淺談互聯網醫院商用密碼應用及數據安全防護建設研究

黃熠亮

【摘要】? ? 隨著互聯網醫院建設的不斷增多，互聯網數據安全和信息化作為互為掣肘的兩個部分，如何把控互聯網醫院的網絡安全，成為當前保障醫療信息化建設的重中之重。本文針對互聯網醫療領域面臨的安全建設挑戰，基于國家安全領域相關法律法規和標準，通過商用密碼應用和數據安全防護在技術層面上所具有的一定共通性，出于經濟性、實用性和合規性的原則將兩者結合，提出應用案例和解決方案。從技術層面對保障互聯網醫院網絡安全、穩定運行，防范網絡安全風險，維護網絡數據安全進行初步探討。

【關鍵詞】? ? 互聯網醫院? ? 網絡安全? ? 商用密碼? ? 數據防護

一、互聯網醫院建設的基本情況

近年來，習近平總書記多次提出建設互聯網醫院的重要性，實現網上醫療、便利醫療的重要目的，讓百姓少跑路，數據多跑路，使得互聯網醫療真的成為便利老百姓的工具。全國上下貫徹黨中央的指揮，目前已經基本實現以實體醫院為依托的集咨詢問診、處方開藥為一體的互聯網醫院體系。2020 年的疾病防控，加快了互聯網醫院政策體系完善和市場普及。互聯網醫院的建設數量、實體醫院搭建互聯網醫院的需求，均大幅增加。在政策、需求的雙輪驅動下，截至2020 年10月，官方數據顯示全國目前已經擁有900多家互聯網醫院，可以遠程覆蓋和支持2.4萬家醫療機構給5500多家二級以上的醫院提供遠程幫助。在這種特殊的形勢下，如何保障互聯網醫院數據安全，正確處理好互聯網醫院數據不斷擴張和數據安全的關系是網絡體系安全勢在必行的工作。

二、互聯網醫院開展商用密碼應用及數據安全防護的必要性

2.1政策法規要求明確

2017年《網絡安全法》頒布以來，我國出臺了一系列安全領域法律法規，對網絡運營者至關鍵信息基礎設施運營者，在網絡安全、數據保護方面提出要求。互聯網醫院同時屬于網絡安全等級保護測評第三級系統以及關鍵基礎設施，因此必須嚴格遵循國家法律對“互聯網+領域”相關規定，對互聯網醫院開展商用密碼應用實施基本法層面的強制要求和技術標準，對“互聯網+醫療”涉及的數據安全進行嚴格管控。

目前我國多部法律明確對數據安全進行了規定，規定中要求對數據實行分級分類保護、開展數據活動必須履行數據安全保護義務承擔社會責任等，并嚴格執行信息安全和健康醫療數據保密規定;并提出在互聯網醫院的建設中醫療體系類的系統必須參照相關法律法規對數據實施第三級別的保護體系，嚴厲打擊信息安全犯罪行為。此外，各級衛生健康部門均按照中央網信辦要求，提高信息化建設中網絡安全投入比例，推進商用密碼應用的深度和廣度。

2.2安全事件異常嚴峻

醫療技術信息作為國家戰略安全的重要數據信息來源，隨著全球化信息時代的到來，所面臨的境外風險指數不斷上漲。全球范圍內針對醫療行業的網絡攻擊、黑客入侵、惡意代碼、安全漏洞等各類網絡安全事件異常突出。據統計近三年全球醫療行業比較典型的重大事件有：世界衛生組織在2020年至今遭受網絡攻擊數量同比增長5倍、中國醫療公司AI檢測病毒技術被黑客竊取、11.9億張機密醫療圖像在公網暴露等[2]。據2019年外媒報道的一起醫療影像數據泄露事件，其中全球超7.37億醫療數據泄露，波及 2000 多萬人，波及52國[3]。因此在網絡安全形勢越發嚴峻趨勢下，重點加強醫療行業的網絡安全建設尤為重要，互聯網醫院需要加大網絡安全技術保障力度，發揮商用密碼在保護信息安全等方面不可替代的作用，從底層對系統、環境和數據進行安全保護。

2.3業務安全需求迫切

互聯網醫院本身處于互聯網環境中，依托實體醫療機構將診療業務延伸至互聯網端，與包括實體醫療機構、衛生健康行政部門管理平臺、互聯網醫療服務監管平臺、醫聯體、醫生、患者、藥店藥企、金融和保險機構、物流、第三方支付平臺等之間的互聯互通，增加了互聯網業務的對外暴露面安全風險。互聯網醫院系統承載著大量的有價值的敏感數據，關乎社會的平穩運行。一旦遭到破壞、喪失功能或者數據泄露，或對關鍵信息基礎設施安全，乃至數據安全、個人信息安全等帶來嚴重后果。因此需要引起足夠重視，針對數據保護方面提升安全要求，醫療數據信息涉及到國家安全，國民生計，與社會利息息息相關必須構建高等級的密碼安全防護。通過基于商用密碼技術的應用來保障互聯網醫療平臺在線簽約、電子病歷、醫師認證、電子處方等業務的安全開展。

三、互聯網醫院系統主要存在的安全風險

互聯網醫院系統面向互聯網提供服務，其可能面臨的各類安全威脅較一般系統更為嚴峻，目前主要存在的安全風險有：

一是應用系統的安全漏洞導致的交叉擴散風險。在實際安全測評中發現互聯網醫院系統存在SQL注入、跨站腳本、權限旁路（包括垂直越權以及平行越權）等高危漏洞。惡意攻擊者可能會利用這些漏洞對系統開展各類網絡攻擊。如：通過SQL注入漏洞獲取重要業務數據，甚至注入漏洞獲取服務器的控制權限;利用跨站腳本漏洞獲取系統管理員的會話憑證，獲取系統管理后臺的訪問權限;利用權限旁路漏洞通過遍歷ID等攻擊方式獲取患者信息。同時互聯網醫院系統往往通過數據接口與醫院前置機進行通信，前置機部署在醫院內部網絡，攻擊者可能會以互聯網醫院系統設備作為跳板，對醫院內部網絡進行進一步的滲透攻擊。

二是敏感信息保護措施不足造成的信息泄露風險。目前主要的互聯網醫院均使用云服務商提供的醫療SaaS服務，互聯網醫院作為SaaS云租戶，云服務商數據安全防護水平不足或將引發信息泄露等多個問題。互聯網醫院系統存放了患者身份、就診信息等醫療敏感數據，這些敏感數據往往在數據庫中明文存儲，同時互聯網醫院云平臺與醫院前置服務器基于互聯網服務接口進行數據同步，存在服務接口未采取密碼技術進行傳輸加密保護，增加了醫療數據系統被攻擊和竊取的途徑和風險。伴隨《GB/T 35273-2020個人信息安全規范》[4]全面實施，互聯網醫院需提升數據安全防護能力，不斷完善對個人醫療健康信息的保護措施。

三是技術層面管控手段缺乏引發的數據安全風險。醫院互聯網醫院云平臺中，多家互聯網醫院病例數據、健康檔案等醫療數據匯聚在云服務商的數據庫系統內，通過將此類數據匯聚整合分析可以推斷出互聯網醫院所在區域的人口健康狀況、疾病傳播等信息，云服務商未建立完善的數據分級分類等安全管控手段，或將引發數據安全風險;此外，未實施電子簽章措施可能造成醫療糾紛問題，根據《上海市互聯網醫院管理辦法》規定所有在線診斷、處方必須有醫師電子簽名，未引入電子印章系統的互聯網醫療服務閉環機制的缺失，可能造成醫療糾紛甚至影響患者人身安全。

四、互聯網醫院云平臺密碼應用及數據安全防護案例分析

本文針對互聯網醫院所面臨的的安全問題，以某互聯網醫院為例，結合數據安全追蹤和管理等相關技術進行分析。該互聯網醫院云平臺簡介：該平臺以SaaS服務模式為各家醫院提供應用軟件服務，主要功能模塊由患者端、醫生APP、互聯網醫院管理后臺平臺組成，該平臺部署在某IaaS云平臺上，作為IaaS租戶側使用云平臺提供虛擬服務器，服務器部署了CentOS操作系統以及 Oracle數據庫系統，使用Tomcat中間件，應用基于JAVA技術開發，使用了IaaS云平臺提供了堡壘機、入侵檢測等通用安全服務。該平臺尚未配備任何密碼產品和密碼服務。

某互聯網醫院云平臺密碼應用及數據安全防護實施拓撲圖如下圖1所示。

根據《信息系統密碼應用基本要求》（GM/T 0054-2018）[5]在某互聯網醫院云平臺部署密碼應用：

1.在互聯網醫院云平臺網絡接入區內部署安全認證網關，該設備具有用于用戶身份認證、傳輸保護功能。用戶身份認證方面：安全認證網關對用戶（醫生、患者、運維人員）使用的SM2數字證書進行身份驗證，驗證通過后，安全認證網關的應用代理認證模塊映射互聯網醫院系統中對應的用戶信息，安全認證網關將應用系統返回的用戶界面返回給用戶端瀏覽器，用戶可正常訪問應用系統。傳輸保護方面，安全認證網關采用國密局認可的對稱密碼算法（SM4）對傳輸過程進行加密，啟用SM3算法校驗傳輸過程中的數據。

2.在互聯網醫院云平臺網絡接入區內部署IPSec VPN設備，該設備與醫院的IPSec VPN設備之間建立加密隧道，加密隧道使用對稱密碼算法（SM4）以及雜湊密碼算法（SM3）保障了通信過程中的保密性和完整性，IPSec VPN設備之間基于SM2數字證書完成雙向身份鑒別。

3.在密碼服務區部署電子簽章系統服務器，為醫生提供在線診斷、處方的電子簽章、驗章服務，保障醫生簽名的真實性、完整性和簽章行為的不可否認性。

4.在密碼服務區部署簽名驗簽服務器，基于SM2/SM9算法，實現互聯網系統用戶關鍵操作行為的不可否認性和真實性。

5.醫生配備智能密碼鑰匙（USBKey），主要提供電子簽章、身份鑒別服務，智能密碼鑰匙分別存放用戶身份數字證書以及電子印章數據。電子印章數據應遵循《安全電子簽章密碼技術規范》（GM/T 0031）[6]。系統運維人員使用智能密碼鑰匙通過安全認證網關進行身份認證，驗證成功后，通過云服務商提供的堡壘機對操作系統以及數據庫系統進行遠程運維。

6.在密碼服務區部署云服務器密碼機，調用云服務器密碼機對個人敏感信息經過對稱密碼算法（SM4）加密后存放在數據庫中，利用HMAC-SM3算法對個人敏感信息進行計算，將得到的MAC值存放在數據庫表中。應用系統、操作系統、數據庫以及中間件訪問日志采取保護措施，調用云服務器密碼機使用HMAC-SM3算法對審計日志進行完整性保護。

數據安全防層面的部署：

1.在安全服務區內部署數據動態脫敏系統，根據實際業務需求，制定數據脫敏策略，應用系統調用動態脫敏系統服務接口，經敏感數據進行脫敏后展示。

2.部分數據由于業務需求，前端展示時未采取脫敏措施，部署數據水印系統，將數據水印嵌入互聯網醫院系統中存放重要數據的界面中，可對數據泄露源頭進行溯源。

3.部署數據防泄露及審計系統，基于流量鏡像方式對業務數據流進行實時檢測，實現對數據庫操作行為、可能的數據泄露事件進行實時監測、審計以及報警。

4.針對云平臺的各類數據進行分級分類管理，將數據安全等級從高到低分為3級、2級、1級，基于數據安全性遭到破壞后的影響對象及影響程度，對涉及的各類數據進行定級，如將個人信息、患者醫治相關記錄、匯聚的醫療數據定為3級數據、將管理類數據（安全審計日志、配置信息等）定為2級數據、將公開數據定為1級數據。不同級別的數據采取不同的防護策略，針對3級數據應采取技術手段同時保障數據在傳輸、存儲、使用過程中的保密性和完整性，針對2級數據如安全審計類數據，采取技術手段保障數據在傳輸、存儲、使用過程中的完整性，同時通過基于安全標記級的訪問控制手段，基于安全標記限制用戶對不同級別數據的訪問，通過密碼技術對用戶訪問控制信息的完整性進行校驗。

五、結束語

通過以上理論案例分析，就實施互聯網醫院安全舉措，主要得出以下幾點結論：

一是采取完善的密碼技術，可降低應用程序安全漏洞所帶來的安全風險。通過采取符合國家要求的（SM4）密碼算法，使得攻擊者解密獲取明文數據難度大大增加，通過采用（SM3）密碼算法對數據進行完整性保護，有效防護攻擊者對數據的惡意篡改，以及個人數字證書對登錄用戶進行身份認證，降低攻擊者對系統發起網絡攻擊的可能性。

二是采取多種敏感信息防護措施，可有效降低數據泄露的風險。通過部署的安全認證網關、IPSec VPN設備、云服務器密碼機，保障數據在傳輸、存儲過程中的完整性和保密性。以及部署的數據動態脫敏系統、數據防泄露及審計系統、數據水印系統，分別實現敏感數據保護、數據泄露事件實時監控、數據泄露情況的實時溯源。

三是加強互聯網醫院安全防護水平，采取數據分類分級保護措施可降低數據匯聚帶來的安全風險，清晰界定醫療數據在不同階段的訪問控制權限。同時需要利用基于密碼的數據識別、數字簽名等技術手段，加強互聯網醫療服務產生的數據可查詢、可追溯以及互聯網醫療體系中的實體身份可信。

面向“十四五”，關乎國計民生的醫療信息化建設任重道遠，保障互聯網醫院安全成為其中關鍵考量。密碼技術與數據安全工作同為網絡安全環境建設的重要防線，意義重大，需要持續不斷地加大創新應用，筑牢互聯網醫院網絡安全堅實防線，保障智慧醫療新安全。

參? 考? 文? 獻

[1]毛子駿，梅宏，肖一鳴， 等.基于貝葉斯網絡的智慧城市信息安全風險評估研究[J].現代情報，2020，40（5）：19-26，40.

[2]劉道遠，孫科達，周君良， 等.模糊綜合評判法在電力企業網絡信息安全評估中的應用[J].電信科學，2020，36（3）：34-41.

[3]王剛.SoS體系多維度分析在信息安全風險評估中的應用[J].微型電腦應用，2020，36（9）：56-59.

[4]孔姝睿，趙艷.基于Web的網絡信息安全風險評估模型研究[J].信息與電腦，2020，32（9）：200-202.

[5]林燕.網絡信息安全的風險評估及管理策略[J].信息系統工程，2020，（8）：56-57.

[6]張殿巍.人工智能在信息安全風險評估中的應用[J].智能城市，2020，6（3）：49-50.

[7]王遜.分析等保2.0對醫院信息安全管理的新要求[J].科學與信息化，2021，（3）：117.

[8]趙計偉.數字化環境下醫院信息安全建設分析[J].信息記錄材料，2020，21（4）：68-69.

[9]江傳.數據安全防御系統在醫院信息安全中的應用分析[J].數碼世界，2020，（3）：260-261.

[10]李先鋒，曹亮，劉熠斐， 等.等保2.0對醫院信息安全管理的新要求探討[J].江蘇衛生事業管理，2020，31（3）：344-347.

[11]李圣剛.醫院電子信息化發展的信息安全研究[J].新商務周刊，2020，（3）：226.

[12]李鑫.醫院網絡信息安全體系的完善策略分析[J].科學與信息化，2020，（15）：138.