【作者】李柯，夏勇，王偉南京醫(yī)科大學(xué)附屬無(wú)錫市人民醫(yī)院，無(wú)錫市，214023

?

醫(yī)院移動(dòng)就診新模式中安全策略模型的探討

【作者】李柯，夏勇，王偉
南京醫(yī)科大學(xué)附屬無(wú)錫市人民醫(yī)院，無(wú)錫市，214023

【摘要】該文探討分析了目前移動(dòng)醫(yī)院信息安全的現(xiàn)狀，提出一種移動(dòng)診療安全新模式，并對(duì)其架構(gòu)和涉及的解決方案進(jìn)行了詳盡的闡述。該模型的運(yùn)用使得醫(yī)院信息化整體安全水平得到進(jìn)一步的提高和加強(qiáng)，對(duì)提升醫(yī)院整體管理水平有著積極意義。

【關(guān) 鍵 詞】移動(dòng)醫(yī)院；信息安全；解決方案；醫(yī)院管理

0　引言

隨著無(wú)線移動(dòng)技術(shù)的興起和發(fā)展，移動(dòng)醫(yī)療系統(tǒng)在國(guó)內(nèi)方興未艾，其中以移動(dòng)護(hù)理、生命體征監(jiān)測(cè)、無(wú)線輸液等領(lǐng)域最具代表性，這些系統(tǒng)的運(yùn)用，很大程度上簡(jiǎn)化了診療服務(wù)流程，使得醫(yī)護(hù)人員的工作效率得到進(jìn)一步提升。然而，隨著醫(yī)院信息化[1]程度的不斷提高，信息安全已成為醫(yī)院工作中不可回避的重要問題。

1　現(xiàn)狀分析

近年來移動(dòng)醫(yī)療[2]在為醫(yī)療行業(yè)帶來無(wú)數(shù)便利的同時(shí)，其信息安全問題也接踵而來，人們對(duì)于移動(dòng)健康應(yīng)用監(jiān)管領(lǐng)域的擔(dān)憂也愈加嚴(yán)重，據(jù)國(guó)外開放安全基金(Open Security Foundation)[6]統(tǒng)計(jì)，近年來發(fā)生的資料泄密事件中，有將近1/7來自于醫(yī)療行業(yè)，而且這一數(shù)字每年還在不斷攀升。如何保障移動(dòng)醫(yī)療的數(shù)據(jù)安全和數(shù)據(jù)隱私，成為了國(guó)內(nèi)外移動(dòng)醫(yī)療機(jī)構(gòu)亟待解決的問題。

2　移動(dòng)診療安全策略模型介紹

在開放式數(shù)據(jù)流及移動(dòng)通信網(wǎng)絡(luò)的環(huán)境下，網(wǎng)絡(luò)信息的安全性和保證患者隱私對(duì)于醫(yī)療行業(yè)是至關(guān)重要的。為此本文嘗試構(gòu)建醫(yī)院移動(dòng)就診安全模型，如圖1所示。我們從帳戶、硬件、服務(wù)、以及數(shù)據(jù)交互四大重要環(huán)節(jié)進(jìn)行考慮和探討，通過層層安全控制，力爭(zhēng)將信息安全[3]隱患降低到最低。

圖1　安全模型圖Fig.1 Security model diagram

2.1硬件架構(gòu)和環(huán)境安全

系統(tǒng)硬件架構(gòu)包括前置機(jī)、防火墻、網(wǎng)閘等。在確保網(wǎng)絡(luò)安全方面，系統(tǒng)外圍聯(lián)合運(yùn)用防火墻和網(wǎng)閘，兩者取長(zhǎng)補(bǔ)短配合使用，由于兩者的工作原理不同，安全側(cè)重點(diǎn)也不一樣。防火墻作為第一層安全防護(hù)，能有效管理各類訪問數(shù)據(jù)包，通過限制網(wǎng)絡(luò)邊界的方式來禁止入侵者破壞網(wǎng)絡(luò)；其次對(duì)沒有權(quán)限的用戶進(jìn)行限定，禁止其接入；最后在防護(hù)過程中進(jìn)行網(wǎng)絡(luò)監(jiān)測(cè)。網(wǎng)閘作為第二層防護(hù)，它是一種物理存儲(chǔ)介質(zhì)，一種簡(jiǎn)單的控制管理電路。網(wǎng)閘部署在內(nèi)外網(wǎng)之間，內(nèi)外網(wǎng)之間永遠(yuǎn)間接連接，兩者在同一周期內(nèi)有且只有一個(gè)網(wǎng)絡(luò)會(huì)與網(wǎng)閘之間進(jìn)行非TCP/IP協(xié)議的數(shù)據(jù)交換，最大限度地隔離內(nèi)外網(wǎng)，維護(hù)內(nèi)部系統(tǒng)和核心應(yīng)用的安全，并能有效杜絕防火墻技術(shù)的安全漏洞。與此同時(shí)，我們?cè)趦?nèi)外網(wǎng)之間部署有前置機(jī)服務(wù)器，對(duì)外提供各種接口服務(wù)，對(duì)內(nèi)隔離保護(hù)后臺(tái)核心應(yīng)用，保證外部請(qǐng)求和用戶不能直接訪問核心服務(wù)。前置機(jī)提供了與核心服務(wù)主機(jī)交流的一個(gè)橋梁，經(jīng)過前置機(jī)的控制和調(diào)用可以大大減輕后臺(tái)核心服務(wù)器的壓力。

2.2賬戶控制安全

賬戶控制分為用戶認(rèn)證、家庭安全控制以及變更控制三部分組成。系統(tǒng)提供了多種認(rèn)證方式，包括卡號(hào)姓名匹配、身份證號(hào)認(rèn)證、手機(jī)號(hào)碼驗(yàn)證等，用戶注冊(cè)時(shí)需提供身份證號(hào)，并通過手機(jī)號(hào)碼進(jìn)行短信驗(yàn)證，綁定就診卡時(shí)必須與院內(nèi)預(yù)留的信息相符且通過唯一性驗(yàn)證方能成功綁定。系統(tǒng)提供了家庭賬戶安全控制功能，利用注冊(cè)時(shí)的預(yù)留信息進(jìn)行驗(yàn)證，可將父母賬戶、兒女賬戶以及夫妻賬戶合并為統(tǒng)一的家庭賬戶，在家庭賬戶中可確定一名管理員，對(duì)家庭賬戶的類型和權(quán)限做出有效管理，與此同時(shí)家庭成員隨時(shí)可解除自己被綁定狀態(tài)。變更控制方面系統(tǒng)則從兩點(diǎn)入手提供有效保障，一方面若用戶賬戶開啟了自動(dòng)登陸，系統(tǒng)會(huì)提供用戶設(shè)置專用簡(jiǎn)化密碼服務(wù)；另一方面若用戶未開啟自動(dòng)登陸功能，系統(tǒng)通過密碼保護(hù)用戶安全，系統(tǒng)登陸有時(shí)效性，過期失效。

2.3院方服務(wù)安全

院方對(duì)各類服務(wù)進(jìn)行嚴(yán)格的評(píng)審，允許開放的服務(wù)才可以被部署；服務(wù)出入院方局域網(wǎng)環(huán)境必須被完美包裝，避免泄露任何信息；出入院方的服務(wù)請(qǐng)求必須是通過規(guī)范的入口、采用規(guī)范的格式，并且請(qǐng)求方是已經(jīng)被安全認(rèn)證的；服務(wù)的調(diào)用日志時(shí)刻被審計(jì)，出現(xiàn)意外范圍的請(qǐng)求調(diào)用，必須馬上進(jìn)行預(yù)警通知。

2.4數(shù)據(jù)交互安全

由于訪問請(qǐng)求與端對(duì)端間數(shù)據(jù)在流轉(zhuǎn)和遷移過程中的安全性顯得格外重要，所以接下來重點(diǎn)探討的是數(shù)據(jù)交互安全，為此我們嘗試建立安全訪問通道，并在各層間通信過程中采用數(shù)字簽名技術(shù)和非對(duì)稱加密方式來保障數(shù)據(jù)和訪問的安全性。

移動(dòng)終端、服務(wù)端、以及院方ESB服務(wù)總線控制端三方進(jìn)行數(shù)據(jù)交互訪問時(shí)，為了對(duì)端對(duì)端間的訪問進(jìn)行有效的控制，防止越級(jí)訪問和敏感數(shù)據(jù)泄露等風(fēng)險(xiǎn)的發(fā)生，系統(tǒng)使用SSL VPN協(xié)議來建立安全訪問通道。

SSL VPN是一種新興的VPN技術(shù)。SSL VPN指的是以SSL協(xié)議建立加密連接的VPN網(wǎng)絡(luò)。SSL VPN考慮的是應(yīng)用程序的安全性，其協(xié)議工作在傳輸層之上，保護(hù)的是應(yīng)用程序之間的安全連接和訪問，更多應(yīng)用在web的遠(yuǎn)程安全接入方面。

通過SSL VPN建立的安全訪問通道，我們可以實(shí)現(xiàn)對(duì)數(shù)據(jù)和請(qǐng)求的細(xì)粒度訪問控制。移動(dòng)終端用戶接入院方ESB服務(wù)控制端時(shí)，系統(tǒng)后臺(tái)提供了多種接入訪問方式，并根據(jù)相應(yīng)安全策略的檢查，來檢測(cè)接入訪問的安全性，防止越級(jí)訪問現(xiàn)象的出現(xiàn)。與此同時(shí)，安全通道采用基于角色的權(quán)限管理方式，為每個(gè)接入用戶分配相應(yīng)的角色，一方面根據(jù)用戶的身份來控制接入ESB端的數(shù)量，防止服務(wù)端負(fù)載過大，另一方面動(dòng)態(tài)分配接入用戶的角色權(quán)限，限制用戶可以訪問的服務(wù)器端資源。

通過安全訪問通道的建立和運(yùn)用，我們能夠有效防止病患私密數(shù)據(jù)的泄露，避免個(gè)人健康信息以不正當(dāng)或惡意目的被采集、存儲(chǔ)以及使用，切實(shí)保障院內(nèi)各類信息數(shù)據(jù)的安全。流程和圖例如下：

步驟1：用戶發(fā)起訪問控制請(qǐng)求，系統(tǒng)檢測(cè)接入訪問的安全性。

步驟2：檢測(cè)被請(qǐng)求的數(shù)據(jù)是否被允許訪問，若允許則進(jìn)入角色訪問控制流程步驟3。

步驟3：根據(jù)接入用戶提供的信息和數(shù)據(jù)庫(kù)內(nèi)用戶的屬性信息，依據(jù)相應(yīng)的角色集規(guī)則為用戶分配角色，并根據(jù)用戶角色判定用戶的訪問目的。

步驟4：檢測(cè)用戶訪問目的和角色目的是否一致，若一致則進(jìn)入步驟5。

步驟5：角色被激活，用戶訪問請(qǐng)求生效。

圖2　安全訪問通道流程圖Fig.2 Safe access channel fl ow diagram

在數(shù)據(jù)傳輸過程中，我們采用非對(duì)稱加密技術(shù)和數(shù)字簽名相結(jié)合的方案。非對(duì)稱密鑰加密是指在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的(即公鑰)，解密密鑰是保密的(即私鑰)。

對(duì)于端對(duì)端間訪問的身份驗(yàn)證我們采用數(shù)字簽名技術(shù)，利用請(qǐng)求端(移動(dòng)終端、ESB端等)的私鑰對(duì)身份信息加密，與原傳輸數(shù)據(jù)一起發(fā)送給服務(wù)端。服務(wù)端只有用請(qǐng)求端的公鑰才能解密被加密的訪問信息并進(jìn)行身份驗(yàn)證。

端對(duì)端間的數(shù)據(jù)傳輸過程我們使用RSA算法和數(shù)字簽名來實(shí)現(xiàn)，請(qǐng)求端使用服務(wù)端提供的公鑰對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并使用自己的私鑰對(duì)傳輸數(shù)據(jù)進(jìn)行相應(yīng)的數(shù)字簽名，服務(wù)端則使用自己的私鑰對(duì)數(shù)據(jù)進(jìn)行解密，并使用請(qǐng)求端發(fā)布的公鑰對(duì)數(shù)字簽名進(jìn)行身份驗(yàn)證，以保證數(shù)據(jù)來源的安全和完整。

3　總結(jié)與展望

從目前來看，移動(dòng)互聯(lián)網(wǎng)醫(yī)療正處于一個(gè)無(wú)序發(fā)展的市場(chǎng)，移動(dòng)就診在為醫(yī)院診療服務(wù)帶來諸多便利的同時(shí)，其安全問題始終是業(yè)內(nèi)人士值得關(guān)注的重點(diǎn)。特別是信息安全和服務(wù)質(zhì)量的風(fēng)險(xiǎn)尤其巨大。醫(yī)院信息安全建設(shè)作為一項(xiàng)系統(tǒng)工程，必須不斷優(yōu)化安全策略，才能應(yīng)對(duì)不同的安全風(fēng)險(xiǎn)挑戰(zhàn)。本文從移動(dòng)互聯(lián)網(wǎng)醫(yī)院的實(shí)際應(yīng)用出發(fā)，分析了當(dāng)前移動(dòng)醫(yī)院信息安全的現(xiàn)狀，提出一種移動(dòng)診療安全新模式。該模式的運(yùn)用使得醫(yī)院移動(dòng)就診平臺(tái)處于相對(duì)較高的安全水平，進(jìn)而保證醫(yī)院管理工作的順利開展。

參考文獻(xiàn)

[1] 王志華, 尚華, 李包羅. 依靠信息化提升醫(yī)院管理水平[J]. 中國(guó)數(shù)字醫(yī)學(xué), 2011, 6(9): 10-12.

[2] 王帥, 杜春淼, 沙憲政. 淺談國(guó)內(nèi)移動(dòng)醫(yī)療軟件監(jiān)管工作[J]. 中國(guó)醫(yī)療器械雜志, 2015, 39(5): 353-355.

[3] 蔡雨蒙, 朱一新, 劉云, 等. 醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)探討[J]. 醫(yī)學(xué)信息學(xué), 2014, 35(9): 12-15.

[4] 傅征. 醫(yī)院信息化推進(jìn)之路[J].中華醫(yī)院管理雜志, 2002, 18(4): 197-198.

[5] 王遠(yuǎn)朋. Android系統(tǒng)下的移動(dòng)醫(yī)生工作站的研究與設(shè)計(jì)[D]. 鎮(zhèn)江: 江蘇大學(xué), 2014.

[6] Agarwal S, Lau CT. Remote health monitoring using mobile phones and Web services[J].Tele Med e-Health, 2010, 16(5): 603-607.

The Explore of the Security Strategy Model in Hospital Mobile Clinic New Mode

【W(wǎng)riters】LI Ke, XIA Yong, WANG Wei
Wuxi People’s Hospital Affi liated to Nanjing Medical University, Wuxi, 214023

【Abstract】The paper elaborates and analyzes the current status of mobile hospital information security, then puts forward a security new model of the mobile treatment, then its architecture and solutions is elaborated. The use of this model makes the overall security level of hospital information to be further improved and enhanced, it has a positive signifi cance to promote the overall hospital management level.

【Key words】mobile hospital, information security, solutions, hospital management

【中圖分類號(hào)】TP315

【文獻(xiàn)標(biāo)志碼】A

doi:10.3969/j.issn.1671-7104.2016.02.023

文章編號(hào)：1671-7104(2016)02-0150-03

收稿日期：2015-11-05

基金項(xiàng)目：無(wú)錫市醫(yī)管中心智慧醫(yī)療項(xiàng)目(YGZXH1408)

作者簡(jiǎn)介：李柯，E-mail：lk_yaya@163.com