淺析互聯網時代醫院移動接入的風險與等級保護的新對策

◆劉世杰

?

淺析互聯網時代醫院移動接入的風險與等級保護的新對策

◆劉世杰

（大連醫科大學附屬二院信息中心 遼寧 116027）

本文主要討論以醫院系統為例，在存在多種移動接入方式的環境下，移動接入終端的種類、接入方式方法、接入的目的、可能面臨的風險威脅，分析了部分等級保護新標準中關于移動互聯安全的測評內容、測評方法。

移動互聯；VPN；信息安全；等級保護

0 引言

隨著時代的發展，基于互聯網的移動接入使用越來越多，體現出接入終端多種多樣、接入線路多種多樣、使用目的多種多樣的特點。國家也根據這種移動終端接入的變化特點，在等級保護2.0體系中推出了有針對性的標準。

而醫院的醫療系統雖然在規模上、投入上可能無法與大型金融機構、跨國公司相比，但是其面對的服務對象、管理和訪問需求等等確是有過之而無不及。包括基于互聯網的患者訪問、醫院人員遠程辦公需要、遠程維護需求等等。

所以本文以某醫院的系統為例，在需求、用戶群體、接入方式等等幾個方面進行分析，分析其接入方式方法、地點、風險等等，并依照新的《信息安全技術 網絡安全等級保護基本要求 第3部：移動互聯安全擴展要求》進行對比分析，具有典型意義。

1 醫院中移動接入的應用需求分析

在醫院系統中接入需求多種多樣，由于其系統的特殊性，主要需求移動接入的人員分為以下幾類：

（1）患者群體。此類群體需要訪問醫療系統的資源，主要有兩種需求，第一是醫療信息的獲取需求；第二是掛號、預約等需求；

（2）醫院管理人員。此類群體主要是要遠程訪問醫院的HIS系統，主要是醫院的管理者，需要隨時了解院內相關信息，并處理相關公文；

（3）醫護人員群體。由于醫療技術的發展，醫療設備的小型化、移動化，很多醫療設備要與院內相關系統進行連接。除此之外，電子巡房、電子病歷等技術的應用也越來越依靠PAD等移動電子設備完成；

（4）遠程維護管理人員群體。由于醫療系統信息化進程起步較晚，通常本院人員數量和技術人員水平不能滿足要求，在這種情況下，需要例如HIS系統開發者、數據庫技術人員進行遠程維護；

（5）移動支付。移動支付放在遠程接入中稍顯牽強，但是隨著支付寶、微信支付等在醫院支付系統中的使用，由于支付寶等系統是遠程連接醫院內部系統的開放端口，且很多情況下未提供給醫院其服務器地址，在本文中，作為特殊的“移動接入”進行討論。

由此可見，醫院系統的移動接入需求很多，而且每種需求的目的、接入地點、工作方式都有不同，基本可以涵蓋現有網絡的移動接入技術類型。下文將就幾種接入需求的實現手段進行分析。

2 各群移動接入技術手段和安全風險研究

本章節將就上文列出的移動接入需求進行分析，主要針對其實現手段、接入位置進行分析思考，并分析可能出現的安全風險。

2.1患者群體

患者群體接入主要是查詢醫療信息、進行相關等級等目的，其接入地點根據不同醫院各不同，但是查詢信息，基本在互聯網接入，由于是網站或者公眾號功能不做討論。但是以掛號、排號為例，有的醫院是可以在互聯網接入，有的則是必須在本院接入，還有的是兩者兼備。而這種接入通常采用手機終端，以手機短信作為認證手段，受到DDOS攻擊的可能性較低，同時由于信息重要程度較低，短信認證基本可以滿足安全需要。但是，在院內接入時需要防止無線網絡的干擾或劫持，針對這種情況，部分醫院安裝了無線網絡屏蔽系統。

圖1 醫療系統遠程接入示意圖

2.2醫院管理人員

醫院的院長等領導人員，由于其工作需要和工作的特殊性，經常需要在遠程查看醫院運行情況或進行審批操作，通常是遠程訪問醫院的HIS系統。如圖1，此種訪問需要通過互聯網，由于其地點不固定，通常采用VPN的方式進行訪問。VPN主要分為PPTP、L2TP、IPSec、SSL VPN 4種。建立在PPTP，L2TP技術上基于客戶端的VPN方案對于安全性要求較低的遠程接入用戶來說是一個不錯的選擇，但是它們的認證和加密算法是相對薄弱的，所以IPSec或SSL VPN為基礎基于客戶端的VPN或以 SSL VPN為基礎的基于Web VPN方案對于安全性要求較高的遠程接入連接是比較合適的，他們都運用了有效的認證和加密算法。

除此之外，應該注意，用戶名密碼被盜的話，再好的VPN加密手段也沒用，所以建議醫院應使用雙因子手段（如動態令牌、手機短信等）對遠程接入用戶進行認證。

2.3醫護人員

醫護人員的接入需求地點主要是院內，其使用的部分移動醫療設備、PAD需要通過院內的無線網絡接入。目前，大量醫院內部布置有無線接入內網，注意，此內網是與整個醫院內網連接，并不是為患者提供上網服務的。由于是較新技術，安全上還存在很多問題，大多數醫院僅采取了劃分區域、強化防火墻策略、隱藏SSID、登陸用戶名密碼限制等策略，因此還存在很多問題。依照《信息安全技術網絡安全等級保護基本要求第3部：移動互聯安全擴展要求》中三級標準要求，無線網關設備作為邊界防護基本都有購置；但是入侵防范中對非授權接入設備的管理、安全審計中對移動終的行為審計；設備和計算功能中移動終端管控等等項目均大量存在不足，主要原因在于設備價格、實施難度等方面。但是無線網絡接入是安全中重要一環，舉個最簡單的例子，采用全網隔離，本地網絡終端管理得再好，有一個不受控的移動終端接入就可以全網與互聯網通信，其所帶來的風險威脅可見一斑。

2.4遠程維護管理人員

由于醫療行業的信息化建設發展較晚，所以在人員和技術上都有所不足，這樣難以避免地會使用外來的技術服務，例如遠程的HIS系統的更改、布置；數據庫系統的更改維護等等。這種接入由于技術服務公司眾多，地點不固定，費用等等問題，很難使用專線等技術手段實現，好一點的醫院使用VPN進行這種遠程維護的連接，而有的甚至改掉防火墻，在服務器上直接安裝遠程服務客戶端的，而系統集成公司為了維護方便，也有可能在系統上安裝類似后門。在這種情況下，無論是HIS系統的管理員賬號、數據庫賬號，都是對遠程維護人員開放的，如果沒有有效手段后果無法想象。

因此在使用遠程的維護服務時，應注意以下風險：

（1）遠程接入本地的位置：不能直接連入服務器區域內部，需要經過各種安全設備，除了避免病毒感染外，還需要避免其越權訪問。

（2）驗證信息丟失：如果用戶名、密碼被竊取，不法分子無論是修改應用系統，還是盜取系統內患者信息都會引起嚴重后果，既然在等級保護中有明文要求，需要進行雙因子認證，遠程管理更加需要進行。

（3）用戶數據被竊聽：在傳輸過程中，由于客戶端使用環境的不確定性、不安全性，用戶數據極易被非法竊聽，造成信息的失竊。這樣就不僅限于管理信息，也可能會涉及一些敏感數據。而且存在用戶在傳遞信息時被非法篡改，造成其他損失。這樣就需要嚴格數據加密保障機制，并驗證數據的有效性、完整性等。此項目在《信息安全技術 網絡安全等級保護基本要求 第3部：移動互聯安全擴展要求》中多次提出“國產算法進行加密”。

（4）無操作記錄風險：雖然很多醫院系統購置了堡壘機，但是很多情況下，或者為了方便，或者嫌速度慢，或者是設備功能限制，遠程維護人員不通過堡壘機進行登錄，而是直接操作服務器或者數據庫，造成了無監管、無記錄，這樣后果非常嚴重，一旦發生問題無法追責和確定問題點。

本文討論的都是技術風險和技術手段，而在限制遠程管理人員時，還必須要考慮使用管理手段進行約束如保密協議，安全承諾等方式、方法。

2.5移動支付

移動支付放在本文討論似有不妥，但是卻又是不得不說的安全問題，在這里，其安全并不是指支付者連接惡意無線網絡進行支付，被竊取支付信息，而是指在醫院開通移動支付的情況下，醫院信息系統本身的安全性。

在考察幾家開通了移動支付的醫院之后，我發現了一個非常難以想象的問題，某支付平臺需要開放數據庫相關管理端口，并提供公網IP，而不提供遠程連接的IP等相關信息。當然，由于是全網服務，目前無法指定遠程連接對象。對于有技術基礎的人都明白這意味著什么，而由于其需要進行資金操作，院方所提供用戶的權限當然不低，由此可帶來的風險可想而知。因此，國家應盡快出臺相關政策，確定企業用戶支付平臺的技術標準。

3 結束語

移動接入作為當前技術熱點，隨著接入終端、接入業務的變化，也在不斷地進步，形式多樣化、業務多樣化是必然趨勢，作者也在不斷的加深學習中。而新的標準《信息安全技術網絡安全等級保護基本要求第3部：移動互聯安全擴展要求》的推出，更是為我們醫院信息化管理人員的工作提出了新的要求，新的課題，同時也給了我們明確的方向。

此文僅是作者在工作中的根據所執行項目的實際情況總結出的一些經驗，希望文章能夠對大家的工作有所幫助，也希望能夠拋磚引玉，得到其他兄弟單位的指導和幫助。

[1]GB/T 22239-2008 信息系統安全等級保護基本要求[S].

[2]GB/T 25058-2010 信息安全等級保護實施指南[S].

[3]韋衍恒.基于改進目錄服務技術的動態VPN 的研究與實現[D].西南交通大學, 2011.

[4]倪彥彪. MPLS VPN 在電信支撐網中的研究與實現[D]. 北京郵電大學, 2010.

[5]Liao W H, Su S C. A Dynamic VPN Architecture for Private Cloud Computing[C]//Utility and Cloud Computing (UCC), 2011 Fourth IEEE International Conference on. IEEE, 2011.