醫院外聯業務集成平臺數據安全防護方案設計

◆孫保峰 譚健 程銘

醫院外聯業務集成平臺數據安全防護方案設計

◆孫保峰 譚健 程銘通訊作者

（鄭州大學第一附屬醫院 河南 450000）

醫院外聯業務集成平臺是醫院所有對外業務的集成服務管理系統，該系統既要向外部提供服務，又要與醫院內部核心業務系統進行數據交換，同時該系統還包含醫院財務結算、門診量、財務收入等敏感信息。文章針對鄭州大學第一附屬醫院外聯集成平臺現狀，針對性地設計了外聯集成平臺數據安全防護方案，從網絡防火墻、入侵防御、網閘、數據庫審計、“堡壘機”及服務器日志審計等幾個層面對外聯集成平臺的數據進行安全防護，確保了外聯集成平臺的數據安全，從而為醫院整體信息化安全提供了重要保障。

外聯業務；集成平臺；數據安全；防護方案

隨著互聯網+醫療的快速發展，醫院信息系統數量飛速膨脹，醫院網絡結構越來越復雜，醫院網絡對外開放程度越來越高。面對國內外日益嚴重的網絡安全威脅，如何保障醫院信息系統的網絡安全、如何保障醫院信息系統數據的安全，成為醫療衛生行業亟須解決的關鍵問題。醫院外聯業務集成平臺是醫院對外業務的統一集成平臺，簡稱外聯平臺，可實現多入口、多系統、多方式、多渠道的統一接入和管理，為患者提供一體化的就醫體驗[1]。我院于2018年末上線了外聯平臺，通過外聯平臺實現了統一的預約、掛號、繳費、查詢、結算等數據服務。本文旨在根據我院外聯集成平臺現狀，設計一套針對外聯集成平臺的數據安全防護方案，以保障醫院信息系統和患者醫療信息的安全。

1 外聯平臺現狀與安全風險分析

1.1 外聯平臺現狀

我院外聯平臺主要有信息系統接入、外聯業務集成和統一對外服務三個功能模塊組成（圖1所示）。信息系統接入模塊既要實現His、EMRS、LIS、PACS等院內業務系統的接入，又要實現衛生管理機構、各類醫保、銀行、支付寶、微信、互聯網服務渠道等信息系統的接入。外聯業務集成模塊主要負責各信息系統的數據采集和交換，包含“患者”基本信息的校驗比對、診療數據的同步與交換、數據抽取和共享、日志監控等功能。對外服務模塊的主要服務對象為各級衛生管理部門、醫院行政管理部門及人民群眾和患者等，主要提供信息上報、數據檢索查詢、統計分析、報表查詢、業務辦理、就醫結算、檢查檢驗結果查閱與打印等服務。

1.2 安全風險分析

圖1 外聯平臺功能模塊圖

由于外聯平臺業務的特殊性，其既要為患者提供對外服務，又要從醫院內部信息系統中獲取各種臨床數據，因此外聯平臺往往部署在內外網互通的網絡環境中，其安全風險的來源也可分為兩方面，即外部網絡安全風險及院內網絡安全風險。外部網絡安全風險主要有分布式拒絕服務攻擊（Distributed denial of Service，DDOS）、病毒與木馬威脅、非法入侵與接入、暴力登錄與破解等[2]，內部網絡安全風險主要包括數據泄密、非法外聯、移動存儲介質的非法接入、數據庫的不當運維與誤操作、非法統方等。

2 安全防護方案設計

外聯平臺數據安全防護方案的設計原則是設置多層隔離，通過認證及加密機制將安全風險盡可能地隔離在平臺外部，以保證醫院內部各業務系統的平穩運行。為保護外聯平臺數據的安全性，其數據安全防護方案擬采用“防火墻+入侵防御+網閘+堡壘機+數據庫審計+日志審計”的方案，其中防火墻和入侵防御設備部署在外聯平臺網絡對外出口處，主要應對外部網絡安全風險，防范非法入侵、DDOS攻擊、暴力破解等威脅。堡壘機、數據庫審計和日志審計系統部署在外聯平臺和“內網”環境，主要完成對外聯平臺數據庫的安全管理與審計，規范“運維”人員的日常運維操作，防止非法統方、私自篡改系統數據等內部網絡安全風險。“網閘”主要用于系統內外網的隔離，防止外部攻擊影響到院內各系統。由于外聯平臺與醫院核心業務系統數據交互量大，在“內外網”數據交互區部署平臺前置機，核心業務系統與外聯平臺之間的數據交換主要通過前置機進行轉發[3]。外聯平臺數據安全防護方案的整體架構如圖2所示。

3 安全防護方案部署

3.1 網絡防火墻

防火墻是現代網絡安全防護的重要組成部分，主要部署在網絡出口位置，可以實現對網絡流量的過濾，保障信息系統及網絡的安全性，通過防火墻可以實現內部與外部資源的有效安全溝通。

防火墻是為加強網絡安全防護能力在網絡中部署的硬件設備，其常見的部署方式有橋模式、網關模式及NAT模式[4]。“橋模式”也可稱為透模式，用戶感覺不到防火墻的存在，但對經過的流量進行了過濾，在該模式下的防火墻沒有IP地址，但是安全性較低。網關模式適用于內外網不在同一網段的情況，防火墻設置網關地址實現路由器功能，為不同網段進行路由轉發，該模式下的防火墻在進行網絡訪問控制的同時實現了內外網的隔離，比“橋模式”具備更高的安全性。NAT（Network Address Translation）模式能夠實現外部網絡不能直接看到內部網絡的IP地址，從而增強了對內網的安全防護。本文所述的安全方案中防火墻采用NAT模式進行部署，同時使用地址/端口映射（MAP）技術，當外部網絡需要訪問內部服務時，由防火墻將請求轉發到內網服務器上，當內部服務器返回請求數據時，也由防火墻進行轉發，該方法增強了內部服務器的安全性。

圖2 外聯平臺數據安全防護方案架構圖

3.2 入侵防御系統

入侵防御系統（Intrusion Prevention System，IPS）是一種能夠監視網絡或網絡數據傳輸行為的網絡安全設備，能夠及時阻斷、隔離一些不正常或具有危害性的數據流量傳輸行為。本文的IPS采用串接部署在防火墻內側，可以對網絡的流量實時進行監測并對異常流量進行阻斷，保證網絡的安全，IPS設備的外聯口，通過單個物理口與外網設備互聯，“內聯口”通過單個物理口與內部交換機互聯，這種方式不改變現有網絡結構，只需要短暫的業務中斷就能實現快速部署，并且能夠對網絡內的異常流量進行實時處理。

3.3 網閘

“網閘”實現了外聯平臺內外網的隔離，它由兩套各自獨立的系統分別連接內網和外網，兩個網絡之間通過“網閘”實現數據的交換，但內外網之間沒有直接的物理通路[5]。在通信過程中，“網閘”通過分時地使用兩套系統中的數據通路進行數據交換，達到了網絡隔離與數據交換的目的。本方案中“網閘”串接在外聯平臺前置機與醫院基礎業務服務器之間，使醫院現有基礎業務系統與外部環境相隔離。

3.4 數據庫審計

數據庫審計系統部署在“內網”服務器上，通過對數據庫進行合理配置，實現對外聯平臺數據庫操作行為的審計，是重要的數據庫安全技術，該系統可以實時記錄網絡上的數據庫活動，對數據庫操作的合規性進行管理，對數據庫遭到的風險行為進行告警，對數據庫攻擊行為進行阻斷[6]。數據庫審計系統通過對用戶操作數據庫的行為語句進行記錄、分析，用來幫助用戶形成事故分析報告、事故溯源報告，從而提高數據庫資產的安全性。該系統可對非法統方、數據庫不合理查詢統計操作進行記錄分析，約束數據庫用戶合理使用權限，從而保護外聯平臺數據庫資產的安全，防止外聯平臺敏感數據的泄露。本文所用數據庫審計系統部署相對簡單，只需在運行數據庫的服務器上安裝數據庫審計探針并開啟相應的服務，即可在相應的數據庫審計系統中看到已添加的待審數據庫。

3.5 堡壘機

“堡壘機”作為安全防護設備旁路接入外聯平臺交換機，主要是防護外聯平臺的網絡和數據不受來自外部及內部用戶的入侵和破壞，而運用各種技術手段監控和記錄“運維”人員對網絡內的服務器、安全設備、數據庫等設備的操作行為，便于數據安全事件的事后審計與追溯。“堡壘機”主要功能有賬號管理、身份認證、資源授權、訪問控制和操作審計，用于防范不同背景“運維”人員的“運維”行為對信息系統安全帶來的安全風險。本方案中“堡壘機”旁路部署，通過設置交換機ACL訪問控制策略，防止用戶繞過“堡壘機”直接訪問目標服務器設備。

3.6 服務器日志審計

日志審計系統通過集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等各類信息，經過統一分析處理后，以統一格式的日志文件進行集中存儲和管理，便于對各類日志進行關聯統計分析，實現對服務器日志信息的全面審計和記錄。本文中所用日志審計設備旁路接入外聯平臺交換機，在外聯平臺各服務器上安裝相對應的日志轉發代理助手即可完成部署。

4 應用效果

外聯業務集成平臺數據安全防護方案采用了內外網隔離、防火墻與入侵防御阻斷非法攻擊、服務器與數據庫日志審計等安全策略，有效保證了醫院外聯業務系統數據的安全性，使其滿足了國家網絡安全等級保護2.0的要求。

4.1 入侵防御系統

在入侵防御系統上對最近一個月的威脅事件進行統計分析（圖3），共偵測并阻斷網絡攻擊83次。

圖3 入侵防御系統威脅事件統計

4.2 堡壘機

“堡壘機”的使用規范了“運維”人員的運維操作（圖4），“運維”人員無法直接訪問業務服務器，只能通過“堡壘機”進行服務器的日常維護，極大地降低了“運維”人員的不當操作對信息系統帶來的安全風險。

圖4 堡壘機運維審計

4.3 數據庫審計

數據庫審計可以實時監測用戶對數據庫的各種操作，對各種風險進行及時有效預警，對數據庫用戶的各種行為進行記錄存檔，便于事故追溯，增強數據庫的安全性[7]，如圖5所示，我院外聯平臺數據庫審計語句量已達12.93億。

圖5 數據庫審計系統

5 結語

我院目前年門診量接近780萬，龐大的就醫群體給醫院帶來了海量的患者臨床數據，如何在保證患者數據安全的前提下實現全院數據共享，從而提升患者就醫體驗，是醫院信息化建設面對的極大挑戰。本文完成了外聯業務集成平臺數據安全防護方案的設計，利用防火墻、網閘、堡壘機、數據庫審計等網絡安全設備從網絡、服務器、核心數據庫及上層應用出發，實現了對外聯平臺數據的安全防護，極大地保證了醫院網絡安全、信息安全和數據安全。隨著《中華人民共和國網絡安全法》的正式實施，標志著等級保護2.0的正式啟動，在等保2.0的要求中，海量的患者臨床數據同樣是等級保護的對象[8]，目前，我院外聯業務集成平臺已通過國家信息安全等級保護三級認證。

[1]楊霜英，于京杰，錢海元，等.醫院外聯業務集成平臺設計與應用實踐[J].醫學研究生學報，2018，31（9）：967-971.

[2]王立準，王春雨，夏美蓮.基于大型公立醫院業務網安全管理的分析與研究[J].中國數字醫學，2012，7（31）：83-85.

[3]施文杰.醫院外聯平臺建設解決方案[J].醫學信息學雜質，2018，39（11）：45-48.

[4]孫瑜.基于醫院關鍵信息基礎設施安全防護技術的研究與實踐[J].網絡空間安全，2019，10（4）：31-36.

[5]陳晨，包曾.醫院網絡安全管理體系的建設方法分析[J].網絡安全技術與應用，2020（8）：128-129.

[6]曾運強.大數據時代醫院網絡安全防御架構研究與設計[J].現代信息科技，2020（6）：162-166.

[7]唐杰，譚軍.醫院信息化建設中網絡安全防護方案設計[J].醫學信息學雜志，2018，40（5）：44-47.

[8]公安部網絡安全等級保護中心.網絡安全等級保護2.0標準解讀[EB/OL]. http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a81825674296d130174bdf702c8002e，2020-09-24/2020-11-08.

河南省醫學科技攻關項目（2018020087）