫(yī)療的快速發(fā)展，醫(yī)院信息系統(tǒng)數(shù)量飛速膨脹，醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，醫(yī)院網(wǎng)絡(luò)對外開放程度越來越高。面對國內(nèi)外日益嚴重的網(wǎng)絡(luò)安全威脅，如何保障醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全、如何保障醫(yī)院信息系統(tǒng)數(shù)據(jù)的安全，成為醫(yī)療衛(wèi)生行業(yè)亟須解決的關(guān)鍵問題。醫(yī)院外聯(lián)業(yè)務(wù)集成平臺是醫(yī)院對外業(yè)務(wù)的統(tǒng)一集成平臺，簡稱外聯(lián)平臺，可實現(xiàn)多入口、多系統(tǒng)、多方式、多渠道的統(tǒng)一接入和管理，為患者提供一體化的就醫(yī)體驗[1]。我院于2018年末上線了外聯(lián)平臺，通過外聯(lián)平臺實現(xiàn)了統(tǒng)一的預(yù)約、掛號、繳費、查詢、結(jié)算等數(shù)據(jù)服務(wù)。本文旨在根據(jù)我院外聯(lián)集成平臺現(xiàn)狀，設(shè)計一套針對外聯(lián)集成平臺的數(shù)據(jù)安全防護方案，以保障醫(yī)院信息系統(tǒng)和患者醫(yī)療信息的安全。

1 外聯(lián)平臺現(xiàn)狀與安全風險分析

1.1 外聯(lián)平臺現(xiàn)狀

我院外聯(lián)平臺主要有信息系統(tǒng)接入、外聯(lián)業(yè)務(wù)集成和統(tǒng)一對外服務(wù)三個功能模塊組成（圖1所示）。信息系統(tǒng)接入模塊既要實現(xiàn)His、EMRS、LIS、PACS等院內(nèi)業(yè)務(wù)系統(tǒng)的接入，又要實現(xiàn)衛(wèi)生管理機構(gòu)、各類醫(yī)保、銀行、支付寶、微信、互聯(lián)網(wǎng)服務(wù)渠道等信息系統(tǒng)的接入。外聯(lián)業(yè)務(wù)集成模塊主要負責各信息系統(tǒng)的數(shù)據(jù)采集和交換，包含“患者”基本信息的校驗比對、診療數(shù)據(jù)的同步與交換、數(shù)據(jù)抽取和共享、日志監(jiān)控等功能。對外服務(wù)模塊的主要服務(wù)對象為各級衛(wèi)生管理部門、醫(yī)院行政管理部門及人民群眾和患者等，主要提供信息上報、數(shù)據(jù)檢索查詢、統(tǒng)計分析、報表查詢、業(yè)務(wù)辦理、就醫(yī)結(jié)算、檢查檢驗結(jié)果查閱與打印等服務(wù)。

1.2 安全風險分析

圖1 外聯(lián)平臺功能模塊圖

由于外聯(lián)平臺業(yè)務(wù)的特殊性，其既要為患者提供對外服務(wù)，又要從醫(yī)院內(nèi)部信息系統(tǒng)中獲取各種臨床數(shù)據(jù)，因此外聯(lián)平臺往往部署在內(nèi)外網(wǎng)互通的網(wǎng)絡(luò)環(huán)境中，其安全風險的來源也可分為兩方面，即外部網(wǎng)絡(luò)安全風險及院內(nèi)網(wǎng)絡(luò)安全風險。外部網(wǎng)絡(luò)安全風險主要有分布式拒絕服務(wù)攻擊（Distributed denial of Service，DDOS）、病毒與木馬威脅、非法入侵與接入、暴力登錄與破解等[2]，內(nèi)部網(wǎng)絡(luò)安全風險主要包括數(shù)據(jù)泄密、非法外聯(lián)、移動存儲介質(zhì)的非法接入、數(shù)據(jù)庫的不當運維與誤操作、非法統(tǒng)方等。

2 安全防護方案設(shè)計

外聯(lián)平臺數(shù)據(jù)安全防護方案的設(shè)計原則是設(shè)置多層隔離，通過認證及加密機制將安全風險盡可能地隔離在平臺外部，以保證醫(yī)院內(nèi)部各業(yè)務(wù)系統(tǒng)的平穩(wěn)運行。為保護外聯(lián)平臺數(shù)據(jù)的安全性，其數(shù)據(jù)安全防護方案擬采用“防火墻+入侵防御+網(wǎng)閘+堡壘機+數(shù)據(jù)庫審計+日志審計”的方案，其中防火墻和入侵防御設(shè)備部署在外聯(lián)平臺網(wǎng)絡(luò)對外出口處，主要應(yīng)對外部網(wǎng)絡(luò)安全風險，防范非法入侵、DDOS攻擊、暴力破解等威脅。堡壘機、數(shù)據(jù)庫審計和日志審計系統(tǒng)部署在外聯(lián)平臺和“內(nèi)網(wǎng)”環(huán)境，主要完成對外聯(lián)平臺數(shù)據(jù)庫的安全管理與審計，規(guī)范“運維”人員的日常運維操作，防止非法統(tǒng)方、私自篡改系統(tǒng)數(shù)據(jù)等內(nèi)部網(wǎng)絡(luò)安全風險。“網(wǎng)閘”主要用于系統(tǒng)內(nèi)外網(wǎng)的隔離，防止外部攻擊影響到院內(nèi)各系統(tǒng)。由于外聯(lián)平臺與醫(yī)院核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)交互量大，在“內(nèi)外網(wǎng)”數(shù)據(jù)交互區(qū)部署平臺前置機，核心業(yè)務(wù)系統(tǒng)與外聯(lián)平臺之間的數(shù)據(jù)交換主要通過前置機進行轉(zhuǎn)發(fā)[3]。外聯(lián)平臺數(shù)據(jù)安全防護方案的整體架構(gòu)如圖2所示。

3 安全防護方案部署

3.1 網(wǎng)絡(luò)防火墻

防火墻是現(xiàn)代網(wǎng)絡(luò)安全防護的重要組成部分，主要部署在網(wǎng)絡(luò)出口位置，可以實現(xiàn)對網(wǎng)絡(luò)流量的過濾，保障信息系統(tǒng)及網(wǎng)絡(luò)的安全性，通過防火墻可以實現(xiàn)內(nèi)部與外部資源的有效安全溝通。

防火墻是為加強網(wǎng)絡(luò)安全防護能力在網(wǎng)絡(luò)中部署的硬件設(shè)備，其常見的部署方式有橋模式、網(wǎng)關(guān)模式及NAT模式[4]?！皹蚰Ｊ健币部煞Q為透模式，用戶感覺不到防火墻的存在，但對經(jīng)過的流量進行了過濾，在該模式下的防火墻沒有IP地址，但是安全性較低。網(wǎng)關(guān)模式適用于內(nèi)外網(wǎng)不在同一網(wǎng)段的情況，防火墻設(shè)置網(wǎng)關(guān)地址實現(xiàn)路由器功能，為不同網(wǎng)段進行路由轉(zhuǎn)發(fā)，該模式下的防火墻在進行網(wǎng)絡(luò)訪問控制的同時實現(xiàn)了內(nèi)外網(wǎng)的隔離，比“橋模式”具備更高的安全性。NAT（Network Address Translation）模式能夠?qū)崿F(xiàn)外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，從而增強了對內(nèi)網(wǎng)的安全防護。本文所述的安全方案中防火墻采用NAT模式進行部署，同時使用地址/端口映射（MAP）技術(shù)，當外部網(wǎng)絡(luò)需要訪問內(nèi)部服務(wù)時，由防火墻將請求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)服務(wù)器上，當內(nèi)部服務(wù)器返回請求數(shù)據(jù)時，也由防火墻進行轉(zhuǎn)發(fā)，該方法增強了內(nèi)部服務(wù)器的安全性。

圖2 外聯(lián)平臺數(shù)據(jù)安全防護方案架構(gòu)圖

3.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是一種能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)數(shù)據(jù)傳輸行為的網(wǎng)絡(luò)安全設(shè)備，能夠及時阻斷、隔離一些不正?；蚓哂形：π缘臄?shù)據(jù)流量傳輸行為。本文的IPS采用串接部署在防火墻內(nèi)側(cè)，可以對網(wǎng)絡(luò)的流量實時進行監(jiān)測并對異常流量進行阻斷，保證網(wǎng)絡(luò)的安全，IPS設(shè)備的外聯(lián)口，通過單個物理口與外網(wǎng)設(shè)備互聯(lián)，“內(nèi)聯(lián)口”通過單個物理口與內(nèi)部交換機互聯(lián)，這種方式不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，只需要短暫的業(yè)務(wù)中斷就能實現(xiàn)快速部署，并且能夠?qū)W(wǎng)絡(luò)內(nèi)的異常流量進行實時處理。

3.3 網(wǎng)閘

“網(wǎng)閘”實現(xiàn)了外聯(lián)平臺內(nèi)外網(wǎng)的隔離，它由兩套各自獨立的系統(tǒng)分別連接內(nèi)網(wǎng)和外網(wǎng)，兩個網(wǎng)絡(luò)之間通過“網(wǎng)閘”實現(xiàn)數(shù)據(jù)的交換，但內(nèi)外網(wǎng)之間沒有直接的物理通路[5]。在通信過程中，“網(wǎng)閘”通過分時地使用兩套系統(tǒng)中的數(shù)據(jù)通路進行數(shù)據(jù)交換，達到了網(wǎng)絡(luò)隔離與數(shù)據(jù)交換的目的。本方案中“網(wǎng)閘”串接在外聯(lián)平臺前置機與醫(yī)院基礎(chǔ)業(yè)務(wù)服務(wù)器之間，使醫(yī)院現(xiàn)有基礎(chǔ)業(yè)務(wù)系統(tǒng)與外部環(huán)境相隔離。

3.4 數(shù)據(jù)庫審計

數(shù)據(jù)庫審計系統(tǒng)部署在“內(nèi)網(wǎng)”服務(wù)器上，通過對數(shù)據(jù)庫進行合理配置，實現(xiàn)對外聯(lián)平臺數(shù)據(jù)庫操作行為的審計，是重要的數(shù)據(jù)庫安全技術(shù)，該系統(tǒng)可以實時記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作的合規(guī)性進行管理，對數(shù)據(jù)庫遭到的風險行為進行告警，對數(shù)據(jù)庫攻擊行為進行阻斷[6]。數(shù)據(jù)庫審計系統(tǒng)通過對用戶操作數(shù)據(jù)庫的行為語句進行記錄、分析，用來幫助用戶形成事故分析報告、事故溯源報告，從而提高數(shù)據(jù)庫資產(chǎn)的安全性。該系統(tǒng)可對非法統(tǒng)方、數(shù)據(jù)庫不合理查詢統(tǒng)計操作進行記錄分析，約束數(shù)據(jù)庫用戶合理使用權(quán)限，從而保護外聯(lián)平臺數(shù)據(jù)庫資產(chǎn)的安全，防止外聯(lián)平臺敏感數(shù)據(jù)的泄露。本文所用數(shù)據(jù)庫審計系統(tǒng)部署相對簡單，只需在運行數(shù)據(jù)庫的服務(wù)器上安裝數(shù)據(jù)庫審計探針并開啟相應(yīng)的服務(wù)，即可在相應(yīng)的數(shù)據(jù)庫審計系統(tǒng)中看到已添加的待審數(shù)據(jù)庫。

3.5 堡壘機

“堡壘機”作為安全防護設(shè)備旁路接入外聯(lián)平臺交換機，主要是防護外聯(lián)平臺的網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部及內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段監(jiān)控和記錄“運維”人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，便于數(shù)據(jù)安全事件的事后審計與追溯。“堡壘機”主要功能有賬號管理、身份認證、資源授權(quán)、訪問控制和操作審計，用于防范不同背景“運維”人員的“運維”行為對信息系統(tǒng)安全帶來的安全風險。本方案中“堡壘機”旁路部署，通過設(shè)置交換機ACL訪問控制策略，防止用戶繞過“堡壘機”直接訪問目標服務(wù)器設(shè)備。

3.6 服務(wù)器日志審計

日志審計系統(tǒng)通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過統(tǒng)一分析處理后，以統(tǒng)一格式的日志文件進行集中存儲和管理，便于對各類日志進行關(guān)聯(lián)統(tǒng)計分析，實現(xiàn)對服務(wù)器日志信息的全面審計和記錄。本文中所用日志審計設(shè)備旁路接入外聯(lián)平臺交換機，在外聯(lián)平臺各服務(wù)器上安裝相對應(yīng)的日志轉(zhuǎn)發(fā)代理助手即可完成部署。

4 應(yīng)用效果

外聯(lián)業(yè)務(wù)集成平臺數(shù)據(jù)安全防護方案采用了內(nèi)外網(wǎng)隔離、防火墻與入侵防御阻斷非法攻擊、服務(wù)器與數(shù)據(jù)庫日志審計等安全策略，有效保證了醫(yī)院外聯(lián)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全性，使其滿足了國家網(wǎng)絡(luò)安全等級保護2.0的要求。

4.1 入侵防御系統(tǒng)

在入侵防御系統(tǒng)上對最近一個月的威脅事件進行統(tǒng)計分析（圖3），共偵測并阻斷網(wǎng)絡(luò)攻擊83次。

圖3 入侵防御系統(tǒng)威脅事件統(tǒng)計

4.2 堡壘機

“堡壘機”的使用規(guī)范了“運維”人員的運維操作（圖4），“運維”人員無法直接訪問業(yè)務(wù)服務(wù)器，只能通過“堡壘機”進行服務(wù)器的日常維護，極大地降低了“運維”人員的不當操作對信息系統(tǒng)帶來的安全風險。

圖4 堡壘機運維審計

4.3 數(shù)據(jù)庫審計

數(shù)據(jù)庫審計可以實時監(jiān)測用戶對數(shù)據(jù)庫的各種操作，對各種風險進行及時有效預(yù)警，對數(shù)據(jù)庫用戶的各種行為進行記錄存檔，便于事故追溯，增強數(shù)據(jù)庫的安全性[7]，如圖5所示，我院外聯(lián)平臺數(shù)據(jù)庫審計語句量已達12.93億。

圖5 數(shù)據(jù)庫審計系統(tǒng)

5 結(jié)語

我院目前年門診量接近780萬，龐大的就醫(yī)群體給醫(yī)院帶來了海量的患者臨床數(shù)據(jù)，如何在保證患者數(shù)據(jù)安全的前提下實現(xiàn)全院數(shù)據(jù)共享，從而提升患者就醫(yī)體驗，是醫(yī)院信息化建設(shè)面對的極大挑戰(zhàn)。本文完成了外聯(lián)業(yè)務(wù)集成平臺數(shù)據(jù)安全防護方案的設(shè)計，利用防火墻、網(wǎng)閘、堡壘機、數(shù)據(jù)庫審計等網(wǎng)絡(luò)安全設(shè)備從網(wǎng)絡(luò)、服務(wù)器、核心數(shù)據(jù)庫及上層應(yīng)用出發(fā)，實現(xiàn)了對外聯(lián)平臺數(shù)據(jù)的安全防護，極大地保證了醫(yī)院網(wǎng)絡(luò)安全、信息安全和數(shù)據(jù)安全。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施，標志著等級保護2.0的正式啟動，在等保2.0的要求中，海量的患者臨床數(shù)據(jù)同樣是等級保護的對象[8]，目前，我院外聯(lián)業(yè)務(wù)集成平臺已通過國家信息安全等級保護三級認證。

[1]楊霜英，于京杰，錢海元，等.醫(yī)院外聯(lián)業(yè)務(wù)集成平臺設(shè)計與應(yīng)用實踐[J].醫(yī)學研究生學報，2018，31（9）：967-971.

[2]王立準，王春雨，夏美蓮.基于大型公立醫(yī)院業(yè)務(wù)網(wǎng)安全管理的分析與研究[J].中國數(shù)字醫(yī)學，2012，7（31）：83-85.

[3]施文杰.醫(yī)院外聯(lián)平臺建設(shè)解決方案[J].醫(yī)學信息學雜質(zhì)，2018，39（11）：45-48.

[4]孫瑜.基于醫(yī)院關(guān)鍵信息基礎(chǔ)設(shè)施安全防護技術(shù)的研究與實踐[J].網(wǎng)絡(luò)空間安全，2019，10（4）：31-36.

[5]陳晨，包曾.醫(yī)院網(wǎng)絡(luò)安全管理體系的建設(shè)方法分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（8）：128-129.

[6]曾運強.大數(shù)據(jù)時代醫(yī)院網(wǎng)絡(luò)安全防御架構(gòu)研究與設(shè)計[J].現(xiàn)代信息科技，2020（6）：162-166.

[7]唐杰，譚軍.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全防護方案設(shè)計[J].醫(yī)學信息學雜志，2018，40（5）：44-47.

[8]公安部網(wǎng)絡(luò)安全等級保護中心.網(wǎng)絡(luò)安全等級保護2.0標準解讀[EB/OL]. http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a81825674296d130174bdf702c8002e，2020-09-24/2020-11-08.

河南省醫(yī)學科技攻關(guān)項目（2018020087）