基于零信任網(wǎng)絡(luò)的醫(yī)院線上業(yè)務(wù)交互設(shè)計

翁鵬翔

摘要：隨著物聯(lián)網(wǎng)、移動服務(wù)、云計算等新技術(shù)的發(fā)展和應(yīng)用，人們在享受互聯(lián)網(wǎng)服務(wù)帶來的便利同時，網(wǎng)絡(luò)安全問題也開始滲透到生活的方方面面。為了更安全更充分的利用互聯(lián)網(wǎng)發(fā)展所帶給醫(yī)療行業(yè)的便利，提出了使用零信任網(wǎng)絡(luò)模型來構(gòu)建醫(yī)院線上業(yè)務(wù)，解決現(xiàn)有網(wǎng)絡(luò)安全防護上存在的架構(gòu)不合理、內(nèi)部安全策略容易失控，乃至于潛在的信息泄露等諸多問題，實現(xiàn)可信任、可追溯、可控的業(yè)務(wù)交互。

關(guān)鍵詞：網(wǎng)絡(luò)安全;零信任;內(nèi)外網(wǎng)交互;訪問控制;數(shù)據(jù)資源保護

中圖分類號：TP309.2 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）24-0063-02

Abstract： With the development of IoT， mobile services， cloud computing and other new technologies， people enjoy the convenience brought by Internet services， while network security issues have begun to penetrate into all aspects of life. In order to make more secure and full use of the convenience brought by the development of the Internet to the medical industry， a zero trust network model is proposed to build the online business of the hospital， to solve many problems existing in the existing network security protection such as unreasonable structure， easy to lose control of internal security strategy， and even potential information leakage， to achieve a trusted， traceable and controllable business interaction.

Key words：network security; zero trust; intranet and external network interaction; access control; data resource protection

1 從傳統(tǒng)基于區(qū)域的架構(gòu)到零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)的概念，最早是在2010年由研究機構(gòu)Forrester的時任首席分析師金德維格所提出，在數(shù)年的發(fā)展中，各行各業(yè)對具體如何實現(xiàn)適合自己業(yè)務(wù)的安全的零信任網(wǎng)絡(luò)，都有自己不同的理解和側(cè)重，但大都遵循了“永不信任，始終驗證”的原則，概括來說，零信任網(wǎng)絡(luò)認為無論是內(nèi)部或外部的網(wǎng)絡(luò)，都始終充滿了威脅，不能僅僅依靠網(wǎng)絡(luò)設(shè)備的邊界來判斷網(wǎng)絡(luò)的安全與否，所有經(jīng)過的網(wǎng)絡(luò)流量，都應(yīng)當被視為不可靠需要驗證的，且訪問控制策略可以動態(tài)調(diào)整。

在傳統(tǒng)的醫(yī)院內(nèi)外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)安全架構(gòu)中，一般是基于區(qū)域的安全模型建立的，通過防火墻或其他安全設(shè)備將網(wǎng)絡(luò)分解為不同用途的區(qū)域，特定區(qū)域內(nèi)的用戶、設(shè)備、服務(wù)和應(yīng)用程序間可以相對自由的通信，然而由于安全設(shè)備的成本及實際業(yè)務(wù)邏輯劃分等原因，通常受信域被劃分得相當寬泛，甚至只是簡單的區(qū)分為內(nèi)網(wǎng)，外網(wǎng)，DMZ區(qū)域，從好的地方來看，這種網(wǎng)絡(luò)架構(gòu)設(shè)計簡單，維護成本低廉，受信任區(qū)域內(nèi)應(yīng)用程序或設(shè)備可以方便地互聯(lián)互通來實現(xiàn)各類需求。

傳統(tǒng)基于區(qū)域的網(wǎng)絡(luò)架構(gòu)在有著互聯(lián)互通方便，設(shè)計簡單及維護成本低廉的同時，也因此帶來了包括過于寬泛的信任域，網(wǎng)絡(luò)安全邊界模糊等一系列問題，零信任網(wǎng)絡(luò)相比傳統(tǒng)的基于區(qū)域信任網(wǎng)絡(luò)的基礎(chǔ)上，將服務(wù)器根據(jù)IP，功能用途，操作系統(tǒng)等類別分為了被稱作“微分段”的更細粒度的組，并通過搭配相應(yīng)的分組協(xié)議，實現(xiàn)組內(nèi)服務(wù)和組間服務(wù)的互通，在解決傳統(tǒng)的基于區(qū)域網(wǎng)絡(luò)架構(gòu)下可能存在的不同區(qū)域間子網(wǎng)互通需求的同時，提供了更加可靠和靈活的網(wǎng)絡(luò)邊界控制。

2 在不安全的網(wǎng)絡(luò)中實現(xiàn)安全的業(yè)務(wù)交互

在經(jīng)典的醫(yī)院線上業(yè)務(wù)交互中，通常可以把這個過程抽象為這么樣的一個模型，用戶通過第三方服務(wù)發(fā)起交易請求——這個請求可能是預(yù)約掛號，可能是線上繳費，在當今時代下，這個交易請求還有可能是互聯(lián)網(wǎng)醫(yī)院的線上看診，到第三方提供服務(wù)的服務(wù)器上，再由第三方服務(wù)器根據(jù)用戶的請求，向醫(yī)院的接口服務(wù)器發(fā)起請求并等待醫(yī)院接口服務(wù)返回處理好的業(yè)務(wù)數(shù)據(jù)，而在醫(yī)院接口服務(wù)器處理第三方發(fā)來的請求這個過程中，很有可能會涉及訪問內(nèi)網(wǎng)的數(shù)據(jù)庫或者其他的資源，在完成這一系列過程后，第三方服務(wù)把處理好的請求結(jié)果反饋到用戶。這個始于用戶，途徑第三方服務(wù)，醫(yī)院接口服務(wù)，最后終于用戶的交易請求便完成了它的生命周期。

在前一段所描述的線上交互過程中，幾乎每一個階段都有一個關(guān)于“我”的問題，“我”是誰？“我”應(yīng)該信任誰？“我”可以做什么？在零信任網(wǎng)絡(luò)中，每一個試圖證明我是我的請求都應(yīng)當被仔細從多個方面進行驗證后才可以授權(quán)，而一些敏感的請求，比如線上問診，充值繳費等需要更加嚴苛的驗證，但同時，作為醫(yī)院的業(yè)務(wù)來說，我們又希望用戶在使用醫(yī)院線上服務(wù)的時候有著良好的體驗，不會受到太多由于安全驗證而帶來的干擾，甚至希望這個過程是透明的，僅有必要的時候，才會打擾用戶的操作。

當用戶首次注冊第三方平臺所提供服務(wù)的時候，驗證過程實際上已經(jīng)開始了，由于醫(yī)療行業(yè)的特殊性，不能僅要求用戶提供簡單的信息即可完成注冊，而需要驗證持有者是用戶本人，隨著人臉識別技術(shù)的發(fā)展，這個問題非常容易就能得到解決，而在用戶完成注冊后，第三方平臺需要根據(jù)已經(jīng)與醫(yī)院對接好的規(guī)則為用戶生成一個唯一的ID，生成ID的規(guī)則可能會包含用戶在醫(yī)院內(nèi)的就診卡ID，用戶登錄第三方平臺時按照已經(jīng)確定的函數(shù)生成帶有平臺代碼的UUID，用戶的身份證號，用戶的地理位置等，生成的用戶ID將會作為這個用戶的在系統(tǒng)內(nèi)的唯一標識符而伴隨著用戶發(fā)起的每個請求的全周期。

我們假設(shè)這個用戶在完成注冊之后，想通過第三方平臺發(fā)起一次預(yù)約掛號的請求，當他選好想掛號的醫(yī)生和時間段，點擊“立即預(yù)約”按鈕之后，一個新的驗證過程開始了，第三方服務(wù)器將這個用戶的請求報文用md5計算后，添加在請求的末尾，作為報文未被篡改的證明，并將用戶的ID和當前時間作為密鑰加密報文，通過HTTPS協(xié)議經(jīng)醫(yī)院防火墻發(fā)向醫(yī)院的接口服務(wù)器，在經(jīng)過防火墻的時候，防火墻會掃描此HTTPS請求是否符合一般性約定，如具有有效的證書，有效的字段，有效的報文頭，并來自可信的IP，隨后，醫(yī)院的接口服務(wù)器會根據(jù)約定好的規(guī)則為這個用戶生成臨時密鑰并解密此報文，驗證解密后報文的md5值，審核此次操作發(fā)起人是否有響應(yīng)的權(quán)限，如一切無誤，便執(zhí)行此操作并返回結(jié)果。

真實世界里，為了實現(xiàn)整個預(yù)約掛號的業(yè)務(wù)，通常醫(yī)院內(nèi)部的接口服務(wù)器并不是獨立的一臺，很大可能上還需要訪問醫(yī)院內(nèi)網(wǎng)中醫(yī)院信息系統(tǒng)的數(shù)據(jù)庫來確定是否具有可掛號的號源，并把這個用戶掛號的請求寫入數(shù)據(jù)庫中，而這種數(shù)據(jù)庫一般都需要更高等級的保護，不能允許其他應(yīng)用程序或服務(wù)隨意增刪查改，傳統(tǒng)網(wǎng)絡(luò)條件下，可能會通過配置訪問控制規(guī)則，或者在數(shù)據(jù)庫內(nèi)分配數(shù)據(jù)庫用戶來解決這個問題，這些問題，在網(wǎng)絡(luò)中存在多個需要高等級保護數(shù)據(jù)資源的時候，就顯得尤為麻煩和不可靠，在零信任網(wǎng)絡(luò)中，為了解決此類驗證和配置的問題，我們將網(wǎng)絡(luò)分為控制平面和數(shù)據(jù)平面，網(wǎng)絡(luò)中除去驗證，轉(zhuǎn)發(fā)，審計等功能的部分外，都可以視作是屬于數(shù)據(jù)平面的部分。

為了控制訪問者實際可以使用的資源，對受限制資源的訪問首先要經(jīng)過控制平面的身份驗證和授權(quán)，在控制平面上可以設(shè)置上文所述的精細的訪問策略控制，一旦訪問者通過了控制平面的認可，控制平面便可以通過反向代理技術(shù)建立一條加密的臨時轉(zhuǎn)發(fā)通道，連通訪問者和要訪問的資源，有一點類似于SDN（軟件定義網(wǎng)絡(luò)），對訪問者來說，整個過程是透明的，在訪問沒有得到授權(quán)的時候，訪問者僅能看到控制平面返回的訪問禁止信息，因此很好地保護了內(nèi)部服務(wù)器的信息，潛在的惡意訪問者也不能根據(jù)服務(wù)器的返回信息收集到內(nèi)部服務(wù)器的特征信息。

3 沒有絕對安全的系統(tǒng)

沒有絕對安全的系統(tǒng)一直是業(yè)界的共識，任何一個軟件都有可能存在bug的可能，而使用軟件的人也很可能存在著或有意或無意的非常規(guī)操作，很多時候數(shù)據(jù)是一個單位最重要的資產(chǎn)，相對于可控的軟件流程，人員是真實世界里最薄弱的一環(huán)，一個擁有高級權(quán)限的管理人員卻使用了弱密碼就有可能使所有的安全防范措施毀于一旦，因此零信任網(wǎng)絡(luò)基于“始終驗證，從不信任”的原則，對各種行為場景建立數(shù)據(jù)安全防護策略保障數(shù)據(jù)安全，對不同敏感級別的數(shù)據(jù)使用不同等級的驗證策略，配合風險控制策略，做到主動感知用戶的異常操作，盡最大可能確保數(shù)據(jù)安全。數(shù)據(jù)安全仍然任重而道遠。

參考文獻：

[1] 焦仃.為什么說“零信任”將成為網(wǎng)絡(luò)安全流行框架之一[J].計算機與網(wǎng)絡(luò)，2018，44（4）：54-55.

[2] 王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò)：安全模型、機制及研究進展[J].軟件學報，2016，27（4）：969-992.

[3] 王叔野，李剛.基于反向代理技術(shù)的Web防火墻[J].教育技術(shù)導(dǎo)刊，2009，8（7）：148-149.

[4] 俞華.醫(yī)院內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)配置實踐[J].中國數(shù)字醫(yī)學，2017，12（3）：94-96.

[5] 胡外光，呂書建，凌科峰.零信任安全架構(gòu)在醫(yī)院的應(yīng)用與實踐[J].現(xiàn)代經(jīng)濟信息，2019（24）：33-35.

[6] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學報，2015，41（2）：72-84.

[7] 金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標準探討[J].信息安全與通信保密，2007，5（7）：109-110，114.

[8] 陳少龍.基于虛擬化技術(shù)的網(wǎng)絡(luò)訪問控制系統(tǒng)模型研究[D].北京：北京郵電大學，2009.

【通聯(lián)編輯：代影】