公共云端醫院信息系統的安全策略研究

肖增敏，朱嫻

公共云端醫院信息系統的安全策略研究

肖增敏，朱嫻

隨著云計算時代的來臨，醫院信息系統也在向云端遷徙。但醫療行業對安全和可靠性有著極高的要求，加之相關法律條規的約束，云端醫院信息系統的安全就變得尤為重要。本文以微軟的Azure公共云為例，在充分分析云端醫院信息系統安全性的特點及面臨的挑戰的基礎上，闡述醫院與云服務提供商之間進行安全合作的必要性，并有針對性地提出在部署云端醫院信息系統時應采取的安全策略，從而為醫院信息系統向云端的遷徙提供安全方面的幫助。

醫院信息系統；云計算；安全

一、引言

近年來，隨著亞馬遜A W S云、微軟A zure云、阿里云等公共云的蓬勃發展，云計算時代的到來得到了廣泛的認可。2015年國務院印發《關于促進云計算創新發展培育信息產業新業態的意見》中提出要增強云計算服務能力，大力發展公共云計算服務，引導企業采用安全可靠的云計算解決方案。相比于傳統數據中心的部署方案，云計算在低成本、高可擴展性、高可靠性、高通用性、虛擬化、按需計費等方面有著明顯的優勢，從而使得各行各業都在向云端進行大遷徙。在過去近二十年的信息化浪潮影響下，基于本地數據中心的傳統醫院信息系統得到了廣泛部署和使用，面對國家衛生事業的發展，傳統數字化醫院建設模式、應用模式和管理模式等已有許多地方不能適應新形勢、新任務和新技術發展的要求，飽受低可靠性、低可擴展性、高管理復雜度及高管理成本等方面的折磨。云計算以其獨有的特點很好地彌補了本地醫院信息系統的不足，為醫院帶來了工作效率、信息共享和數據收集與分析等多方面能力的提升。

與本地醫院信息系統相比，云端醫院信息系統放棄了對系統物理設施的直接控制，其數據及應用程序都存放于云端，帶來優勢的同時也在系統的安全性方面帶來了挑戰。特別對于醫療衛生行業而言，醫院信息系統數據安全性（如患者的隱私數據）及應用安全性（如系統高可使用性）尤其重要，這就需要云端醫院信息系統在部署時充分考慮云端在安全性方面的特點，從而有針對性地采取措施，在保障云端醫院信息系統優勢的同時，滿足云端醫院信息系統在安全性方面的需求。

針對云端醫院信息系統安全問題，有些學者是針對私有云以及混合云的研究，更多的學者是從公共云安全角度進行的研究。這些研究包括了數據信息及隱私安全、系統平臺建設、財務安全等方面。現有研究各自從不同角度探討了云端醫院信息系統安全問題，為數字化醫院進一步的安全提升奠定了基礎。新的安全隱患來自于新技術的應用，本文在前人研究的基礎上，站在公共云架構的基礎上，從整體上識別安全隱患的來源并提出在系統建設和管理過程有針對性的防范和杜絕安全隱患的有效策略。

二、云端醫院信息系統部署的安全威脅及挑戰

在本地醫院信息系統的部署中，應用程序直接運行在基于本地物理機器的本地操作系統（或基于本地物理機器之上的虛擬機的本地操作系統）中，所有機器（或虛擬機）工作在本地局域網（或通過V P N等設施相連的多個本地局域網中），相應的數據也存放于本地機器（或虛擬機）和本地存儲系統（數據庫、專門的存儲系統）中，醫院自己（或外包）的IT系統管理人員負責所有物理設施及軟件的部署、配置、優化及維護。

而在云端醫院信息系統的部署中，服務器端的應用軟件及數據都運行在云端（比如微軟的A zure云），不同的云端服務器及存儲系統工作在云端不同的虛擬網絡中，所有對云端醫院信息系統的訪問都要以某種方式通過互聯網（除非使用專線連接服務，比如A zure中的E xp ressRoute服務）進行。本地用戶（如醫生）使用本地的客戶端遠程連接到云端的服務器上，醫院的IT系統管理人員一方面負責管理本地的客戶端機器及網絡，另一方面對云端醫院信息系統本身及使用的資源進行管理和監控。

由于云端醫院信息系統與本地醫院信息系統相比，在管理方式及使用方式上有很大的不同，其在安全性方面帶來了一些新的威脅和變化，引入了新的潛在攻擊者和攻擊接口。在云端醫院信息系統中，由于本地的客戶端機器及網絡的部署及使用方式和本地醫院信息系統基本相同，所以安全關注的焦點主要在于云端部署的應用程序和數據。

三、潛在的攻擊者及攻擊方式

云端醫院信息系統中的云端應用和數據面臨著大量的潛在攻擊者，見圖1所示。這些潛在攻擊者包括互聯網用戶、云主機管理員、其他云用戶、云物理設施管理員以及醫院管理員。

圖1 潛在攻擊者及攻擊方式

（一）互聯網用戶

除非使用專線連接，所有用戶及管理員對云端醫院信息系統的訪問都需要經由互聯網，這就使得互聯網上的潛在攻擊者能夠攻擊在互聯網上傳輸的數據和云端醫院信息系統暴露給互聯網的接口。

（二）云主機管理員

這里的云主機管理員指的是云服務提供商負責管理虛擬機主操作系統或虛擬機管理器（H y p ervisor）的人員。由于云端醫院信息系統所工作的虛擬機運行在主操作系統和虛擬機管理器之中，同時由于實現的需要，主操作系統和虛擬機管理器往往具有比云端醫院信息系統所工作的虛擬機更高級的權限，這就使得云主機管理員能夠接觸云端醫院信息系統中的數據及邏輯，并對其產生影響。一方面，云服務提供商的云主機管理員可能出于能力的不足或疏忽，產生誤操作，另一方面，云服務提供商的云主機管理員可能出于報復或利益的目的（或其賬戶權限被黑客攻破），故意進行破壞或盜取數據。

（三）其他云用戶

在云端，用戶租賃的是云服務提供商的虛擬基礎設施（I-aaS）。不同云用戶使用的虛擬基礎設施往往共享底層的物理或邏輯資源。這就使得同一云端的其他用戶可能經由這些共享的資源攻擊云端醫院信息系統。典型的攻擊方式包括拒絕服務攻擊、數據泄露及篡改。

（四）云物理設施管理員

與本地醫院信息系統相比，云端醫院信息系統失去了對系統使用的物理設施（包括物理機器、網絡設備、存儲設備等）的控制。所使用的物理設施受云服務提供商的控制。考慮到云端醫院信息系統的高安全性需求，系統必須考慮到這些物理設施被惡意用戶接觸到所產生的威脅。比如，更換的物理硬盤中殘存的數據在丟棄前如果未被及時清理，就可能泄露系統中患者的隱私信息。

（五）醫院管理員

云端醫院信息系統的管理員不但對系統本身的邏輯和數據具有管理的權限，而且對云端系統所使用的資源有極高的處置權。惡意的管理員可能處于報復或利益的目的進行破壞（刪除虛擬機器）或盜取篡改數據，能力不足的管理員可能產生誤操作。由于醫院管理員具有云端資源的極高權限，其權限也會成為其他黑客的攻擊目標。在其他行業，已經有多起云管理員權限被盜取所導致的勒索或攻擊案例。

四、對云服務提供商的信任與防備

與本地醫院信息系統相比，云端醫院信息系統將基礎的物理設施及底層平臺軟件置于云服務提供商的控制之下，醫院失去了對底層系統的控制權。這就使得一方面醫院要對云服務提供商充分信任，與云服務提供商一起保證云端醫院信息系統的安全；另一方面，醫院要對云服務提供商可能導致的安全問題有所防備，做好深層安全防御機制，力圖在出現問題時將危害降到最低。

公共云服務提供商（比如微軟、亞馬遜、阿里、谷歌）往往具備強大的技術和經濟實力，他們在安全管理、防御及響應方面具有無可比擬的專業優勢，這就使得他們所提供的公共云計算環境比本地數據中心或企業自己的私有云計算環境更加的安全可靠。也正是因為這樣的原因，才使得公共云端醫院信息系統具有強大的吸引力。云服務提供商控制著云端醫院信息系統的底層部分（如物理設施、操作系統等），醫院控制著云端醫院信息系統的高層部分（如應用邏輯、數據、用戶認證授權等）。在保證云端醫院信息系統的安全性方面，云服務提供商與醫院應該互相合作，各盡其職。醫院應在對云服務提供商的安全能力做充分的盡職調查的基礎上，定期地對云服務提供商的安全服務進行審查，從而建立對云服務提供商充分信任。

所謂百密一疏，公共云服務提供商也可能因為人為或技術的失誤給他們的用戶帶來安全威脅。特別是考慮到醫院信息系統在安全性方面的高要求，這就要求云端醫院信息系統在構建時要充分考慮底層云計算環境的安全遭到破壞的情況，在系統與底層環境的接口處建立逐層的防御機制，將系統的重要數據置于受用戶控制的安全機制保護之中，在默認配置下達到最大的安全性。同時，重復利用云技術環境提供的分布式多站點冗余恢復機制，建立安全事故的快速響應制度及響應團隊，從而在發生安全問題時，將損失降到最低。

五、云端醫院信息系統的安全策略

針對云端醫院信息系統面臨的安全威脅，醫院需要從多個角度采取不同的安全策略，以保證系統的高安全性和高可用性。云端醫院信息系統與本地醫院信息系統一樣，大體可以分為三個部分：前端用戶界面（G U I方式或者W E B方式）、后端系統邏輯、后臺數據存儲。不同的部分在安全方面的策略有所不同，以微軟A zure云為例（見圖2），具體的安全策略可以從網絡部署、數據存儲、身份認證授權等角度來闡述。

圖2 微軟云安全策略

（一）網絡安全

網絡安全是傳統安全策略的核心，同樣，云端的網絡安全也至關重要。云端醫院信息系統應采取的網絡安全策略包括：

1.子網隔離策略：不同的系統功能按類別分別部署到不同的子網（SU B N E T）中，子網之間通過防火墻（N S G）和白名單來限制進出子網的流量，保證只有業務邏輯需要的流量才能進出子網；

2.流量加密策略：所有虛擬機器及云服務之間的通信都進行加密（如SSL加密），醫院本地終端和云端醫院信息系統之間的訪問必須經由V P N管道，并同時使用HTT P S安全通信協議；

3.D M Z隔離策略：在云端虛擬網絡的對外接口部分構建D M Z隔離區域，在其中部署網關、I DS等網絡安全設備，以防御外部網絡攻擊；

4.流量路由策略：定義流量路由策略，保證只有前端可以接受來自外部的流量，同時所有部分都不能主動發起對外部的鏈接。后臺的存儲只能有由端邏輯訪問。

（二）數據安全

數據是系統的核心資產，云端數據的安全策略應包括：

1.靜態加密存儲：所有靜態存儲的數據應加密。加密的密鑰應保存在密鑰倉庫中，并保證除特定的安全管理員外無人可以提取出密鑰，包括云服務提供商的員工。要定義規范的密鑰更新流程，在不影響醫院信息系統使用的前提下自動定期更新密鑰；

2.靜態完整性保護：對系統中的關鍵數據應進行簽名的機制進行完整性保護，以防御對其的惡意修改；

3.最短明文期的數據使用策略：對加密的關鍵數據的解密應僅在真實使用的時候進行，并在使用后立即銷毀明文數據。

（三）身份安全

隨著云計算時代的來臨，傳統以網絡安全為核心的安全策略已經過時，而以身份認證授權為核心的新安全策略開始被廣泛采用。以身份認證為基礎，基于角色進行訪問控制，結合身份審計，構建了一套全面的云身份安全機制。

1.身份認證：安全可靠的身份認證是云身份安全機制的基石。如果對用戶身份的認證存在漏洞，那么以身份為基礎的安全堡壘就會變得脆弱不堪。實際上，已經發生的多起云安全攻擊就是以盜取身份為切入點的。著名的C odeS p aces倒閉事件就是其云代碼托管系統的A W S云管理賬戶被攻破導致的。傳統以密碼為核心的身份認證已經變得越來越脆弱，逐漸被新的認證機制所取代。一方面，云端醫院信息系統應采用新的多重身份驗證機制，結合離線認證、設備認證、生物認證等手段，對管理員等高權限用戶進行保護，增強其安全性；另一方面，云端醫院信息系統也要采用聯盟認證、單點登錄（SS O）等機制，在保障用戶身份安全的同時保證用戶具有良好的使用體驗。

2.訪問控制：基于用戶的角色，對用戶的權限進行細分，從而只賦予用戶需要的權限，是基于角色的訪問控制策略的基本思想。部署在A zure上的云端醫院信息系統可以采用其提供的基于角色的訪問控制機制，結合A zure A D，對使用云端醫院信息系統的不同用戶定義不同的角色和權限集，從而避免過度的權限分配，減少系統內用戶攻擊系統的可能，降低其權限被盜取后對系統的破壞。

3.身份審計：對系統用戶（尤其是高權限用戶，如醫院管理員）的行為進行監控和記錄，結合人工智能等自動化審計和檢測機制，可以有效地探測潛在或正在進行的攻擊行為，并對發生的攻擊進行追查。云端醫院信息系統可以充分利用A zure提供的審核和檢測機制，通過安全中心面板等功能有效地審計系統用戶的行為，保障系統的安全性。

六、總結與展望

本文從潛在攻擊者及云服務提供商兩個角度論述了云端醫院管理信息系統的安全問題，并從網絡安全、數據安全以及身份安全三個角度提出了相應的安全策略，為云端醫院信息系統的安全部署提供了借鑒。伴隨著云時代的到來，對云端醫院信息系統的安全保護將是一項長期復雜而又關鍵的任務。未來隨著對云安全性的日益重視，越來越多的新安全策略將會隨著人工智能等尖端技術在云端的使用而涌現。

[1] 高英，周怡.漫步云端，暢享云服務[J].上海信息化，2015，(02)：56-59.

[2] 馬錫坤，王大勇，韓雄,等.基于云計算的數字化醫院建設模式的研究[J].中國醫學裝備，2014，11(11)：27-30.

[3] 羅志宏.計算機云計算技術在醫院信息化中的應用[J].中國新通信，2017，(10)：149.

[4] 曾毅.醫院信息化系統安全與防御措施研究[J].網絡空間安全，2016，(07)：91-92,95.

[5] 周鈺，王文明，劉云，等.私有云存儲在醫院的建設與應用[J].醫療衛生裝備，2017，(04)：68-70.

[6] 肖激雷，董建成.醫院私有云數據中心應用探討[J].醫學信息學雜志，2016，(12)：30-33.

[7] 張卓奇，郭衛斌.混合云存儲環境下的數據訪問隱私保護方案[J].計算機工程與設計，2014，35(7)：2317-2320,2355.

[8] 陳彬彬.基于云計算的醫院信息系統數據安全技術的應用探討[J].數字技術與應用，2016，(09)：199,201.

[9] 黃鑫，沈翔柏．基于云存儲的PACS醫學影像安全傳輸系統[J].航天醫學與醫學工程，2015,28(5):366-369.

[10] 鄧小爭.基于云計算的醫院數據安全保護關鍵技術探討[J].計算機光盤軟件與應用，2014，(09):145-146.

[11] 馬錫坤，史兆榮，王與榮，等.基于云計算的醫院信息基礎平臺建設[J].醫學研究生學報，2013,26(7):738-740.

[12] 姚琴，王華瓊，方亞洲，等.基于云計算平臺的個人健康管理系統[J].中國數字醫學，2012,7(1):55-58.

[13] 郭旭升，王磊.云計算對醫院信息安全及系統成本的影響研究[J].中國數字醫學，2012，(09):68-71.

[14] 趙麗娥，陳氤，譚警宇.基于云計算的醫院財務管理及其安全探究[J].無線互聯科技，2015，(14):131-132.

[15] 孫明俊.公共云服務市場的信用體系建設[J].電信網技術，2014，(04):8-9.

F062.5

B

1008-4428（2017）10-146-03

本文系南京中醫藥大學校級重點學科工商管理建設課題，課題名稱為“面向多用戶的移動醫療信息服務平臺建設研究”。

肖增敏，女，天津靜海人，南京中醫藥大學，講師，研究方向：醫院管理，信息系統；

朱嫻，南京中醫藥大學。