基于可信計算的醫院數據安全交互平臺設計和應用

譚鴻智

(湖南省常德市第一中醫醫院,湖南 常德 415000)

0 引言

隨著眾多醫改政策的不斷發布和落實,醫療信息化的重點落在了一病例信息化的各項臨床信息信息化項目,以及以醫聯體為主體的衛生信息共享系統。而隨著各種新型網絡技術在醫院中的普及以及互聯網醫院的不斷發展,大數據等新興技術也逐漸成了醫院內不可分割的一部分。目前我國現行的網絡數據安全保護體系對數據安全保護提出了明確要求,網絡安全事件的激增和勒索軟件病毒的擴散給醫院數據的安全性帶來了挑戰。大型醫院信息系統多,數據量大。因此,怎樣在保證數據傳輸的安全性的基礎上,實現醫院內外部數據的流暢傳輸,是目前網絡技術工作者面臨的一大挑戰。

1 醫院數據安全交互平臺的構建

1.1 醫院數據安全交互平臺的意義

通常大型醫院都會使用將醫院內網與外網物理隔絕的方式,將涉及病人隱私信息的數據存儲在內網中實現數據安全。但隨著社會和經濟的發展,有相當一部分的醫院信息系統中的數據需要上傳到互聯網中進行開放。一般來說,醫院內網與互聯網的數據交互是通過安全認證的U盤進行數據傳輸,但這種方法同樣存在傳輸效率過低、安全保障性差等缺點,無法滿足醫院日漸巨大的數據交互問題。可信的數據交互平臺可以解決醫院多個孤立網絡中不同企業系統之間的連接問題,保證數據的安全高效交換[1]。

1.2 醫院數據安全交互平臺的架構

可信數據交互平臺總體架構由安全管理中心、分類系統前端和可信數據交互組件3個模塊組成。安全管理中心由系統管理、安全管理和安全審計3個模塊組成。主要負責系統配置、策略管理、策略接口的提供、策略信息的接收以及與安全審核的交互。在不使用分級系統安全管理中心的分級系統中,分級系統前端可以對交叉資質接入業務進行安全標識,并負責提供從接入服務到資格認證的接口。可信數據交互組件用于為多層企業系統提供交互接口,并根據管理中心的指令檢查和仲裁需要交互的服務,并提供數據流控制、訪問控制、身份驗證、日志檢查等功能。

1.3 構成醫院數據安全交互平臺的技術

目前,許多系統既不使用安全管理中心,也不識別系統中的主體和對象。因此,很難通過分類系統識別它們,也很難識別它們在網絡運行中的行為。可信數據交互平臺使用特定的平臺安全標簽技術,為沒有安全標簽的多級系統提供連接服務,并為多級組件數據化提供基礎。

與傳統的標簽不同,可信數據交互平臺可以提供基于主題和對象信息、訪問控制權、應用程序協議等的多維標記。此外,經過一定的延遲后,多維標記可以自動替換,允許動態標記。多維動態標簽技術可以有效地保護對象和標簽使用的對象,避免身份變更問題[2]。

系統前端為與公司數據的交互提供了通用接口,并支持將數據格式轉換為不同的標準協議。應用層協議將交互數據流與應用層的攻擊類型庫和安全授權規則進行比較,以過濾源位置的數據包,并防止目標服務器上的應用層攻擊。

可信數據交互平臺允許基于可信網絡登錄后進行數據交換。本系統中的可信連接模塊通過可信身份管理,為網絡中的安全終端設備建立可信身份,保證對終端設備的安全可靠訪問。受信任的終端可以通過可信交換與分級系統前端相互訪問,未經授權的用戶不能訪問互連前端,確保只有具有合法身份并經安全管理員批準且符合適用安全策略的終端才能訪問系統數據[3]。

不同系統之間的數據交換是通過交互平臺中的多個交互組件進行的,使用專用的硬件和通信協議,以安全、可控的方式隔離業務交互。

2 醫院數據安全交互平臺的安全性分析

在實踐中,數據交互平臺的安全不僅會受到惡意攻擊的威脅,還會受到數據安全的威脅。鑒于數據安全是指通過可信數據非法闖入內網系統竊取敏感數據的外部用戶,或非法對外披露敏感內部數據的內部員工,惡意攻擊外部用戶進入可信數據交互組件以共計網絡系統[4]。因此,受信任的數據交互平臺針對這兩個主要領域可能包含的不確定性采取以下幾種預防措施。

2.1 保障數據安全

平臺系統組件系統之間的數據傳輸通過可信網絡連接進行。可信網絡連接的安全功能可以避免交換源被仿冒的風險,整個從源到目標的交換都建立在一個可以防止惡意數據交換的信任機制上。安全標記用于驗證數據的合法性,并對可信數據交互組件的訪問級別進行分類。安全鏈路組件通過分析安全功能來確定數據是否可以通過組件傳輸到另一端,并且在沒有安全標記的情況下不會釋放數據。此外,安全令牌具有不同的訪問級別,連接組件將識別安全令牌的訪問級別,從而避免訪問級別溢出現象,并確保數據交換以可控和可管理的方式進行。通過配置可傳輸文件類型的黑白名單,平臺的可信數據交互平臺可以只允許傳輸內聯網應用程序生成的記錄文件,禁止傳輸文件、可執行文件和腳本文件,使用不可逆算法對平臺上內網數據文件中的敏感信息進行加密,并使用應用系統對通過外部網絡交換的文件進行加密,以防止數據被更改。

2.2 防范惡意攻擊

數據交互平臺的所有組件都有擴展模塊,其中數據交互通過云端執行,數據完整性檢查在應用程序和設備上執行。這提供了針對惡意腳本、特洛伊木馬和病毒的主動保護,并基于最低權限限制應用程序操作。機密數據交互平臺只能通過管理平臺集中配置。關于提供可信數據交互平臺的指令降低了攻擊的可能性。只有當外部用戶通過外部防火墻且入侵監控系統未檢測到時,才可能對受信任的數據交互平臺進行攻擊。另外在平臺系統的網絡前端,只有內網前端提供管理服務器,并會關閉所有其他未使用的服務端口,以防止外部用戶攻擊文件服務器。

3 醫院數據安全交互平臺的目前應用和發展方向

3.1 醫院數據安全交互平臺的應用

考慮到在建設醫院加護平臺時跨網安全交換數據的重要性,通過對醫院數據交換方法的深入研究,結合醫院系統的業務特點,采用雙機自動備份的方法,建立了內網與互聯網之間可靠的數據交互平臺。交互類型有文件級交互和應用程序級交互。文件級交互通常用于異步數據傳輸,應用程序級交互通常用于緊急需求。文件級交互過程如下:Internet分類系統前端負責收集查詢文件并將其傳輸到內網分類系統前端,以獲取交互組件的可靠數據。

由于醫院業務系統的多樣性,信息交互安全平臺在大型醫院得到了廣泛的應用。為了實現數據共享和互操作,不同系統之間原有的交互模式逐漸發展成為統一的信息集成平臺。因此,研究設計可靠的應用級交互和交互需求,可以加強醫院信息集成平臺之間的深度集成,并進一步提高應用程序級別的請求響應能力,使各業務線系統更健康、更敏感。同時,醫院業務對實時性的要求也很高。后續可以對內部和外部交互的實時性進行研究,并建立適當的交互回退機制,以確保內部和外部交互服務的連續性。

3.2 醫院數據安全交互平臺未來的展望

一個安全高效的數據交換解決方案具有良好的示范效果。醫院的多個系統都需要在內網和互聯網之間交換信息,但是由于數據安全的考量,醫院需要按照安全策略隔離兩個網絡。但隨著業務發展的需要,數據傳輸對信息系統的交互效率和服務質量產生了很大的影響。使用可信平臺進行數據交互、訪問控制、標記控制、對評估系統主機和來賓的多級訪問,通過對應用日志和其他一些技術和方法的運用,解決不同系統之間的數據操作性問題,必將改善醫院的門診服務和互動能力,從而提高醫院的整體服務水平。

4 結語

將安全高效的數據交互平臺引入醫院與外部的信息交換系統中,將會對醫院信息系統的未來發展方向深遠的影響。在確保系統和數據安全的大前提下,這類信息交互平臺可以提供精準的實時互聯網服務,從而大大提高互聯網搜索服務的范圍和準確性。