掌上医院平台信息安全风险分析与控制

陈 明

(福建医科大学附属第一医院，福建福州350005)

随着移动互联网时代的到来，国内医疗行业的众多单位也陆续开放移动互联网接口，掌上医院平台应运而生[1]。掌上医院平台通过移动互联网应用改善医院就诊流程，提升医院资源利用率，为病患提供更加智慧的医院环境。然而，移动互联网在给公众带来方便快捷的数据服务的同时，也带来更多的信息安全隐患[2-3]。根据中国互联网应急中心统计数据显示，2017年中国移动互联网的恶意程序数量达到253万多个，比2016年增长23.4%，持续8年保持高速增长趋势[4]。面对严峻的信息安全形势，降低掌上医院平台运行的安全风险，保障患者隐私信息的安全，成为医院建设掌上医院平台首先要解决的问题。笔者尝试分析掌上医院平台存在的信息安全风险，结合信息安全等级保护的相关要求，探讨信息安全风险控制措施，从而提高掌上医院平台安全防护能力。

一、掌上医院平台简介

(一)功能组成及网络结构

掌上医院平台主要借助移动应用软件(Application,APP)为大众提供医疗服务。掌上医院APP分为两大类，分别是公众版和医护版。公众版包括医疗咨询类、医疗服务类、公共服务类、线上资金结算平台等四个模块，为患者提供预约挂号、分诊叫号、智能导诊、自助缴费、检查报告及就医信息查阅等方便快捷的移动医疗服务。医护版由门诊业务、住院业务、信息管理等构成高效、实时、动态的医疗信息交互管理平台，优化日常工作管理流程，为医护人员提供无时间、空间限制的医疗信息环境。

掌上医院平台外部连接互联网医患人员客户端，为患者和医护人员提供数据服务；同时按需连接银联、微信、支付宝等移动在线支付的开放接口进行信息交互，实现自助缴费等功能。其内部连接掌上医院平台后台数据库和医院业务网，按需与集成平台或各业务系统进行信息交互。

(二)业务处理流程

掌上医院平台主要由访问子系统、数据交换子系统、业务运维子系统以及后台数据库和业务处理子系统组成，它深度融合医院信息系统(Hospital Information System,HIS)、实验室信息系统(Laboratory Information System，LIS)、电子病历系统(Electronic Medical Record，EMR)、影像存档及通信系统(Picture Archiving and Communication System，PACS)等医院内部业务信息系统，向公众提供医疗数据服务(图1)。

图1 掌上医院平台业务处理流程

用户利用掌上医院APP，通过互联网向掌上医院平台应用访问子系统发起医疗服务数据请求。访问子系统将数据请求发送到业务处理子系统，调用内网掌上医院后台数据库或核心系统数据库进行数据处理。在医疗服务业务处理完毕后，业务处理子系统会将处理结果通过数据交换子系统中转反馈用户。

(三)用户与数据

掌上医院平台的用户主要分为两类。第一类为医院内部员工，包括医院业务普通操作用户、后台业务系统维护人员、系统技术支持用户和信息安全审计用户，不同的用户分配不同的权限以完成相应的工作任务。第二类为患者，包括所有在医院信息系统开通就诊账户的患者，他们根据自身角色所拥有的特定权限办理各自不同的医疗服务业务。

掌上医院平台的数据主要分为以下五种：(1)开展医疗服务相关业务的数据；(2)业务人员用于管理业务系统运行的有关数据；(3)涉及与掌上医院平台各类用户相关联的权限控制以及身份识别的数据；(4)用于监控和审计系统的运行管理和系统安全相关的数据，如所有类型用户的操作日志，业务数据传输日志，系统安全监控的记录等；(5)掌上医院平台运行过程中相关的网络设备、系统服务器以及安防设备产生的一系列其它数据。

二、掌上医院平台安全风险分析

移动互联网的应用场景和威胁场景是不断裂变的，其安全问题主要表现在终端、网络和业务应用三个层面，并以终端设备为跳板威胁移动应用所连接的组织、机构。作为基于移动互联网的应用，掌上医院平台的数据交互过程涉及智能终端、移动通讯网络、互联网、院内网络等多个环节，每个环节都存在风险因素[5-6]。

(一)移动客户端安全风险

Android环境下的掌上医院APP极易被不法人员通过各种手段获取其程序架构、处理流程及加密解密算法等信息。除此之外，客户端本地存储的业务数据如果未加密，极易被攻击者通过文件管理软件获得，造成数据泄露。

(二)无线通信过程安全风险

掌上医院APP是基于无线网络运行的，而无线网是依靠无线电波进行传输，若APP程序与服务器在通信过程中缺乏可靠的加密措施，一旦其遭受监听，就会造成用户个人信息或应用程序编程接口(Application Programming Interface，API)信息的泄露[7]。

(三)网络边界接入风险

掌上医院平台的边界风险最主要是互联网接入风险，主要包括互联网用户接入和移动用户接入等外部公共网络风险。一些非法入侵、非法访问、流量分析、恶意软件攻击等行为可能导致业务系统服务瘫痪等严重后果。

(四)操作系统和数据库系统安全风险

作为掌上医院平台赖以运转的的基础及核心软件，服务器操作系统(包含应用中间件系统)和数据库系统可能存在安全漏洞和弱口令的，一些高危漏洞和弱口令一旦被黑客利用，将会破坏患者敏感信息的保密性与完整性。

(五)API服务平台安全风险

掌上医院平台的应用程序接口同样面临着Web服务端所面临的安全风险，如抗分布式拒绝服务攻击、SQL注入漏洞攻击、跨站脚本攻击等，这些攻击可能导致掌上医院平台业务中断、数据泄露或者被篡改等后果。

(六)用户身份信息被冒用风险

在掌上医院平台中，患者的用户名和密码一旦被窃取，其隐私信息将遭到泄露。此外，由于员工使用的用户名和密码与院内系统相同，其用户认证信息一旦被盗用，会导致掌上医院平台后端数据被非授权访问，并给员工的其它系统账户带来安全隐患。

三、掌上医院平台风险控制

2007年6月，国家正式出台了《信息安全等级保护管理办法》，明确了信息安全等级保护制度的工作规范及要求，该办法与后续的配套文件形成了国家信息安全等级保护体系，基本满足了国内等级保护制度的实施需求。2011年12月，国家卫生部发布了《卫生行业信息安全等级保护工作的指导意见》，结合行业实际，为全国卫生行业信息安全等级保护工作提供了指导意见[8-9]。根据国家发布的信息安全等级保护相关标准化文件及指导意见，笔者从移动终端安全、数据通信安全、网络安全架构、用户身份认证及安全管理等方面阐述掌上医院平台风险控制措施，从而构建掌上医院平台安全防护体系。

(一)移动终端及数据通信安全

为了避免掌上医院APP的配置信息被识别和篡改，防止用户隐私数据泄露，掌上医院APP生成的本地存储文件应当进行全面的加密。除此之外，对于医院内部员工使用医护版APP的移动终端，医院信息部门可运用移动虚拟隔离技术建立统一的工作入口，为其创建独立的、隔离的和易管理的工作环境，通过远程应用禁用、数据清除、文件自动水印和防截屏等技术手段确保掌上医院APP敏感信息不泄密。在数据通信安全方面，掌上医院平台可采用虚拟专用网络(Virtual Private Network，VPN)技术和HTTPS安全加密协议进行通信，并对传输的数据进行完整性校验和防重放校验，防止恶意数据或者重复数据的提交。

(二)网络安全架构

掌上医院平台的网络安全架构是掌上医院安全防护体系的基础，医院需设计适应移动互联时代网络安全架构的方案，使掌上医院平台对外提供稳定的信息服务的同时，对内保证医院数据中心的安全[10]。

掌上医院平台的保护边界和网络安全区域是根据各子系统不同的业务功能以及所处网络位置进行划分的，主要包含3条边界和5个安全区域。各边界将掌上医院平台网络架构划分为外网、访问子网、数据交换子网及医院内网4个区域，其连接接口将网络逻辑拓扑划分为5个业务安全区域(图2)。安全区域1和安全区域2分别向患者和医护人员提供访问接入服务和医疗数据服务；安全区域3提供对数据交换子网的安全运维管理；安全区域4完成掌上医院平台业务的数据处理和交互；安全区域5包含掌上医院平台需要对接的医院核心业务系统、集成平台或者其它辅助系统。

图2 掌上医院平台系统边界与安全区域划分

掌上医院平台技术安全防护是依据各安全区域的不同安全防护需求，设计区域边界安全防护、域与域之间的安全防护和安全域内部防护等内容。边界1部署集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏及带宽管理等功能于一身的防火墙作为隔离设备，为掌上医院平台提供基于应用、用户及内容等多维度一体化防护。除此之外，安全区域1内设计部署深度威胁发现与防护系统以实时检测和识别难以捉摸的威胁，及时发现基于内容的攻击行为；掌上医院应用服务器采用Nginx高性能Web服务器，通过配置策略在一定程度上实现Web应用防护系统的功能。

边界2部署防火墙进行安全域隔离，在安全区域2部署入侵防御系统，对一些常见的漏洞攻击行为进行识别和阻断。在安全区域3部署安全运维审计系统，对掌上医院平台的整体运行情况进行安全审计和有效监控，及时发现潜在的问题。

边界3部署网闸和防火墙，设置安全策略对内外网的访问进行严格的端口和服务限制。在安全区域4部署安全审计系统，实现对掌上医院平台数据库的新增、删除、查询、修改、授权等各种操作行为的审计。安全区域5部署安全控制准入、网络防病毒、内网安全管理、虚拟化平台连续数据保护等安全防护系统，切实保障医院内网数据中心的安全。各个安全区域技术安全防护设计的有机组合，形成完整的掌上医院平台网络安全架构(图3)。

图3 掌上医院平台网络安全拓扑结构

(三)用户身份认证

目前，掌上医院APP大多数使用用户名/口令技术或者动态口令技术来验证用户的安全性，其身份认证的安全性并不高。为了提高医院员工身份认证的安全性，医院可将员工个人移动终端通过统一工作入口接入安全管理平台的移动认证中心，在移动端使用单点登录基础平台进行登录。单点登录基础平台的登录流程不涉及密钥落地和密码代填等不安全登陆方式，结合OAutho2.0安全登陆协议和Token令牌机制能够更好地保证员工身份认证的安全性。在掌上医院APP业务逻辑方面，用户在客户端程序界面进行注册时，其短信验证码的校验过程应放在服务器端进行，以防止不法分子通过网络数据包抓取验证码，从而冒用他人的身份进行注册。

(四)安全管理

信息安全管理工作是一个循序渐进的过程，医院应设置专门的信息安全管理人员负责此类工作。信息安全管理人员可运用PDCA循环管理方法对掌上医院平台进行安全风险评估、安全风险抑制、循环验证和持续保障。在例行对掌上医院平台进行扫描渗透任务中，信息安全技术人员对发现的漏洞和弱口令应及时加固和修改。在安全事件发生时，医院应通过已制定的应急响应管理措施和操作规程做出紧急响应。除此之外，医院应做好网络、系统、应用的安全监测和预警工作，使之制度化并严格执行，以便发生任何异常能够第一时间做出反应。

掌上医院平台安全的风险控制涉及建设、技术、管理等多方面工作，随着掌上医院平台的功能日益丰富，攻击技术不断发展，其面临的信息安全风险也将更多元化和复杂化。为了满足新形势下网络安全等级保护工作的需要，国家相关部委对原信息安全等级保护标准体系进行了修订,出台了国家网络安全等级保护2.0标准。新标准将采用移动互联技术的信息系统作为一个整体对象进行定级，并对其无线网络边界的安全防护、移动终端安全接入与管控提出了明确的建设要求与测评要求，强调无线网络边界防护、移动终端管控的必要性，对基于移动互联网的信息系统的实际安全建设和测评工作具有更强的适用性和可操作性[11]。随着国家网络安全等级保护进入2.0时代，在移动医疗信息安全方面探索符合新等级保护标准要求的掌上医院平台安全体系建设成为国内各医院下一步的研究方向和工作重点。